Mix*_*iae 3 networking active-directory routing ip-address
我目前正在我的办公室设计网络,它现在相对较小,但计划发展得非常快。设计已经差不多完成了,问题是在实施过程中发生的。所以场景如下:
4 个子网
和 DMZ 网络
子网之一必须具有 DHCP,因为它旨在托管办公室中的所有计算机。我们目前拥有的硬件是防火墙,也就是我们与外部网络的接口,这个有 5 个接口,其中一个用于从 ISP 获取连接。
连接到此防火墙的还有一个第 3 层交换机 HP procurve 2650。
关键是我不知道如何实现它们。我已经阅读过我也应该使用 VLAN,这很好,但我如何连接整个?
此外,我们有 2 个 Active Directory 服务器,它们是 10.70.0.0/24 网络的一部分,同时也是默认网关的防火墙具有 10.70.0.1 地址。
如果您不是经验丰富的管理员,那么设置具有多个子网和 VLAN 的全新网络将非常具有挑战性。
虚拟局域网
首先,让我们解释一下 VLAN。用非常基本的术语来说,在交换机上设置 VLAN 会将其划分为多个独立的交换机。因此,如果我使用 48 端口交换机,我可以设置两个 VLAN 并拥有两个 24 端口交换机的等效项。
一些防火墙也支持 VLAN,并且可以设置为通过单个接口与多个不同的 VLAN 通信,而不必运行多条电缆。您的防火墙文档应该会告诉您这是否可行以及如何设置。
子网
每个子网(想要在该子网之外与其他或两个互联网通信)都需要该子网内的默认网关。因此,您的防火墙实际上需要具有 10.70.0.1、10.70.0.2、10.70.0.3 和 10.70.0.10 等 IP 地址。
子网之间的通信只能通过默认网关进行,因此子网之间的所有流量都将通过您的防火墙。如果您需要过滤它们之间的流量,这可能是一件好事,如果您的防火墙很慢并成为瓶颈,这可能是一件坏事。
我强烈建议使用更少、更大的子网,而不是像这样对网络进行分段。从一个用于服务器开始,一个用于客户端。如果您认为自己会快速增长,请使用 /16 子网而不是 /24。您仍然可以选择将特定范围用于特定目的。
未来扩展
如果您使用 /16 网络,例如 10.50.xxx.xxx,您可以提供 10.50.0.xxx 范围内的所有服务器设备地址,并设置 DHCP 以分发 10.50.2.xxx 中的地址。由于它们都在同一个子网中,因此它们可以轻松地相互通信。稍后,如果您开始用完 DHCP 地址,您可以简单地开始分发 10.50.3.xxx 范围内的 DHCP 地址,而无需重新配置任何内容。
在未来,当你扩展,有更多的经验,并决定你需要一些服务器与网络的其余部分隔离时,你可以在防火墙上设置另一个接口,并开始使用另一个范围,如 10.51.0.0/24对于那些系统。然后设置 VLAN,或获得第二个交换机。这很容易在以后添加。如果你现在不需要它,我不会从它开始。网络越复杂,故障排除就越困难。
如果您真的想聪明一点,当您选择用于不同目的的地址范围时,请选择以后可以轻松划分子网的地址范围,因此如果您想隔离它们,只需更改所有内容的子网掩码即可。这往往比更改服务器 IP 地址更容易。