分享20人小公司的万兆网络方案，欢迎指正

lasko

先上图，这个是初版的图，中间部分设备变更了，在二层交换机和AP中间，加了POE交换机，其他基本如图。

线路： 两条1000M ADSL ，一条100M 专线。
交换机：主交换机3层光交换机，4电口1000M+ 28光口万兆。 次交换机24口千兆+2光口万兆上联。
路由：HP 600G3 (cpu:G3930,内存:16G，硬盘: 128M2SSD+500g)，82599双口万兆网卡+82576四口千兆网卡。
NAS: 群晖六盘位+82599单口万兆网卡。日常设计文件保存和提取，因为只有一个PCIE扩展，拆掉了缓存装万兆网卡。
服务器： R630+82599又口万兆网卡。Esxi虚拟机，日常办公系统服务器如财务，oa安装在服务器上。
线路连接： 这里体现了爱快的方便。
1. 主交换机四个电口，分别设置了VLAN，1001-1004， 专线光猫出来接到1001，ADSL光猫出来分别接1002、1003，trunk 光口27，28允许1001-1004通过。 1-26光口trunk， 默认VLAN 1，当普通交换机使用。服务器、NAS都接在主交换机上。
2. 二级交换机上联端口连接主交换26口。交换机连接旧有不能接光纤的设备和监控。
3. 路由两光口设置为一WAN一LAN ，WAN口光纤接主交换27口，LAN口光纤接主交换25口。路由WAN口使用基于VLAN的混合模式，静态IP使用VLAN1001设置固定IP，同时可以扩展专线的整网段IP。ADSL/PPPOE分别使用1002、1003拨号，建立ADSL连接。
4. 两台AP，通过爱快的AC控制，实现统一管理，放出两组SSID，一组内部使用不做隔离，另一组访客使用，隔离不允许访问内网其他机器。
5. 使用端口分流，指定分组设置，实现不同设备，走不同线路。需要公网独立IP的设备，指定给固定IP线路，然后通过NAT规则，指定出口IP地址。
6. 爱快可以使用VLAN做分组网段隔离，AP也可以设置VLAN，因为小公司需求不大，所以还没有研究。

以上是我公司刚完成的网络改造，汇报完毕。请各位有经验的大佬帮忙看看，这样做有没有什么问题和改进空间。拜谢。

hugovk

你这个拓扑结构，好像没必要这么连线吧，

既然主路由HP 600G3有82599双口万兆网卡+82576四口千兆网卡，为什么不把两条1000M ADSL ，一条100M 专线，都接在HP 600G3的四个82576千兆网口上，然后，再通过82599万兆网卡，下接到光纤交换机。
也可以双口82599万兆网卡，与链路聚合，爱快支持LAN口链路聚合。当然，其实一条万兆作为LAN口下连光纤交换机的万兆光口，也绰绰有余了，可做可不做。

这样，网络拓扑结构，以串行形式连接，不比你现这样宽带接入光纤交换机，再转接到路由器，然后路由器再转接入到交换机，不用搞得这么复杂会，不会更好一些吗？

你这样绕一圈回来的接法，意义似乎并不大，首先，通过二次转发信号延迟也会增加（当然，这点延迟你可以忽略不计），最主要的是，增加了转发潜在的网口节点，也意味着可能潜在多一层故障概率。另外，你这样接法，光纤交换机也并没节省什么网口，反而还占用多一个万兆光口（27WAN口）。况且，你所说的服务器： R630+82599又口万兆网卡（应该是双口吧），你还是要接到光纤交换机的万兆光口上，甚至为了冗余和增加带宽，你可以做双线万兆的链路聚合。可以说，你现这个光兆交换机，就是核心交换机，其高速率的万兆光接口，尽量要合理利用。
而且，在主路由HP G630G3上，你说增加了82576四口千兆网卡（这个应该是PCIe扩展网卡），为什么不用来作WAN口接3条宽带，要绕这么大圈子呢？否则，你增加这四口千兆网卡的意义又何在呢？

