與業主協會的另一名成員一起，我的任務是為我們的公寓樓設計和設置共享的高速網際網路接入。我們的預算非常少，並且希望能夠做到這一點，而硬體已經在手邊（意思是不是最先進的）。

作為系統管理員，我有十多年的經驗，但專注於伺服器端。雖然對（大部分）這些術語並不陌生，並且在設置較小的網路方面至少有一些實踐經驗，但設計這樣的設置肯定超出了我的主要能力範圍。

我對如何做到這一點有一個想法，但我可能沒有考慮到所有事情，當然歡迎第二意見和健全性檢查。

雖然這個問題是基於我的具體挑戰，但我認為答案將形成一種普遍合理的方法，以在預算緊張的情況下建立公平共享、分段、多租戶的網際網路訪問。我希望這個網站可以接受。

這怎麼做最好？

範圍

環境

• 54 套現有 CAT5e 佈線的公寓
• 公寓將大約 50/50 分成兩個配線間，中間有一根 CAT5e 電纜（以後可能會添加另一根）
• 基於光纖的網際網路連接，最初上限為 300 Mbps，將在一個配線間終止
• 沒有對 Internet 路由器的管理訪問權限

硬體軟體

所有硬體至少使用 5 年。有些是我們不久前買的，有些是送給我們的，因為它太舊了，不適合那家公司的生產用途（昂貴的服務、性能等等）。

• HP Proliant DL380 G6，雙 Xeon CPU，32 GB RAM，4 個千兆網卡
• 2 x Dell PowerConnect 5324 千兆託管交換機
• 2 個 HP ProCurve 2524 託管 100 Mbit 交換機
• 由於現有知識和經驗，pfSense 作為網關/防火牆的首選
• 首選在 VMWare ESXi 上執行虛擬防火牆，因為它具有可管理性（快照、完整映像備份、硬體抽象）以及執行小型 Web 伺服器的可能性，而無需額外的工具包

要求和目標

• 我們必須能夠共同利用我們支付的網際網路頻寬
• 我們希望將來能夠支持更高的頻寬
• 作為 100 Mbps 交換機，我們需要能夠將至少兩條上行鏈路從 HP 中繼/組合到 Dell 交換機
• 公寓之間不應有通道
• IP 地址必須由 DHCP 分配給公寓
• 我們還將執行 Web 伺服器和郵件伺服器，它們必須可以從內部和外部訪問
• 有什麼明顯的遺漏嗎？

粗略的設計理念

物理網路

• 在每個更新檔室安裝戴爾千兆交換機
• 通過配線間之間的單根電纜連接兩台戴爾交換機
• 使用鏈路聚合通過兩條上行鏈路將 HP 100 Mbit 交換機連接到每個戴爾交換機
• 將所有伺服器網卡連接到千兆埠，保留一些額外的千兆埠以供將來使用
• 將盡可能多的公寓連接到可用的千兆埠，其餘的連接到 100 Mbit 埠

區域網路設置

• 為每間公寓創建一個 VLAN
• 將未標記的單個 VLAN 分配給每個公寓交換機埠
• 分配在（聚合）上行鏈路埠上標記的必要 VLAN
• 將上行鏈路上標記的所有公寓 VLAN 分配給“公寓 LAN”的伺服器 NIC
• 將上行鏈路上未標記的預設 VLAN (ID 0) 分配給“管理 LAN”的伺服器 NIC

伺服器

• 為“Apartment LAN”專用一個物理伺服器網卡，一個用於“Administrative LAN”，一個用於“WAN”，一個用於“DMZ”
• 安裝 VMWare ESXi，為每個公寓創建虛擬 NIC（使用它們的 VLAN ID），連結到“公寓 LAN”物理 NIC
• 將“WAN”伺服器網卡連接到網際網路路由器
• 安裝和配置 pfSense 以處理路由，添加所有公寓 vNIC，

問題

• 我們的想法是否通過了您的健全性檢查？設計中有任何明顯的缺陷或缺陷嗎？
• 期望從執行虛擬化的 pfSense 中獲得 300+ Mbps 的路由是否合理？
• 我們可以/應該使用哪種鏈路聚合將兩個不同品牌的交換機連接在一起——最好同時提供容錯和n倍 100 Mbps 上行鏈路
• 我們能否期望 VLAN 按預期工作，結合標記和未標記、跨不同品牌的交換機、通過鏈路聚合併傳遞到 VMWare？
• 鑑於所提議的設計，我不太確定我們將如何處理路由並允許從選定公寓（管理設置的公寓）訪問管理 VLAN，但總的來說，這是一件小事。

編輯：我們最終得到了什麼

很抱歉無線電靜音，但我們費了很大力氣才能按照我們的意願進行網路設置。事實證明這是一個真正的 PITA，試圖為每個交換機埠設置隔離，跨越各種品牌的交換機。

我們得到的特定型號的戴爾交換機是少數不支持專用 VLAN 的型號之一。相反，我們購買了一台舊的 48 埠 Allied Telesis 交換機，但是雖然“私有”埠無法相互通信，但每個埠都沒有與我們要求的管理網路隔離。惠普的“埠隔離”功能如宣傳的那樣工作，但他們沒有足夠的埠。

經過一番努力，我們設法獲得了 1 個 48 埠和 2 個 24 埠 Cisco Catalyst 2950 - 每個都有 2 個千兆上行鏈路埠，其餘 100 Mbit。這有什麼不同！無需再為使同一功能的不同供應商變體一起工作而煩惱。

