>все свичи поддерживают VLAN
>как лучше построить сеть, что б (почти) не было узких мест. Количество
>PC может быть 3 тыс. Если для каждого РС поднимать свой
>VLAN, то какой сервер может нормально обработать такое кол-во вланов? а
>если добавить VPN? это сколько правил iptables будет в сервере?
>В основном, все РС должны между собой работать хотя бы через DC++
>и видеть Сервер2, а то если всех садить в одну сеть,
>то будет море броадкаста. Можно, конечно, все вланы маршрутизировать на Layer3,
>а доступ в инет давать только по впн. И как лучше
>отключать доступ? запутался уж совсем, хочется с 0 сделать нормально, чтоб
>потом не переделывать.

А в чем проблема рулить между VLANами на каталисте, а уже если каталист не знает как рулить (т.е. маршрут внешний) - то уже на сервере?

Узкое место в этой схеме - удостоверьтесь что выбраный вами верхние L2 и L3 коммутаторы поддерживают столько VLANов сколько вам нужно.

Если есть возможность обойтись без VPN - лучше так и поступить.

Еще маленькое замечание - для распределения нагрузки и надежности поставьте в центре не 1, а 2 L3 свича, соединяйте каждый верхний L2 с парой L3, а нижние L2 с парой верхних L2. И поднимите соответственно MST.

Если хотите более детальных советов - назовите какое именно сетевое оборудование планируете использовать и/или бюджет.

на мой взгляд засовывать каждого клиента в отдельный вилан смысла не имеет(дорого) - на всех виланов не напасёшься(хотя можно подумать в сторону Q-in-Q по идее - но у меня опыта работы с ним нет + к тому же коммутаторы дорогие получаются с этой фенечкой). Если всё-таки хочется засунуть каждого в свой вилан то надо делать L3 как можно ближе к клиенту. Опять же управлять всеми этими виланами это писец будет. Не рекомендую.

По опыту работы в конторе которая строила сеть не метро-Ethernet хотя и масштаба города миллионника сделано было типа так.

Выбрано несколько крупных точек узловых(штук 4-5). Там стоят L3 коммутаторы, терминирующие виланы районные+концентраторы vpn(ясен перец vpn-концентраторы связаны по радиусу в биллингом который и рулит статистикой, отключениями, ограничениями на скорость клиентского туннеля). Узлы соеднялись по L3 гигабиту в кольцо. Это уже магистраль - её типа можно и L2 сделать вообщем-то(дело вкуса как говорится).

На уровне доступа использовались L2 свитчи, пропускающие только Ethernet не IP. А клиенты использовали PPPoE терминирующееся на районном VPN концентраторе. Почему PPPoE - проще делать туннель поверх L2 чем поверх L3 - клиентам выдавать IP перед этим не надо будет.

Клиентские виланы можно делать либо на дом либо на группу домов. Этот вилан будет ограничивать широковещательный домен, и все клиенты будут по L2 соединены друг с другом, но так как будет на Access портах прикрыт IP то связности между ними не будет если тока не будут юзать PPPoE между собой. Рано или поздно конечно догадаются - но таких будет не много. Да и смысла особого нету. Проще внутри одного дома кинуть витуху собственными силами.

Не забываем про STP - клиенты в последствии будут замыкать наши сегменты в кольцо естесственно используя обычные мыльницы коммутаторы без STP. После чего отваливается весь сегмент:((((

Типа пример access порта

interface FastEthernet0/24
description Free !!!!!!!
switchport access vlan 112
switchport mode access
switchport protected
switchport block multicast
switchport block unicast
ip access-group 100 in
shutdown
speed 100
duplex full
snmp trap mac-notification added
storm-control broadcast level 10.00
storm-control multicast level 10.00
storm-control unicast level 30.00
storm-control action shutdown
no cdp enable

access-list 100 deny   ip any any

Но тут надо понимать что тут мы раздаём просто Интернет + внутренние ресурсы + внутрисетевой трафик(его можно будет даже считать) - ни о каком качестве - речи быть не может. Хотя в одной крупной конторе мне сказали что лучший QoS это широкая полоса:))) То есть нету CIR, нету классов гибких, продажи выделенных каналов, VPN-ов(точнее они есть но нужно дополнительное оборудование клиенту ставить) и т.д. - всё к чему привыкли корпоративщики - это просто большая домовая сеть для раздачи Интернет.
Дёшево, но не сердито.
И как там будет VOIP работать - хз - лучше не спрашивать. Про IPTV вообще лучше молчать.

В моих словах может быть кучка ошибок - просьба знающих людей сильно ногами не пинать:)))
Вот как-то так.