Saluton, karaj Habro-loĝantoj kaj hazardaj gastoj. En ĉi tiu serio de artikoloj ni parolos pri konstruado de simpla reto por kompanio, kiu ne tro postulas pri sia IT-infrastrukturo, sed samtempe havas la bezonon provizi al siaj dungitoj altkvalitan interretan konekton, aliron al komuna dosiero. rimedoj, kaj provizi dungitojn per VPN-aliro al la laborejo kaj konektanta videogvatsistemon, kiu povus esti alirebla de ie ajn en la mondo. La malgranda komerca segmento estas karakterizita per rapida kresko kaj, sekve, reto-replanado. En ĉi tiu artikolo ni komencos kun unu oficejo kun 15 laborlokoj kaj plu vastigos la reton. Do, se iu temo estas interesa, skribu en la komentoj, ni provos efektivigi ĝin en la artikolo. Mi supozos, ke la leganto konas la bazojn de komputilaj retoj, sed mi provizos ligilojn al Vikipedio por ĉiuj teknikaj terminoj; se io ne estas klara, alklaku kaj korektu ĉi tiun mankon.
Do, ni komencu. Ajna reto komenciĝas per inspektado de la areo kaj akiro de la postuloj de la kliento, kiuj poste estos formitaj en la teknikaj specifoj. Ofte la kliento mem ne plene komprenas, kion li volas kaj kion li bezonas por ĉi tio, do li devas esti gvidata al tio, kion ni povas fari, sed ĉi tio estas pli ol vendista laboro, ni provizas la teknikan parton, do ni supozu, ke Ni ricevis la jenajn komencajn postulojn:
- 17 laborstacioj por labortablaj komputiloj
- Reta diskstokado ()
- CCTV-sistemo uzante kaj IP-fotiloj (8 pecoj)
- Oficeja Wifi-kovrado, du retoj (interna kaj gasto)
- Eblas aldoni retajn presilojn (ĝis 3 pecoj)
- La perspektivo malfermi duan oficejon sur la alia flanko de la grandurbo
Elekto de ekipaĵo
Mi ne enprofundiĝos pri la elekto de vendisto, ĉar ĉi tio estas afero, kiu estigas antikvajn disputojn; ni koncentriĝos pri tio, ke la marko jam estas decidita, ĝi estas Cisco.
La bazo de la reto estas (enkursigilo). Gravas taksi niajn bezonojn, ĉar ni planas vastigi la reton estonte. Aĉeti enkursigilon kun rezervo por tio ŝparos al la kliento monon dum ekspansio, kvankam ĝi estos iom pli multekosta ĉe la unua etapo. Cisco por la malgranda komerca segmento ofertas la serion Rvxxx, kiu inkluzivas enkursigilojn por hejmaj oficejoj (RV1xx, plej ofte kun enkonstruita Wi-Fi-modulo), kiuj estas dizajnitaj por konekti plurajn laborstaciojn kaj retstokadon. Sed ni ne interesiĝas pri ili, ĉar ili havas sufiĉe limigitajn VPN-kapablojn kaj sufiĉe malaltan bendolarĝon. Ni ankaŭ ne interesiĝas pri la enkonstruita sendrata modulo, ĉar ĝi devas esti metita en teknika ĉambro en rako; Wi-Fi estos organizita per AP (). Nia elekto falos sur la RV320, kiu estas la juna modelo de la pli malnova serio. Ni ne bezonas grandan nombron da havenoj en la enkonstruita ŝaltilo, ĉar ni havos apartan ŝaltilon por provizi sufiĉan nombron da havenoj. La ĉefa avantaĝo de la enkursigilo estas ĝia sufiĉe alta trafluo. servilo (75 Mbits), licenco por 10 VPN-tuneloj, la kapablo levi Site-2-ejan VPN-tunelon. Ankaŭ gravas la ĉeesto de dua WAN-haveno por provizi rezervan interretan konekton.
