Вітаю, шаноўныя бробра і выпадковыя госці. У дадзеным цыкле артыкулаў гаворка пойдзе пра пабудову нескладанай сеткі для фірмы, якая не з'яўляецца занадта патрабавальнай да сваёй ІТ-інфраструктуры, але ў той жа час мае неабходнасць у забеспячэнні сваіх працаўнікоў якасным падлучэннем да Інтэрнэту, доступам да агульных файлавых рэсурсаў, забеспячэннем супрацоўнікам VPN доступу да працоўнага месца і падлучэнне сістэмы відэаназірання, доступ да якой меўся б з любой кропкі свету. Для сегмента малога бізнэсу вельмі ўласцівым з'яўляецца хуткі рост і, адпаведна, перапланіраванне сеткі. У гэтым артыкуле мы пачнем з аднаго офіса на 15 працоўных месцаў і далей будзем пашыраць сетку. Так, калі будзе цікавая нейкая тэма, пішыце ў каментары, будзем спрабаваць укараніць яе ў артыкул. Буду меркаваць, што чытач знаёмы з асновамі кампутарных сетак, але на ўсе тэхнічныя тэрміны буду прыводзіць спасылкі на Вікіпедыю, калі нешта не зразумела – клічце і выпраўляйце гэты недахоп.
Такім чынам, пачнем. Любая сетка пачынаецца з агляду мясцовасці і атрымання патрабаванняў кліента, якія пазней будуць сфарміраваны ў ТЗ. Часта заказчык сам да канца не разумее, чаго ён хоча і што яму для гэтага трэба, таму яго неабходна навесці на тое, што мы зрабіць зможам, але гэта праца большая за гандлёвага прадстаўніка, мы ж з Вамі забяспечваем тэхнічную частку, таму выкажам здагадку, што да нам патрапілі такія зыходныя патрабаванні:
- 17 працоўных месцаў за стацыянарнымі ПК
- Сеткавае дыскавае сховішча ()
- Сістэма відэаназірання з выкарыстаннем і IP камер (8 штук)
- Пакрыццё офіса Wi-Fi, наяўнасць двух сетак (унутранай і гасцявой)
- Магчыма даданне сеткавых друкарак (да 3 штук)
- Перспектыва адкрыцця другога офіса на іншым канцы горада
Падбор абсталявання
Не буду паглыбляцца ў падбор вендара, бо гэта пытанне, які спараджае векавыя спрэчкі, спынімся на тым, што з брэндам ужо вызначыліся, гэта Cisco.
Асновай сеткі з'яўляецца (роўтэр). Важна ацаніць нашы запатрабаванні, бо ў далейшым мы плануем пашырэнне сеткі. Набыццё роўтара загадзя з рэзервам для гэтага зэканоміць грошы заказчыку пры пашырэнні, хоць і будзе крыху даражэй на першым этапе. Cisco для сегмента малога бізнэсу прапануе серыю Rvxxx, у якіх прадстаўлены роўтэры для хатніх офісаў (RV1xx, часцей за ўсё якія маюць убудаваны Wi-Fi модуль), якія разлічаны на падлучэнне некалькіх працоўных станцый і сеткавага сховішча. Але нас яны не цікавяць, бо маюць дастаткова абмежаваныя магчымасці па VPN і дастаткова малую прапускную здольнасць. Таксама нас не цікавіць убудаваны бесправадны модуль, бо мяркуецца размяшчэнне ў тэхнічным памяшканні ў стойцы, Wi-Fi будзе арганізаваны з дапамогай AP (). Наш выбар упадзе на RV320, які з'яўляецца малодшай мадэллю старэйшай серыі. У нас няма патрэбы ў вялікай колькасці партоў ва ўбудаваным світчыку, так як світч у нас будзе асобным, для таго, каб забяспечыць дастатковую колькасць партоў. З асноўных пераваг роўтара - досыць высокая прапускная здольнасць сервера (75 Мбітс), наяўнасць ліцэнзіі на 10 VPN тунэляў, магчымасць узняцця Site-2-site VPN тунэля. Таксама важным момантам з'яўляецца наяўнасць другога WAN порта для забеспячэння рэзервовага падлучэння Інтэрнэту.
