iKuai爱快流控路由

标题: 分享20人小公司的万兆网络方案，欢迎指正 [打印本页]

作者: lasko 时间: 2021-7-29 23:10
标题: 分享20人小公司的万兆网络方案，欢迎指正
本帖最后由 lasko 于 2021-7-29 23:11 编辑

(, 下载次数: 93)
先上图，这个是初版的图，中间部分设备变更了，在二层交换机和AP中间，加了POE交换机，其他基本如图。

线路：两条1000M ADSL ，一条100M 专线。
交换机：主交换机3层光交换机，4电口1000M+ 28光口万兆。次交换机24口千兆+2光口万兆上联。
路由：HP 600G3 (cpu:G3930,内存:16G，硬盘: 128M2SSD+500g)，82599双口万兆网卡+82576四口千兆网卡。
NAS: 群晖六盘位+82599单口万兆网卡。日常设计文件保存和提取，因为只有一个PCIE扩展，拆掉了缓存装万兆网卡。
服务器： R630+82599又口万兆网卡。Esxi虚拟机，日常办公系统服务器如财务，oa安装在服务器上。
线路连接：这里体现了爱快的方便。
1. 主交换机四个电口，分别设置了VLAN，1001-1004，专线光猫出来接到1001，ADSL光猫出来分别接1002、1003，trunk 光口27，28允许1001-1004通过。 1-26光口trunk，默认VLAN 1，当普通交换机使用。服务器、NAS都接在主交换机上。
2. 二级交换机上联端口连接主交换26口。交换机连接旧有不能接光纤的设备和监控。
3. 路由两光口设置为一WAN一LAN ，WAN口光纤接主交换27口，LAN口光纤接主交换25口。路由WAN口使用基于VLAN的混合模式，静态IP使用VLAN1001设置固定IP，同时可以扩展专线的整网段IP。ADSL/PPPOE分别使用1002、1003拨号，建立ADSL连接。
4. 两台AP，通过爱快的AC控制，实现统一管理，放出两组SSID，一组内部使用不做隔离，另一组访客使用，隔离不允许访问内网其他机器。
5. 使用端口分流，指定分组设置，实现不同设备，走不同线路。需要公网独立IP的设备，指定给固定IP线路，然后通过NAT规则，指定出口IP地址。
6. 爱快可以使用VLAN做分组网段隔离，AP也可以设置VLAN，因为小公司需求不大，所以还没有研究。

以上是我公司刚完成的网络改造，汇报完毕。请各位有经验的大佬帮忙看看，这样做有没有什么问题和改进空间。拜谢。

作者: er_shi 时间: 2021-7-30 13:43
都上万M光交换机了，牛

作者: 小C 时间: 2021-7-30 17:25
虽然20人，但这IT标准已经超过很多200人的公司了

作者: dutian_007 时间: 2021-7-30 17:47
这配置相当高了。

作者: 爱快大刘 时间: 2021-7-30 19:38
:lol:lol:lol:lol十年前我们单位四百多人，主路由器一台tl-r402 铁通6M ADSL

作者: 006w 时间: 2021-7-30 20:33

爱快大刘发表于 2021-7-30 19:38
十年前我们单位四百多人，主路由器一台tl-r402 铁通6M ADSL

我们是402M，隔三差五就掉线
当年如果爱快早点出来，就不用那么累了

作者: yoyouyour 时间: 2021-7-30 21:18
我们这很多200人公司就一个家用路由器加几个交换机你这明显就是土豪啊

作者: lasko 时间: 2021-7-31 12:39

小C 发表于 2021-7-30 17:25
虽然20人，但这IT标准已经超过很多200人的公司了

广告公司，千兆内网已经好几年了，同事总说传图慢，老板让想办法，很多设备都是小黄鱼上淘来的。

作者: lasko 时间: 2021-7-31 12:40

yoyouyour 发表于 2021-7-30 21:18
我们这很多200人公司就一个家用路由器加几个交换机你这明显就是土豪啊

换个爱快系统吧，真的是稳定，我们原来一台D525的爱快，工作了好多年，这次才升级。

作者: hugovk 时间: 2021-7-31 15:16
你这个拓扑结构，好像没必要这么连线吧，

既然主路由HP 600G3有82599双口万兆网卡+82576四口千兆网卡，为什么不把两条1000M ADSL ，一条100M 专线，都接在HP 600G3的四个82576千兆网口上，然后，再通过82599万兆网卡，下接到光纤交换机。
也可以双口82599万兆网卡，与链路聚合，爱快支持LAN口链路聚合。当然，其实一条万兆作为LAN口下连光纤交换机的万兆光口，也绰绰有余了，可做可不做。

