網路架構與規劃詢問

網路架構網路規劃網路設備網路設備switch

lu02kimo 2023-04-25 11:42:59 ‧ 2835 瀏覽

分享至

各位先進好:

目前在想的階段
請問關於網路架構
如下圖的建置是否適宜
有建議的設備或網路規劃嗎?
1~5層 + 地下室預計900人
目前 192.168.6.0~192.168.10.0
請大大不吝指導謝謝~

1G方案:

10G骨幹方案:

看更多先前的討論...收起先前的討論...

林門神JanusLin iT邦超人 1 級 ‧ 2023-04-25 11:51:17 檢舉

走光，直接上 10G，VigorSwitch FX2120

mathewkl iT邦高手 1 級 ‧ 2023-04-25 13:06:53 檢舉

這人數Switch間1G會瓶頸

lu02kimo iT邦新手 5 級 ‧ 2023-04-25 13:59:15 檢舉

好~ 感謝~
我把10G方案也納入了

erictaiwan iT邦研究生 5 級 ‧ 2023-04-26 11:21:31 檢舉

圖上橘字標示 SPF, 應是 SFP 模組。

lu02kimo iT邦新手 5 級 ‧ 2023-04-26 11:34:28 檢舉

好~感謝~
SOR打錯
我已經更新圖片
改SFP~

窮嘶發發發 iT邦高手 1 級 ‧ 2023-04-27 10:53:19 檢舉

TPLINK 堆疊最高只有六台喔，這各要注意一下
其實網路大廠有FLEXNETWORK的設備，單台不只 48PORT 可以選
幾百PORT 的設備都有，其實你買 20台的費用，跟買 4-5台差不了多少的
還有就是都是全新環境一般PORT 還用 1G 會不會太少，建議上 10G BASE-T 吧
主幹走 40G的會比較好，一層 200 人總共近一千人，要想想未來十年的發展，你這堆設備不可能只用幾年就要換吧，這些設備都不便宜的，十年後說不定都是 100G 網路了
你用 40G 主幹就算是淘汰機種了，這次上 40G，十年後 100G，不是很好的ROADMAP ?

lu02kimo iT邦新手 5 級 ‧ 2023-04-28 08:20:50 檢舉

好喔我也會查看看超48PORT的
機型價格部份也列出新規
整理出文件比較看看~

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

5 個回答

by2048

iT邦高手 1 級 ‧ 2023-04-25 11:57:18

最佳解答

架構上沒什麼問題
SFP光纖可以用星狀接法 ZYXEL這台就是必要的設備
如果用環狀接法(堆疊) ZYXEL就用不到了

如果要900人用,SFP建議是架10G的環境比較好

回應 1
分享
檢舉

lu02kimo iT邦新手 5 級 ‧ 2023-04-25 13:59:50 檢舉

好~感謝~
我也把10G網路納入考量
更新設備

登入發表回應

sd3388

iT邦好手 1 級 ‧ 2023-04-25 13:19:57

提問網路架構的建置是否適宜?
但是卻沒說說想要達成什麼目的或效果
這樣你不擔心答非所問嗎?

照圖說，架構沒問題
但不知你內網流量跑什麼?跑多少
流量大，上行到Core會不會1G不夠
如果流量夠
你擔不擔心內網VLAN互通下會被入侵橫向感染
也就是跨VLAN互相攻擊感染(最近常見)
如果擔心，你想要防護達成什麼效果

另外不知道你想要管到網路多細
打算在網路設備上看到什麼資訊
如果只是看VLAN及接口而不需管制接入設備
一般switch都夠用，PoE注意整體供電量
如果想要管的更多又不想買網管軟體
可以參考資安鐵三角資安鐵三角

回應 3
分享
檢舉

lu02kimo iT邦新手 5 級 ‧ 2023-04-25 14:23:02 檢舉

好~感謝~
有用FortiGate做，網路存取控制(NAC)
若骨幹變10G了放在新規劃網段
可能要再購入一些設備，我沒劃進去
簡易需求應該是
內網:
1.NAC管控 (避免外設備入內)
2.限制DHCP IP (怕小白插入路由器變DHCP2)
3.可避免網路風暴 (怕小白線亂插)
4.有限定VLAN不過可能不能變動
5.不是很喜歡Poe，SW有變壓器，多一個容易壞的變數，所以10G版都換成AP自己拉個尿袋各別用。

