与业主协会的另一位成员一起，我负责为我们的公寓楼devise和设置共享的高速互联网接入。 我们有很less的预算，希望能够做到这一点，硬件已经在手边（意思不是最先进的）。

作为一个系统pipe理员，我有十多年的经验值得关注，但重点放在了服务器端。 虽然对大多数条款并不陌生，而且至less有一些设置小型networking的实际经验，但devise这样的设置绝对不在我的主要能力之内。

我对如何做到这一点有一个想法，但是我可能没有把所有的事情都考虑进去，而且第二个意见和理智检查当然是受欢迎的。

虽然这个问题是基于我的具体挑战，但我认为这些答案将形成一个基本合理的方法，在紧张的预算下build立公平，分段，多租户的互联网接入。 我希望这是可以接受的这个网站。

• build立大学学生互联网使用
• 互联网连接在Debian 6的恢复模式
• 通过互联网安装文件系统
• 域名服务器4.2.2.2属于谁？
• 通过互联网访问samba共享

这最好的做法是什么？

范围

环境

• 现有CAT5e布线的54间公寓
• 公寓大约分成50/50两个补丁房间，之间有一根CAT5e电缆（以后可能会增加一个）
• 基于光纤的互联网连接，最初封顶在300 Mbps，将终止在一个补丁房间
• 没有Internet路由器的pipe理访问权限

硬件软件

所有的硬件至less5岁。 有些是我们前段时间买的，有些是给我们的，因为那个公司的生产使用（昂贵的服务，性能和所有这些）太旧了。

• HP Proliant DL380 G6，双Xeon CPU，32 GB RAM，4个千兆网卡
• 2台Dell PowerConnect 5324千兆pipe理型交换机
• 2台HP ProCurve 2524pipe理型100 Mbit交换机
• 由于现有的知识和经验，pfSense作为网关/防火墙是首选
• 由于可pipe理性（快照，完整映像备份，硬件抽象），在VMWare ESXi上首选运行防火墙虚拟化，并且可以运行小型Web服务器，而无需额外的套件

要求和目标

• 我们必须共同能够利用我们支付的互联网带宽
• 我们希望将来能够支持更高的带宽
• 作为100 Mbps交换机，我们需要能够从HP到Dell交换机中至lessconfiguration两个上行链路
• 公寓之间不得进入
• IP地址必须通过DHCP发送到公寓
• 我们也会运行一个networking服务器和邮件服务器，这个服务器必须能够从内部和外部访问
• 有什么明显的缺失？

粗糙的devise理念

物理networking

• 在每个修补室安装一个戴尔千兆交换机
• 通过在补丁室之间运行的单根电缆连接两台Dell交换机
• 使用链路聚合将两台上行链路连接到一台HP 100 Mbit交换机到每台Dell交换机
• 将所有服务器网卡连接到千兆位端口，保留一些额外的千兆位端口以供将来使用
• 将尽可能多的公寓连接到可用的千兆位端口，其余的连接到100兆位端口

局域网设置

• 为每个公寓创build一个VLAN
• 将未标记的单个VLAN分配给每个公寓交换机端口
• 分配（聚合）上行链路端口上标记的必要VLAN
• 将上行链路上标记的所有公寓VLAN分配给“Apartments LAN”的服务器NIC
• 将上行链路上未标记的默认VLAN（ID 0）分配给“Administrative LAN”的服务器NIC

服务器

• 为“公寓局域网”提供一个物理服务器网卡，一个用于“pipe理局域网”，一个用于“WAN”，一个用于“DMZ”
• 安装VMWare ESXi，为每个单元创build虚拟NIC（使用其VLAN ID），链接到“Apartment LAN”物理NIC
• 将“WAN”服务器NIC连接到Internet路由器
• 安装并configurationpfSense以处理路由，添加所有公寓vNIC，

