Nuevo diseño de red de un novato. VLAN, IP, hardware, etc. Cualquier comentario por favor

8

Actualmente estoy planeando una gran infraestructura de red para una universidad en Etiopía y me gustaría recibir comentarios de la gente sobre mi planificación. Tenga en cuenta que nunca antes había hecho contactos. El campus cubre 80 edificios, incluidos laboratorios, administración, enseñanza y dormitorios. Todos los edificios tendrán cableado, inalámbrico, VoIP e impresoras. Cada edificio tiene 3 pisos y una combinación de computadoras para el personal y los estudiantes.

El centro de datos proporcionará almacenamiento SAN y PBX de software. La implementación es Win2k8. Estoy utilizando equipos Cisco durante toda la instalación con interruptores centrales Cisco 6500 L3 con conexión de fibra de 1 Gbps o 10 Gbps (MM y SM) a 5 salas de comunicación. Cada sala de comunicaciones también tiene un conmutador Cisco 6500 L3. Cada edificio está conectado a la sala de comunicaciones más cercana mediante una conexión de fibra de 1 Gbps (MM). Cada edificio tendrá un conmutador Cisco 2960 L2 con enlace ascendente a los pisos 1 y 2.

Estoy usando vlan para separar las subredes de la siguiente manera:

Edificio 1 -> VLAN 10 -> Computadoras cableadas -> 10.1.0.1 - 10.1.15.254 -> 255.255.240.0

Edificio 1 -> VLAN 11 -> Computadoras de los estudiantes -> 10.1.16.1 - 10.1.31.254 -> 255.255.240.0

Edificio 1 -> VLAN 12 -> Computadoras inalámbricas -> 10.1.32.1 - 10.1.47.254 -> 255.255.240.0

Edificio 1 -> VLAN 13 -> Teléfonos VoIP -> 10.1.48.1 - 10.1.63.254 -> 255.255.240.0

Edificio 1 -> VLAN 14 -> Impresoras y dispositivos -> 10.1.64.1 - 10.1.79.254 -> 255.255.240.0

Edificio 2 -> VLAN 20 -> Computadoras con cable -> 10.2.0.1 - 10.2.15.254 -> 255.255.240.0

Edificio 2 -> VLAN 21 -> Computadoras de los estudiantes -> 10.2.16.1 - 10.2.31.254 -> 255.255.240.0

Edificio 2 -> VLAN 22 -> Computadoras inalámbricas -> 10.2.32.1 - 10.2.47.254 -> 255.255.240.0

Edificio 2 -> VLAN 23 -> Teléfonos VoIP -> 10.2.48.1 - 10.2.63.254 -> 255.255.240.0

Edificio 2 -> VLAN 24 -> Impresoras y dispositivos -> 10.2.64.1 - 10.2.79.254 -> 255.255.240.0

Edificio 80 -> VLAN 800 -> Computadoras con cable -> 10.80.0.1 - 10.80.15.254 -> 255.255.240.0

Edificio 80 -> VLAN 801 -> Computadoras de los estudiantes -> 10.80.16.1 - 10.80.31.254 -> 255.255.240.0

Edificio 80 -> VLAN 802 -> Computadoras inalámbricas -> 10.80.32.1 - 10.80.47.254 -> 255.255.240.0

Edificio 80 -> VLAN 803 -> Teléfonos VoIP -> 10.80.48.1 - 10.80.63.254 -> 255.255.240.0

Edificio 80 -> VLAN 804 -> Impresoras y dispositivos -> 10.80.64.1 - 10.80.79.254 -> 255.255.240.0

Todos los edificios -> VLAN 199 -> Administración y nativos -> 10.199.0.1 - 10.199.15.255 -> 255.255.240.0 He asignado la dirección IP al vlan para que sea fácil rastrear las direcciones IP a ubicaciones físicas.

Preguntas: 1, ¿Debo tener teléfonos VoIP en el mismo vlan o en un vlan separado para cada edificio que he hecho anteriormente?

2, ¿Las mismas preguntas que 1 pero para las impresoras?

