Neues Netzwerkdesign von einem Noob. VLANs, IPs, Hardware usw. Kommentare bitte

8

Ich plane derzeit eine große Netzwerkinfrastruktur für eine Universität in Äthiopien und möchte die Kommentare der Leute zu meiner Planung. Bitte denken Sie daran, dass ich noch nie zuvor Networking betrieben habe. Der Campus umfasst 80 Gebäude, darunter Labore, Verwaltung, Lehre und Schlafsäle. Alle Gebäude verfügen über Kabel, WLAN, VoIP und Drucker. Jedes Gebäude verfügt über 3 Etagen und eine Kombination aus Personal- und Studentencomputern.

Das Rechenzentrum wird SAN-Speicher und Software-PBX bereitstellen. Die Bereitstellung erfolgt unter Win2k8. Ich verwende während der gesamten Installation Cisco-Geräte mit Cisco 6500 L3-Core-Switches mit 1-Gbit / s- oder 10-Gbit / s-Glasfaserverbindung (MM und SM) zu 5 Kommunikationsräumen. Jeder Kommunikationsraum verfügt außerdem über einen Cisco 6500 L3-Switch. Jedes Gebäude ist über eine 1-Gbit / s-Glasfaserverbindung (MM) mit dem nächstgelegenen Kommunikationsraum verbunden. Jedes Gebäude verfügt über einen Cisco 2960 L2-Switch mit Uplink zu Etage 1 und 2.

Ich benutze VLANs, um die Subnetze wie folgt zu trennen:

Gebäude 1 -> VLAN 10 -> Kabelgebundene Computer -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

Gebäude 1 -> VLAN 11 -> Schülercomputer -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

Gebäude 1 -> VLAN 12 -> Drahtlose Computer -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

Gebäude 1 -> VLAN 13 -> VoIP-Telefone -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0

Gebäude 1 -> VLAN 14 -> Drucker und Geräte -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0

Gebäude 2 -> VLAN 20 -> Kabelgebundene Computer -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0

Gebäude 2 -> VLAN 21 -> Schülercomputer -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0

Gebäude 2 -> VLAN 22 -> Drahtlose Computer -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0

Gebäude 2 -> VLAN 23 -> VoIP-Telefone -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0

Gebäude 2 -> VLAN 24 -> Drucker und Geräte -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0

Gebäude 80 -> VLAN 800 -> Kabelgebundene Computer -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0

Gebäude 80 -> VLAN 801 -> Schülercomputer -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0

Gebäude 80 -> VLAN 802 -> Drahtlose Computer -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0

Gebäude 80 -> VLAN 803 -> VoIP-Telefone -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0

Gebäude 80 -> VLAN 804 -> Drucker und Geräte -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0

Alle Gebäude -> VLAN 199 -> Management & Native -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 Ich habe die IP-Adresse dem VLAN zugeordnet, damit IP-Adressen einfach auf physische Standorte zurückgeführt werden können.

Fragen: 1. Sollte ich VoIP-Telefone für jedes Gebäude auf demselben oder einem separaten VLAN haben, wie ich es oben getan habe?

2, Gleiche Fragen wie 1, aber für die Drucker?

3, ich plante für die Cisco 6500 L3-Switches ein Inter-VLAN-Routing zwischen VLANs. Wäre das eine gute Lösung. Benötige ich auch einen Router oder eine Hardware-Firewall, wenn ich L3-Switch-Routing verwende? Mein Breitband-Eingang vom ISP ist eine RJ-45-Ethernet-Verbindung.

4, Jeder andere Kommentar zu meiner Implementierung wäre dankbar, da ich in dieser Hinsicht ein absoluter Neuling bin.

Danke im Voraus

networking cisco ip vlan Stokie Mike
quelle
8
"Bitte denken Sie daran, dass ich noch nie zuvor Networking betrieben habe." - Wie um alles in der Welt haben Sie diesen Vertrag erhalten?!
Tom O'Connor
6
Ich habe Angst. Nie zuvor waren die Worte "Hire a Professional" so passend.
Tom O'Connor
2
Wenn dies keine Hausaufgabenfrage ist, sollten Sie die Kommentare von @ Tom erneut lesen, bis Sie eine andere Person damit beauftragen.
Jscott
7
Es fällt mir schwer zu verstehen, dass es ein Budget für das gesamte Kit gibt, aber kein Budget, um jemanden einzustellen, der es richtig einrichtet.
Nickgrim
11
Ich bin nicht überrascht, dass jemand ohne Erfahrung dies tut. Facharbeiter sind in Afrika unglaublich schwer zu finden. Die Ausrüstung könnte gespendet werden, es könnte kein Budget für den Kauf der Ausrüstung gegeben haben. Es könnte buchstäblich kein Geld für diese Projekte geben. Die Einstellung eines Profis könnte nicht in Frage kommen. Wenn diese Person dies nicht erledigt, hat sie kein Netzwerk.
Rory