问题

• 我们的想法是否通过了您的理智检查？ devise中有任何明显的缺陷或缺陷？
• 期望从运行虚拟化的pfSense获得300+ Mbps的路由是合理的吗？
• 我们可以/应该使用什么types的链路聚合来将两个不同品牌的交换机连接在一起 – 优选地同时提供容错和n次100Mbps上行链路
• 我们能否期望VLAN能够按照预期工作，通过链路汇聚将不同品牌的交换机中的带标签和不带标签的组合在一起，并传递给VMWare？
• 鉴于提出的devise，我不太清楚如何处理路由和允许访问从pipe理设置的选定公寓的pipe理VLAN，但总的来说这是一个小问题。

编辑：我们结束了什么

对不起，收音机无声，但我们挣扎了很多，以达到我们想要的networking设置。 事实certificate，这是一个真正的PITA，试图为每个交换机端口设置隔离，跨越各种交换机。

我们得到的戴尔交换机的特定型号是less数不支持私有VLAN的产品之一。 相反，我们购买了一台旧的48口Allied Telesis交换机，但是“私有”端口无法互相通话，每个端口都没有与我们所需的pipe理networking隔离。 惠普的“端口隔离”function与广告一样，但是没有足够的端口。

在经过努力之后，我们成功地掌握了1个48端口和2个24端口Cisco Catalyst 2950–每个端口都带有2个千兆上行链路端口，其余100 Mbit。 有什么不同呢！ 没有更多的工具可以让同一个function的不同供应商变种一起工作。

我们运行pfSense虚拟，以及一些低强度虚拟机，并可以轻松地路由300 Mbps的服务器没有泄汗。

在总结的子弹forms中，这是我们为了实现我们的目标而做的，也是我们目前正在运行的。 希望这可以certificate对某人有用。 感谢您的input！

物理networking

• 48端口与服务器和互联网在同一个房间内交换 – 服务器上一个千兆位上行链路到租户网卡，另一个到另一个房间的24端口交换机
• 在另一个房间中的两个2​​4端口交换机之间的千兆上行链路
• 100 Mbit端口连接到服务器的pipe理员网卡
• Internet路由器连接到服务器中的WAN NIC

交换机configuration

• 免费的思科networking助理软件用于从同一接口configuration所有设备。 强烈推荐！
• VLAN 1被指定为我们的pipe理networking
• 每个租户端口上configuration的受保护端口（隔离）和端口安全（每个端口的MAC地址有限）
• 由于交换机是简单的以太网链接，而不是堆叠，“保护端口”在交换机之间没有任何影响。 也就是说，一个交换机中的租户端口可以与其他交换机上的所有租户端口进行通信。 为了解决这个问题，我们为每个交换机创build了一个单独的租户VLAN（与交换机IP地址的第四个字节匹配的VLAN ID）
• 用于configuration“智能端口”的交换机之间的上行链路端口，以启用中继。 本地VLAN设置为1，允许所有其他VLAN（已标记）
• 在交换机A中，租户上行到服务器网卡configuration为运行租户VLAN本地，VLAN B和C标记

pfSense（和一个小VMWare）configuration

• 单独的vSwitches（VMWare）设置为WAN，pipe理局域网，租户局域网服务器网卡
• 租户vSwitch（VMWare）从VLAN ID 0（无）改为4095（全部）
• 在pfSense中分配的接口，标记为相应的（WAN，Admin，Tenant）
• 在租户网卡中添加了两个VLAN，租户VLAN B和C的ID（因为VLAN A已经运行了untagged） – 现在我们在pfSense中有3个租户接口
• 添加了三个Tenant接口的接口组，以简化防火墙规则的pipe理

这几乎是关于我的问题的configuration。 我们还增加了OpenVPN，用于远程pipe理访问，从Windows PC自动configuration备份，添加DMZ接口，并继续微调和改进我们现在超强大的6接口防火墙/路由器！ 🙂

10.0.0.0/24 => Admin 10.1.101.0/24 => Apartment 1 (VLAN 101) 10.1.102.0/24 => Apartment 2 (VLAN 102) ... 10.1.154.0/24 => Apartment 54 (VLAN 154)