我們執行 pfSense 虛擬機，以及一些低強度的 VM，並且可以輕鬆地路由 300 Mbps，而不會讓伺服器出汗。

在總結的項目符號形式中，這是我們為實現目標所做的，也是我們目前正在執行的。希望這可以證明對某人有用。感謝您的輸入！

物理網路

• 與伺服器和網際網路在同一房間的 48 埠交換機 - 一個千兆上行鏈路到伺服器中的租戶 NIC，另一個到另一個房間的 24 埠交換機
• 另一個房間的兩台24口交換機之間的千兆上行
• 100 Mbit 埠連接到伺服器中的管理 NIC
• Internet 路由器連接到伺服器中的 WAN NIC

開關配置

• 免費的 Cisco Network Assistant 軟體用於從同一界面配置所有設備。強烈推薦！
• VLAN 1 被指定為我們的管理網路
• 在每個租戶埠上配置受保護的埠（隔離）和埠安全性（每個埠的 MAC 地址有限）
• 由於交換機只是通過乙太網連結，而不是堆疊，因此“受保護埠”在交換機之間沒有任何影響。也就是說，一個交換機中的租戶埠可以與其他交換機上的所有租戶埠通信。為了解決這個問題，我們為每個交換機創建了一個單獨的租戶 VLAN，（VLAN ID 與交換機 IP 地址的第四個八位字節匹配）
• 配置了“Smartports”的交換機之間的上行鏈路埠，以啟用中繼。本機 VLAN 設置為 1，允許所有其他 VLAN（已標記）
• 在交換機 A 中，租戶上行鏈路到伺服器 NIC，配置為執行租戶 VLAN A 本機、VLAN B 和 C 標記

pfSense（和一點 VMWare）配置

• 為 WAN、管理 LAN、租戶 LAN 伺服器 NIC 設置單獨的 vSwitches (VMWare)
• 租戶 vSwitch (VMWare) 從 VLAN ID 0（無）更改為 4095（全部）
• 在 pfSense 中分配的介面，相應標記（WAN、管理員、租戶）
• 兩個 VLAN 添加到租戶 NIC，租戶 VLAN B 和 C 的 ID（因為 VLAN A 已經執行未標記） - 現在我們在 pfSense 中有 3 個租戶介面
• 添加了三個租戶介面的介面組，以簡化防火牆規則的管理

這幾乎就是與我的問題有關的配置。我們還添加了用於遠端管理員訪問的 OpenVPN，從 Windows PC 自動配置備份，添加了 DMZ 介面，並繼續微調和改進我們現在超級強大的 6 介面防火牆/路由器！:-)

• 我們的想法是否通過了您的健全性檢查？

我會考慮在 pfSense 中處理 VLAN 介面，而不是用 54 個額外的 NIC 來搞亂 ESXi，它並不需要知道（個人偏好）。

您沒有提及任何有關您的定址的資訊，但假設您使用的是 RFC1918 私有地址（因此您可以完全控制），請確保定址有意義。就個人而言，我喜歡確保我的 VLAN 標籤與我的子網匹配。在這種情況下，我會做這樣的事情：

10.0.0.0/24   => Admin
10.1.101.0/24 => Apartment 1 (VLAN 101)
10.1.102.0/24 => Apartment 2 (VLAN 102)
...
10.1.154.0/24 => Apartment 54 (VLAN 154)

我在 VLAN 中添加了 100，因為您不想將 VLAN 1 用於 Apartment 1。我還將管理子網和公寓子網保存在單獨的 /16 中，這樣您就可以在未來如果需要。

當租戶想要有公寓間的交通時，你將如何處理？（例如，我和鄰居是好朋友，我想和他/她分享我 NAS 上的影片）。這與其說是一個技術問題，不如說是一個政策問題。

• 設計中有任何明顯的缺陷或缺陷嗎？

你最終會在 pfSense 中得到很多 NIC，你必須確保它們之間不能路由。我已經多年沒有使用 pfSense，但原則上你需要設置一個預設的 DENY 策略。這將阻止 Apt X 將流量路由到 Apt Y，而無需手動確保策略始終到位。然後創建單獨的 ALLOW 策略，只讓每個 apt 通過 Internet 連接。

• 期望從執行虛擬化的 pfSense 中獲得 300+ Mbps 的路由是否合理？

當您使用千兆網卡時，我不明白為什麼不這樣做。虛擬化不會增加那麼多成本。

• 我們可以/應該使用哪種鏈路聚合將兩個不同品牌的交換機連接在一起——最好同時提供容錯和 n 倍 100 Mbps 上行鏈路

LACP。

• 我們能否期望 VLAN 按預期工作，結合標記和未標記、跨不同品牌的交換機、通過鏈路聚合併傳遞到 VMWare？

802.1q 是一個“標準”…根據交換機的使用年限，如果它們是在 802.1q 仍在最終確定時設計的，它們可能會做一些“奇怪”的事情，但你應該很安全。

• 鑑於所提議的設計，我不太確定我們將如何處理路由並允許從選定公寓（管理設置的公寓）訪問管理 VLAN，但總的來說，這是一件小事。

預設拒絕策略會阻止這種情況，因此您只需要添加明確的 ALLOW 來允許它。

引用自：https://serverfault.com/questions/540632