3, estaba planeando que los switches Cisco 6500 L3 hicieran un enrutamiento entre vlan entre vlan. ¿Sería esta una buena solución? ¿También necesitaría un enrutador o firewall de hardware si uso el enrutamiento de conmutador L3? Mi entrada de banda ancha desde el ISP es la conexión Ethernet RJ-45.

4, cualquier otro comentario sobre mi implementación sería apreciado ya que soy un novato total en esto.

Gracias por adelantado

networking cisco ip vlan Stokie Mike
fuente
8
"Tenga en cuenta que nunca antes había hecho contactos". - ¿Cómo diablos conseguiste este contrato?
Tom O'Connor
66
Estoy asustado. Nunca antes las palabras "Contratar a un profesional" han sido más adecuadas.
Tom O'Connor
2
Si esta no es una pregunta de tarea, creo que es posible que desee volver a leer los comentarios de @ Tom hasta que contrate a alguien más para que haga esto.
jscott
77
Me resulta difícil entender que hay un presupuesto para todo ese kit, pero no hay presupuesto para contratar a alguien para que lo configure correctamente.
nickgrim
11
No me sorprende que alguien sin experiencia esté haciendo esto. Los trabajadores calificados son increíblemente difíciles de encontrar en África. El equipo podría ser donado, podría no haber presupuesto para comprar el equipo. Literalmente, podría no haber dinero para gastar en estos proyectos. Contratar a un profesional podría estar fuera de discusión. Si esta persona no hace esto, entonces no tiene red.
Rory

Respuestas:

4

Tengo un par de inquietudes, la primera es el tamaño de sus VLAN: ¿realmente quiere máquinas 4K por VLAN en un entorno estudiantil? ¿imagina cuánto más difícil será reducir las máquinas / usuarios problemáticos en ese entorno, más el número de usuarios potencialmente afectados por estas máquinas problemáticas? Me sentiría tentado a utilizar VLAN mucho más pequeñas.

En segundo lugar, estoy más preocupado por alguien que se considera un principiante que diseña e implementa una red comparativamente tan grande y compleja. Consideraría incluir a algunos profesionales.

Chopper3
fuente
"Me sentiría tentado a buscar VLAN mucho más pequeñas", ¿sugieres dividir los vlan de los estudiantes en dichos pisos (0,1,2), cada uno con una cantidad menor de computadoras?
Stokie Mike
Estoy de acuerdo en incorporar profesionales, pero soy un voluntario que brinda toda la ayuda que puedo. He evaluado varias empresas para obtener asesoramiento profesional y, para ser honesto, diría que sé más y cuesta mucho menos, jajaja
Stokie Mike
Y soy mucho más confiable - Espero :)
Stokie Mike
3
Sí, básicamente, vlans más pequeños, es decir, desglosarlos por piso / segmentos físicos, etc. Ah, y es bueno que estés haciendo tu mejor esfuerzo, pero realmente no hay sustituto para la experiencia y la calificación.
Chopper3
He agregado más vlan en mi diseño que incluyen StaffManagement y pisos de estudiantes para los dormitorios; reducirá el impacto de la piratería y la popogación de virus. Muchas gracias por tu ayuda. Estoy totalmente de acuerdo con tu comentario sobre la experiencia, pero estoy abierto a consejos y estoy investigando mucho.
Stokie Mike
1

  1. En mi opinión, puede ponerlos a todos en una vlan (mejor para la gestión de vlan), pero también puede ver la alternativa, dejándolos tal como los diseñó inicialmente (mejor para la gestión geográfica)

  2. Siempre dividí las impresoras en las vlans a las que están asignadas (por ejemplo: el departamento de marketing. La impresora está en el departamento de marketing. Vlan)

  3. Aunque es más fácil hacer el enrutamiento entre vlan con un "router-on-a-stick", si pudiera hacerlo con su conmutador L3, sería mejor desde el punto de vista del rendimiento. (pero un poco más difícil de configurar)

  4. ¿Cómo manejas tus vlans inalámbricos? un punto de acceso por vlan?

