2023年11月27日发(作者:)

如果给你五百台电脑,怎样同时上⽹?IP地址如何分配?

500台电脑的⽹络场景,同时上⽹和IP分配都是⼩事,难点在于管理。单是⽹络设备的管理就够

你折腾的了。⼀般企业都是在实际使⽤的过程中,对⽹络的需求逐步增加,越变越复杂的。所

以事先预留⾜够的⽹络扩展能⼒,就很重要了。

我管理的PC没有500台,但是乱七⼋糟的节点加起来,超过2500个,应该算的上中型企业⽹

络,⼩型园区了。

桌⾯云,员⼯不喜欢,运维⼈员超级喜欢,反正我是这样,哈哈哈。253虚拟机

+253TC的话,刚好500左右。

怎么同时上⽹和IP地址分配,其实都是组⽹设计的内容,属于开局初期的规划阶段。那我就结

合经验,和你分享⼀些注意事项。

⾸先是怎么同时上⽹

与和500⼈同时上⽹相⽐,让500⼈中有些⼈不能上⽹,什么时间段能上⽹,只能上哪些指定的

⽹,才是重点难点,因此设备选型要优先考虑:

⽹络出⼊⼝设备:

建议直接⽤防⽕墙,防⽕墙普遍带路由器的功能,路由器却没有防⽕墙的功能(不全⾯);下

⼀代墙包含了传统墙的功能,还有VPN、⼊侵防御、防病毒、数据防泄漏等多种安全功能。

(当然,有的功能需要购买license。)

此墙可以解决中⼩型企业⼀般⽹络安全需求。

⽹关设备:

果断三层交换机,盒式的就⾏,建议2-3台交换机做堆叠。(理由在IP划分的时候说)

汇聚层设备:

如果你确定只有500PC,核⼼也按我说的做成堆叠的话,可以不⽤汇聚层。

接⼊层设备:

建议选⽀持802.1aq的型号,这样可以和核⼼堆叠的每个成员做Eth-trunk,不仅增加链路带宽,

起到链路备份作⽤,也不⽤担⼼因为核⼼交换机故障引起全⾯瘫痪。

我的核⼼交换机堆叠。

因此,设备⽅⾯的清单如下:

防⽕墙⼀台;

核⼼交换机3台(48⼝,堆叠。);

接⼊层交换机22台;(24⼝,也可以选择24⼝,24⼝好处是减⼩交换机出问题引起的故障⾯

积。这个也根据你终端决定,每个接⼊节点的终端数量不会刚好和交换机接⼝相等。)

不带汇聚层的组⽹。

以上是物理层的规划,接下来说说数据链路层和⽹络层:

IP地址如何分配

500PC,显然⼀个C类地址是不可能的,vlan的优势不必多说。但是划分 vlan有⼀个问题,假

如你vlan100 vlan200之间,不允许3层互通,或者必须经过防⽕墙来控制后才可以互通(实

际上企业都会遇到这样的问题,全靠交换机做ACL不实际,⽹管要吐⾎!)。这时如果你⽤不

同核⼼交换机来带不同的 vlanifvlan100⼀台核⼼,vlan200⼜要⼀台核⼼),那随着你 vlanif

数量增加,核⼼交换机越来越多,我们知道,核⼼⼀变动,随之变动的有汇聚、接⼊设备,甚

⾄是防⽕墙。因此,在同⼀台交换机上划分多个 vlan,并利⽤vrf技术实现3层必须经过外层设备

才能互通就变得⾮常实⽤了。所以这就是我刚才为什么建议做堆叠,⽽不是分开带机的原因。

简单举例:

利⽤vrf技术后,交换机上的2vlan⽆法3层互通,必须经过防⽕墙(当然,要配置

好路由。),由防⽕墙来控制是否可以互通,有必要的话,还可以在防⽕墙上针对2

vlanif划分为不同区域,精细控制。例如可以放⾏SMB服务,但是禁⽌FTP流量等

等,⾮常灵活。

vlanif越多,路由条⽬就越多,可以⽤ospf或者其它动态路由来简化管理。

综上,⽹络部署重点在于管理,没有哪⼀家公司需求会⼀模⼀样,所以组⽹⽅式也千变万化。

⽽且我们国家的企业,近年来对IT是越来越重视,可是对CT仍然停留在⽹络管理员就是修电

脑,修电灯泡,甚⾄修⽔龙头的那种印象。

让我们⼴⼤⽹⼯、从业⼈员、爱好者,团结起来,努⼒学习,改变待遇长期不如编。。。算

了,让我们欢度国庆吧~