Antworten:

4

Ich habe ein paar Bedenken, die erste ist die Größe Ihrer VLANs - möchten Sie wirklich 4.000 Computer pro VLAN in einer Studentenumgebung? Stellen Sie sich vor, wie viel schwieriger es sein wird, problematische Maschinen / Benutzer in dieser Umgebung einzugrenzen, sowie die Anzahl der Benutzer, die möglicherweise von diesen problematischen Maschinen betroffen sind. Ich wäre versucht, selbst viel kleinere VLANs zu kaufen.

Zweitens mache ich mir mehr Sorgen um jemanden, der sich als Anfänger betrachtet, der ein so vergleichsweise großes und komplexes Netzwerk entwirft und implementiert - ich würde in Betracht ziehen, einige Fachleute hinzuzuziehen.

Chopper3
quelle
"Ich wäre versucht, selbst viel kleinere VLANs zu kaufen". Würden Sie also vorschlagen, die VLANs der Schüler in etwa Stockwerke (0,1,2) zu unterteilen, die jeweils eine geringere Anzahl von Computern haben?
Stokie Mike
Ich bin damit einverstanden, Profis zu gewinnen, aber ich bin ein Freiwilliger, der so viel Hilfe wie möglich leistet. Ich habe verschiedene Unternehmen für professionelle Beratung bewertet und um ehrlich zu sein, würde ich sagen, ich weiß mehr und kostet viel weniger, lol
Stokie Mike
Und ich bin viel zuverlässiger - ich hoffe :)
Stokie Mike
3
Ja, im Grunde genommen kleinere Vlans, dh nach Boden- / physischen Segmenten usw. aufteilen. Oh, und es ist schön, dass Sie Ihr Bestes geben, aber es gibt wirklich keinen Ersatz für Erfahrung und Qualifikation.
Chopper3
Ich habe meinem Design weitere VLANs hinzugefügt, darunter StaffManagement und Studentenetagen für die Schlafsäle. reduziert die Auswirkungen von Hacking und Virenpopogation. Vielen Dank für Ihre Hilfe. Ich stimme Ihrem Kommentar zur Erfahrung voll und ganz zu, bin aber offen für Ratschläge und recherchiere viel.
Stokie Mike
1

  1. Meiner Meinung nach können Sie sie alle in einem VLAN zusammenfassen (besser für das VLAN-Management), aber Sie können auch die Alternative anzeigen und sie so belassen, wie Sie sie ursprünglich entworfen haben (beeter für das geografische Management).

  2. Ich habe die Drucker immer in die vlans aufgeteilt, denen sie zugewiesen sind (z. B. der Marketingabteilungsdrucker befindet sich in der Marketingabteilung vlan).

  3. Obwohl es einfacher ist, das Inter-VLAN-Routing mit einem "Router-on-a-Stick" durchzuführen, ist es aus Sicht der Leistung besser, wenn Sie es mit Ihrem L3-Switch könnten. (aber etwas schwieriger einzurichten)

  4. Wie verwalten Sie Ihre drahtlosen VLANs? Ein Zugangspunkt pro VLAN?

PS: Für einen Anfänger im Networking hast du dir sicher eine schöne Ausrüstung besorgt :)


quelle
Hallo, danke für deine Eingabe, hilft mir sehr. Es ist ein schönes Kit, ich bevorzuge die Organisation, zuverlässige Geräte zu kaufen, mein Vorgänger kaufte nicht verwaltete Switches, die nur wenige Monate dauerten. Ich hoffe, das Cisco-Kit kommt bald. 1, ich mag die Idee von separaten VLANs für VoIP, da ich den physischen Standort anhand der VLAN-Nummer lokalisieren kann. 2, Sie würden also empfehlen, die Drucker in das gleiche VLAN wie den Computer zu stellen, einfacher. 3, L3 Inter-VLAN ist meine Präferenz, habe es in Packet-Tracer simuliert. 4, platzierte alle drahtlosen AP für ein einzelnes Gebäude in 1 VLAN, ein anderes Gebäude verwendet ein anderes VLAN
Stokie Mike
4. Welche Geräte verwenden Sie wieder mit dem WLAN? Wie viele Zugangspunkte gibt es im Netzwerk? Woraus bestehen die Gebäude? Lassen die Wände die Radiowellen durch? Überlappen sich die Kanäle? Gibt es ein Sicherheitsbedürfnis? Verschlüsselung? (Nur noch ein paar Gedanken von oben)
Ok, ich beginne mit 50 Zugangspunkten, die auf 15 kleine Gebäude verteilt sind. Pro Etage werden zwischen einem und zwei Zugangspunkte verwendet. Die Gebäude sind sehr denkbare Betonwände mit eingebetteten Stahlstangen. Ich habe herausgefunden, dass Radiowellen durch 3 Wände in einer Linie gehen. Die Änderungen überschneiden sich zwischen den Etagen - ist das in Ordnung? Ich glaube, es besteht kein Sicherheitsbedarf. Es wird ein RADIUS-Server mit LDAP-Authentifizierung verwendet. Vielen Dank
Stokie Mike
1

