網路架構問題及如何規劃

網路架構 layer2

jasonchen7895123 2019-05-30 10:52:21 ‧ 2770 瀏覽

分享至

各位大哥您們好：
原資訊離職(僅1名)，目前沒有的基本資料自己研究建建弄起來，
小公司中華電信6個固定IP，固定IP_101給DVR，固定IP_100給PC跟業務上使用

目前有問題的是100底下的PC很多是192.168.0.X，與舊有的DVR共用，之後會漸漸移到DVR那區
，先前資訊建一半，主管要求漸漸要把電腦(50台)192.168.0.X加網域192.168.1.X(手動設定)，TP-LINK SG3424/1024沒有資料(登入IP跟帳密)，這樣是有切VLAN嗎?

部門有管理部/營業/品保/財務/生管，請問各位大大以既有的設備該怎麼規劃？
我是希望一個單位一個網段，資料可以互通

看更多先前的討論...收起先前的討論...

竹本立里 iT邦好手 1 級 ‧ 2019-05-30 11:18:02 檢舉

沒看到 L3 SWITCH 所以不同IP 是無法互通的
除非你的網路是 /23 ,但這樣不同IP 192.168.0.X &192.168.1.X 其實意義就不大了

另外說一下你的圖太小字也不清楚看得很吃力

補充一下我看到了你的網路居然是 /16 ,恩...... 樓主加油

窮嘶發發發 iT邦高手 1 級 ‧ 2019-05-30 11:42:40 檢舉

L3 SWITCH + VLAN 能滿足樓主的需求
/16 .... 大概裝置有超過幾萬台的環境吧，大公司耶

harvey9527 iT邦新手 5 級 ‧ 2019-05-30 11:45:45 檢舉

樓主為什麼防火牆和右邊的sg2216是同一個lan ip啊？

WQ iT邦新手 2 級 ‧ 2019-05-30 11:50:10 檢舉

1.用部門來區分網段其實意義不大，反倒是用"應用面"來看，我覺得比較實際。
2.應用面大致上可以用機密性、裝置、身份來看。例如,研發、廠區圈起來，NB、桌機、手機分開來，公司員工及來賓，有線無線裝置.....。
3.相關網段不要用192.168......<---太.....(不會形容)，用自已看的順眼的去編。
4.同竹本立里說的，架構上沒L3 你要怎麼切。

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 11:51:47 檢舉

竹本立里
圖
https://upload.cc/i1/2019/05/30/rs9ov6.jpg

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 11:53:09 檢舉

竹本立里
補充一下我看到了你的網路居然是 /16 ,恩...... 樓主加油

樓主請問是什麼意思?這部分不是很熟~

yesongow iT邦大師 1 級 ‧ 2019-05-30 12:18:42 檢舉

你缺少防火牆，也缺少Layer3 core switch喔

補覺鳴詩 iT邦高手 1 級 ‧ 2019-05-30 13:14:36 檢舉

有防火牆要看型號如果可以就能切不同lan
另外遮罩太大
有問題會不好查 switch 沒帳密就reset

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 13:16:43 檢舉

yesongow:
share tech 這個是我來的時候就有的防火牆

http://www.sharetech.com.tw/cn/

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 13:18:47 檢舉

lovesharepc大大
不曉得裡面設定了哪些目前不敢重置
設備都在使用中

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 13:19:54 檢舉

WQ
有什麼建議的

竹本立里 iT邦好手 1 級 ‧ 2019-05-30 13:33:02 檢舉

255.255.0.0 簡稱 /16

代表你的IP網段範圍是 192.168.0.1~192.168.254.254 都是同一個網段

如果是 255.255.255.0 簡稱 /24

IP網段範圍是 192.168.0.1~192.168.0.254 是同一個網段
跟
192.168.1.1~192.168.1.254 是另一個不相連的網段

如果有錯請其他大大糾正謝謝

窮嘶發發發 iT邦高手 1 級 ‧ 2019-05-30 13:35:42 檢舉

Layer3 core switch 建議用 CISCO 的，3560X 這個就很夠你們用了，以你們的環境大約需要兩台，甚至三台，這台也能做堆疊，一台大約三萬多左右，不過如果你要SI幫妳寫設定檔，還要一筆費用，如果你沒有CISCO的設定經驗，建議這筆只能花下去，至於其他家的L3交換器，台灣品牌有一些可以選，但是千萬不要選DLINK，風評不好

