ネットワークの設計（1000台程度）

ネットワーク構築の勉強をしているのですが、複雑に考えると整理ができなくなってきまして、できれば具体的な形を知りたいと思っています。

クラスCのIP割り当てをされている企業で、1000台のPC(フロアあたり250台を置く）を設置し、安定したインターネット接続、社内ネットワークを運営するにはどういうネットワークになりますでしょうか？

- 必要な機器
- 物理レイアウト
- 論理レイアウト

を教えて頂けないでしょうか？最終は4台接続できるハブを考えています。

No.4 ベストアンサー 回答者： noname#17587 回答日時： 2006/01/19 00:00

続き

必要な機器（かなり大雑把な見積もりです）
コアスイッチ　　Catalyst4503　　２台
フロアスイッチ　Catalyst2950-12　１６台(予備機含む）
アクセススイッチ　アライドの16ポート　１１０台(予備機含む）
共通サーバセグメント用スイッチ　Catalyst3550-12T　２台
DMZ用スイッチ　Catalyst2950-12　１台
インターネットファイアウォール　Netscreen204　１台
プロキシサーバ　bluecoat800シリーズ位か？　１台
DHCPサーバ　　NetWyvern DHCP　１台(使った事無いけど）
ファイルサーバ　部門ごとに１台＋共通１台（ActiveDirectoryサーバ兼務）
メールサーバ　グループウェアを導入したいところだね

物理構成は（まず端末向け）
コアスイッチＡ--フロアスイッチ--------アクセススイッチ
　　|　 　　 　/　　　　　　　|
| / |-------アクセススイッチ
コアスイッチＢ |
|-------アクセススイッチ

こんな感じでフロアスイッチ、アクセススイッチのセットは各フロアに満遍なく振りまく。
コアスイッチとフロアスイッチ間はギガ(光・ＵＴＰは距離によって選択）
L2のリングはSTPで制御。
フロアスイッチとアクセススイッチ間は100Mbpsで良いかな
1台のアクセススイッチには端末を10台程度。

今日はここまで（興味もって読んでもらってます？飽きたとかわかりにくいとかだったらやめようかな）

この回答への補足

もちろん興味をもって見ています、それもすごく！
フロアスイッチ、アクセススイッチは床に埋め込むものなのでしょうか？ActiveDirectoryサーバは全体で一台ですか？DHCPサーバはどうなるのか、など興味が尽きません！本当にありがとうございます。私でだけでなく沢山の方も大変参考になるものじゃないかと思っていますm(__)m。

補足日時：2006/01/19 00:33

No.10 回答者： noname#17587 回答日時： 2006/01/29 09:11

VLANとトランクですが、

1台のスイッチ内でLANを分割するのがVLANでVLAN情報を他のスイッチに転送するのがトランクと考えて問題ないかと思います。
リンクを張りましたので見てください。

unknown_personさんの提示した構成についてですが、
これについては私も含め正解は無いかと思っています。
システムを導入する企業の意向を取り込み予算を鑑みて行けばだんだん構成は決まるのですが、今回は大部分を想定で書いていますのでいろいろな構成が出るかと思います。

やっぱりこの手の仕事で一番重要なのは基本検討（顧客の意見）ですから。

参考URL：http://www.n-study.com/network/2003/06/post_50.h …

この回答へのお礼

何度もありがとございました。
本当に参考になりました。基本となる考えがキッチリと分かりかけてきた気がします。ご紹介頂いたこのサイトはすごくいい、と思ったらこのgeneさんの書籍も持っていました。サイトももっと見たいと思います。ありがとうございました。

お礼日時：2006/01/29 12:17

No.9 回答者： unknown_person 回答日時： 2006/01/26 20:19

知識が限られているので、自分が得意な部分を中心にお答えします。

まず、L3コアスイッチ上でポートごとにVLANを用いてセグメントを分け、フロア間のトラフィックのルーティングの処理はコアスイッチにさせます。
フロアごとに1つのセグメント＋データセンターのサーバー群向けに最低2つ以上のセグメントを用意できると理想的です。

フロアサーバーは必要最低限数まで絞り、数十台をデータセンターに集中させます。
最近はブレードサーバーでサーバーを用いてサーバー群を数箇所に集中させてしまい、管理人の行動範囲を限定することにより、IT管理の手間を省くのが流行っています。HPのブレードサーバーのCMにある、“大きくなりすぎたITをスッキリと”というのは、まさにこのことです。
この場合、各フロアの設備は基本的にフロアスイッチのみになりますので、多くの場合はラックの設置をするメリットがないことがあります。フロアスイッチの床置きは必至です。

大まかにはそんなところですが、いずれのケースも、個人情報保護法の順守、データのバックアップをする必要性から、ファイルサーバーはデータセンターに集中させたほうが、好ましいことが多いです。集中させてあれば、ファイルサーバーの全体の容量も簡単・安価に増やせるようになりますし、何より、いかなる理由でも失われる状況が許されない企業のデータは、ある程度集中させて、多重化できる構成にするのが、基本中の基本です。