Ich stelle fest, dass Sie keine Netzwerke / Computertypen nach Risiko oder Servicequalität unterschieden haben.

Ich würde darüber nachdenken, welche Computer in einem Ihrer Netzwerke vertrauliche Daten (medizinisch / persönlich / finanziell) enthalten könnten, und separate VLANs für diese erstellen, damit Sie den Zugriff verwalten und überwachen können. Universitäten tendieren dazu, eine Kultur des offenen und freien Zugangs zu haben, aber Sie müssen versuchen, den Zugang bei Bedarf zu sperren, um Betrug, Erpressung, Datenvernichtung usw. zu verhindern.

Sehen Sie sich auch an, wo sich Ihr VOIP-Kit befindet. Wenn sich alles in rein logischen VLANs befindet, stellen Sie sicher, dass die QoS dafür eingestellt ist. Andernfalls ist VOIP unbrauchbar, wenn die Netzwerke ausgelastet sind.

Update zu VOIP : VOIP reagiert viel empfindlicher auf Latenz, Jitter und andere Probleme, gegen die TCP / IP größtenteils immun ist. Datenpakete können zu ungeraden Zeiten oder sogar in unregelmäßiger Reihenfolge eintreffen, und der TCP / IP-Stapel baut den Informationsstrom ziemlich gut wieder auf. Beim Sprachverkehr bemerken Sie sehr leicht Jitter oder fehlende Pakete, und oberhalb eines wirklich niedrigen Schwellenwerts wird der Sprachverkehr nicht mehr geeignet. Sie können die Qualität verbessern, indem Sie die Latenz hinzufügen (um das Puffern weiterer Pakete zu ermöglichen). Dies stört jedoch auch Benutzer. Mit QoS (Quality of Service) auf Routerebene können Sie zeitkritischen Datenverkehr auf Kosten des Datenverkehrs priorisieren. Ihre Daten werden immer noch durchkommen, aber da sie immuner gegen Zeitprobleme sind, spielt es keine Rolle.

Aber meine Hauptkommentare wären - ernsthaft, einen Fachmann zu bekommen; Das ist kein kleines Netzwerk, und viel Glück damit, hoffe es geht gut.

Rory Alsop
quelle
Mein ursprüngliches Design hatte mehr VLANs, um die sensiblen Daten zu teilen, aber mir wurde gesagt, ich hätte zu viele VLANs. Ich denke, ich werde dann zu meinem ursprünglichen VLAN-Design zurückkehren. Könnten Sie bitte erklären: "Sehen Sie sich auch an, wo sich Ihr VOIP-Kit befindet. Wenn sich alles in rein logischen VLANs befindet, stellen Sie sicher, dass die QoS dafür eingestellt ist. Andernfalls ist VOIP unbrauchbar, wenn die Netzwerke ausgelastet sind." Es ist keine Option, einen Fachmann zu finden. Die Universität hat Freiwillige um Hilfe gebeten.
Stokie Mike
Es ist auch ein sehr aufregendes Projekt und eine großartige Gelegenheit für mich und die Universität. Ich habe andere Installationen gesehen, die von Profis hier draußen durchgeführt wurden - sehr schlecht implementiert und unzuverlässig. Danke noch einmal.
Stokie Mike
@Stokie - schnelles Update zu VOIP und QoS für Sie.
Rory Alsop
Danke agian für deine Hilfe. Ich verwende den L3-Switch für das Inter-VLAN-Routing. Kann ich dort QoS durchführen (Cisco 6500 Sup 720)?
Stokie Mike
Einige Informationen zu QoS und Cisco 6500 finden Sie unter cisco.com/en/US/products/hw/switches/ps708/…
Stokie Mike