Desain jaringan baru dari noob. VLAN, IP, perangkat keras, dll. Harap beri komentar

8

Saat ini saya sedang merencanakan infrastruktur jaringan besar untuk Universitas di Ethiopia dan ingin komentar orang tentang perencanaan saya. Harap diingat bahwa saya belum pernah melakukan networking sebelumnya. Kampus ini mencakup 80 bangunan termasuk laboratorium, administrasi, pengajaran, dan asrama. Semua bangunan akan memiliki kabel, nirkabel, VoIP dan printer. Setiap bangunan memiliki 3 lantai dan kombinasi staf dan komputer siswa.

Pusat data akan menyediakan penyimpanan SAN dan perangkat lunak PBX. Deployment adalah Win2k8. Saya menggunakan peralatan Cisco selama instalasi dengan menyertakan switch inti Cisco 6500 L3 dengan koneksi serat 1Gbps atau 10Gbps (MM dan SM) ke 5 ruang komunikasi. Setiap ruang komunikasi juga memiliki saklar Cisco 6500 L3. Setiap gedung terhubung ke ruang komunikasi terdekat menggunakan koneksi serat 1Gbps (MM). Setiap bangunan akan memiliki saklar Cisco 2960 L2 dengan uplink ke lantai 1 dan 2.

Saya menggunakan vlan untuk memisahkan subnet sebagai berikut:

Bangunan 1 -> VLAN 10 -> Komputer berkabel -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

Bangunan 1 -> VLAN 11 -> Komputer siswa -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

Bangunan 1 -> VLAN 12 -> Komputer nirkabel -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

Bangunan 1 -> VLAN 13 -> Telepon VoIP -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0

Bangunan 1 -> VLAN 14 -> Printer & perangkat -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0

Bangunan 2 -> VLAN 20 -> Komputer berkabel -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0

Bangunan 2 -> VLAN 21 -> Komputer siswa -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0

Bangunan 2 -> VLAN 22 -> Komputer nirkabel -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0

Bangunan 2 -> VLAN 23 -> Telepon VoIP -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0

Bangunan 2 -> VLAN 24 -> Printer & perangkat -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0

Bangunan 80 -> VLAN 800 -> Komputer berkabel -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0

Membangun 80 -> VLAN 801 -> Komputer siswa -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0

Membangun 80 -> VLAN 802 -> Komputer nirkabel -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0

Bangunan 80 -> VLAN 803 -> Telepon VoIP -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0

Bangunan 80 -> VLAN 804 -> Printer & perangkat -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0

Semua bangunan -> VLAN 199 -> Manajemen & Asli -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 Saya telah memetakan alamat IP ke vlan sehingga mudah untuk melacak alamat IP ke lokasi fisik.

Pertanyaan: 1, Haruskah saya memiliki telepon VoIP semua pada vlan yang sama atau vlan terpisah untuk setiap bangunan seperti yang telah saya lakukan di atas?

2, pertanyaan yang sama seperti 1 tetapi untuk printer?

3, saya berencana untuk switch Cisco 6500 L3 untuk melakukan routing antar-vlan antara vlan. Apakah ini akan menjadi solusi yang baik. Apakah saya juga memerlukan router atau firewall perangkat keras jika saya menggunakan perutean saklar L3? Input broadband saya dari ISP adalah koneksi Ethernet RJ-45.

4, Setiap komentar lain tentang implementasi saya akan dihargai karena saya benar-benar noob di ini.

Terima kasih sebelumnya

networking cisco ip vlan Stokie Mike
sumber
8
"Harap diingat bahwa saya belum pernah melakukan jejaring sebelumnya." - Bagaimana kamu bisa mendapatkan kontrak ini ?!
Tom O'Connor
6
Saya ketakutan. Belum pernah kata "Hire a professional" lebih tepat.
Tom O'Connor
2
Jika ini bukan pertanyaan pekerjaan rumah, saya pikir Anda mungkin ingin membaca kembali komentar @ Tom sampai Anda mempekerjakan orang lain untuk melakukan ini.
jscott
7
Saya merasa sulit untuk memahami bahwa ada anggaran untuk semua kit itu, tetapi tidak ada anggaran untuk mempekerjakan seseorang untuk memasangnya dengan benar.
nickgrim
11
Saya tidak terkejut seseorang tanpa pengalaman melakukan ini. Pekerja terampil sangat sulit didapat di Afrika. Peralatan mungkin disumbangkan, mungkin tidak ada anggaran untuk membeli peralatan. Mungkin tidak ada uang untuk dibelanjakan pada proyek-proyek ini. Mempekerjakan seorang profesional mungkin tidak mungkin. Jika orang ini tidak menyelesaikan ini, maka mereka tidak memiliki jaringan.
Rory