这样，网络拓扑结构，以串行形式连接，不比你现这样宽带接入光纤交换机，再转接到路由器，然后路由器再转接入到交换机，不用搞得这么复杂会，不会更好一些吗？

你这样绕一圈回来的接法，意义似乎并不大，首先，通过二次转发信号延迟也会增加（当然，这点延迟你可以忽略不计），最主要的是，增加了转发潜在的网口节点，也意味着可能潜在多一层故障概率。另外，你这样接法，光纤交换机也并没节省什么网口，反而还占用多一个万兆光口（27WAN口）。况且，你所说的服务器： R630+82599又口万兆网卡（应该是双口吧），你还是要接到光纤交换机的万兆光口上，甚至为了冗余和增加带宽，你可以做双线万兆的链路聚合。可以说，你现这个光兆交换机，就是核心交换机，其高速率的万兆光接口，尽量要合理利用。
而且，在主路由HP G630G3上，你说增加了82576四口千兆网卡（这个应该是PCIe扩展网卡），为什么不用来作WAN口接3条宽带，要绕这么大圈子呢？否则，你增加这四口千兆网卡的意义又何在呢？

以上，仅个人意见供参考。

作者: hugovk 时间: 2021-7-31 16:11
另外，你内网还有NAS，你说是群晖六盘位的NAS，我不知道你具体用的是哪个型号，但按群晖的尿性，这个配置一般性能好不到哪里去，你现在PCI插槽上插了82599万兆卡，这个肯定也是接到核心的光纤交换机的万兆网口上的。
你内网20个人左右，平时主要是供日常设计文件保存和提取，我可以理解为一些图片文档，这对NAS的硬盘RAID阵列的读取IOPS也是有一定诉求的，六个HDD磁盘，你基本是要做RAID冗余备份的，无论是RAID5或RAID10也好（除非你不怕数据丢失），那你的磁盘阵列读写性能，恐怕也满足不了万兆网口的速率。
当然了，如果你全部磁盘用的是SSD固态硬盘，那就当我没说这话，但我想你不至于这么壕吧？先不要说你20个人并发，就三分之一用户，6~7个人在线读取的时候，也对NAS的性能和网卡速率，有一定的压力。
所以，我建议你还是买个群晖带M.2固态硬盘的万兆扩展卡 E10M20-T1，这样既可用上万兆网卡，也可以用M.2固态硬盘作为高速缓存，提高六个盘位组RAID后的IOPS读写性能。但这个 E10M20-T1扩展卡，是电口的（你也可以找有没有兼容的万兆光口的，我现还没找到合适），你就买个万兆光电转换接口，接到光纤交换机的万兆光口上，这样才能发挥其应用的作用和效果。

因为，我曾用过群晖八盘位的DS1821+，八个盘位插满14T HDD硬盘组RAID5，CPU是AMD Ryzen V1500B，曾用自带的4个千兆的网口和交换机作链路聚合，有时候当内网只要4~5台机子一起访问，有些在看图片，有些在看视频，有些在看文档，就感觉有些吃力了。后来弄了块 E10M20-T1，上面插了两块250GB的SN750作为高速缓存，体验一下就有质的提升。

作者: 网络浪子 时间: 2021-7-31 16:28
喜欢制的这个图

作者: 399522232 时间: 2021-8-2 18:42
低成本的万兆路由！惠普这二手主机很受欢迎啊

作者: lijingbiqqw 时间: 2021-8-2 20:04
本帖最后由 lijingbiqqw 于 2021-8-2 20:05 编辑

提醒一下电信，联通，移动专线业务，可以在下单安装的时候要求不要光猫，这个是一项业务，不收费的，客户经理提前沟通。之后光模块接到你设备里，这样大流量的时候不至于光猫死机！:):)那个不要光猫的流量顺滑！

作者: Dczhi 时间: 2021-8-2 21:51

lijingbiqqw 发表于 2021-8-2 20:04
提醒一下电信，联通，移动专线业务，可以在下单安装的时候要求不要光猫，这个是一项业务，不收费的，客户经 ...

