網路規劃

經歷上面冗長的計算過程後總算來到今日的重點網路規劃了

網段規劃

最一開始要先做的是確任使用網路的需求來規劃網段分配
有幾個重要的點要考慮

1. 有多少資訊設備要使用
   • 確認網段大小需要多大。
2. 要將哪些使用者分配到同一個網段下
   • 將同個區域/組別的使用者分配到同一個網段方便管理。
   • 使用的設備有沒有特殊需求(安全, 頻寬, 干擾, 主管亂開)
   • 像 IT Team 自己有一個網段, Dev Team 自己也有一個網段。
3. 網段會不會過大
   • 廣播域會不會過大，若是網段過大時當有人大量使用廣播封包時，網路的負載量會相當龐大造成系統非常大的負荷，因此網段不應該過大。
   • 另一個考量點是若是一個網段遭到駭客攻擊，若其他網段需要正常連接網路的話，能夠將這一段網段斷開隔離，讓受影響的範圍縮減到最小。
   • 像 Dev Team 未來需要的 IP 使用量為 900 多個，可以把它分成兩個 /23 或是四個 /24 來進行管理。
4. 這個網段未來是否會擴大
   • 若 IP 使用量是會逐漸上升的，可以改變子網路遮罩來擴大能夠使用的數量。
   • 但要注意各網段間有沒有留可以擴大的範圍。
   • 像目前有 10.0.0.0/24 和 10.0.1.0/24 正在使用，當 10.0.0.0/24 需要擴大時會沒辦法擴大，要避免這個狀況就是在兩段 IP 間區隔一段 Range，在一開始規劃時把 10.0.1.0/24 移動到 10.0.4.0/24。

路由規劃

將我們的網段分配規畫完後接著就是網路路由規劃

1. 選擇要使用的動態/靜態路由
   • 內部路由可以用 EIGRP, OSPF, RIP 之類的 IGP 來使用。
   • 外部路由可以用 BGP。
   • 當然也可以使用 Static Route 來做 PBR (Policy Based Route)。
   • 選擇路由協定時主要是依照設備相容、網路大小、技術能力能不能負擔來決定。
   • 依照使用情形調度不同的動/靜態路由來達到相輔相成的效果是最好的。
2. 確認每一台 Router 各自要發布出去的路由
   • 從路由我們能做到分流、阻擋的功能，因此我們可以先在這邊做一些資安、性能上的管控
   • 資安方面，可以規劃某些網段不能被 Route 到管理設備用的網段上。
   • 性能方面，可以規劃流量需求大的部分網路走 A 線路去避免其他使用者受到影響。
3. 透過 VLAN 強化 Layer 2 的隔離
   • 可以確保來自不同 VLAN 的網路不能直接 Switching。
   • 更加縮小且保護廣播域不被其他網段 VLAN干擾。

繪製 Topology

規劃完後路由後可以先畫一下 Topology 來確認目前的規劃是否正確
且可以讓後續接任管理職的快速了解網路環境
可以使用 draw.io 或任何可以連接圖和線的軟體都可以 這邊我用 draw.io 來示範

點開左下角的 More Shapes
在左邊的列表中找到 Cisco 並選擇

就可以使用 Cisco 的 Icon 來繪製自己的架構圖
以一個三層式的 Topology 來說會像這樣子

也有長這樣子的

驗證 Topology

完成前面這些規劃後如果直接上架到正在使用的環境的話是有非常高的機率會出事的
所以接著要做的事情就是驗證 Topology 有幾個方法可以用來驗證

1. 實體驗證
   這個方法是用閒置的機器或準備上線的機器來做測試，最能夠模擬出實際運行的狀況
2. 虛擬環境驗證
   這個方法有安裝模擬軟體的方法也有用虛擬機裝模擬環境，可以使用 Cisco 的 Packet Tracer
   但 Packet Tracer 會有非常多實體機器沒有的指令, 機制可以測試
   因此也有透過建立實體機器的虛擬機來模擬的 可以選擇用 GNS3, PNetLab, eve-NG 來模擬

在驗證時要做和注意的事情大致上有這些：

• 確認每一個 Route, 網段的連線是否跟規劃的是一致的
• 確認每一個線路的 Bandwidth (有些線路是透過 LA, LACP 連接的頻寬會比較大) 大小
• 用壓力測試套件去測試網路遇到高附載的反應
• 模擬實際使用的狀況 (如 100個 User 同時上網)
• 確定實際環境使用的 Configuration

當驗證完成確定沒有問題後就可以準備將硬體、Configuration 上線了
當然環境成功建立好後也還是要再做測試
防止模擬的環境和實際有些微差異

網路環境完成的下一步?

將網路環境完成後要做的事情還有很多 監控、維運都是需要被部署進網路環境內的
所以接下來就是開始準備伺服器、OS環境的建置
會先從 Debian 和 虛擬機環境的選擇開始講起