Nuovo design della rete da un noob. VLAN, IP, hardware, ecc. Eventuali commenti, per favore

8

Attualmente sto progettando una grande infrastruttura di rete per un'università in Etiopia e vorrei commenti delle persone sulla mia pianificazione. Tieni presente che non ho mai fatto networking prima d'ora. Il campus copre 80 edifici tra cui laboratori, amministrazione, insegnamento e dormitori. Tutti gli edifici saranno cablati, wireless, VoIP e stampanti. Ogni edificio ha 3 piani e una combinazione di personale e computer degli studenti.

Il centro dati fornirà l'archiviazione SAN e il PBX software. La distribuzione è Win2k8. Uso tutta l'attrezzatura Cisco durante l'installazione con switch core Cisco 6500 L3 con connessione in fibra da 1 Gbps o 10 Gbps (MM e SM) a 5 sale di comunicazione. Ogni sala di comunicazione ha anche uno switch Cisco 6500 L3. Ogni edificio è collegato alla sala di comunicazione più vicina tramite una connessione in fibra da 1 Gbps (MM). Ogni edificio avrà uno switch Cisco 2960 L2 con uplink ai piani 1 e 2.

Sto usando i vlan per separare le sottoreti come segue:

Edificio 1 -> VLAN 10 -> Computer cablati -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

Edificio 1 -> VLAN 11 -> Computer degli studenti -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

Edificio 1 -> VLAN 12 -> Computer wireless -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

Edificio 1 -> VLAN 13 -> Telefoni VoIP -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0

Edificio 1 -> VLAN 14 -> Stampanti e dispositivi -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0

Edificio 2 -> VLAN 20 -> Computer cablati -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0

Edificio 2 -> VLAN 21 -> Computer degli studenti -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0

Edificio 2 -> VLAN 22 -> Computer wireless -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0

Edificio 2 -> VLAN 23 -> Telefoni VoIP -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0

Edificio 2 -> VLAN 24 -> Stampanti e dispositivi -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0

Edificio 80 -> VLAN 800 -> Computer cablati -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0

Edificio 80 -> VLAN 801 -> Computer degli studenti -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0

Edificio 80 -> VLAN 802 -> Computer wireless -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0

Edificio 80 -> VLAN 803 -> Telefoni VoIP -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0

Edificio 80 -> VLAN 804 -> Stampanti e dispositivi -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0

Tutti gli edifici -> VLAN 199 -> Gestione e nativi -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 Ho mappato l'indirizzo IP sul vlan in modo che sia facile tracciare gli indirizzi IP in posizioni fisiche.

Domande: 1, dovrei avere telefoni VoIP tutti sullo stesso vlan o vlan separato per ogni edificio che ho fatto sopra?

2, stesse domande di 1 ma per le stampanti?

3, stavo pianificando che gli switch Cisco 6500 L3 eseguissero il routing inter-vlan tra vlan. Sarebbe una buona soluzione. Avrei anche bisogno di un router o firewall hardware se utilizzo il routing switch L3? Il mio ingresso a banda larga dall'ISP è una connessione Ethernet RJ-45.

4, Qualsiasi altro commento sulla mia implementazione sarebbe apprezzato in quanto sono un noob totale in questo.

Grazie in anticipo

networking  cisco  ip  vlan 
Stokie Mike
fonte
8
"Per favore, ricorda che non ho mai fatto networking prima d'ora." - Come mai hai ottenuto questo contratto ?!
Tom O'Connor,
6
Sono spaventato. Mai prima d'ora le parole "Assumere un professionista" sono state più adatte.
Tom O'Connor,
2
Se questa non è una domanda a casa, penso che potresti voler rileggere i commenti di @ Tom fino a quando non assumerai qualcun altro per farlo.
jscott,
7
Sto trovando difficile capire che c'è un budget per tutto quel kit, ma nessun budget per assumere qualcuno per configurarlo correttamente.
Nickgrim,
11
Non sono sorpreso che qualcuno senza esperienza lo stia facendo. I lavoratori qualificati sono incredibilmente difficili da trovare in Africa. L'apparecchiatura potrebbe essere donata, potrebbe non esserci stato un budget per l'acquisto dell'attrezzatura. Non ci potrebbero essere letteralmente soldi da spendere per questi progetti. Assumere un professionista potrebbe essere fuori questione. Se questa persona non lo fa, allora non ha una rete.
Rory,

Risposte:

4

Ho un paio di preoccupazioni, la prima è la dimensione delle tue VLAN - vuoi davvero macchine 4K per VLAN in un ambiente studentesco? immaginare quanto sarà più difficile restringere le macchine / utenti problematici in quell'ambiente, oltre al numero di utenti potenzialmente interessati da queste macchine problematiche? Sarei tentato di optare per VLAN molto più piccole.

In secondo luogo, sono più preoccupato per qualcuno che si considera un principiante che progetta e implementa una rete così ampia e complessa: prenderei in considerazione l'idea di entrare in alcuni professionisti.

