請教網路拓樸圖修正方向(4/16更新)

網路拓樸

charliegau 2019-04-01 16:19:09 ‧ 7636 瀏覽

分享至

前言：目前大四剛畢業還在實習階段，學習當MIS
想請各位前輩幫忙看看網路拓樸圖修正方向(此為模擬圖)

需求如下
建立一個辦公室網路拓樸圖，大約資料如下：
(1) 對外連線有2個Router，一個主要Router 100M/100M，另一個備援Router 60M/20M。
(2) 使用空間：3個區域(一個區域1個網段)。
(3) 每個區域都要有無線AP(預設3台)。
(4) 機房裡有5台伺服器。
(5) 3個區域人數各約20人，各有1台Print。
(6) IP請自行設定。

A、請依以上條件列出可能會使用到的網路設備。
B、建立一個網路拓樸圖。

下面是我自己做的網路拓樸圖

A：使用到的網路設備
Cat6網路線、Notebook、Router、Switch、無線AP、Print、
Active Directory/Datebase/Web/Mail/FTP Server

================我是分隔線================

2019/4/2更新網路拓樸圖
對象是給IT內部人員看的網路基礎架構
詳細的機房設備表(Sever對應IP的包括虛擬機、印表機、Nas)暫時沒有規劃需求

================我是分隔線================

2019/4/16更新網路拓樸圖
擴增外點連線，條件需求如下
(1) 增加兩個外部辦公室，以前題的辦公室為總公司，兩個外部辦公室如何與總公司連線。
(2) 兩個外部辦公室各有一台Router，都是100M/100M。
(3) 第一個外部辦公室，人數約15人，1台Print，1台無線AP。
(4) 第二個外部辦公室，人數約30人，2台Print，2台無線AP，2台伺服器。

【總公司】

防火牆IP 192.168.1.1、192.168.1.254
伺服器IP 192.168.1.2 ~ 192.168.1.10
印表機IP 192.168.1.11 ~ 192.168.1.13
區域A
無線IP 192.168.1.21 ~ 192.168.1.100
有線IP 192.168.1.101 ~ 192.168.1.253
區域B
無線IP 192.168.2.1 ~ 192.168.2.100
有線IP 192.168.2.101 ~ 192.168.2.254
區域C
無線IP 192.168.3.1 ~ 192.168.3.100
有線IP 192.168.3.101 ~ 192.168.3.254

【外部辦公室A】

防火牆IP 192.168.4.1
印表機IP 192.168.4.2
無線網路IP 192.168.4.10 ~ 192.168.4.100
有線網路IP 192.168.4.101 ~ 192.168.4.254
由switch去分配有線跟無線IP在同一網段，另外透過VPN連線到總公司

【外部辦公室B】

防火牆IP 192.168.5.1
伺服器IP 192.168.5.2、192.168.5.3
印表機IP 192.168.5.4、192.168.5.5
無線網路IP 192.168.5.10 ~ 192.168.5.50 、 192.168.5.51 ~ 192.168.5.100
有線網路IP 192.168.5.101 ~ 192.168.5.254
由switch去分配有線跟無線IP在同一網段，另外透過VPN連線到總公司

看更多先前的討論...收起先前的討論...

ccutmis iT邦高手 2 級 ‧ 2019-04-01 16:24:06 檢舉

單純來加油的不是MIS專業路過XD

窮嘶發發發 iT邦高手 1 級 ‧ 2019-04-01 16:38:11 檢舉

你的圖誰要看的，財務經理跟老闆，
只要標設備編號跟殘值還有剩餘攤提年份還有終值
如果是IT內部看的，你這張圖還差一些，你的LAN有三段，但你沒寫，三段怎麼切
還有，你的WAN備援，現在不會有人請一條線平時不用待命的，所以，是不是該有一台頻寬整合器，你兩條WAN可以找不同ISP申請，這樣就不會一家掛，兩條線一起掛，接下來，如果要給IT看，那實體主機跟VM要不要分開來看，每台主機VM跑哪些服務，IP多少，也要列表，甚至有開的服務埠，NAT到外面的IP跟埠號都要寫清楚，這樣IT看到就能一目了然了，如果是給一般員工看，IP不需要標，要標的是NETBIOS NAME，最好把每台機器的位置，按照室內配置圖拉，最好直接標記在室內配置圖上面，桌位分機號都寫清楚，這才是一般員工看得懂的網路拓樸圖啊

