连接思科小企业交换机的正确方法？

Question

第一次在这里做网络工程师。我没有一个庞大的预算，所以我需要学习所有必要的技能，而不吸引一群供应商。我负责在一个新的地点建立一个350端口的网络。我计划使用思科小公司的几个千兆位交换机。

我注意到我们老地方的网络只有一个普通的10/100端口插在交换机之间。它们的排列方式是菊花串在一起，而不是按等级顺序排列。

如果这重要的话，我将使用vlans将来宾无线网络与我的公司网络分开。

新的交换机有迷你gbic，但我的路由器只有千兆以太网端口.

为了达到最大的可靠性、冗余性和速度，最好的方法是什么?路由器是一个例外的单点故障，但是如果其中一个交换机坏了，我不想让整个网络中断。我可以使用交换机之间的多个端口来创建冗余中继吗？

谢谢!(来自于一名总干事)

-Jonathan

Answer 1

您需要详细考虑流量如何在您的网络中流动。确定访问intranet站点和文件服务器以及访问internet等方面的带宽需求。这将指导您如何规划您的核心基础设施，以便各工作站组在发送通信量的方向上有足够的带宽，以及如何构建您的网络以适应特定节点的流量集中。一般情况下，这种结构应该是树状的，只要有可能，就直接连接到交通集中点.

要考虑的第二件事是广播域的大小。一般来说，广播域过大会降低网络性能(因为DHCP流量、ARP、一些windows网络功能以及其他一些因素会导致广播，这会产生累积效应。您不希望广播流量被淹没在您的网络上的每一个链接。限制广播域是通过子网和规划您的第二层拓扑来完成的；VLAN可以帮助实现这一点，更简单的策略也是如此，例如设置少量的交换机来为子网上的一组相关工作站服务，以及使用路由器。请记住，路由和DHCP通常需要为每个子网提供。子网的策略范围从部门子网到建筑物每一层的子网。350台设备绝对足够你需要担心广播域的大小。

此外，您还应该考虑网络的哪些区域具有特定的安全含义。显然，您希望为您的来宾网络拥有一个特定的子网(可能还包括VLAN)，并设置防火墙以防止它访问内部服务。根据您的业务区域，您还可能希望使用类似的策略将一些业务单位的网络与其他业务单元隔离开来。

港口安全也很重要。考虑实施一项策略，即禁用未使用的网络端口或将其放置在没有连接性的VLAN上。还可以考虑将大多数端口的每个访问端口限制为一个MAC地址，以防止未经授权的集线器或无线网络。

您可以通过多种方式添加冗余。在第二层，您可以利用生成树在交换机之间创建冗余链接(在您的网络图中将以循环的形式出现)，这样当一个交换机或链接下降时，仍然会有一条流量沿着其周围移动的路径。此功能与路由不同。在第三层，策略是类似的--确保每个路由器都有一条通往您期望流量集中的地方的辅助路径(防火墙和边界网关)。

如果你想知道这其中有什么具体的部分，可以自由地提出一个新的问题--但如果其中任何一个让你感到困惑，你应该多学习(例如，看看CCNA的研究材料)，或者雇佣其他人来做这件事。