Chopper3
fonte
"Sarei tentato di optare per VLAN molto più piccole da solo", quindi suggeriresti di dividere i vlan degli studenti in dire piani (0,1,2), ognuno con un numero inferiore di computer?
Stokie Mike,
Sono d'accordo su come coinvolgere i professionisti, ma sono un volontario che fornisce tutto l'aiuto possibile. Ho valutato varie società per una consulenza professionale e, a dire il vero, direi che ne so di più e costa molto meno, lol
Stokie Mike
E sono molto più affidabile - spero :)
Stokie Mike
3
Sì, fondamentalmente, vlan più piccoli, ovvero suddivisione per segmento / segmenti fisici ecc. Oh ed è bello che tu stia facendo del tuo meglio, ma non c'è davvero alcun sostituto per esperienza e qualifica.
Chopper3
Ho aggiunto più vlan nel mio progetto che includono StaffManagement e piani per studenti per i dormitori; ridurrà l'impatto della pirateria informatica e dei virus. Grazie mille per il tuo aiuto. Sono totalmente d'accordo sul tuo commento sull'esperienza, ma apro consigli e sto facendo molte ricerche.
Stokie Mike,
1

  1. A mio avviso, puoi metterli tutti in un unico vlan (meglio per la gestione dei vlan), ma puoi anche visualizzare l'alternativa, lasciandoli come li hai progettati in modo originale (beeter per la gestione geografica)

  2. Ho sempre diviso le stampanti nei vlan a cui sono assegnate (es: il reparto marketing. La stampante è nel reparto marketing vlan)

  3. Anche se è più semplice eseguire il routing inter-vlan con un "router-on-a-stick", se potessi farlo con il tuo interruttore L3, sarebbe meglio dal punto di vista delle prestazioni. (ma un po 'più difficile da configurare)

  4. Come gestisci i tuoi wireless vlans? un punto di accesso per vlan?

PS: Per un principiante nel networking ti sei procurato delle belle attrezzature :)

Ciao, grazie per il tuo contributo, mi aiuta molto. È un bel kit, preferisco che l'organizzazione acquisti apparecchiature affidabili, il mio predecessore ha acquistato switch non gestiti che sono durati solo pochi mesi. Spero che il kit Cisco arrivi presto. 1, mi piace l'idea di Vlan separati per VoIP in quanto posso localizzare la posizione fisica dal numero Vlan. 2, Quindi consiglieresti di mettere le stampanti nello stesso vlan del computer, più semplice. 3, L3 inter-vlan è la mia preferenza, l'ho simulato in Packet-Tracer. 4, stava mettendo tutti gli AP wireless per un singolo edificio in 1 vlan, un altro edificio utilizza un altro vlan
Stokie Mike
4. Ancora con il wireless, quale attrezzatura stai usando? quanti access point ci sono nella rete? di cosa sono fatti gli edifici? Le pareti permettono alle onde radio di passare? I canali si sovrappongono? C'è bisogno di sicurezza? Crittografia? (Solo qualche altro pensiero dalla cima della mia testa)
Ok, sto iniziando con 50 punti di accesso distribuiti su 15 piccoli edifici. Tra uno e due access point viene utilizzato per piano. Gli edifici sono molto pensati muri di cemento con barre di acciaio embedder. Ho capito che le onde radio passeranno attraverso 3 pareti in una linea. Le modifiche si sovrapporranno tra i piani - va bene? Non ho bisogno di sicurezza, credo, utilizzerà il server RADIUS con autenticazione LDAP. Grazie
Stokie Mike,
1

Ho notato che non hai distinto alcun tipo di rete / computer in base al rischio o alla qualità del servizio.

Vorrei pensare a quali macchine su una qualsiasi delle tue reti possono contenere dati sensibili (medici / personali / finanziari) e creare VLAN separate per loro in modo da poter gestire e controllare l'accesso. Le università tendono ad avere una cultura di accesso aperto e gratuito, ma è necessario cercare di bloccare l'accesso laddove necessario per prevenire frodi, ricatti, distruzione di dati ecc.

Guarda anche dove si trova il tuo kit VOIP - se è tutto su VLAN puramente logiche, assicurati che il QoS sia impostato per esso, altrimenti quando le reti sono occupate troverai VOIP inutilizzabile.

Aggiornamento su VOIP : VOIP è molto più sensibile alla latenza, al jitter e ad altri problemi a cui TCP / IP è per lo più immune. I pacchetti di dati possono arrivare in orari dispari o addirittura fuori servizio e lo stack TCP / IP ricostruisce abbastanza bene il flusso di informazioni. Con il traffico vocale si nota molto facilmente il jitter o i pacchetti mancanti e al di sopra di una soglia del traffico vocale molto bassa diventa impossibile. È possibile migliorare la qualità aggiungendo la latenza (per consentire il buffering di più pacchetti) ma ciò infastidisce anche gli utenti. Ciò che QoS (Quality of Service) consente di fare a livello di router è dare priorità al traffico sensibile al tempo a spese del traffico dati. I tuoi dati continueranno a essere trasmessi, ma poiché sono più immuni ai problemi di tempo non hanno importanza.

Ma i miei commenti principali sarebbero: seriamente, ottenere un professionista; quella non è una piccola rete, e buona fortuna, spero che vada bene.

Rory Alsop
fonte
Il mio progetto originale aveva più vlan per dividere i dati sensibili, ma mi è stato detto che dovevo molti vlan. Penso che tornerò al mio design originale vlan allora. Per favore, potresti spiegare "Guarda anche dove si trova il tuo kit VOIP - se è tutto su VLAN puramente logiche, assicurati che il QoS sia impostato per esso, altrimenti quando le reti sono occupate troverai VOIP inutilizzabile". Ottenere un professionista non è un'opzione, l'università ha chiesto volontari per aiutare.
Stokie Mike,
È anche un progetto molto eccitante e una grande opportunità per me e l'università. Ho visto altre installazioni eseguite da professionisti qui - molto mal implementate e inaffidabili. Grazie ancora.
Stokie Mike,
@Stokie - aggiornamento rapido su VOIP e QoS per te.
Rory Alsop,
Grazie Agian per il tuo aiuto. Sto usando lo switch L3 per il routing inter-vlan, posso fare QoS lì (Cisco 6500 Sup 720)?
Stokie Mike,
Trovate alcune informazioni su QoS e Cisco 6500 su cisco.com/en/US/products/hw/switches/ps708/…
Stokie Mike
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.