光猫功能的光模块不便宜啊

作者: lijingbiqqw 时间: 2021-8-3 19:51

Dczhi 发表于 2021-8-2 21:51
光猫功能的光模块不便宜啊

千兆光膜，芯片华为的，一般50元。电信和移动会给你免费提供的。

作者: linnan2004 时间: 2021-8-4 15:52

006w 发表于 2021-7-30 20:33
我们是402M，隔三差五就掉线
当年如果爱快早点出来，就不用那么累了

我以前一直用的海蜘蛛

作者: e_yxc 时间: 2021-8-19 12:08
我这边还是用着100M的交换机

作者: nsc117 时间: 2021-8-20 09:27

lijingbiqqw 发表于 2021-8-3 19:51
千兆光膜，芯片华为的，一般50元。电信和移动会给你免费提供的。

不熟悉的东西不要随口说。
你说的这个是Stick光猫模块，也叫SFP光猫，并不是几十块钱一个的普通的光模块。
Stick光猫模块就是长成SFP模块一样的光猫，价格并不便宜。

作者: lijingbiqqw 时间: 2021-8-21 08:25
本帖最后由 lijingbiqqw 于 2021-8-21 08:27 编辑

nsc117 发表于 2021-8-20 09:27
不熟悉的东西不要随口说。
你说的这个是Stick光猫模块，也叫SFP光猫，并不是几十块钱一个的普通的光模块 ...

每一个省和市区域不一样，我这边都是这样干的，在说我也不是改装一家了，跟电信一起做这个整改也赚了不少钱了，我发财的路子我会不知道？不相信你来我这里看看，带你参观参观！对了，补充一句，电信那边会为了这单活去更改或者增加部分设备，前提客户给费用的。

作者: wxz8506 时间: 2021-8-21 08:42
我公司也准备升级万兆爱快路由和机房核心交换机+NAS万兆。

作者: lasko 时间: 2021-10-22 12:21

hugovk 发表于 2021-7-31 15:16
你这个拓扑结构，好像没必要这么连线吧，

既然主路由HP 600G3有82599双口万兆网卡+82576四口千兆网卡，为 ...

很久没来这个方案是想过因为之前千兆交换聚合的时候出过两次问题连NAS莫明其妙的就没了然后过一会就好了所以就没考虑链路聚合当然这个问题有可能是我交换机或nas的配置问题

还有爱快上加的四口pcie网卡本来想把三条线直接连接上但那会电信的一直说会免费升级三千兆光纤所以用交换机的端口回环了一下淘的交换机背板带宽足够延迟也测了确实会多一点点测了网络结点 trace了电信官网发现结点数没有增加怕以后升级麻烦就把那个四口给空下来了:L

作者: lasko 时间: 2021-10-22 12:26

hugovk 发表于 2021-7-31 16:11
另外，你内网还有NAS，你说是群晖六盘位的NAS，我不知道你具体用的是哪个型号，但按群晖的尿性，这个配置一 ...

哎？还有这个东西啊那我们也得加一块那我交换机再配个万兆电模块应该就行了不然原来缓存浪费了多谢多谢

作者: lasko 时间: 2021-10-22 12:28

lijingbiqqw 发表于 2021-8-2 20:04
提醒一下电信，联通，移动专线业务，可以在下单安装的时候要求不要光猫，这个是一项业务，不收费的，客户经 ...

还可以这样玩啊那我问问电信的

作者: lasko 时间: 2021-10-22 12:30

lijingbiqqw 发表于 2021-8-21 08:25
每一个省和市区域不一样，我这边都是这样干的，在说我也不是改装一家了，跟电信一起做这个整改也赚了不少 ...

