我们是一家小型企业,几年来一直成功运行一台 Hyper-V 2012 R2 vmhost 和多台 Windows Server 2012 VMS,其中包括 DC、Web 服务器、CRM 服务器和 SQL Server。对于网络,我们有一台 Draytek 2860、2 台物理交换机和一台千兆万兆网络。
我们还没有 IT 部门 - 而且我主要是一名程序员,但我确实涉足系统和网络(我计划并完成了上述设置)但没有足够的专业知识来确认我的研发,所以感谢 serverfault 的存在 :)
随着我们的成长,我们的流量也随之增长,我现在发现,在工作时间内,网络性能受到各种内部和外部流量的影响。
因此,这个周末我开始了一段旅程,以提高网络可靠性,并部署一个可通过互联网访问的 DMZ 区域进行暂存和测试。
因此,在阅读了大量有关路由器(Draytek 2860)、Hyper-V 网络和 Vlan 的资料后,我提出了以下设置,希望能够在今天、明天大家回到办公室之前成功集成:
'从左到右阅读,就好像同一行的列之间存在链接。
请注意:
- 我希望 DMZ 上的服务器受到域控制并可以访问某些 IT 服务器,例如 SQL Server。
- 所有子网/vlan 将在“it&dev”vlan 上共享相同的 DNS 服务器,辅助服务器为路由器,例如 191.168.1.1
- DMZ 子网/VLAN 只能访问“it & dev”VLAN
- Lan3 适用于连接到路由器上单独的无线 SSID 但应该有权访问 DMZ 子网的访客,例如进行项目演示的客户端。
- 我的 VMHost 确实有 3 个物理 NIC——提前考虑购买;)
所以我正在寻找的问题/澄清是:
- 将用户流量从“it & dev”和“用户和设备”流量中分离到 vlan 中是否是提高性能的明智方法?这对我来说很有意义,但只是寻求确认。
- 此路由器具有局域网间路由功能,据我所知,这是具有局域网间/VLAN 路由功能的 NAT 功能。但我是否仍需要使用静态路由,或者局域网间路由是否足以满足常规流量?
- 我目前只有一个 DC1,但正在考虑部署第二个,您认为将一个 DC 放在“用户和设备”vlan 上,将另一个 DC 放在“it 和 dev”vlan 上是个好主意吗,还是它们应该始终放在同一个 vlan 上?请记住,DMZ 无法访问“用户和设备”vlan,只能访问“it 和 dev”。如果 DMZ 上的服务器无法找到辅助 DC,因为辅助 DC 位于“用户和设备”vlan 上,这会很糟糕吗?
- 我还没有考虑存储系统(SAN 或类似的东西),但正在认真考虑文件服务器、VM 和内部备份,您能否为我指明一个合理的(成本和设置)解决方案的正确方向?
- 我也在考虑使用另一个物理 vmhost,我应该将 vm 按照 vlan 分开吗?例如,为用户 vm 设置一个 vmhost,为 dev 和 dmz vm 设置另一个 vmhost?
- 如果在实施过程中存在任何缺点、陷阱或我应该注意的事情,请告诉我。