外網:
1.現在圖先擺個簡易的之後應該會用 Sophos 或 FortiGate 有一些VPN需求

sd3388 iT邦好手 1 級 ‧ 2023-04-25 15:04:59 檢舉

1.NAC管控 (避免外設備入內)
答：Fortigate可以做設備管控，但如果沒有Fortiswitch就只能限制在防火牆端，交換器端就不好做(可能需要其他軟體)

2.限制DHCP IP (怕小白插入路由器變DHCP2)
答：這個一般switch有dhcp snooping功能都可以做到

3.可避免網路風暴 (怕小白線亂插)
答：防loop，一般L2 switch功能應該有

4.有限定VLAN不過可能不能變動
答：L2 switch都OK

5.不是很喜歡Poe
答：也可以，不過PoE有終身保的除Ｆ牌外很少牌子有，另外PoE SW可以看到使用瓦數，同時控制供電開關，是比較好用的地方

lu02kimo iT邦新手 5 級 ‧ 2023-04-26 11:37:02 檢舉

好的~感謝~
我之前用 Extreme Summit X430-48T
是可以設置防loop 跟 dhcp snooping
不過現在圖片擺的這台TPLINK還沒細看功能
先簡單估算一下費用

登入發表回應

IT 癡

iT邦高手 1 級 ‧ 2023-04-25 13:57:48

除非現場是製造環境、都是產線設備，如果 95% 都是 USER，建議不要再走傳統網路架構，直接架 MESH 架構
每個樓層佈建兩個 24 port 1G Switch 做分流，各樓層 MESH 分半導入兩個 Switch，既可分散全部一個 Switch 的流量負擔，平常還可兼任 HA 的功能
各樓層 Switch 直接走 10G 光到機房，不懂為何要全導到地下室去，最終還是要回到機房端不是嗎
整體下來，第一，各樓層佈線費大省，以後查線只要查 MESH (當然可能各樓層有印表機之類的有線存在，但都是少數)，也不用每樓層都要買高階 Switch，主力放在光纜跟機房端 core
再建議佈一部 RADIUS，將允許 MAC 建置進去，避免不明設備直接接入無線環境，資安風險
MESH 可區分經營層、高階主管、視訊等 SSID 相關頻寬切割，保證高階人員與視訊的順暢，更保障你的飯碗平安

回應 1
分享
檢舉

lu02kimo iT邦新手 5 級 ‧ 2023-04-25 14:35:24 檢舉

好喔~感謝~
1.現在用的U6 Pro 一層5個，只有一個SSID，可以直接遊走，有線還是先規劃備用
2.每樓層大概3個大隔間，所以如圖網路機櫃每層3個，可能換10G骨幹來估算費用
3.因為樓層隔間都留好光纖，想說不重拉光纖直接用現有，地下室擺一台收容
4.無線跟有線都準備，不然其中一有問題，都是資訊的問題，所以還是規劃一下
5.已有AD在管控，MAC是防火牆政策管控
6.實際遇到多SSID有些USER真的會不知道連哪一個，所以才規劃漫遊單純一些

登入發表回應

唬爛

iT邦好手 1 級 ‧ 2023-04-26 11:17:30

骨幹(機房to各樓層)升級為25G or 40G
各樓層的switch，預算夠就25G or 40G彼此串接！預算不夠就降級為10G
各樓層拉到地下室，個人覺得是多此一舉！應該直接進線機房
機房的主機以25G or 40G連接switch
光纖應該要重拉吧？現有光纖應該不符合10G、25G or 40G規格

小小建議，骨幹不建議侷限在10G！況且25G or 40G以慢慢成為主流，價格也親民許多
另二手Cisco switch價格便宜，可考慮多購買幾台當備品

回應 1
分享
檢舉

lu02kimo iT邦新手 5 級 ‧ 2023-04-26 11:57:16 檢舉

好喔~感謝~
1.理想很豐滿，現實很骨感，$$，我也喜歡豐滿的，但確定主管那關會被打槍。
2.也只能退而求其次，先用10G，算是有進步，使用不會很驚艷，但至少不要卡。
3.租的大樓，上頭說就先維持原先隔間線路，未來不租歸還原樣。
4.機房會改用10G Switch算是有小提升，初期舊設備要加10G網卡才有感受。
5.隔間弱電箱，中華3M光纖線的光纖座X2，有請接線來看，一組TR/RX需要用到光纖座X2，是可以使用。

登入發表回應