之前来升级过一次专线说是带宽升级就是换了个光猫这东西需要找谁申请

作者: lasko 时间: 2021-10-22 12:32

wxz8506 发表于 2021-8-21 08:42
我公司也准备升级万兆爱快路由和机房核心交换机+NAS万兆。

大佬你们估计要用高级设备的我们这套好多是淘的设备改下来也就花了四千左右

作者: wxz8506 时间: 2021-10-24 12:40

lasko 发表于 2021-10-22 12:32
大佬你们估计要用高级设备的我们这套好多是淘的设备改下来也就花了四千左右 ...

那还真没有。公司不一样，领导对网络这方便没很大要求。交换机基本都是傻瓜的，哎

作者: hugovk 时间: 2021-11-11 17:22

lijingbiqqw 发表于 2021-8-21 08:25
每一个省和市区域不一样，我这边都是这样干的，在说我也不是改装一家了，跟电信一起做这个整改也赚了不少 ...

这是因为他没看清楚，这是专线，专线，专线，不像家用宽带，是要通过PPPoE拨号，外网是动态公网IP地址，还得要认证光猫的LOID号，注册在运营商的认证收费系统里，才能开通。而专线都是专用的线路（好些都是MLPS线路），上下行对等，有固定的IP地址，这实际上就足够完成认证了，连接外网时，只需要在路由器里的WAN口填写运营商提供的IP地址就可以上网了，不需要像家用光猫那样PPPoE拨号，还是动态公网地址，有些地区如果是移动和联通的话，甚至不给用户公网地址。当然了，还有一些是没有固定IP地址的专业，相对便宜一些，这个我没怎么搞过

作者: v2850210 时间: 2021-11-12 14:08
太高大上了，点赞

作者: lxb311715 时间: 2021-11-16 15:27
本帖最后由 lxb311715 于 2021-11-16 15:35 编辑

我给你一点儿经验，同样是设计公司，你这个拓扑，必须要上硬件防火墙和带行为管控的路由器，因为设计师要上外网，用代理，他们为了方便，会用usb热点设备，插在机箱上，自组非法局域网，然后其他终端设备比如手机，进行对传，还有些需要在家办公的，远程控制公司电脑，使用一些隧道软件，一不小心就是ARP和环路，你这个多网段的，吃枣的事情，我现在vlan+物理隔离+mac绑定，都有人为了方便，想尽办法模拟mac用访客段dhcp获取ip后利用提权bug接入内网改网络设置。
什么黑白名单ACL规则，都试过了，除了捆住自己的手脚以外，没有啥毛用

老板带了几个甲方大佬来公司，手机笔记本连不上网，还要IT给分配IP，这不是笑话吗

所以，最终解决方案就是，光纤入户，行为管控路由器，三层交换机，接AP，接nas，接终端，就一个简单的平行拓扑结构。

一劳永逸。

作者: lijingbiqqw 时间: 2022-3-8 20:53

hugovk 发表于 2021-11-11 17:22
这是因为他没看清楚，这是专线，专线，专线，不像家用宽带，是要通过PPPoE拨号，外网是动态公网IP地址， ...

我这边搞定了电信运维，一个光猫多个宽带帐号拨号，光模块拨号都可以，看运维那边怎么设置，因为我是做网络的，所以我关系户肯定有电信和移动，那些客户经理或者运维。

作者: hugovk 时间: 2022-3-8 21:20

lijingbiqqw 发表于 2022-3-8 20:53
我这边搞定了电信运维，一个光猫多个宽带帐号拨号，光模块拨号都可以，看运维那边怎么设置，因为我是做网 ...

你们那是在哪里呀，现有什么专线，相对便宜好用一些，有没有固定公网IP都行。

作者: lijingbiqqw 时间: 2022-7-29 10:09

hugovk 发表于 2022-3-8 21:20
你们那是在哪里呀，现有什么专线，相对便宜好用一些，有没有固定公网IP都行。 ...

浙江杭州

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)