Novo design de rede a partir de um noob. VLANS, IP's, hardware, etc. Quaisquer comentários, por favor

8

Atualmente, estou planejando uma grande infraestrutura de rede para uma universidade na Etiópia e gostaria dos comentários das pessoas sobre o meu planejamento. Por favor, tenha em mente que nunca fiz networking antes. O campus abrange 80 edifícios, incluindo laboratórios, administração, ensino e dormitórios. Todos os edifícios terão cabeamento, wireless, VoIP e impressoras. Cada edifício tem 3 andares e uma combinação de funcionários e computadores dos alunos.

O data center fornecerá armazenamento de SAN e software PBX. A implantação é Win2k8. Estou usando equipamentos Cisco em toda a instalação, incluindo switches centrais Cisco 6500 L3 com conexão de fibra de 1 Gbps ou 10 Gbps (MM e SM) a 5 salas de comunicação. Cada sala de comunicação também possui um switch Cisco 6500 L3. Cada edifício é conectado à sala de comunicações mais próxima usando uma conexão de fibra de 1 Gbps (MM). Cada edifício terá um switch Cisco 2960 L2 com ligação ascendente ao piso 1 e 2.

Estou usando vlan para separar as sub-redes da seguinte maneira:

Edifício 1 -> VLAN 10 -> Computadores com fio -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

Edifício 1 -> VLAN 11 -> Computadores dos alunos -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

Edifício 1 -> VLAN 12 -> Computadores sem fio -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

Edifício 1 -> VLAN 13 -> Telefones VoIP -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0

Edifício 1 -> VLAN 14 -> Impressoras e dispositivos -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0

Edifício 2 -> VLAN 20 -> Computadores com fio -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0

Edifício 2 -> VLAN 21 -> computadores dos alunos -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0

Edifício 2 -> VLAN 22 -> Computadores sem fio -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0

Edifício 2 -> VLAN 23 -> Telefones VoIP -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0

Edifício 2 -> VLAN 24 -> Impressoras e dispositivos -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0

Edifício 80 -> VLAN 800 -> Computadores com fio -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0

Edifício 80 -> VLAN 801 -> Computadores dos alunos -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0

Edifício 80 -> VLAN 802 -> Computadores sem fio -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0

Edifício 80 -> VLAN 803 -> Telefones VoIP -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0

Edifício 80 -> VLAN 804 -> Impressoras e dispositivos -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0

Todos os edifícios -> VLAN 199 -> Gerenciamento e nativo -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 Mapeei o endereço IP para a vlan, para que seja fácil rastrear endereços IP para locais físicos.

Perguntas: 1, Devo ter telefones VoIP na mesma vlan ou vlan separada para cada edifício, como fiz acima?

2, mesmas perguntas que 1, mas para as impressoras?

3, eu estava planejando que os switches Cisco 6500 L3 fizessem o roteamento inter-vlan entre as vlan. Essa seria uma boa solução. Também precisaria de um roteador ou firewall de hardware se usar o roteamento de switch L3? Minha entrada de banda larga do ISP é a conexão Ethernet RJ-45.

4, Qualquer outro comentário sobre a minha implementação seria apreciado, pois sou um noob total nisso.

desde já, obrigado

networking cisco ip vlan Stokie Mike
fonte
8
"Por favor, lembre-se de que nunca fiz contatos antes". - Como você conseguiu esse contrato ?!
Tom O'Connor
6
Eu estou assustado. Nunca antes as palavras "Contrate um profissional" foram mais adequadas.
Tom O'Connor
2
Se essa não é uma pergunta de lição de casa, acho que você pode reler os comentários de @ Tom até contratar alguém para fazer isso.
jscott
7
Estou achando difícil entender que há orçamento para todo esse kit, mas não há orçamento para contratar alguém para configurá-lo corretamente.
nickgrim
11
Não estou surpreso que alguém sem experiência esteja fazendo isso. Trabalhadores qualificados são incrivelmente difíceis de encontrar na África. O equipamento pode ser doado, pode não haver orçamento para a compra do equipamento. Pode não haver literalmente dinheiro para gastar nesses projetos. A contratação de um profissional pode estar fora de questão. Se essa pessoa não fizer isso, não terá rede.
Rory

Respostas:

4

Tenho algumas preocupações, a primeira é o tamanho das suas VLANs - você realmente deseja máquinas de 4k por VLAN em um ambiente estudantil? imagine quanto será mais difícil restringir máquinas / usuários problemáticos nesse ambiente, além do número de usuários potencialmente impactados por essas máquinas problemáticas? Eu ficaria tentado a optar por VLANs muito menores.

Em segundo lugar, estou mais preocupado com alguém que se considera iniciante no design e na implementação de uma rede comparativamente grande e complexa - eu consideraria entrar em alguns profissionais.

