麻煩各位大大能給小弟一點建議
先簡單描述一下資訊設備及公司網路現況
防火牆為Zyxel USG FLEX 200
交換器為Zyxel GS1900-24
無線AP為Zyxel NWA1123-AC-PRO及NWA210AX
無線AP有上Zyxel的Nebula,防火牆及交換機沒有上
其他還有三台SERVER及MAIL SERVER等
目前公司有一條中華100M及一條12M光纖線路,但實際上只有使用100M的線路
12M的目前是獨立給保全系統使用,線路進到公司後透由轉接盒轉成RJ45網路線接在防火牆的WAN1上,然後防火牆的LAN1接在機櫃內的SWITCH上,SWITHC再透由光纖彼此連接至機櫃內SWITCH及其他分點SWITCH,機櫃內一台SWITCH會連接伺服器及NAS等設備(沒畫在架構圖上
公司沒有AD,全都是本機端,網路方面由防火牆擔任DHCP伺服器,重要設備有進行MAC綁定成固定IP,其餘使用者皆為DHCP派發的浮動IP
詳細架構請參閱下圖
現在遇到的問題是廠內設備有時會發生電腦取不到IP問題,原因是IP不夠用
初步清查是因為廠內所有設備包含同仁私人手機連的WIFI都是同一網段
也就是10.1.1.0,但因為子網是255.255.255.0
因此實際上可用IP數跟CLASS C一樣只有254個
因此想藉由此機會將網路重新規劃,一方面增加可用IP數,一方面將私人連線徹底隔離
目前小弟思考後有以下幾種做法
1.將子網遮罩改成255.255.252.0,可使用IP數有1022,絕對夠用,
但此只解決IP數問題,並無解決內部與私人設備在同一網段的安全性問題
2.同上做法,甚至也不需要更改子網遮罩,直接在防火牆上設定允許存取的設備MAC白名單
未在名單上的私人設備及訪客只能去連訪客用的SSID
3.設定VLAN進行網路架構重新規劃,基本上原網段設備全規劃在VLAN10
並在防火牆設定路由讓它走WAN1的100M線路
然後多新增一個VLAN20的SSID供訪客及私人設備連線用,不會連接其他設備
並設定路由讓它走WAN2的12M線路,不能連線及存取VALN10的所有設備,詳細如下圖
目前主管較傾向第三個方案,也就是重新架構整個網路
但小弟在架構上有以下幾點問題想請教版上大大
1.若依照此架構圖所示,假設我末端接了無網管型的SWITCH,例如ZyXEL GS-108B v3
之後再接PC or 印表機之類的末端設備,GS-108B此類無支援VLAN的SWITCH
有辦法接收VLAN的封包讓後端PC間正常通訊嗎?
還是說只要有VLAN,就全部都要使用有網管功能且支援VLAN的SWITCH呢?
2.若要將部份設備設成固定IP,各位會建議直接在電腦上的網路介面設定
還是在防火牆上用MAC綁定的方式呢?
會有什麼好壞之分還是差別嗎?
3.LAN與VLAN不能設成同網段,目前LAN設為10.1.1.0,若不考慮更改現有設備IP的情況下
是否要先分別建立好VLAN10及VLAN20,並分別給予跟現有LAN不同的網段
例如LVAN10為10.1.2.0,VLAN20為192.168.1.0,並將所有設定如TRUNK串接及PORT的
VID、PVID之類的設定好,然後進行連線測試,確定都沒問題後再把目前LAN的10.1.1.0
網段拿掉或改成別的網段,然後再將10.1.1.0網段設定在VLAN10,這樣就能讓原有設備
在不更動IP及設定的情形下無縫切換,不知道小弟的理解是否有誤
4.更改成VLAN不會影響現有場內ERP或MAIL SERVER等設備運作,只是網路封包傳遞時
多了TAG.除非Port的Trunk、Access或VID、PVID設定錯了才會有影響這樣對嗎
5.假設要多增加一個VLAN30,且要可以與VLAN10連線及互通,是否要在防火牆上設定
VLAN10與VLAN30之間的路由,但這樣也會增加防火牆的負擔
因為要一直進行VLAN10與VLAN30之間封包的傳遞
6.光纖Port彼此之間也能做Trunk對嗎?跟RJ45之間只是傳輸介面不同而已
以上因為小弟相關知識及經驗不夠,有許多的疑問,目前有在努力進行惡補,希望各位大大可以幫小弟解惑一下並給予小弟建議,感謝!!!
,趕緊喊救人的...
