标签: network-design

在什么条件下开始考虑对网络进行子网划分？

我正在寻找一些通用的经验法则，或基于可衡量指标的触发器，这些指标使子网划分成为应该考虑的事情。

我的一个客户站点打电话要求我更改我在那里管理的 Linux 服务器的子网掩码，同时他们根据 10.0.0.x 方案重新 IP/更改其网络的网络掩码。

“您能否将 Linux 服务器的网络掩码从 255.255.255.0 更改为 255.240.0.0？”

你是说 255.255.240.0？

“不，255.240.0.0。”

您确定需要那么多 IP 地址吗？

“是的，我们永远不想用完 IP 地址。”

快速检查子网备忘单显示：

• 一个255.255.255.0网络掩码，一个 /24 提供 256 个主机。很明显，组织可以用尽该数量的 IP 地址。
• 一个255.240.0.0网络掩码，一个 /12 提供 1,048,576 个主机。这是一个小于 200 用户的小型站点。我怀疑他们是否会分配超过 400 个 IP 地址……也许是 500 个，但到那时，应该建立更多的子网/VLAN。

我建议了一些提供较少主机的东西，例如 /22 或 /21（分别为 1024 和 2048 台主机），但无法给出反对使用 /12 子网的具体原因。

这个客户有什么应该关心的吗？他们不应该在他们的环境中使用如此大的面具有什么具体的原因吗？

有很多网络图表软件，但它不能满足我。因为它不是免费的。

我需要一个可以设计逻辑和物理的网络图表软件，它应该是免费的或开源的。任何人都知道。

谢谢。

这将是一个有点沉重的问题。我在一家成立于 1962 年的公司里编程。很多东西，尤其是计算机/网络方面的东西，已经过时了。让我多介绍一点背景。

该公司已经运营了一台 Windows 服务器。在服务器上，许多计算机在共享网络驱动器中都有文件，也有一些程序。这就是授予公司范围内对会计和库存等内容的访问权限以及文件共享的方式。不幸的是，从来没有一个强大的系统管理员参与任何设计。记帐系统在 Foxpro 上运行。文件完全混乱。员工似乎一般都知道自己的方式，但为了成长和扩展，我们需要快速掌握这个网络。我认为需要的一些东西：

• 一个关系数据库，可通过网络上的所有计算机访问，它将存储：
  • 文件（即图纸、报价、已完成项目的图片等）
  • 员工（然后我们可以开始做电脑考勤卡之类的事情）
  • 发票、应收付款和库存
  • 密码管理
  • 工作跟踪

我想在这个数据库之上构建自定义应用程序来支持一切，并构建允许我们的网站与我们内部的东西交互的 API。显然，在构建新系统时，我必须保持现有系统完好无损。我来自网络背景……并且非常熟悉 Unix（我管理过数十台为网站提供服务的服务器）、PHP 和前端开发。我想坚持使用那些我已经很熟悉的开源技术。

我心中最大的问题是从哪里开始。我是否购买服务器机架并开始构建全新的网络？我是在准备好后将每个人都推送到新网络，还是尝试以某种方式同时使用两者并慢慢从旧网络迁移？

我意识到这可能是一个需要一年或更长时间的项目。我真的很感激一些指导——关于系统设计的任何资源，我如何开始，等等。我愿意投入工作 - 我只需要帮助创建一个愿景。

我正在设计一个校园网，设计如下：

LINX 是伦敦互联网交易所，JANET 是联合学术网络。

我的目标是几乎完全冗余的高可用性，因为它必须支持大约 15,000 人，包括学术人员、行政人员和学生。过程中看了一些 文档，但有些方面还是不太清楚。

我想把这个专用于防火墙：决定在边界路由器中使用专用防火墙而不是嵌入式防火墙的驱动因素是什么？据我所知，嵌入式防火墙具有以下优点：

• 更易于维护
• 更好的集成
• 少一跳
• 更少的空间需求
• 更便宜

专用防火墙具有模块化的优点。

还有别的事吗？我错过了什么？

我在这里有一个小问题，我希望（需要）以令人满意的方式解决。我的公司有多个 (IPv4) 网络，由我们位于中间的路由器控制。典型的小商店设置。现在有一个额外的网络，它具有我们控制之外的 IP 范围，通过我们控制之外的另一台路由器连接到互联网。称之为项目网络，它是另一家公司网络的一部分，并通过他们建立的 VPN 组合。

这意味着：

• 他们控制用于该网络的路由器，并且
• 他们可以重新配置事物，以便他们可以访问该网络中的机器。

网络通过一些支持 VLAN 的交换机在我们的一端进行物理拆分，因为它涵盖了三个位置。一端是另一家公司控制的路由器。

我需要/想要让这个网络中使用的机器访问我公司的网络。事实上，让它们成为我的活动目录域的一部分可能会很好。在这些机器上工作的人是我公司的一部分。但是 - 我需要这样做，而不会因外部影响而损害我公司网络的安全性。