Jawaban:

4

Saya punya beberapa masalah, yang pertama adalah ukuran VLAN Anda - apakah Anda benar-benar ingin mesin 4k per VLAN di lingkungan siswa? bayangkan betapa sulitnya mempersempit mesin / pengguna yang bermasalah di lingkungan itu, ditambah jumlah pengguna yang berpotensi terkena dampak dari mesin yang bermasalah ini? Saya akan tergoda untuk menggunakan VLAN yang jauh lebih kecil.

Kedua, saya lebih khawatir tentang seseorang yang menganggap diri mereka sebagai pemula yang merancang dan mengimplementasikan jaringan yang relatif besar dan kompleks - saya akan mempertimbangkan untuk mendapatkan beberapa profesional.

Chopper3
sumber
"Saya akan tergoda untuk menggunakan VLAN yang jauh lebih kecil sendiri" jadi apakah Anda akan menyarankan membagi vlan siswa menjadi lantai katakanlah (0,1,2), masing-masing memiliki jumlah komputer yang lebih kecil?
Stokie Mike
Saya setuju untuk mendapatkan profesional, tapi saya sukarelawan memberikan sebanyak mungkin bantuan. Saya telah menilai berbagai perusahaan untuk saran profesional dan jujur, saya akan mengatakan saya tahu lebih banyak dan biaya jauh lebih sedikit, lol
Stokie Mike
Dan saya jauh lebih dapat diandalkan - saya harap :)
Stokie Mike
3
Ya, pada dasarnya, vlan yang lebih kecil, yaitu memecahnya berdasarkan lantai / segmen fisik dll. Oh dan itu menyenangkan bahwa Anda melakukan yang terbaik, tetapi benar-benar tidak ada pengganti untuk pengalaman dan kualifikasi.
Chopper3
Saya telah menambahkan lebih banyak vlan ke dalam desain saya yang mencakup StaffManagement dan lantai mahasiswa untuk asrama; akan mengurangi dampak peretasan dan virus popogation. Terima kasih banyak atas bantuan Anda. Saya sepenuhnya setuju dengan komentar Anda tentang pengalaman, tetapi saya terbuka untuk saran dan sedang melakukan banyak penelitian.
Stokie Mike
1

  1. Menurut pendapat saya, Anda dapat menempatkan semuanya dalam satu vlan (lebih baik untuk manajemen vlan), tetapi Anda juga dapat melihat alternatifnya, meninggalkannya saat Anda mendesainnya secara bawaan (lebih baik untuk manajemen geografis)

  2. Saya selalu membagi printer dalam vlan yang ditugaskan kepada mereka (mis: printer departemen pemasaran ada dalam departemen pemasaran. Vlan)

  3. Meskipun lebih mudah untuk melakukan perutean antar-vlan dengan "router-on-a-stick", jika Anda bisa melakukannya dengan Anda beralih L3 akan lebih baik dari sudut pandang kinerja. (tapi sedikit lebih sulit untuk diatur)

  4. Bagaimana Anda mengelola Anda nirkabel vlan? satu jalur akses per vlan?

PS: Untuk pemula di jaringan Anda yakin punya sendiri beberapa peralatan bagus :)


