网络连接图回顾

网络工程 路由 VLAN ipv4
2021-07-20 06:25:00

问候,这是我第一次尝试网络连接,因此,如果整个社区能够审查并指导我完成它,我将不胜感激。

我们有一个主要办公室和 7 个分支机构。我们不打算扩大超过 12-15 个分支机构(即使我们这样做了,我觉得我的以下假设和设计应该成立)。

我们计划在办公室之间建立 P2P VPN 线路。我已经提议我们使用 172.16/12 子网。总部为 172.16.xx,每个分支机构为 172.17.xx,依此类推。我们每个分支的 PC 永远不会超过 500 台。

目前有 6 个部门,我已经为每个部门提出了 172.16.1.x 等,这将在分支机构中保持一致。

我们有(无论如何)原因 L3 交换机到处都是,每个交换机可以容纳 2 个或更多部门的计算机。因此,为了隔离,我提出了在交换机之间保持(VLAN ID)一致的 VLAN(我不确定这部分)。因此,如果销售计算机在交换机 2 上的 VLAN2 中。其他交换机(例如交换机 3)将拥有 VLAN2 持有子网和专用于销售的 PC。我附上了一张图表以便更好地解释。我想知道是否可以根据我附上的图表进行 VLAN 间通信,当然还有根据我们的需要推荐的更改。

我肯定在中继方面犯了错误。请指导我完成它。防火墙是否能够通过上行链路和 L3 交换机上的中继查看端点的 IP。图中的所有开关也是L3

在此处输入图片说明

谢谢大家的期待!

编辑:

根据其中一个答案,我的要求是针对 L3VPN。再次感谢你。只是为了确认并重申,因为这很关键,我的工作取决于是否正确 - 正如有人建议的那样 - 我计划转移到 10/8 子网以获得更好的可扩展性。因此: 1. HQ 将有 10.1.0.0 子网

  1. 分支将从 10.2.0.0 系列开始。

  2. 将使用每个部门的 VLAN 进一步细分 IP 范围。这将在整个组织中保持一致 A. 销售将在总部分配 10.1.1.0。B. 分支 1 中的 10.2.1.0 和分支 3 中的 10.3.1.0 – 依此类推。网络设备拓扑将在整个分支机构中保持一致:

  3. ISP CPE - 防火墙 - L3 核心交换机 - L3(在 L2 模式下工作)交换机 - 端点。分支之间的物理拓扑将是 -
  4. 端点 - L2 交换机 - L3 核心交换机 - 防火墙 - ISP CPE - L3VPN - ISP CPE - 防火墙 - L3 核心交换机 - L3(在 L2 模式下工作)交换机 - 端点。用于说明的 IP 地址拓扑将是:端点 (10.1.1.5) - L2 交换机 (10.1.5.2) - L3 核心交换机 (10.1.1.1) - 防火墙 (10.1.1.250 - 问题 - 这应该在同一子网上还是在同一子网上最好将防火墙 IP 设为 10.1.0.250)-ISP CPE-L3VPN-ISP CPE-防火墙(10.2.1.250)-L3 核心交换机(10.2.1.1)-L3(在 L2 模式下工作)交换机(10.1.5.2)-端点(10.2.1.5)

问题: 1. 这在安全性(每个部门的 VLAN 隔离)、可管理性、带宽(广播域和受损端点隔离)方面是否最佳?2. 不同 VLAN 和 IP 子网 (10.1.2.5) 上的机器是否会与总部 (10.1.1.5) 和 10.2.2.5(分支机构)的机器通信?我认为在同一个办公室(总部/分支机构)内的机器不会通信。但是,它们将在同一部门的分支机构之间(10.1.1.5 和 10.2.1.5)。

非常感谢所有对此进行审查和帮助我的人。

第二张图 使用 IP 在分支机构和总部之间进行机器到机器

2个回答

有很多方法可以做到这一点。以下是一些观察结果:

  • 将第 3 层尽可能靠近最终用户通常是一个好主意。由于您到处都有第 3 层交换机,因此您很容易做到这一点。
  • 您应该考虑创建一个路由层次结构,其中分支交换机终止本地 VLAN,核心交换机终止分支链路。
  • 虽然将每个部门放在单独的 VLAN 上没有问题,但除非您计划限制部门之间的访问,否则没有真正的价值。
  • 更重要的是确保没有第 2 层链接连接您的分支机构。一切都应该是L3。我认为没有必要在任何地方使用中继。
  • 将您的服务器放在它们自己的 VLAN 上以保持设计一致性,而且因为这是最有可能实施策略的地方。