このような構成にした場合、各フロアにサーバーを用意しても、ユーザーの認証や、プリントサーバーとしての機能を持たせるのが一杯いっぱいなので、各フロア向けのサーバー設置はあまり意味がないと思われます。
ユーザー認証のためのトラフィックがデータセンターに集中しても、複数のサーバーで処理を分散すれば大したことはありませんし、それらが回線の帯域を圧迫する可能性は、まずありません。しかし、ファイルサーバーを集中させているため、必然的に、フロアスイッチ、コアスイッチ、ファイルサーバーへのトラフィック量はかなりのものになります。それぞれに太い回線を用意しましょう。
そのままネットワークに接続できるプリンタがオフィス向けの大半を占めていますから、プリントサーバー用のWindowsマシンを用意する必要もありません。
Windows2000以降のサーバー・クライアント環境では、DNSへの依存度が高まっています。DNSクエリーのトラフィックが少数のサーバーに集中するのも好ましい環境ではないので、分散目的に多数のDNSサーバーを用意することも重要です。ユーザー認証向けのサーバー群にDNSをインストールし、セグメントごとに使い分けるといいかと思われます。

この回答への補足

ありがとうございます。yakkiidaさんとは少し違う切り口で、これまた楽しく読ませて頂きました。

まだイメージできないところがありまして、お聞きできればと思い補足にさせて頂きました。「フロアごとに1つのセグメント＋データセンターのサーバー群向けに最低2つ以上のセグメントを用意できると理想的です。」こちらの部分です。

サーバに対するアクセスが多いので、サーバの配置を2つのセグメントに分けるということでしょうか？VLANの設定をしたことがなく難しく感じました。

補足日時：2006/01/28 01:47

No.8 回答者： noname#17587 回答日時： 2006/01/24 23:24

続きです

ルータはCatalyst4503がL3SWですのでここで兼ねます。

論理構成なのですが、あまり複雑な事はせず部署ごとにVLANを切ります。
VLANはtagでフロアスイッチに伝達してポートベースVLANを構築します。フロアスイッチに繋ぐアクセススイッチは部署専用となります。

ルーティングですが基本的にコアスイッチで行います。

こんな感じですがどうだったでしょう？
今読んでみるともう少し上位機種を使っても良かったかなと思います。
また、この構成は予算も決まっていないし、価格表を見ながら考えたわけでないのでコストパフォーマンスも不明です。
実際に構築する場合はユーザの意見ももっとあるでしょうしいろいろ調整する事があると思います。
それでは、何か不明点がありましたらまた書き込んでください。

この回答への補足

ありがとうございます。yakkiidaさんのご回答ですごく勉強になりました。質問ばかりで申し訳ないのですが、最後に。差し支えなければ是非お願いします。

上の階層に上がるポートの設定なのですが、これはトランクの設定をするのでしょうか？それともVLANの設定をするのでしょうか？トランクとVLANの違いが分っていませんで、この設定がイメージがついていません。
アクセスSW→フロアSW
フロアSW→コアSW
など

お言葉に甘えて質問しました。。

補足日時：2006/01/28 01:41

No.7 回答者： noname#17587 回答日時： 2006/01/22 00:00

続きです

ラッキングする場所は各フロアに19インチラックがあるor置かせてもらえるならそれが望ましいんですが、最悪床置きになるかもしれません。
他の条件もそうなんですが、特に物を置く場所は現地調査をしなければ決まらない事を念頭においてください。

さてサーバを置くセグメントですが
コアスイッチＡ--サーバ用スイッチＡ---各サーバ
　　　｜　　　×　　　　　　　　　 /
コアスイッチＢ--サーバ用スイッチＢ/

普通にこんな感じで
サーバはWindowsのチーミング機能を使って2重化しましょう。
ファイルサーバなどトラフィックが大きければ、コアスイッチに直集しても良いかもしれません。



続いてインターネット向け、ＤＭＺはこんな感じで
コアスイッチＡ-----ファイアウォール-----インターネット
　　　｜　　　　　　　　　　｜
コアスイッチＢ　　　　　　ＤＭＺ

ＤＭＺにはメールサーバやプロキシサーバ、将来の外部公開用サーバを置きましょう。
ファイアウォールの2重化はしないで、コアスイッチＡ障害時は物理的にコアスイッチＢに線を入れ替える。ファイアウォール故障時には直るまで待つのでどうでしょう。
障害時30分復旧ってのがあったから2重化してもよいですけどね