За роўтэрам ідзе . Найважнейшым параметрам світаку з'яўляецца набор функцыя, якімі ён валодае. Але для пачатку палічым парты. У нашым выпадку мы плануем падлучыць да світаку: 17 ПК, 2 АР (кропкі доступу Wi-Fi), 8 IP камер, 1 NAS, 3 сеткавых друкаркі. З дапамогай арыфметыкі атрымліваем лік 31, якое адпавядае кол-ва прылад, першапачаткова падлучальных да сеткі, дадамо да гэтага. (мы ж плануем пашыраць сетку) і спынімся на 48 партах. Зараз аб функцыянале: наш світч павінен умець , пажадана ўсе 4096, не перашкодзяць шахты, бо будзе магчымым падлучэнні світача на іншым канцы будынка з дапамогай оптыкі, павінен умець працаваць у замкнёным коле, што нам робіць магчымым рэзерваванне лінкаў.), таксама АР і камеры будуць харчавацца праз вітую пару, таму неабходна наяўнасць (Больш падрабязна пра пратаколы можаце пачытаць у вікі, назвы клікабельныя). Занадта складаны функцыянал нам не патрэбен, таму наш выбар спыніцца на Cisco SG250-50P, бо ён валодае дастатковым для нас функцыяналам і ў той жа час не ўключае ў сябе залішнія функцыі. Аб Wi-Fi будзем казаць у наступным артыкуле, так як гэта дастаткова шырокая тэма. Тамсама спынімся на выбары АР. NAS і камеры мы не выбіраем, мяркуем, што гэтым займаюцца іншыя людзі, нас жа цікавіць толькі сетка.
планаванне
Для пачатку вызначымся з тым, якія віртуальныя сеткі нам неабходныя (што такое віртуальныя сеткі VLAN можаце прачытаць на Вікіпедыі). Такім чынам, мы маем некалькі лагічных сегментаў сеткі:
- Кліенцкія працоўныя станцыі (ПК)
- Сервер (NAS)
- відэаназіранне
- Гасцявыя прылады (WiFi)
Таксама, па правілах добрага тону, інтэрфейс кіравання прыладамі вынесем у асобную VLAN. Нумараваць VLAN-ы можна ў любым парадку, я абяру такі:
- VLAN10 Management (MGMT)
- VLAN50 Server's
- VLAN100 LAN+WiFi
- VLAN150 Visitor's WiFI (V-WiFi)
- VLAN200 CAM's
Далей складзем IP-план, будзем выкарыстоўваць 24 біта і падсетку 192.168.х.х. Прыступім.
У рэзерваваным пуле будуць знаходзіцца адрасы, якія будуць настроены статычна (друкаркі, сервера, інтэрфейсы кіравання і т. д., для кліентаў будзе выдаваць дынамічны адрас).
Вось мы і прыкінулі IP, тут ёсць пара момантаў, на якія хацелася б звярнуць увагу:
- У сетцы кіравання няма сэнсу паднімаць DHCP, абсалютна гэтак жа, як і ў сервернай, бо ўсе адрасы прызначаюцца ўручную пры наладзе абсталявання. Некаторыя пакідаюць невялікі DHCP- пул на выпадак падлучэння новага абсталявання, для яго першаснай канфігурацыі, але я абвык і Вам раю канфігураваць абсталяванне не ў замоўца, а ў сябе на стале, таму тут і не раблю гэты пул.
- Некаторыя мадэлі камер могуць патрабаваць статычны адрас, мы ж мяркуем, што камеры атрымліваюць яго аўтаматычна.
- У лакальнай сетцы пул пакідаем для друкарак, бо служба сеткавага друку не асоба надзейна працуе з дынамічнымі адрасамі.
