公司本來是用C Class(192.168.2.0/24)來規劃網段!
Core Switch為3Com 5500 Ei,各部門間分布的很零散,所以會有大小Switch(有L2網管型的和Dlink 無網管型的)分布各處!
現在問題來了,電腦設備愈來愈多,IP以不敷使用!
現在想要重新規劃IP網段,本來想說用B Class來做!但又擔心廣播風暴拖垮網路!
且因為各部門Switch分布太散,所以無法切VLAN!且公司建築物關係無法重新拉實體網路線,
所以想說各部門用不同C Class網段,但是有些部門只有1~2台設備,遮罩用24會不會太浪費?該如何規劃呢?
另外我是要在Core Switch將各部門C Class網段做整合?還是要在Firewall(Fortiget 200A)上做?優缺點為何?
請各位大哥大姊們給小弟些指導!非常感謝!
已邀請的邦友 {{ invite_list.length }}/5
可以選 Class B 和 C 之間的
例如 192.168.0.0/23, 192.168.0.0/22, 192.168.0.0/21 , ...
其實只要在你的Core Switch上面去切vlan就可以了,
但最好先調查Core Switch上的port對應到哪裡,
這樣比較好規劃網段方向,
之後就是網段如何切,
要思考哪個部門大致上會使用到多少ip,
再預留一些ip預備使用,
我想192.168.0.0/16應該很夠用
我也遇到此問題,公司超過350台
交換器D牌的非網管機器
我的解法為先將不需上網的電腦隔離(已隔離完成)
剩下約260台左右電腦須上網(包含server 20台)
目前我先用防火牆當路由器(可以撐住但效能不會很好)
提出專案計畫
規劃將各層樓重新佈線(因為公司約25年的老公司)
採購5500GEI 24port和4500 48 port*6
規劃成
1F為192.168.1.0/24
2F為192.168.2.0/24
3F為192.168.4.0/24
無線1F為192.168.59.0/24
兩岸三地為10.1.100.0/24
台灣地區專線10.1.10.0/24
伺服器用192.168.3.0/24
再加上5500和4500有RADA功能可以加入增加資訊安全
本來我用部門規劃需要24網段,有些部門只有3台電腦但浪費一個網段
再加上5500G掛點時沒有替代機可以撐住所以減少成7個網段
那D牌的交換器就給到第三層網路使用(要使用的原因是節省公司成本)
所以我管理第一層和第二層網路層
我的方式你可以参考看看
謝謝Kaoht大提供的實例!
想要請教,RADA功能是指?有啥好處呢?
RADA全名為RADIUS Authenticated Device Access就像IP&MAC LOCK類似.
跟IP&MAC的差別在
再用3COM的RADA功能只要維護一台認證主機中加入電腦的MAC
IP&MAC交換器每壹台SW都要登入SW加入電腦的MAC
EX:IP&MAC交換器有10台就要加10次的電腦的MAC
用RADR只要加入一次即可.
好處是非公司使用的電腦或私人電腦帶入公司時,此電腦在認證主機上沒有此電腦的MAC,
此電腦就無法取得公司IP,就無法上網路.
跟實體資安有關聯到.
可以參考看看
恩~~這個技術和802.1X有何不同?還是他就是用802.1X的方式來做?
如果是用802.1X,那麼我的switch(包含core和各端點間)是否都要支援802.1X?
其實說一句老實話 真的每台都需要同網段嗎 ?
(1)訪客公用線路
(2)無線網路服務
(3)無權限存取內部伺服器的派遣人員或工讀生
(4)其他...
有時候從根本上先整理之後管理會比較輕鬆哦
如果要做各網段的路由,我建議由Core Switch上做或者由有routing設備作業後再往Fortiget 200A上丟。主要是因為在Fortiget上如果你想再做「對外線路」備援機制+對外線路分流的話,那你的routing table要夠寫,因為小弟我是用100A結果只能寫16條(我也沒有問原廠)。
另外我想請問超過255台,那255台會在24小時裡,一起開機作業的時間有多少呢?(我是覺得這個問題不重點)因為依我待過的公司他們的作法通常都是採切vlan及實體port的管理方式。我也有待過公司電腦數200台的公司他們的做法只是切Subnet mask(192.168.x.0/22)。
其實如果是我的話,我會想想以下各點
1.各部門間網路的管理方式,例如:研發部的網路需加以控管一類,其它部門的為一類。(實體安全管理)。管理和規劃是密不可分的。
2.請畫出網路拓樸圖,再搭配技術解決可能面臨的問題及控管(切/24或23之類,還是獨立給一個網段等等)。
資訊上的問題可以透過技術解決,但往往管理上的才是最大的問題
不好意思說,說的不好請各位別見怪多多指教
規劃前先做分析
1.確認各種網段的機密等級 ,規劃同一等級的Client 切同一个網段,舉例如下
=>Internet security < Intranet security
=>Production security > non-Production security
=>R & D > Server Farm > User > guest > Vendor
整合同等级的部門劃成一個網段
2.一般良好的大型網路環境最多不要超過1024個 Client in one Vlan (or Subnet)
3.Core switch 避免不必要的 Routing , ACL , PBR , SNMP Trap , 嚴重影嚮效能
4.Intranet 的netmask用多少看公司整體的規劃,要以管理方便為優先,如果機密等級高1-2個Client也可以建立一個Vlan,毎一個VLAN都是Resource,僅慎規劃
IP規劃以方便管理為原則,私有ip數量不用太計較
區網建議用switch做整合,效能較好
f/w有自己的loading,不建議做網段整合
用Submask 用 /20 ( 255.255.240.0 )
192.168.1.X 給 Server 及網路設備用 ( Server 從 192.168.1.1 開始配數字遞增,網路設備從 192.168.1.254 Gateway 開始配數字遞減, 192.168.1.150 ~192.168.1.199 留給網路印表機
192.168.2.x ~ 192.168.3.X 給DHCP User
192.168.4.x ~ 保留吧,以現在的人數規模不需要太複雜,需要有固定IP再拿出來分配用
如果有資安管理需要要切割部門,直接在 3com 5500 Core 上切 VLAN
原則上以現有 User 數 使用3Com 5500 這樣用實務上效能還OK,不用多花錢,IP 多也沒有浪費的問題。
iThome鐵人賽
看影片追技術