Nouvelle conception de réseau à partir d'un noob. VLAN, IP, matériel, etc. Tout commentaire s'il vous plaît

8

Je prévois actuellement une grande infrastructure de réseau pour une université en Éthiopie et j'aimerais que les gens commentent ma planification. Veuillez garder à l'esprit que je n'ai jamais fait de réseautage auparavant. Le campus couvre 80 bâtiments comprenant des laboratoires, l'administration, l'enseignement et les dortoirs. Tous les bâtiments auront des imprimantes câblées, sans fil, VoIP et. Chaque bâtiment a 3 étages et une combinaison d'ordinateurs personnels et étudiants.

Le centre de données fournira un stockage SAN et un PBX logiciel. Le déploiement est Win2k8. J'utilise l'équipement Cisco tout au long de l'installation avec des commutateurs principaux Cisco 6500 L3 avec une connexion fibre optique 1 Gbit / s ou 10 Gbit / s (MM et SM) vers 5 salles de communication. Chaque salle de communication dispose également d'un commutateur Cisco 6500 L3. Chaque bâtiment est connecté à la salle de communication la plus proche à l'aide d'une connexion par fibre optique de 1 Gbit / s (MM). Chaque bâtiment aura un commutateur Cisco 2960 L2 avec liaison montante aux étages 1 et 2.

J'utilise vlan pour séparer les sous-réseaux comme suit:

Bâtiment 1 -> VLAN 10 -> Ordinateurs câblés -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

Bâtiment 1 -> VLAN 11 -> Ordinateurs étudiants -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

Bâtiment 1 -> VLAN 12 -> Ordinateurs sans fil -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

Bâtiment 1 -> VLAN 13 -> Téléphones VoIP -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0

Bâtiment 1 -> VLAN 14 -> Imprimantes et périphériques -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0

Bâtiment 2 -> VLAN 20 -> Ordinateurs câblés -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0

Bâtiment 2 -> VLAN 21 -> Ordinateurs étudiants -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0

Bâtiment 2 -> VLAN 22 -> Ordinateurs sans fil -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0

Bâtiment 2 -> VLAN 23 -> Téléphones VoIP -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0

Bâtiment 2 -> VLAN 24 -> Imprimantes et périphériques -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0

Bâtiment 80 -> VLAN 800 -> Ordinateurs filaires -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0

Bâtiment 80 -> VLAN 801 -> Ordinateurs étudiants -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0

Bâtiment 80 -> VLAN 802 -> Ordinateurs sans fil -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0

Bâtiment 80 -> VLAN 803 -> Téléphones VoIP -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0

Bâtiment 80 -> VLAN 804 -> Imprimantes et périphériques -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0

Tous les bâtiments -> VLAN 199 -> Gestion et natif -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 J'ai mappé l'adresse IP au vlan, il est donc facile de tracer des adresses IP vers des emplacements physiques.

Questions: 1, Dois-je avoir des téléphones VoIP tous sur le même vlan ou vlan séparé pour chaque bâtiment comme je l'ai fait ci-dessus?

2, mêmes questions que 1 mais pour les imprimantes?

3, je prévoyais que les commutateurs Cisco 6500 L3 effectuent le routage inter-VLAN entre les VLAN. Serait-ce une bonne solution. Aurais-je également besoin d'un routeur ou d'un pare-feu matériel si j'utilise le routage de commutateur L3? Mon entrée haut débit du FAI est une connexion Ethernet RJ-45.

4, tout autre commentaire sur ma mise en œuvre serait apprécié car je suis un noob total à ce sujet.