窮嘶發發發 iT邦高手 1 級 ‧ 2019-04-01 16:44:50 檢舉

還有一種網路拓樸圖給拉線的人看得，你要標線路管徑，網路線怎麼拉，網路線號碼
終端裝置，線路長度，地面佈線，天花板佈線，管道間，這些都要標清楚，如果有多樓層，每個樓層都要畫清楚，不過這種拓樸圖施工前沒有畫清楚，施工後，應該沒有人會知道太多細節的，小公司還勉強畫得出來，大公司就很難了

納貝 iT邦新手 1 級 ‧ 2019-04-02 13:45:31 檢舉

如果只是前期的規劃的拓墣圖來說，應該是足夠用來討論網路架構的，但如窮大所說拓墣圖還有分幾個面向，對客戶(不懂IT)、對老闆、對上司、對同事或員工、對廠商等等的面向。當然，作為內部留存的圖檔來說還是盡善盡美比較好，越多的細節可以讓之後接手的人一目暸然，壞處是網路架構有些微的改動，可能就導致你的拓墣圖需要更改，這也是太詳細帶來的壞處。你可以自己斟酌

納貝 iT邦新手 1 級 ‧ 2019-04-09 15:28:11 檢舉

從你更新的網路拓墣圖看來大致上是滿足內部IT人用的了，只是再提醒你一下每個IP的subnet mask記得要寫上，不然遇上網路規劃比較複雜的拓墣圖，別人會容易混淆。
希望幫到你

納貝 iT邦新手 1 級 ‧ 2019-04-09 15:32:52 檢舉

希望我下面的回答有幫到你喔，可以的話請選我為最佳解答，我最近在沖積分，謝囉

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

納貝

iT邦新手 1 級 ‧ 2019-04-02 13:37:21

最佳解答

第一眼看到最大問題是少了防火牆。
一般來講我們會把server群放在防火牆的DMZ的埠

而對外的兩個路由器100M跟60M分別接在防火牆的Wan1跟Wan2埠，搭配防火牆的default route設定先走100M(0.0.0.0 to Wan1)，如果斷線的話就手動改成走60M那一條路上網(0.0.0.0 to Wan2，當然前一條路由要刪除或把優先度降低)。

內部三段區網分別設置在防火牆的Lan1, Lan2, Lan3，每個防火牆的Lan埠都需要一個獨立的IP，用來讓各自的區網電腦、印表機、AP指著作為GateWay用。AD你可以放在交換機上某個埠，這個埠設定為同時踩著這三段區網的網段(利用trunk ports)，這樣就可以讓AD對三段區網分配IP(DHCP)或網域的控制。另外防火牆的路由跟策略就比較要花心思了，因為要把相關內部服務路由到DMZ(例如mail, ftp_internal, DB等)，當然還有防火牆策略也要有，這部分又牽涉一大堆文字敘述，如果你有需要再跟我說，我這裡就先不提了。

附帶一提，把內網的網段經過AP作為wifi用是很不安全的做法，現在國際組織都建議不要這麼做，因為user的手機或電腦(尤其是手機)，是最大的安全漏洞，很有可能因此導致內部電腦感染勒鎖軟體。如果非要有AP的存在，最好是放在防火牆WAN埠上，與內網跟server群做隔離。當然也不是說一定不行，除非你的AP控管做得很好，例如你所有可以連上AP的裝置都有經過定期掃毒、更新(包含AP韌體跟裝置OS)、使用者權限控管，物理地址過濾等等的機制，是可以確保AP的安全性的。

希望幫到你