我目前正在devise办公室里的networking,这个networking现在比较小,但是计划发展得非常快。 devise已经完成了,在实施过程中发生了问题。 所以情况如下:
4个子网
和一个DMZnetworking
其中一个子网必须拥有DHCP,因为它是专门用于托pipe办公室中所有计算机的子网。 我们目前拥有的硬件是防火墙,就是我们与外部networking的接口,这个接口有5个接口,其中一个是从ISP那里获得连接。
连接到这个防火墙,然后是HP ProCurve 2650三层交换机。
关键是我不知道如何实施它们。 我已经读了,我也应该使用VLAN,这很好,但我怎么能连接整个?
此外,我们有2个Active Directory服务器,它们是10.70.0.0/24networking的一部分,同时也是默认网关的防火墙具有10.70.0.1地址。
如果你不是一个有经验的pipe理员,那么build立一个具有多个子网和VLAN的全新networking将是非常具有挑战性的。
虚拟局域网
首先,让我们来解释一下VLAN。 在非常基本的术语中,在您的交换机上设置VLAN将它分成几个独立的交换机。 所以如果我使用48端口交换机,我可以设置两个VLAN,并且有两个24端口交换机。
一些防火墙也将支持VLAN,并且可以进行设置,以便可以通过单个接口与多个不同的VLAN进行通信,而无需运行多条电缆。 防火墙的文档应该告诉你这是否可能,以及如何设置。
SUBNETS
每个子网(想要在该子网之外进行通信,对另外两个子网进行通信)将需要该子网内的默认网关。 所以你的防火墙实际上需要有10.70.0.1,10.70.0.2,10.70.0.3和10.70.0.10这样的IP地址。
子网之间的通信只能通过默认网关进行,因此子网间的所有通信都将通过防火墙。 如果你需要过滤它们之间的stream量,这可能是一件好事,如果你的防火墙很慢并且成为一个瓶颈,这可能是一件坏事。
不要像这样分割networking,我强烈build议使用更less的更大的子网。 从一个服务器开始,一个客户端。 如果你认为你会快速增长,使用/ 16子网而不是/ 24。 您仍然可以select使用特定范围用于特定目的。
未来的扩张
如果使用/ 16networking,比如说10.50.xxx.xxx,则可以在10.50.0.xxx范围内提供所有服务器设备地址,并设置DHCP以在10.50.2.xxx中提供地址。 由于它们都在同一个子网上,所以它们可以很容易地相互通信。 稍后,如果您开始用尽DHCP地址,则可以简单地开始在10.50.3.xxx范围内发放DHCP地址,而不必重新configuration任何东西。
顺便说一下,当你扩展,有更多的经验,并决定你需要一些服务器与其余的networking隔离,你可以在防火墙上设置另一个接口,并开始使用另一个范围,如10.51.0.0/24对于那些系统。 然后设置VLAN,或获得第二个开关。 以后很容易添加。 如果你现在不需要它,我不会从它开始。 networking越复杂,排除故障就越困难。
如果你真的想要聪明,当你select哪些地址范围用于不同的目的,select一个可以很容易地子网划分,所以你只需要改变一切的子网掩码,如果你想隔离它们。 这比改变服务器IP地址更容易。