Chopper3
fonte
"Eu ficaria tentado a optar por VLANs muito mais pequenas", então você sugeriria dividir as vlan dos alunos em, digamos, andares (0,1,2), cada um com um número menor de computadores?
Stokie Mike
Concordo em contratar profissionais, mas sou voluntário fornecendo o máximo de ajuda possível. Tenho avaliou várias empresas para aconselhamento profissional e para ser honesto, eu diria que eu sei mais e custam muito menos, lol
Stokie Mike
E eu sou muito mais confiável - Espero :)
Stokie Mike
3
Sim, basicamente, vlans menores, ou seja, decompô-lo por segmentos físicos / de piso etc. Ah, e é bom que você esteja fazendo o seu melhor, mas realmente não há substituto para a experiência e qualificação.
Chopper3
Eu adicionei mais vlans no meu design, que incluem StaffManagement e pisos de estudantes para os dormitórios; reduzirá o impacto de hackers e pop-up de vírus. Muito obrigado pela sua ajuda. Concordo totalmente com o seu comentário sobre a experiência, mas abro conselhos e estou pesquisando bastante.
Stokie Mike
1

  1. Na minha opinião, você pode colocá-los todos em uma vlan (melhor para o gerenciamento de vlan), mas também pode ver a alternativa, deixando-os como você os projetou de maneira inicial (seja para gerenciamento geográfico)

  2. Eu sempre divido as impressoras nos vlans aos quais eles estão atribuídos (ex: departamento de marketing. Impressora está no departamento de marketing. Vlan)

  3. Embora seja mais fácil fazer o roteamento entre vlan com um "roteador no bastão", se você puder com o switch L3, será melhor do ponto de vista do desempenho. (mas um pouco mais difícil de configurar)

  4. Como você está gerenciando suas vlans sem fio? um ponto de acesso por vlan?

PS: Para um iniciante em rede, você certamente conseguiu alguns equipamentos agradáveis ​​:)


fonte
Oi, obrigado pela sua contribuição, me ajuda muito. É um kit legal, prefiro que a organização compre equipamentos confiáveis, meu antecessor comprou switches não gerenciados que duraram apenas alguns meses. Esperando que o kit da Cisco chegue em breve. 1, eu gosto da ideia de vlans separadas para VoIP, pois posso localizar a localização física a partir do número da vlan. 2, então você recomendaria colocar as impressoras na mesma vlan do computador, mais simples. 3, L3 inter-vlan é a minha preferência, simulei-o no Packet-Tracer. 4, estava colocando todo o AP wireless para um único edifício em 1 vlan, outro edifício utiliza uma VLAN diferente
Stokie Mike
4. Novamente com o wireless, que equipamento você está usando? quantos pontos de acesso existem na rede? De que são feitos os prédios? As paredes permitem a passagem das ondas de rádio? Os canais se sobrepõem? Existe uma necessidade de segurança? Criptografia? (Apenas alguns pensamentos mais do topo da minha cabeça)
Ok, estou começando com 50 pontos de acesso espalhados por 15 pequenos edifícios. Entre um e dois pontos de acesso são usados ​​por andar. Os edifícios são muito parecidos com paredes de concreto com barras de aço embutidas. Eu descobri que as ondas de rádio passarão por 3 paredes em uma linha. As alterações se sobrepõem entre os andares - tudo bem? Creio que não há necessidade de segurança, será usado o servidor RADIUS com autenticação LDAP. Obrigado
Stokie Mike
1

Percebo que você não distinguiu nenhum tipo de rede / computador por risco ou qualidade de serviço.

Gostaria de pensar em quais máquinas em qualquer uma das suas redes podem conter dados confidenciais (médicos / pessoais / financeiros) e criar VLANs separadas para eles, para que você possa gerenciar e auditar o acesso. As universidades tendem a ter uma cultura de acesso aberto e gratuito, mas você precisa bloquear o acesso sempre que necessário para evitar fraudes, chantagens, destruição de dados etc.

Observe também onde está o seu kit VOIP - se tudo estiver em VLANs puramente lógicas, verifique se a QoS está configurada para isso; caso contrário, quando as redes estiverem ocupadas, você achará o VOIP inutilizável.

Atualização sobre o VOIP : O VOIP é muito mais sensível à latência, instabilidade e outros problemas aos quais o TCP / IP é mais imune. Pacotes de dados podem chegar em horários estranhos, ou mesmo fora de ordem, e a pilha TCP / IP reconstrói o fluxo de informações muito bem. Com o tráfego de voz, você percebe tremores ou falta de pacotes com muita facilidade e, acima de um limite de voz muito baixo, o tráfego de voz se torna inadequado. Você pode melhorar a qualidade adicionando latência (para permitir buffer de mais pacotes), mas isso também incomoda os usuários. O que a QoS (Qualidade de Serviço) permite que você faça no nível do roteador prioriza o tráfego sensível ao tempo em detrimento do tráfego de dados. Seus dados ainda serão processados, mas, como são mais imunes a problemas de tempo, não tendem a importar.

Mas meus principais comentários seriam - sério, contratar um profissional; essa não é uma rede pequena e, com boa sorte, espero que corra bem.

Rory Alsop
fonte
Meu design original tinha mais vlan's para dividir os dados confidenciais, mas me disseram que eu tinha muitas vlans. Acho que vou voltar ao meu design original de vlan. Por favor, explique "Veja também onde fica o seu kit VOIP - se tudo estiver em VLANs puramente lógicas, verifique se a QoS está configurada para isso; caso contrário, quando as redes estiverem ocupadas, o VOIP será inutilizável". Obter um profissional não é uma opção, a universidade pediu voluntários para ajudar.
Stokie Mike
Também é um projeto muito empolgante e uma grande oportunidade para mim e para a Universidade. Vi outras instalações feitas por profissionais aqui - muito mal implementadas e não confiáveis. Obrigado novamente.
Stokie Mike
@Stokie - atualização rápida sobre VOIP e QoS para você.
Rory Alsop 27/03
Obrigado agian pela sua ajuda. Estou usando o switch L3 para roteamento entre vlan, posso fazer QoS lá (Cisco 6500 Sup 720)?
Stokie Mike
Encontrado algumas informações sobre QoS e Cisco 6500 em cisco.com/en/US/products/hw/switches/ps708/...
Stokie Mike