La enkursigilo devus esti . La plej grava parametro de ŝaltilo estas la aro de funkcioj kiujn ĝi havas. Sed unue, ni kalkulu la havenojn. En nia kazo, ni planas konekti al la ŝaltilo: 17 komputiloj, 2 AP-oj (Wi-Fi-alirpunktoj), 8 IP-fotiloj, 1 NAS, 3 retaj presiloj. Uzante aritmetikon, ni ricevas la numeron 31, responda al la nombro da aparatoj komence konektitaj al la reto, aldonu 2 al ĉi tio. (ni planas vastigi la reton) kaj haltos ĉe 48 havenoj. Nun pri la funkcieco: nia ŝaltilo devus povi , prefere ĉiuj 4096, ne difektos mia, ĉar eblos konekti ŝaltilon ĉe la alia fino de la konstruaĵo per optiko, ĝi devas povi funkcii en fermita rondo, kio ebligas al ni rezervi ligilojn (), ankaŭ la AP kaj fotiloj estos funkciigitaj per tordita paro, do necesas havi (vi povas legi pli pri la protokoloj en la vikio, la nomoj estas klakeblaj). Tro komplika Ni ne bezonas funkciecon, do nia elekto estos Cisco SG250-50P, ĉar ĝi havas sufiĉan funkciecon por ni kaj samtempe ne inkluzivas redundajn funkciojn. Pri Wi-Fi ni parolos en la sekva artikolo, ĉar ĉi tio estas sufiĉe larĝa temo. Tie ni detenos pri la elekto de AR. Ni ne elektas NAS kaj fotilojn, ni supozas, ke aliaj homoj faras tion, sed ni nur interesiĝas pri la reto.
Planado
Unue, ni decidu kiajn virtualajn retojn ni bezonas (vi povas legi, kiaj VLANoj estas en Vikipedio). Do, ni havas plurajn logikajn retsegmentojn:
- Klientaj laborstacioj (komputiloj)
- Servilo (NAS)
- CCTV
- Gastaj aparatoj (WiFi)
Ankaŭ, laŭ la reguloj de bona maniero, ni movos la aparato-administran interfacon en apartan VLAN. Vi povas numeri VLANojn en ajna ordo, mi elektos ĉi tion:
- Administrado de VLAN10 (MGMT)
- Servilo de VLAN50
- VLAN100 LAN+WiFi
- VLAN150-WIFI de Vizitanto (V-WiFi)
- VLAN200 CAM-oj
Poste, ni ellaboros IP-planon kaj uzos 24 bitoj kaj subreto 192.168.x.x. Ni komencu.
La rezervita naĝejo enhavos adresojn kiuj estos agordita statike (presiloj, serviloj, administradinterfacoj, ktp., por klientoj eldonos dinamikan adreson).
Do ni taksis la IP, estas kelkaj punktoj pri kiuj mi ŝatus atentigi:
- Ne utilas agordi DHCP en la kontrolreto, same kiel en la servila ĉambro, ĉar ĉiuj adresoj estas atribuitaj permane dum agordado de la ekipaĵo. Iuj homoj forlasas malgrandan DHCP-poolon okaze de konekto de novaj ekipaĵoj, por ĝia komenca agordo, sed mi kutimas al ĝi kaj mi konsilas al vi agordi la ekipaĵon ne ĉe la kliento, sed ĉe via skribotablo, do mi ne faru ĉi tiun naĝejon ĉi tie.
- Iuj fotilaj modeloj povas postuli senmovan adreson, sed ni supozas, ke fotiloj ricevas ĝin aŭtomate.
- En la loka reto, ni lasas la naĝejon por presiloj, ĉar la retpresa servo ne funkcias precipe fidinde kun dinamikaj adresoj.
Agordi la enkursigilon
Nu, finfine ni pluiru al la aranĝo. Ni prenas la flikŝnuron kaj konektas al unu el la kvar LAN-havenoj de la enkursigilo. Defaŭlte, la DHCP-servilo estas ebligita sur la enkursigilo kaj haveblas ĉe la adreso 192.168.1.1. Vi povas kontroli ĉi tion uzante la ipconfig-konzolan ilon, en kies eligo nia enkursigilo estos la defaŭlta enirejo. Ni kontrolu:
En la retumilo, iru al ĉi tiu adreso, konfirmu la nesekuran konekton kaj ensalutu per la ensaluto/pasvorto cisco/cisco. Tuj ŝanĝu la pasvorton al sekura. Kaj unue, iru al la langeto Agordo, sekcio Reto, ĉi tie ni atribuas nomon kaj domajnan nomon por la enkursigilo.