以上，仅个人意见供参考。

lxb311715

我给你一点儿经验，同样是设计公司，你这个拓扑，必须要上硬件防火墙和带行为管控的路由器，因为设计师要上外网，用代理，他们为了方便，会用usb热点设备，插在机箱上，自组非法局域网，然后其他终端设备比如手机，进行对传，还有些需要在家办公的，远程控制公司电脑，使用一些隧道软件，一不小心就是ARP和环路，你这个多网段的，吃枣的事情，我现在vlan+物理隔离+mac绑定，都有人为了方便，想尽办法模拟mac用访客段dhcp获取ip后利用提权bug接入内网改网络设置。
什么黑白名单ACL规则，都试过了，除了捆住自己的手脚以外，没有啥毛用

老板带了几个甲方大佬来公司，手机笔记本连不上网，还要IT给分配IP，这不是笑话吗

所以，最终解决方案就是，光纤入户，行为管控路由器，三层交换机，接AP，接nas，接终端，就一个简单的平行拓扑结构。

一劳永逸。

lijingbiqqw

hugovk 发表于 2022-3-8 21:20
你们那是在哪里呀，现有什么专线，相对便宜好用一些，有没有固定公网IP都行。 ...

浙江杭州

hugovk

lijingbiqqw 发表于 2022-3-8 20:53
我这边搞定了电信运维，一个光猫多个宽带帐号拨号，光模块拨号都可以，看运维那边怎么设置，因为我是做网 ...

你们那是在哪里呀，现有什么专线，相对便宜好用一些，有没有固定公网IP都行。

lijingbiqqw

hugovk 发表于 2021-11-11 17:22
这是因为他没看清楚，这是专线，专线，专线，不像家用宽带，是要通过PPPoE拨号，外网是动态公网IP地址， ...

我这边搞定了电信运维，一个光猫多个宽带帐号拨号，光模块拨号都可以，看运维那边怎么设置，因为我是做网络的，所以我关系户肯定有电信和移动，那些客户经理或者运维。

v2850210

太高大上了，点赞

hugovk

lijingbiqqw 发表于 2021-8-21 08:25
每一个省和市区域不一样，我这边都是这样干的，在说我也不是改装一家了，跟电信一起做这个整改也赚了不少 ...

这是因为他没看清楚，这是专线，专线，专线，不像家用宽带，是要通过PPPoE拨号，外网是动态公网IP地址，还得要认证光猫的LOID号，注册在运营商的认证收费系统里，才能开通。而专线都是专用的线路（好些都是MLPS线路），上下行对等，有固定的IP地址，这实际上就足够完成认证了，连接外网时，只需要在路由器里的WAN口填写运营商提供的IP地址就可以上网了，不需要像家用光猫那样PPPoE拨号，还是动态公网地址，有些地区如果是移动和联通的话，甚至不给用户公网地址。当然了，还有一些是没有固定IP地址的专业，相对便宜一些，这个我没怎么搞过

wxz8506

lasko 发表于 2021-10-22 12:32
大佬你们估计要用高级设备的 我们这套 好多是淘的设备 改下来也就花了四千左右 ...

那还真没有。公司不一样，领导对网络这方便没很大要求。交换机基本都是傻瓜的，哎

lasko

wxz8506 发表于 2021-8-21 08:42
我公司也准备升级万兆爱快路由和机房核心交换机+NAS万兆。

大佬你们估计要用高级设备的 我们这套 好多是淘的设备 改下来也就花了四千左右

lasko

lijingbiqqw 发表于 2021-8-21 08:25
每一个省和市区域不一样，我这边都是这样干的，在说我也不是改装一家了，跟电信一起做这个整改也赚了不少 ...

之前来升级过一次专线 说是带宽升级 就是换了个光猫  这东西 需要找谁申请

lasko

lijingbiqqw 发表于 2021-8-2 20:04
提醒一下电信，联通，移动专线业务，可以在下单安装的时候要求不要光猫，这个是一项业务，不收费的，客户经 ...

还可以这样玩啊 那我问问电信的