iT邦幫忙

1

請教網路拓樸圖修正方向(4/16更新)

前言:目前大四剛畢業還在實習階段,學習當MIS
想請各位前輩幫忙看看網路拓樸圖修正方向(此為模擬圖)

需求如下
建立一個辦公室網路拓樸圖,大約資料如下:
(1) 對外連線有2個Router,一個主要Router 100M/100M,另一個備援Router 60M/20M。
(2) 使用空間:3個區域(一個區域1個網段)。
(3) 每個區域都要有無線AP(預設3台)。
(4) 機房裡有5台伺服器。
(5) 3個區域人數各約20人,各有1台Print。
(6) IP請自行設定。

A、請依以上條件列出可能會使用到的網路設備。
B、建立一個網路拓樸圖。

下面是我自己做的網路拓樸圖
https://ithelp.ithome.com.tw/upload/images/20190401/20116588QpA0F9uhRb.jpg

A:使用到的網路設備
Cat6網路線、Notebook、Router、Switch、無線AP、Print、
Active Directory/Datebase/Web/Mail/FTP Server

================我是分隔線================

2019/4/2更新 網路拓樸圖
對象是給IT內部人員看的網路基礎架構
詳細的機房設備表(Sever對應IP的 包括虛擬機、印表機、Nas)暫時沒有規劃需求
https://ithelp.ithome.com.tw/upload/images/20190402/20116588bkGVhgUo76.jpg

================我是分隔線================

2019/4/16更新 網路拓樸圖
擴增外點連線,條件需求如下
(1) 增加兩個外部辦公室,以前題的辦公室為總公司,兩個外部辦公室如何與總公司連線。
(2) 兩個外部辦公室各有一台Router,都是100M/100M。
(3) 第一個外部辦公室,人數約15人,1台Print,1台無線AP。
(4) 第二個外部辦公室,人數約30人,2台Print,2台無線AP,2台伺服器。

【總公司】
https://ithelp.ithome.com.tw/upload/images/20190416/2011658803FOGZn9D3.jpg
防火牆IP 192.168.1.1、192.168.1.254
伺服器IP 192.168.1.2 ~ 192.168.1.10
印表機IP 192.168.1.11 ~ 192.168.1.13
區域A
無線IP 192.168.1.21 ~ 192.168.1.100
有線IP 192.168.1.101 ~ 192.168.1.253
區域B
無線IP 192.168.2.1 ~ 192.168.2.100
有線IP 192.168.2.101 ~ 192.168.2.254
區域C
無線IP 192.168.3.1 ~ 192.168.3.100
有線IP 192.168.3.101 ~ 192.168.3.254

【外部辦公室A】
https://ithelp.ithome.com.tw/upload/images/20190416/20116588NmIxI1wfoB.jpg
防火牆IP 192.168.4.1
印表機IP 192.168.4.2
無線網路IP 192.168.4.10 ~ 192.168.4.100
有線網路IP 192.168.4.101 ~ 192.168.4.254
由switch去分配有線跟無線IP在同一網段,另外透過VPN連線到總公司

【外部辦公室B】
https://ithelp.ithome.com.tw/upload/images/20190416/20116588aUTdqIOmjJ.jpg
防火牆IP 192.168.5.1
伺服器IP 192.168.5.2、192.168.5.3
印表機IP 192.168.5.4、192.168.5.5
無線網路IP 192.168.5.10 ~ 192.168.5.50 、 192.168.5.51 ~ 192.168.5.100
有線網路IP 192.168.5.101 ~ 192.168.5.254
由switch去分配有線跟無線IP在同一網段,另外透過VPN連線到總公司

