各位大大您好
小弟刚到新公司目前在帮公司规画整理网络架构的部分。
原IT在架设时感觉很混乱，防火墙有两台都直接接上去，
未切Vlan所有设备IP都混在一起在192.168.1.X
所以打算趁这次Server 更新时顺便把网络架构也整理一下。
公司目前人数约80人左右
有两台Hyper-V 服务器 一台有AD DNS Web Server WSUS
还有一台 ERP系统
NAS 有三台
Switch部分 原先使用 Dlink DGS 1210-28 之后会换成1G设备。
大致上绘制的架构图如下
https://imgur.com/frdO1Ec
防火墙100E 切Vlan出来 分 服务器 员工电脑 与设备 三类
DMZ区 因为只有一台Web Server 要对外 所以不加上Switch
想问一下各位大大还有没有什么地方可以修改的?
AD Server 因为台数不多 是否可以直接插在防火墙上就好?

对内服务要就放一起 不要分开 不然也麻烦传真机之类的不一定要额外的switch 同一台切Vlan就好因为这种数量肯定不会多 不用多浪费一台switch放他你把多的switch拿去给Server做LACP还比较好喔不对 你的switch应该不能做stack 多的拿去用别的好了

经费允许的话建议采购L3 switch，vlan的routing还是交给L3 Switch吧，firewall专心处理policy就好

web sv如果没有内网要修改资料建议单独对外

不用 照常放dmz ，只是switch或fw端 acl设定好就好你可以只开放某一段内部vlan可以存取这台server，把会需要存取的人设备放到这个vlan就好

你这架构是很问号..

FortiSwitch接FortiGate可以每个port分vlan

Fortinet 默认用应该都是switch mode改一下还是可以变回individual port然后接个L2 SW让FW走routing 好处是这样才有log做稽核当然你也可以不修改fortinet switch mode走trunk

看起来流量不大，core拿2台L3 堆叠，其他edge看port分配，有stom control功能的话开一下，需要收log的话server的gateway拉到fw,没有的话统一在core, 公司会扩的话ap跟db分不同网段，不要用mask c，直接分2个B不是2个B,打错，直接要个/21的吧21的2个差不多无线不要跟iot同网段，独立开，有guest需求的话用vrf切开不进内网ptt 不太会用，就不调整字了

考虑风险, 如有一台switch坏了, 工作就停摆了