В настоящее время я планирую крупную сетевую инфраструктуру для университета в Эфиопии и хотел бы получить комментарии по поводу моих планов. Пожалуйста, имейте в виду, что я никогда раньше не занимался сетями. Кампус охватывает 80 зданий, включая лаборатории, администрацию, учебные заведения и общежития. Во всех зданиях будут проводные и беспроводные сети, VoIP и принтеры. Каждое здание имеет 3 этажа и включает компьютеры для персонала и студентов.
Дата-центр предоставит хранилище SAN и программную АТС. Развертывание - Win2k8. Я использую оборудование Cisco на протяжении всей установки, включая коммутаторы ядра Cisco 6500 L3 с оптоволоконным соединением 1 Гбит / с или 10 Гбит / с (MM и SM) до 5 комнат связи. В каждой комнате связи также есть коммутатор Cisco 6500 L3. Каждое здание подключено к ближайшей комнате связи с помощью оптоволоконного соединения 1 Гбит / с (MM). В каждом здании будет коммутатор Cisco 2960 L2 с восходящей линией связи на 1 и 2 этажи.
Я использую vlan для разделения подсетей следующим образом:
Здание 1 -> VLAN 10 -> Проводные компьютеры -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0
Здание 1 -> VLAN 11 -> Студенческие компьютеры -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0
Здание 1 -> VLAN 12 -> Беспроводные компьютеры -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0
Здание 1 -> VLAN 13 -> Телефоны VoIP -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0
Здание 1 -> VLAN 14 -> Принтеры и устройства -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0
Здание 2 -> VLAN 20 -> Проводные компьютеры -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0
Корпус 2 -> VLAN 21 -> Студенческие компьютеры -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0
Здание 2 -> VLAN 22 -> Беспроводные компьютеры -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0
Здание 2 -> VLAN 23 -> Телефоны VoIP -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0
Здание 2 -> VLAN 24 -> Принтеры и устройства -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0
Building 80 -> VLAN 800 -> Проводные компьютеры -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0
Здание 80 -> VLAN 801 -> Студенческие компьютеры -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0
Здание 80 -> VLAN 802 -> Беспроводные компьютеры -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0
Здание 80 -> VLAN 803 -> Телефоны VoIP -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0
Здание 80 -> VLAN 804 -> Принтеры и устройства -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0
Все здания -> VLAN 199 -> Управление и собственное -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 Я сопоставил IP-адрес с vlan, чтобы было легко отследить IP-адреса до физических местоположений.
Вопросы: 1. Должен ли я иметь все телефоны VoIP на одном vlan или на отдельном vlan для каждого здания, как я сделал выше?
2, те же вопросы, что и 1, но для принтеров?
3, я планировал, что коммутаторы Cisco 6500 L3 будут выполнять маршрутизацию между вланами между вланами. Было бы это хорошим решением. Нужен ли мне также маршрутизатор или аппаратный брандмауэр, если я использую маршрутизацию коммутатора L3? Мой широкополосный вход от интернет-провайдера - это соединение RJ-45 Ethernet.
4. Любые другие комментарии о моей реализации были бы признательны, поскольку я в этом полный нуб.
заранее спасибо
У меня есть пара проблем. Во-первых, размер ваших VLAN - действительно ли вам нужно 4k машин на VLAN в студенческой среде? Представьте, насколько сложнее будет сузить круг проблемных машин / пользователей в этой среде, плюс количество пользователей, на которых могут повлиять эти проблемные машины? Я бы сам захотел пойти на гораздо более мелкие VLAN.
Во-вторых, меня больше беспокоит тот, кто считает себя новичком в разработке и внедрении такой сравнительно большой и сложной сети - я бы подумал о привлечении некоторых профессионалов.
Я заметил, что вы не различали какие-либо сети / типы компьютеров по риску или качеству обслуживания.
Я хотел бы подумать о том, какие машины в любой из ваших сетей могут содержать конфиденциальные данные (медицинские / личные / финансовые), и создать для них отдельные VLAN, чтобы вы могли управлять доступом и проверять его. Университеты, как правило, имеют культуру открытого и свободного доступа, но вам нужно подумать о блокировке доступа там, где это необходимо, чтобы предотвратить мошенничество, шантаж, уничтожение данных и т. Д.
Также посмотрите, где находится ваш комплект VOIP - если он все находится в чисто логических VLAN, убедитесь, что для него установлено QoS, иначе, когда сети заняты, вы обнаружите, что VOIP непригоден для использования.
Обновление по VOIP : VOIP гораздо более чувствителен к задержкам, джиттеру и другим проблемам, к которым TCP / IP в основном невосприимчив. Пакеты данных могут поступать в нечетное время или даже не по порядку, и стек TCP / IP довольно хорошо перестраивает информационный поток. В голосовом трафике вы очень легко замечаете дрожание или пропущенные пакеты, а голосовой трафик выше действительно низкого порога становится неприемлемым. Вы можете улучшить качество, добавив задержку (чтобы разрешить буферизацию большего количества пакетов), но это также раздражает пользователей. QoS (качество обслуживания) позволяет вам делать на уровне маршрутизатора приоритетность трафика, чувствительного ко времени, за счет трафика данных. Ваши данные все равно будут проходить, но, поскольку они более устойчивы к проблемам со временем, это не имеет значения.
Но мои основные комментарии были бы - серьезно, найдите профессионала; это не маленькая сеть, и удачи, надеюсь, все пойдет хорошо.
На мой взгляд, вы можете поместить их все в один vlan (лучше для управления vlan), но вы также можете просмотреть альтернативу, оставив их в том виде, в каком вы их изначально спроектировали (лучше для географического управления)
Я всегда разделяю принтеры на vlan, которым они назначены (например: принтер отдела маркетинга находится в отделе маркетинга vlan)
Хотя маршрутизацию между vlan проще выполнять с помощью «маршрутизатора на палке», если вы сможете сделать это с помощью коммутатора L3, это будет лучше с точки зрения производительности. (но немного сложнее настроить)
Как вы управляете своими беспроводными виртуальными лентами? одна точка доступа на влан?
PS: Для новичка в нетворкинге у вас наверняка есть неплохое оборудование :)
Некоторые ссылки:
http://www.cisco.com/en/US/netsol/ns742/networking_solutions_program_category_home.html
http://www.cisco.com/en/US/netsol/ns826/networking_solutions_program_home.html
По этим ссылкам есть несколько предложений по обучению и справочные проекты.