如果给你五百台电脑，怎样同时上网？IP地址如何分配？

500台电脑的网络场景，同时上网和IP分配都是小事，难点在于管理。单是网络设备的管理就够你折腾的了。一般企业都是在实际使用的过程中，对网络的需求逐步增加，越变越复杂的。所以事先预留足够的网络扩展能力，就很重要了。

我管理的PC没有500台，但是乱七八糟的节点加起来，超过2500个，应该算的上中型企业网络，小型园区了。

桌面云，员工不喜欢，运维人员超级喜欢，反正我是这样，哈哈哈。253虚拟机+253个TC的话，刚好500左右。

怎么同时上网和IP地址分配，其实都是组网设计的内容，属于开局初期的规划阶段。那我就结合经验，和你分享一些注意事项。

首先是怎么同时上网

与和500人同时上网相比，让500人中有些人不能上网，什么时间段能上网，只能上哪些指定的网，才是重点难点，因此设备选型要优先考虑：

网络出入口设备：

建议直接用防火墙，防火墙普遍带路由器的功能，路由器却没有防火墙的功能（不全面）；下一代墙包含了传统墙的功能，还有VPN、入侵防御、防病毒、数据防泄漏等多种安全功能。（当然，有的功能需要购买license。）

此墙可以解决中小型企业一般网络安全需求。

网关设备：

果断三层交换机，盒式的就行，建议2-3台交换机做堆叠。（理由在IP划分的时候说）

汇聚层设备：

如果你确定只有500PC，核心也按我说的做成堆叠的话，可以不用汇聚层。

接入层设备：

建议选支持802.1aq的型号，这样可以和核心堆叠的每个成员做Eth-trunk，不仅增加链路带宽，起到链路备份作用，也不用担心因为核心交换机故障引起全面瘫痪。

我的核心交换机堆叠。

因此，设备方面的清单如下：

防火墙一台；

核心交换机3台（48口，堆叠。）；

接入层交换机22台；（24口，也可以选择24口，24口好处是减小交换机出问题引起的故障面积。这个也根据你终端决定，每个接入节点的终端数量不会刚好和交换机接口相等。）

不带汇聚层的组网。

以上是物理层的规划，接下来说说数据链路层和网络层：

IP地址如何分配

500个PC，显然一个C类地址是不可能的，vlan的优势不必多说。但是划分 vlan有一个问题，假如你vlan100和 vlan200之间，不允许3层互通，或者必须经过防火墙来控制后才可以互通（实际上企业都会遇到这样的问题，全靠交换机做ACL不实际，网管要吐血！）。这时如果你用不同核心交换机来带不同的 vlanif（vlan100一台核心，vlan200又要一台核心），那随着你 vlanif数量增加，核心交换机越来越多，我们知道，核心一变动，随之变动的有汇聚、接入设备，甚至是防火墙。因此，在同一台交换机上划分多个 vlan，并利用vrf技术实现3层必须经过外层设备才能互通就变得非常实用了。所以这就是我刚才为什么建议做堆叠，而不是分开带机的原因。

简单举例：

利用vrf技术后，交换机上的2个vlan无法3层互通，必须经过防火墙（当然，要配置好路由。），由防火墙来控制是否可以互通，有必要的话，还可以在防火墙上针对2个 vlanif划分为不同区域，精细控制。例如可以放行SMB服务，但是禁止FTP流量等等，非常灵活。

vlanif越多，路由条目就越多，可以用ospf或者其它动态路由来简化管理。

综上，网络部署重点在于管理，没有哪一家公司需求会一模一样，所以组网方式也千变万化。而且我们国家的企业，近年来对IT是越来越重视，可是对CT仍然停留在网络管理员就是修电脑，修电灯泡，甚至修水龙头的那种印象。

让我们广大网工、从业人员、爱好者，团结起来，努力学习，改变待遇长期不如编。。。算了，让我们欢度国庆吧~