Nun ni aldonu VLAN-ojn al nia enkursigilo. Iru al Havena Administrado/VLAN-Membreco. Ni estos salutitaj per VLAN-ok-signo, agordita defaŭlte
Ni ne bezonas ilin, ni forigos ĉiujn krom la unua, ĉar ĝi estas defaŭlta kaj ne povas esti forigita, kaj ni tuj aldonos la VLANojn, kiujn ni planis. Ne forgesu marki la skatolon supre. Ni ankaŭ permesos aparato-administradon nur de la administra reto, kaj permesos enrutadon inter retoj ĉie krom la gastreto. Ni agordos la havenojn iom poste.
Nun ni agordu la DHCP-servilon laŭ nia tabelo. Por fari tion, iru al DHCP/DHCP-Agordo.
Por retoj, en kiuj DHCP estos malŝaltita, ni agordos nur la enirejan adreson, kiu estos la unua en la subreto (kaj la masko laŭe).
En retoj kun DHCP, ĉio estas sufiĉe simpla, ni ankaŭ agordas la enirejan adreson, kaj registras la poolojn kaj DNS sube:
Kun ĉi tio ni traktis DHCP, nun klientoj konektitaj al la loka reto ricevos adreson aŭtomate. Nun ni agordu la havenojn (la havenoj estas agorditaj laŭ la normo , la ligilo estas klakebla, vi povas konatiĝi kun ĝi). Ĉar oni supozas, ke ĉiuj klientoj estos konektitaj per administritaj ŝaltiloj de neetikedita (denaska) VLAN, ĉiuj havenoj estos MGMT, tio signifas, ke iu ajn aparato konektita al ĉi tiu haveno estos inkluzivita en ĉi tiu reto (pli da detaloj ĉi tie). Ni reiru al Havena Administrado/VLAN-Membreco kaj agordu ĉi tion. Ni lasas VLAN1 Ekskludita sur ĉiuj havenoj, ni ne bezonas ĝin.
Nun sur nia retkarto ni devas agordi statikan adreson de la administra subreto, ĉar ni finiĝis en ĉi tiu subreto post kiam ni klakis "konservi", sed ne ekzistas DHCP-servilo ĉi tie. Iru al la agordoj de retaj adaptiloj kaj agordu la adreson. Post ĉi tio, la enkursigilo estos disponebla ĉe 192.168.10.1
Ni starigu nian interretan konekton. Ni supozu, ke ni ricevis statikan adreson de la provizanto. Iru al Agordo/Reto, marku WAN1 malsupre, alklaku Redakti. Elektu Statikan IP kaj agordu vian adreson.
Kaj la lasta afero hodiaŭ estas agordi foran aliron. Por fari tion, iru al Fajromuro/Ĝenerala kaj kontrolu la skatolon Remote Management, agordu la havenon se necese
Tio verŝajne estas ĉio por hodiaŭ. Kiel rezulto de la artikolo, ni havas bazan agordan enkursigilon per kiu ni povas aliri la Interreton. La longeco de la artikolo estas pli longa ol mi atendis, do en la sekva parto ni finos agordi la enkursigilon, instali VPN, agordi la fajroŝirmilon kaj ensaluti, kaj ankaŭ agordi la ŝaltilon kaj ni povos funkciigi nian oficejon. . Mi esperas, ke la artikolo estis almenaŭ iom utila kaj informa por vi. Mi skribas la unuan fojon, mi tre ĝojos ricevi konstruajn kritikojn kaj demandojn, mi provos respondi ĉiujn kaj konsideri viajn komentojn. Ankaŭ, kiel mi skribis komence, viaj pensoj pri kio alia povas aperi en la oficejo kaj kio alia ni agordos estas bonvenaj.
Miaj kontaktoj:
Telegramo:
Skajpo/poŝto: [retpoŝte protektita]
Aldonu nin, ni babilu.
fonto: www.habr.com