物理設計はこんな感じでどうでしょう。

この回答への補足

本当にありがとうございます。
またも質問なのですが、ルータは出てきていませんが、現在のこの構成では必要がないという事なのでしょうか？

補足日時：2006/01/22 00:26

No.6 回答者： noname#17587 回答日時： 2006/01/20 17:21

一部にお答え

・フロアスイッチ、アクセススイッチとは？
特にどんな名前にすると決まっては無いのですがciscoとかのドキュメントだとそうなってたりします
・フロアスイッチ、アクセススイッチは床に埋め込むものなのでしょうか？
自由です。今回私が想定していたのはフロアスイッチまではラッキングして、アクセススイッチは各机の島にでも置こうかなと。ただ実際は現場を見て決めるものだと思います。

・ActiveDirectoryサーバは全体で一台ですか？
ファイルサーバに兼用で部門ごとにおいても良いかな。ActiveDirectoryの設計については私まともにやった事が無いので良くわかっていません。

・DHCPサーバはどうなるのか？
共通セグメントに1台置いて後はDHCPリレーで各セグメントに配布しようかと。これがこけると大事なので待機系を用意する必要がありますね

続きはまた後で書きます

この回答への補足

毎度ありがとうございます！僕みたいな学び始めた人にとってはすごくためになります。またまたですが、疑問点を補足したいと思います。
フロアスイッチのラッキングとは、どこでラックするのでしょうか？フロア自体でしょうか？それとも、フロアスイッチをまとめた部屋を作るのでしょうか？

補足日時：2006/01/21 21:59

No.5 回答者： noname#17587 回答日時： 2006/01/19 00:03

絵がぼろぼろだった

コアスイッチＡ--フロアスイッチ-----アクセススイッチ
　　|　 　　 　/　　　　　　　　　　　　|
　　|　　　　 /　　　　　　　　　　　　 |----アクセススイッチ
コアスイッチＢ　　　　　　　　　　　　　|
　　　　　　　　　　　　　　　　　　　　|----アクセススイッチ

No.3 回答者： noname#17587 回答日時： 2006/01/17 23:11

答えるのにも三重苦（絵が無い、文才が無い、時間も無い）なんで簡単に

ついでにしばらくネットワーク設計なんてやってないんで勘所を忘れてますので話半分に読んでください

前提
・比較的安い機器で構成する
・部署ごとに24ビットマスクのネットワークアドレスを与える(1部署は100名以内と想定）
・部署ごとにVLANを割り当ててネットワーク分割
・部署ごとの直接の通信は許可しない
・クライアントのIPはDHCPで設定
・内部にサーバセグメントを設け共通サーバはここに置く
・各部署ごとのネットワークにはファイルサーバを置く
・各端末からのインターネットへのアクセスはDMZに置いたプロキシサーバを通じて行う（コンテンツフィルタ・ウィルスインタースキャンを置く）
・メールサーバはDMZに置く
・内部の端末接続などは制限しない
・コアスイッチは２重化で耐障害性をたかめる
・フロアスイッチ・アクセススイッチは2重化しない（予備機を用意する）
・インターネットの接続は2重化しない(高くつくのであきらめる）

まあとりあえず前提はこんなところでしょうか
続きはまた
はぁ疲れた

この回答へのお礼

ありがとうございます。
コアスイッチ、フロアスイッチ、アクセススイッチとはどんなものなんでしょうかね？VLANのルーティングをまかなっているのでしょうか。ドメインコントローラの扱いが気になったりと知りたいことはたくさん出てきてしまいますね。

お礼日時：2006/01/17 23:57

No.2 回答者： mii-japan 回答日時： 2006/01/16 12:44

ネットワーク関連の雑誌等に載っている事例をご覧になるのが良いと思います

この回答へのお礼

おっしゃるとおりです。。ありがとうございます。

お礼日時：2006/01/17 23:50

No.1 回答者： noname#17587 回答日時： 2006/01/15 23:48

まじめに考えるなら要件定義がまったく足りてません。

●社内サーバの有無(ファイルサーバ、メールサーバ、業務サーバ等々）
●各人のパソコン使用頻度
●インターネットへのアクセス方法（企業なら無制限に出られる設定はせずコンテンツフィルタやウィルススキャンゲートウェイを入れるべきでしょう）
●社外公開サーバの有無
●ネットワーク停止の影響（冗長化構成に影響します）
●部門ごとのネットワーク分離

などですかね
それが決まったとしても、教える事はできません。
なぜならここからは設計思想に基づき基本設計、詳細設計と進みますが
設計に正解は無いからです。
ま、適当な例は作れますが、本来数週間掛けて検討する事なのでおおざぱな例になりますけどね。

この回答への補足

勉強の為の簡易なロールモデルになればと思っていました。

社内サーバ、社外公開サーバ、InetGW---考慮できれば尚良い
PC使用頻度---5MB/h
NW停止---復旧に30分
部門ネットワーク分離---なし

以上ではいかがなものでしょうか？適当な例で本当に構いませんので、是非お願いします！！

補足日時：2006/01/16 00:51