Merci d'avance

networking cisco ip vlan Stokie Mike
la source
8
"Veuillez garder à l'esprit que je n'ai jamais fait de réseautage auparavant." - Comment diable avez-vous décroché ce contrat?!
Tom O'Connor
6
J'ai peur. Jamais auparavant les mots "Embaucher un professionnel" n'ont été aussi appropriés.
Tom O'Connor
2
Si ce n'est pas une question de devoirs, je pense que vous voudrez peut-être relire les commentaires de @ Tom jusqu'à ce que vous engagiez quelqu'un d'autre pour le faire.
jscott
7
J'ai du mal à comprendre qu'il y a un budget pour tout ce kit, mais pas de budget pour embaucher quelqu'un pour le configurer correctement.
nickgrim
11
Je ne suis pas surpris que quelqu'un sans expérience fasse cela. Les travailleurs qualifiés sont incroyablement difficiles à trouver en Afrique. L'équipement pourrait être donné, il n'y avait peut-être pas de budget pour acheter l'équipement. Il n'y a peut-être littéralement pas d'argent à dépenser pour ces projets. L'embauche d'un professionnel pourrait être hors de question. Si cette personne ne fait pas cela, alors elle n'a pas de réseau.
Rory

Réponses:

4

J'ai quelques préoccupations, la première est la taille de vos VLAN - voulez-vous vraiment des machines 4k par VLAN dans un environnement étudiant? imaginez combien il sera plus difficile de restreindre les machines / utilisateurs à problème dans cet environnement, ainsi que le nombre d'utilisateurs potentiellement touchés par ces machines à problème? Je serais tenté d'aller moi-même pour des VLAN beaucoup plus petits.

Deuxièmement, je suis plus inquiet pour quelqu'un qui se considère comme un débutant qui conçoit et met en œuvre un réseau aussi vaste et complexe - j'envisagerais de faire appel à certains professionnels.

Chopper3
la source
"Je serais tenté d'opter pour des VLAN beaucoup plus petits moi-même", alors suggéreriez-vous de diviser les vlan des étudiants en étages (0,1,2), chacun ayant un plus petit nombre d'ordinateurs?
Stokie Mike
Je suis d'accord pour recruter des professionnels, mais je suis bénévole et je fournis autant d'aide que possible. J'ai évalué diverses entreprises pour obtenir des conseils professionnels et pour être honnête, je dirais que je sais plus et coûte beaucoup moins cher, lol
Stokie Mike
Et je suis beaucoup plus fiable - j'espère :)
Stokie Mike
3
Oui, en gros, des VLAN plus petits, c'est-à-dire décomposés par étage / segments physiques, etc. Oh et c'est bien que vous fassiez de votre mieux, mais il n'y a vraiment aucun substitut à l'expérience et à la qualification.
Chopper3
J'ai ajouté plus de vlan dans ma conception qui incluent la gestion du personnel et les étages étudiants pour les dortoirs; permettra de réduire l'impact du piratage et de la propagation du virus. Merci beaucoup pour votre aide. Je suis totalement d'accord sur votre commentaire sur l'expérience, mais je suis ouvert aux conseils et je fais beaucoup de recherches.
Stokie Mike
1

  1. À mon avis, vous pouvez les mettre tous dans un vlan (mieux pour la gestion des vlan), mais vous pouvez également voir l'alternative, en les laissant tels que vous les avez conçus au départ (beeter pour la gestion géographique)

  2. Je divise toujours les imprimantes dans les vlans auxquels elles sont affectées (ex: l'imprimante du service marketing est dans le service marketing vlan)

  3. Bien qu'il soit plus facile de faire le routage inter-Vlan avec un "routeur sur bâton", si vous le pouviez avec votre commutateur L3, ce serait mieux du point de vue des performances. (mais un peu plus difficile à mettre en place)

  4. Comment gérez-vous vos vlans sans fil? un point d'accès par vlan?

PS: Pour un débutant en réseautage, vous vous êtes sûrement procuré un bel équipement :)