sumber
Hai, terima kasih atas masukan Anda, banyak membantu saya. Ini kit yang bagus, saya lebih suka organisasi membeli peralatan yang dapat diandalkan, pendahulu saya membeli sakelar yang tidak dikelola yang hanya bertahan beberapa bulan. Berharap kit Cisco segera hadir. 1, saya suka ide vlan terpisah untuk VoIP karena saya dapat menemukan lokasi fisik dari nomor vlan. 2, Jadi Anda akan merekomendasikan menempatkan printer di vlan yang sama dengan komputer, lebih sederhana. 3, L3 inter-vlan adalah pilihan saya, telah disimulasikan dalam Packet-Tracer. 4, Apakah meletakkan semua AP nirkabel untuk satu bangunan dalam 1 vlan, bangunan lain menggunakan vlan yang berbeda
Stokie Mike
4. Sekali lagi dengan nirkabel, peralatan apa yang Anda gunakan? berapa banyak jalur akses yang ada dalam jaringan? terbuat dari apa bangunan itu? Apakah dinding memungkinkan gelombang radio melewatinya? Apakah salurannya tumpang tindih? Apakah ada kebutuhan akan keamanan? Enkripsi? (Hanya beberapa pemikiran lagi dari atas kepala saya)
Oke, saya mulai dengan 50 titik akses yang tersebar di 15 bangunan kecil. Antara satu dan dua titik akses digunakan per lantai. Bangunan-bangunan tersebut sangat memikirkan dinding beton dengan batang baja embedder. Saya telah bekerja bahwa gelombang radio akan melewati 3 dinding dalam satu baris. Perubahan akan tumpang tindih di antara lantai - apakah ini ok? Tidak perlu untuk keamanan saya percaya, akan menggunakan server RADIUS dengan autentikasi LDAP. Terima kasih
Stokie Mike
1

Saya perhatikan Anda belum membedakan jenis jaringan / komputer berdasarkan risiko atau kualitas layanan.

Saya akan memikirkan tentang mesin apa di jaringan Anda yang mungkin berisi data sensitif (medis / pribadi / keuangan) dan membuat VLAN terpisah untuk mereka sehingga Anda dapat mengelola dan mengaudit akses. Universitas cenderung memiliki budaya akses terbuka dan gratis, tetapi Anda perlu melihat mengunci akses di mana diperlukan untuk mencegah penipuan, pemerasan, penghancuran data dll.

Juga lihat di mana kit VOIP Anda duduk - jika semuanya pada VLAN murni logis maka pastikan QoS diatur untuk itu, jika tidak ketika jaringan sibuk Anda akan menemukan VOIP tidak dapat digunakan.

Pembaruan pada VOIP : VOIP jauh lebih sensitif terhadap latensi, jitter dan masalah lain yang sebagian besar TCP / IP kebal terhadap. Paket data dapat tiba pada waktu yang aneh, atau bahkan rusak dan tumpukan TCP / IP membangun kembali aliran informasi dengan cukup baik. Dengan lalu lintas suara Anda melihat jitter atau paket yang hilang dengan sangat mudah, dan di atas lalu lintas suara yang sangat rendah menjadi tidak dapat digunakan. Anda dapat meningkatkan kualitas dengan menambahkan latensi (untuk memungkinkan buffering lebih banyak paket) tetapi ini juga mengganggu pengguna. Apa yang QoS (Kualitas Layanan) dapat Anda lakukan di tingkat router memprioritaskan lalu lintas sensitif waktu dengan mengorbankan lalu lintas data. Data Anda masih akan bisa melewati, tetapi karena lebih kebal terhadap masalah waktu, itu tidak cenderung menjadi masalah.

Tetapi komentar utama saya adalah - serius, dapatkan profesional di; itu bukan jaringan kecil, dan semoga berhasil, semoga berhasil.

Rory Alsop
sumber
Desain asli saya memiliki lebih banyak vlan untuk membagi data sensitif, tetapi saya diberitahu bahwa saya harus banyak vlan. Pikir saya akan kembali ke desain vlan asli saya kemudian. Bisakah Anda menjelaskan "Lihat juga di mana kit VOIP Anda duduk - jika semuanya pada VLAN murni logis maka pastikan QoS diatur untuk itu, jika tidak ketika jaringan sibuk Anda akan menemukan VOIP tidak dapat digunakan." Mendapatkan seorang profesional di dalam bukanlah suatu pilihan, universitas telah meminta sukarelawan untuk membantu.
Stokie Mike
Ini juga proyek yang sangat menarik dan peluang besar bagi saya dan Universitas. Saya telah melihat instalasi lain yang dilakukan oleh para profesional di sini - sangat buruk diimplementasikan dan tidak dapat diandalkan. Terima kasih lagi.
Stokie Mike
@Stokie - pembaruan cepat tentang VOIP dan QoS untuk Anda.
Rory Alsop
Terima kasih lagi atas bantuan Anda. Saya menggunakan saklar L3 untuk routing antar-vlan, dapatkah saya melakukan QoS di sana (Cisco 6500 Sup 720)?
Stokie Mike
Menemukan beberapa informasi tentang QoS dan Cisco 6500 di cisco.com/en/US/products/hw/switches/ps708/…
Stokie Mike