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 13:35:50 檢舉

竹本立里大大:
了解

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 15:27:45 檢舉

窮嘶發發發大大：CISCO 的，3560X 這個設備的上一層還要接防火牆嗎

補覺鳴詩 iT邦高手 1 級 ‧ 2019-05-30 15:49:35 檢舉

switch 不過 L2 頂多切vlan
有沒有什麼設定從防火牆設定可以判斷出來

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 15:54:38 檢舉

harvey9527大大：接上任的東西設定這樣~~

TP-LINK300 底下的設備

西郎摳ken iT邦新手 5 級 ‧ 2019-05-31 09:36:12 檢舉

還是不要去從事這個吧.....人是不會變的要認清老闆(會這樣沒好聚好散就是太誇張的公司了。相關科系會教倫理，但在社會上總是有老闆會突破下限)

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

雷伊

iT邦高手 1 級 ‧ 2019-05-30 14:20:01

最佳解答

你的圖應該是不完整的：
1.TP-LINK SG3424/1024這兩台串接再一起幹嘛？SG3424沒有接其他設備？就接兩條線？
2.SG1024並沒有VLAN，所以下面掛的那票不同網段的機器可以連網？
3.子網路遮罩255.255.0.0若只有兩個網段應該是255.255.254.0。
4.share yoch 防火牆型號不明無法判斷是否有靜態路由功能可設定不同網段間聯網？
5.另若AD環境下啟用DHCP Server則可實現5個部門在5個不同的網域，不同網段網路可互通其實沒太大意義，除非你的設備加用戶數超過一個網段。
6.L2沒有管理員權限遲早要重置，你要切5個以上的VLAN那就另外要在多接(普通5台24Port網路交換機或3台L2網管型的)，找個假日不影響業務的情況下弄吧！

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

jasonchen7895123 iT邦新手 5 級 ‧ 2019-05-30 15:52:29 檢舉

不是圖不夠完整，已經盡量整理出來，先前的都沒留資料(可能要惡整)
(1)前資訊人員串的，沒有遇到他~，3424上跟下1024都是接PC
https://upload.cc/i1/2019/05/30/9261YA.jpg
https://upload.cc/i1/2019/05/30/MfU6HT.jpg
(2)可以對外連網，都是防火牆DHCP配出來的IP
(4)https://upload.cc/i1/2019/05/30/PIWcdp.jpg
(5)人數差不多再90-100台
(6)目前都線上使用中，所以要切就是只能如樓上大大所說公司買L3 請SI切?

雷伊 iT邦高手 1 級 ‧ 2019-05-30 16:31:03 檢舉

即使不靠L3或交換機VLAN功能也能做得到區分網段，但你原本的L2網管型就會變成普通的交換機，我提供的方案是以不花錢為前提所構思的。
1.請將防火牆DHCP關閉，改用AD環境下的DHCP功能，路由器IP指向share yoch 192.168.0.1 DNS指向AD的。
2.設置五個部門的位置集區，192.168.1.0、192.168.2.0、192.168.3.0、192.168.4.0、192.168.5.0，子網路遮罩255.255.250.0
3.將所有伺服器與系統移至192.168.0.0下，利用DHCP保留區或是手動設定用戶端電腦(1-5網段)，並用篩選器防止非公司設備聯網。
4.利用防火牆規則僅開啟內網對內網需要的連接Port，其他禁止其傳送任何封包。
以上請先將網路拓樸規劃好，假日才能作，如果不熟最好找朋友幫忙。