各位大大您好
小弟剛到新公司目前在幫公司規畫整理網路架構的部分。
原IT在架設時感覺很混亂，防火牆有兩台都直接接上去，
未切Vlan所有設備IP都混在一起在192.168.1.X
所以打算趁這次Server 更新時順便把網路架構也整理一下。
公司目前人數約80人左右
有兩台Hyper-V 伺服器 一台有AD DNS Web Server WSUS
還有一台 ERP系統
NAS 有三台
Switch部分 原先使用 Dlink DGS 1210-28 之後會換成1G設備。
大致上繪製的架構圖如下

防火牆100E 切Vlan出來 分 伺服器 員工電腦 與設備 三類
DMZ區 因為只有一台Web Server 要對外 所以不加上Switch
想問一下各位大大還有沒有甚麼地方可以修改的?
AD Server 因為台數不多 是否可以直接插在防火牆上就好?

對內服務要就放一起 不要分開 不然也麻煩傳真機之類的不一定要額外的switch 同一台切Vlan就好因為這種數量肯定不會多 不用多浪費一台switch放他你把多的switch拿去給Server做LACP還比較好喔不對 你的switch應該不能做stack 多的拿去用別的好了

經費允許的話建議採購L3 switch，vlan的routing還是交給L3 Switch吧，firewall專心處理policy就好

web sv如果沒有內網要修改資料建議單獨對外

不用 照常放dmz ，只是switch或fw端 acl設定好就好你可以只開放某一段內部vlan可以存取這台server，把會需要存取的人設備放到這個vlan就好

你這架構是很問號..

FortiSwitch接FortiGate可以每個port分vlan

Fortinet 預設用應該都是switch mode改一下還是可以變回individual port然後接個L2 SW讓FW走routing 好處是這樣才有log做稽核當然你也可以不修改fortinet switch mode走trunk

看起來流量不大，core拿2台L3 堆疊，其他edge看port分配，有stom control功能的話開一下，需要收log的話server的gateway拉到fw,沒有的話統一在core, 公司會擴的話ap跟db分不同網段，不要用mask c，直接分2個B不是2個B,打錯，直接要個/21的吧21的2個差不多無線不要跟iot同網段，獨立開，有guest需求的話用vrf切開不進內網ptt 不太會用，就不調整字了

考慮風險, 如有一台switch壞了, 工作就停擺了