所以这里有几点我建议:

  • 在防火墙自身上创建每个VLAN的虚拟接口,作为VLAN内每个主机的网关。
  • 尝试在核心交换机上获得冗余,如果可以堆叠,请选择它。
  • 为服务器使用不同的 VLAN 并再次将其虚拟接口放在防火墙本身上(使用该接口 IP 作为服务器的网关),这样您将拥有一个用于服务器的 DMZ。
  • 在服务器区域也放置一个交换机,不要将它们直接连接到核心交换机。

我们每个分支的 PC 永远不会超过 500 台。

  • 不是一个非常强烈的词(避免它)公司成长,网络成长。永远不知道何时需要新硬件来满足不断增长的用户群。
  • 您必须在交换机({部门和核心}和{服务器交换机和核心})之间以及 L3 核心和防火墙之间中继端口。
  • 除非需要,否则连接到主机/服务器的端口将被置于访问 vlan 模式。
  • 是的,VLAN 间流量将通过此拓扑中的防火墙(您可以应用允许和不允许的策略)。
  • 是的,防火墙将能够直接看到此拓扑中终端主机的 MAC。

更新 您还可以将 L3 作为每个 VLAN 的网关而不是防火墙,我正在写一些将防火墙作为网关的利弊(反之亦然):

缺点

  • 每个主机 arp 都会来到防火墙,您必须在防火墙上查看 arp-cache 大小。
  • 对于跨 vlan 路由,您必须在防火墙上制定策略(因祸得福)。
  • SLAAC 可能不适用于防火墙中的 IPv6。
  • 如果防火墙关闭,VLAN 间流量也将停止。

优点

  • 较少的配置开销。

  • 您可以配置 DMZ(允许/禁止来自 Internet/Intranet 的不同流量)。

  • 更好地控制 vlan 间的流量。

  • 交换比路由更快,数据包将被切换到防火墙。

  • 防火墙将看到所有主机。

更新 2(更新问题后):

您的图表显示了其他内容(除了您所解释的内容)。无论如何。

来自图:不要使用与该客户端来自同一 VLAN 的交换机的管理 IP!使用单独的网络。

L2 交换机 (10.1.5.2)

两端的 L2 交换机具有相同的管理 IP,不要这样做。分配不同的管理 IP 范围(我认为这是一个错字)。

防火墙(10.1.1.250 - 问题 - 这应该在同一个子网上还是将防火墙 IP 设为 10.1.0.250 更好)

不要使用同一个网络,它没有用。在 L3 和防火墙之间使用点对点网络(a /30),因为在任何情况下您的 VLAN 的网关都将是 L3,所以为什么要使事情复杂化(如果您要使用此拓扑,即)

  1. 这在安全性(每个部门的 VLAN 隔离)、可管理性、带宽(广播域和受损端点隔离)方面是否最佳?

是的,到目前为止似乎是这样(如果我想到了什么,我会更新)。

  1. 位于不同 VLAN 和 IP 子网 (10.1.2.5) 上的机器是否会与总部 (10.1.1.5) 和 10.2.2.5(分支机构)的机器通信?

正如您所说,您正在使用 L3VPN(路由主要通过 bgp 从一个终端路由器向另一个终端路由器通告),因此例如来自总​​部的 10.1.0.0/8 通过 L3VPN 通告给所有其他分支,从分支通告 10.2.0.0/8到总部,他们就能沟通了。所以本质上,这取决于您的 ISP 允许您发布多少路由。如果总部办公室有分支机构路线,您可以轻松实现这一点,反之亦然。

我认为在同一个办公室(总部/分支机构)内的机器不会通信。但是,它们将在同一部门的分支机构之间(10.1.1.5 和 10.2.1.5)。

这是你想的,还是你想要的。因为默认情况下不会发生这种情况。它与您的想法相反(假设)本地 VLAN 将能够通过 VLAN 间(通过 L3)路由进行通信(因为您已经在 L3 本身上配置了每个 VLAN 的 GW)。同样对于不同的办公室(总部/分支机构)部门,您将需要传输 L3VPN 路由(如上所述,ISP 的工作),尽管您也可以使用 NAT(配置开销)来实现这一点。

希望这可以帮助!

其它你可能感兴趣的问题
上一篇BGP 通过 eBGP 路由来自 iBGP 的流量 下一篇Cisco SG300 作为核心交换机,路由器需要分离 vlan 吗?