看更多先前的討論...收起先前的討論...
ccutmis iT邦高手 9 級 ‧ 2019-04-01 16:24:06 檢舉
單純來加油的 不是MIS專業路過XD
你的圖誰要看的,財務經理跟老闆,
只要標設備編號跟殘值還有剩餘攤提年份還有終值
如果是IT內部看的,你這張圖還差一些,你的LAN有三段,但你沒寫,三段怎麼切
還有,你的WAN備援,現在不會有人請一條線平時不用待命的,所以,是不是該有一台頻寬整合器,你兩條WAN可以找不同ISP申請,這樣就不會一家掛,兩條線一起掛,接下來,如果要給IT看,那實體主機跟VM要不要分開來看,每台主機VM跑哪些服務,IP多少,也要列表,甚至有開的服務埠,NAT到外面的IP跟埠號都要寫清楚,這樣IT看到就能一目了然了,如果是給一般員工看,IP不需要標,要標的是NETBIOS NAME,最好把每台機器的位置,按照室內配置圖拉,最好直接標記在室內配置圖上面,桌位分機號都寫清楚,這才是一般員工看得懂的網路拓樸圖啊
還有一種網路拓樸圖給拉線的人看得,你要標線路管徑,網路線怎麼拉,網路線號碼
終端裝置,線路長度,地面佈線,天花板佈線,管道間,這些都要標清楚,如果有多樓層,每個樓層都要畫清楚,不過這種拓樸圖施工前沒有畫清楚,施工後,應該沒有人會知道太多細節的,小公司還勉強畫得出來,大公司就很難了
如果只是前期的規劃的拓墣圖來說,應該是足夠用來討論網路架構的,但如窮大所說拓墣圖還有分幾個面向,對客戶(不懂IT)、對老闆、對上司、對同事或員工、對廠商等等的面向。當然,作為內部留存的圖檔來說還是盡善盡美比較好,越多的細節可以讓之後接手的人一目暸然,壞處是網路架構有些微的改動,可能就導致你的拓墣圖需要更改,這也是太詳細帶來的壞處。你可以自己斟酌
從你更新的網路拓墣圖看來大致上是滿足內部IT人用的了,只是再提醒你一下每個IP的subnet mask記得要寫上,不然遇上網路規劃比較複雜的拓墣圖,別人會容易混淆。
希望幫到你
希望我下面的回答有幫到你喔,可以的話請選我為最佳解答,我最近在沖積分,謝囉

2 個回答

0
skateboard929
iT邦新手 4 級 ‧ 2019-04-02 13:37:21
最佳解答

第一眼看到最大問題是少了防火牆。
一般來講我們會把server群放在防火牆的DMZ的埠

而對外的兩個路由器100M跟60M分別接在防火牆的Wan1跟Wan2埠,搭配防火牆的default route設定先走100M(0.0.0.0 to Wan1),如果斷線的話就手動改成走60M那一條路上網(0.0.0.0 to Wan2,當然前一條路由要刪除或把優先度降低)。

內部三段區網分別設置在防火牆的Lan1, Lan2, Lan3,每個防火牆的Lan埠都需要一個獨立的IP,用來讓各自的區網電腦、印表機、AP指著作為GateWay用。AD你可以放在交換機上某個埠,這個埠設定為同時踩著這三段區網的網段(利用trunk ports),這樣就可以讓AD對三段區網分配IP(DHCP)或網域的控制。另外防火牆的路由跟策略就比較要花心思了,因為要把相關內部服務路由到DMZ(例如mail, ftp_internal, DB等),當然還有防火牆策略也要有,這部分又牽涉一大堆文字敘述,如果你有需要再跟我說,我這裡就先不提了。

附帶一提,把內網的網段經過AP作為wifi用是很不安全的做法,現在國際組織都建議不要這麼做,因為user的手機或電腦(尤其是手機),是最大的安全漏洞,很有可能因此導致內部電腦感染勒鎖軟體。如果非要有AP的存在,最好是放在防火牆WAN埠上,與內網跟server群做隔離。當然也不是說一定不行,除非你的AP控管做得很好,例如你所有可以連上AP的裝置都有經過定期掃毒、更新(包含AP韌體跟裝置OS)、使用者權限控管,物理地址過濾等等的機制,是可以確保AP的安全性的。

希望幫到你

1
yesongow
iT邦大師 1 級 ‧ 2019-04-01 17:17:54

對外,你少了一台UTM的防火牆!需要這台做2-Wan線路整合(國產可選newsoft與sharetech,Abocom重整公司架構了)
除了LAN網卡以外,也最好有dmz網卡,區隔(PC群) 與(伺服器群)的連線

對內,你少了一台Layer3 路由交換器,不然你要如何切以下三個網段?
192.168.1.x/24,
192.168.2.x/24,
192.168.3.x/24,

我要發表回答

立即登入回答