这个想法不适合使用外部控制路由器的任何类型的路由器集成

所以，我的想法是这样的：

• 我们接受该网络中的 IPv4 地址空间和网络拓扑不受我们控制。
• 我们寻求将这些机器集成到我们公司网络的替代方案。

我提出的两个概念是：

• 使用某种 VPN - 让机器登录 VPN。感谢他们使用现代窗口，这可能是透明的 DirectAccess。这本质上对待其他 IP 空间与公司笔记本电脑进入的任何餐厅网络没有什么不同。
• 或者 - 建立到这个以太网段的 IPv6 路由。但是 - 这是一个技巧 - 在它们到达第三方控制的路由器之前阻止交换机中的所有 IPv6 数据包，这样即使他们在那个东西上打开 IPv6（现在没有使用，但他们可以这样做）他们也不会得到单个数据包。通过将进入该端口的所有 IPv6 流量拉入单独的 VLAN（基于以太网协议类型），交换机可以很好地做到这一点。

有人看到使用他的交换机将外部与 IPv6 隔离的问题吗？有什么安全漏洞吗？遗憾的是，我们不得不将这个网络视为敌对网络 - 会容易得多 - 但那里的支持人员“已知可疑质量”并且法律方面是明确的 - 当我们将他们整合到我们公司时，我们无法履行我们的义务虽然他们在管辖范围内，但我们没有发言权。

我是一所学校的新网络管理员。我继承了一个由多个 Windows 服务器、大约 100 个 Windows 客户端、10 台打印机、1 个 Cisco 路由器、6 个 Cisco 交换机和 1 个 HP 交换机组成的环境。此外，我们正在使用 VoIP。

我们的大楼有四层。每个楼层的主机都分配到一个单独的 VLAN。一楼的办公室有自己的VLAN。所有交换机都在自己的 VLAN 上。IP 电话位于它们自己的 VLAN 中。并且服务器在他们自己的 VLAN 上。

对于网络上的主机数量，所有这些 VLAN 真的给我买什么吗？我是 VLAN 概念的新手，但对于这种环境来说似乎过于复杂。或者它是天才而我只是不明白？

我正在为新的数据中心部署设计逻辑拓扑。我正在阅读“思科数据中心基础设施 2.5 设计指南”并进行多层设计。此设计有多种选择，包括循环第 2 层和无循环。

它说，循环设计的好处是需要它的服务器的第 2 层邻接。无环路拓扑显然将第 2 层邻接限制为“一对接入交换机”。

我不太明白这是什么意思。我认为它指的是服务器远离另一个服务器的第 2 层“跃点”，但在这两种情况下，流量似乎都需要到达聚合层（假设是 L2/L3 交换机）才能跨越 vlan。如果我们谈论的是同一个 vlan，那么良好的循环似乎更糟，因为同一个 vlan 上的服务器必须遍历到 agg 层才能进行通信，而在无循环示例中，这似乎是直接到连接的交换机的旅程。

谁能解释一下我的误解？

我正在尝试规划以下 Small Office 网络设置：

• 3x 互联网连接
• 连接到每种颜色端口的事物只能通过其相应的互联网端口进行路由。

例如：

Internet 1 (RED) - 端口 4、6、8、10 ... 22、24 仅通过端口 1 出去。

我不在乎 RED 端口的设备是否可以看到另一种颜色的设备。

这是否称为 VLAN 分段？我是否需要为每个端口标记一个 VLAN ID？

是的，我是新手，所以请善待。当然，我有错误的术语，所以我也很感激任何帮助纠正所使用的术语，这里。

进一步说明： - 我只使用一个开关。没有两个或两个以上需要加入。- 3 倍互联网连接，因为在澳大利亚获得 3 倍 ADSL 连接比 1 倍“快速办公”互联网（例如 40/10 或 100/10 等）更便宜... - 每个互联网连接都在做一些独特的事情（例如 voip 与互联网vs 多媒体）

更新1：

另外，我假设每种颜色都有自己的 IP 范围？例如。

• 红色：192.168.0.1/24
• 黄色：192.168.1.1/24
• 蓝色：192.168.2.1/24

（并且调制解调器/路由器充当这些彩色端口的 DHCP 服务器）。

更新 2：Switch 是全新的 Ubiquiti Unfi 24port Switch。

您不想为您的关键主机提供信号最可靠/改进的连接方法吗？

演出交换机<->Cat5E<->服务器？

或者

演出交换机<->Cat6<->服务器？

我对 Cat6 的理解是它在两个 NIC 之间提供了改进的信号。我听说有人建议短距离使用 Cat5E，超过 20 英尺使用 Cat6。 这是选择 Cat6 而不是 Cat5E 电缆的正确评估吗？

我想澄清我需要它来提高性能的想法。