la source
Salut, merci pour votre contribution, m'aide beaucoup. C'est un joli kit, je préfère que l'organisation achète un équipement fiable, mon prédécesseur a acheté des commutateurs non gérés qui n'ont duré que quelques mois. En espérant que le kit Cisco arrive bientôt. 1, j'aime l'idée de vlans séparés pour VoIP car je peux localiser l'emplacement physique à partir du numéro de vlan. 2, vous recommanderiez donc de mettre les imprimantes dans le même vlan que l'ordinateur, plus simple. 3, L3 inter-vlan est ma préférence, l'ont simulé dans Packet-Tracer. 4,
Je mettais
4. Toujours avec le sans fil, quel équipement utilisez-vous? combien de points d'accès y a-t-il dans le réseau? de quoi sont faits les bâtiments? Les murs laissent-ils passer les ondes radio? Les canaux se chevauchent-ils? Y a-t-il un besoin de sécurité? Chiffrement ? (Juste quelques réflexions du haut de ma tête)
D'accord, je commence avec 50 points d'accès répartis sur 15 petits bâtiments. Entre un et deux points d'accès sont utilisés par étage. Les bâtiments sont très pensés des murs en béton avec des barres d'acier enrobées. J'ai compris que les ondes radio passeraient à travers 3 murs en ligne. Les changements se chevaucheront entre les étages - est-ce correct? Pas besoin de sécurité, je crois, utilisera le serveur RADIUS avec l'authentification LDAP. Merci
Stokie Mike
1

Je remarque que vous n'avez distingué aucun type de réseau / ordinateur par risque ou par qualité de service.

Je voudrais savoir quelles machines sur l'un de vos réseaux peuvent contenir des données sensibles (médicales / personnelles / financières) et créer des VLAN distincts pour elles afin que vous puissiez gérer et auditer l'accès. Les universités ont tendance à avoir une culture d'accès ouvert et gratuit, mais vous devez envisager de verrouiller l'accès si nécessaire pour prévenir la fraude, le chantage, la destruction des données, etc.

Regardez également où se trouve votre kit VOIP - si tout est sur des VLAN purement logiques, assurez-vous que la QoS est définie pour cela, sinon lorsque les réseaux sont occupés, vous trouverez la VOIP inutilisable.

Mise à jour sur VOIP : VOIP est beaucoup plus sensible à la latence, à la gigue et à d'autres problèmes auxquels TCP / IP est principalement immunisé. Les paquets de données peuvent arriver à des moments étranges, voire même hors service et la pile TCP / IP reconstruit assez bien le flux d'informations. Avec le trafic vocal, vous remarquez très facilement la gigue ou les paquets manquants, et au-dessus d'un seuil très bas, le trafic vocal devient impossible. Vous pouvez améliorer la qualité en ajoutant de la latence (pour permettre la mise en mémoire tampon de plusieurs paquets), mais cela agace également les utilisateurs. Ce que QoS (Quality of Service) vous permet de faire au niveau du routeur, c'est de prioriser le trafic sensible au temps au détriment du trafic de données. Vos données continueront à passer, mais comme elles sont plus à l'abri des problèmes de temps, cela n'a pas tendance à avoir d'importance.

Mais mes principaux commentaires seraient - sérieusement, faire entrer un professionnel; ce n'est pas un petit réseau, et bonne chance avec lui, j'espère que ça va bien.

Rory Alsop
la source
Ma conception originale avait plus de vlan pour diviser les données sensibles, mais on m'a dit que je devais de nombreux vlans. Je pense que je reviendrai alors à ma conception originale de vlan. Pourriez-vous expliquer "Regardez également où se trouve votre kit VOIP - si tout est sur des VLAN purement logiques, assurez-vous que la QoS est définie pour cela, sinon, lorsque les réseaux seront occupés, vous trouverez la VOIP inutilisable." Faire appel à un professionnel n'est pas une option, l'université a demandé des volontaires pour l'aider.
Stokie Mike
C'est aussi un projet très excitant et une excellente opportunité pour moi et pour l'Université. J'ai vu d'autres installations faites par des professionnels ici - très mal implémentées et peu fiables. Merci encore.
Stokie Mike
@Stokie - mise à jour rapide sur VOIP et QoS pour vous.
Rory Alsop
Merci Agian pour votre aide. J'utilise le commutateur L3 pour le routage inter-Vlan, puis-je y faire de la QoS (Cisco 6500 Sup 720)?
Stokie Mike
Trouvé des informations sur la QoS et Cisco 6500 sur cisco.com/en/US/products/hw/switches/ps708/…
Stokie Mike