Настройка роўтара
Ну, нарэшце пяройдзем да наладкі. Бярэм патч-корд і падлучаемся ў адзін з чатырох LAN партоў роўтара. Па змаўчанні на роўтары ўключаны DHCP сервер і ён даступны на адрасе 192.168.1.1. Праверыць гэта можна кансольнай утылітай ipconfig, у выснове якой наш роўтар будзе шлюзам па змаўчанні. Праверым:
У браўзэры ідзем на гэты адрас, пацвярджаем небяспечнае падлучэнне і лагінімся з лагінам/паролем cisco/cisco. Адразу ж мяняем пароль на бяспечны. І перш за ўсё ідзем ва ўкладачку Setup, раздзел Network, тут прысвойваем назву і даменнае імя для роўтара
Цяпер дадамо ў наш роўтар VLAN-ы. Ідзем у Port Management/VLAN Membership. Нас сустрэне таблічка VLAN-ok, настроеных па змаўчанні
Яны нам не патрэбныя, выдалім усё, акрамя першай, бо яна дэфолтная і выдаляць яе нельга, тут жа дадамо VLAN-ы, якія мы запланавалі. Не забудземся паставіць галачку ўверсе. Таксама кіраванне прыладамі дазволім толькі з сеткі кіравання, а маршрутызацыю паміж сеткамі дазволім усюды, акрамя гасцявой сеткі. Парты наладзім крыху пазней.
Цяпер наладзім DHCP сервера паводле нашай табліцы. Для гэтага ідзем DHCP/DHCP Setup.
Для сетак, у якіх DHCP будзе адключаны, наладзім толькі адрас шлюза, які будзе першым у падсетцы (адпаведна і маску).
У сетках з DHCP усё досыць проста, таксама наладжваем адрас шлюза, ніжэй прапісваем пулы і DNS-кі:
На гэтым мы разабраліся з DHCP, зараз кліенты, падлучаныя ў лакальную сетку, будуць атрымліваць адрас аўтаматычна. Цяпер сканфігуруем парты (парты канфігуруюцца па стандарце , спасылка клікабельна, можаце з ёй азнаёміцца). Бо маецца на ўвазе, што ўсе кліенты будуць падлучаныя праз кіраваныя світчы нетэгаваных (натыўнай) VLAN-ай на ўсіх партах будзе MGMT, гэта азначае, што любая прылада, падлучанае ў гэты порт, патрапіць у гэтую сетку (падрабязней тут). Вяртаемся ў Port Management/VLAN Membership і наладжваем гэта. VLAN1 на ўсіх партах пакідаем Excluded, яна нам не патрэбна.
Зараз на сваёй сеткавай карце нам неабходна наладзіць статычны адрас з падсеткі кіравання, бо мы патрапілі ў гэтую падсетку пасля таго, як клікнулі "захаваць", а DHCP сервера тут няма. Ідзем у налады сеткавага адаптара і наладжваем адрас. Пасля гэтага роўтэр будзе даступны на адрасе 192.168.10.1
Наладзім наша падлучэнне да Інтэрнэту. Выкажам здагадку, што мы атрымалі статычны адрас ад правайдэра. Ідзем у Setup/Network, унізе адзначаем WAN1, націсканы Edit. Выбіраемы Static IP і наладжваем свой адрас.
І апошняе на сёння - сканфігуруем дыстанцыйны доступ. Для гэтага ідзем у Firewall/General і ставім галачку Remote Management, па неабходнасці наладжваем порт
На сёння, мабыць, усё. Па выніку артыкула мы маем базава сканфігураваны роўтар, з дапамогай якога можам атрымаць доступ у інтэрнэт. Аб'ём артыкула выходзіць больш, чым я меркаваў, таму ў наступнай частцы мы скончым наладу роўтара, паднімем VPN-ку, сканфігуруем файрвол і лагіраванне, а таксама сканфігуруем світч і ўжо зможам запусціць наш офіс у працу. Спадзяюся, што артыкул быў для Вас хоць крыху карысны і пазнавальны. Пішу ў першы раз, буду вельмі рады канструктыўнай крытыцы і пытанням, паспрабую адказаць усім і прыняць да ўвагі вашыя заўвагі. Таксама, як я пісаў у пачатку, вітаюцца вашыя думкі наконт таго, што яшчэ можа з'явіцца ў офісе і што яшчэ будзем канфігураваць.
Мае кантакты:
Telegram:
Skype/mail: [электронная пошта абаронена]
Дадавайцеся, пагутарым.
Крыніца: habr.com