PD: Para un principiante en redes, seguro que tienes un buen equipo :)


fuente
Hola, gracias por tu aporte, me ayuda mucho. Es un buen kit, prefiero que la organización compre equipos confiables, mi predecesor compró interruptores no administrados que duraron solo unos pocos meses. Esperando que el kit de Cisco llegue pronto. 1, me gusta la idea de separar vlans para VoIP, ya que puedo localizar la ubicación física a partir del número de vlan. 2, por lo que recomendaría poner las impresoras en el mismo vlan que la computadora, más simple. 3, L3 inter-vlan es mi preferencia, lo he simulado en Packet-Tracer. 4, estaba poniendo todos los
puntos de
4. Nuevamente con la conexión inalámbrica, ¿qué equipo está utilizando? ¿Cuántos puntos de acceso hay en la red? ¿De qué están hechos los edificios? ¿Las paredes permiten que pasen las ondas de radio? ¿Se superponen los canales? ¿Hay necesidad de seguridad? Cifrado? (Solo algunos pensamientos más desde la parte superior de mi cabeza)
Ok, estoy comenzando con 50 puntos de acceso repartidos en 15 edificios pequeños. Se utiliza entre uno y dos puntos de acceso por piso. Los edificios son muy parecidos a los muros de hormigón con barras de acero empotrado. He deducido que las ondas de radio atravesarán 3 paredes en una línea. Los cambios se superpondrán entre los pisos, ¿está bien? No hay necesidad de seguridad, creo, estará utilizando el servidor RADIUS con autenticación LDAP. Gracias
Stokie Mike
1

Noté que no ha distinguido ningún tipo de red / computadora por riesgo o por calidad de servicio.

Me gustaría pensar qué máquinas en cualquiera de sus redes pueden contener datos confidenciales (médicos / personales / financieros) y crear VLAN por separado para que pueda administrar y auditar el acceso. Las universidades tienden a tener una cultura de acceso abierto y gratuito, pero debe considerar bloquear el acceso cuando sea necesario para evitar fraudes, chantaje, destrucción de datos, etc.

También observe dónde se encuentra su kit de VOIP: si todo está en VLAN puramente lógicas, asegúrese de que la QoS esté configurada para ello, de lo contrario, cuando las redes estén ocupadas, encontrará VOIP inutilizable.

Actualización sobre VOIP : VOIP es mucho más sensible a la latencia, la fluctuación y otros problemas a los que TCP / IP es principalmente inmune. Los paquetes de datos pueden llegar en momentos extraños, o incluso fuera de servicio, y la pila TCP / IP reconstruye el flujo de información bastante bien. Con el tráfico de voz, se nota la inestabilidad o la falta de paquetes muy fácilmente, y un tráfico de voz por encima de un umbral realmente bajo se vuelve inestimable. Puede mejorar la calidad agregando latencia (para permitir el almacenamiento en búfer de más paquetes), pero esto también molesta a los usuarios. Lo que QoS (Quality of Service) le permite hacer a nivel de enrutador es priorizar el tráfico sensible al tiempo a expensas del tráfico de datos. Sus datos aún pasarán, pero como es más inmune a los problemas de tiempo, no suele importar.

Pero mis comentarios principales serían: en serio, conseguir un profesional; esa no es una red pequeña, y buena suerte con ella, espero que vaya bien.

Rory Alsop
fuente
Mi diseño original tenía más vlan para dividir los datos confidenciales, pero me dijeron que tenía muchos vlans. Creo que volveré a mi diseño original de vlan entonces. Por favor, podría explicar "Observe también dónde se encuentra su kit de VOIP: si todo está en VLAN puramente lógicas, asegúrese de que la QoS esté configurada para ello; de lo contrario, cuando las redes estén ocupadas encontrará VOIP inutilizable". Obtener un profesional no es una opción, la universidad ha pedido voluntarios para ayudar.
Stokie Mike
También es un proyecto muy emocionante y una gran oportunidad para mí y la Universidad. He visto otras instalaciones realizadas por profesionales aquí, muy mal implementadas y poco confiables. Gracias de nuevo.
Stokie Mike
@Stokie: actualización rápida de VOIP y QoS para usted.
Rory Alsop
Gracias de nuevo por tu ayuda. Estoy usando el conmutador L3 para el enrutamiento entre vlan, ¿puedo hacer QoS allí (Cisco 6500 Sup 720)?
Stokie Mike
Encontré información sobre QoS y Cisco 6500 en cisco.com/en/US/products/hw/switches/ps708/…
Stokie Mike