Rede para pequenas empresas en equipos Cisco. Parte 1
Saúdos, queridos veciños de Habro e invitados aleatorios. Nesta serie de artigos falaremos de construír unha rede sinxela para unha empresa que non é demasiado esixente na súa infraestrutura informática, pero que ao mesmo tempo ten a necesidade de proporcionar aos seus empregados unha conexión a Internet de alta calidade, acceso a ficheiros compartidos. recursos e proporcionar aos empregados acceso VPN ao lugar de traballo e conectar un sistema de videovixilancia, ao que se pode acceder desde calquera lugar do mundo. O segmento de pequenas empresas caracterízase por un rápido crecemento e, en consecuencia, unha replanificación da rede. Neste artigo comezaremos cunha oficina con 15 lugares de traballo e ampliaremos aínda máis a rede. Entón, se algún tema é interesante, escriba nos comentarios, tentaremos implementalo no artigo. Supoñei que o lector está familiarizado cos conceptos básicos das redes informáticas, pero proporcionarei ligazóns á Wikipedia para todos os termos técnicos; se algo non está claro, fai clic e corrixe esta deficiencia.
Entón, imos comezar. Calquera rede comeza cunha inspección da zona e a obtención dos requisitos do cliente, que posteriormente se formarán nas especificacións técnicas. Moitas veces o propio cliente non entende completamente o que quere e o que necesita para iso, polo que é necesario orientalo cara ao que podemos facer, pero este é o traballo de máis que un representante de vendas, nós proporcionamos a parte técnica, polo que asumiremos que obtivemos os seguintes requisitos iniciais:
Cobertura Wi-Fi de oficina, dúas redes (interna e convidada)
É posible engadir impresoras de rede (ata 3 pezas)
A perspectiva de abrir unha segunda oficina no outro lado da cidade
Selección de equipos
Non vou afondar na selección dun vendedor, xa que este é un tema que dá lugar a vellas disputas, centrarémonos en que a marca xa está decidida, é Cisco.
A base da rede é enrutador (router). É importante avaliar as nosas necesidades, xa que estamos a planear ampliar a rede no futuro. A compra dun enrutador cunha reserva para iso aforrará o diñeiro do cliente durante a expansión, aínda que na primeira fase será un pouco máis caro. Cisco para o segmento de pequenas empresas ofrece a serie Rvxxx, que inclúe enrutadores para oficinas domésticas (RV1xx, a maioría das veces cun módulo Wi-Fi integrado), que están deseñados para conectar varias estacións de traballo e almacenamento en rede. Pero non nos interesan, xa que teñen capacidades VPN bastante limitadas e un ancho de banda bastante baixo. Tampouco nos interesa o módulo sen fíos incorporado, xa que se supón que se colocará nunha sala técnica nun rack; a wifi organizarase mediante un AP (Puntos de acceso). A nosa elección recaerá no RV320, que é o modelo junior da serie máis antiga. Non necesitamos un gran número de portos no switch integrado, xa que teremos un switch separado para proporcionar un número suficiente de portos. A principal vantaxe do router é o seu rendemento bastante alto. VPN servidor (75 Mbits), unha licenza para 10 túneles VPN, a capacidade de crear un túnel VPN de sitio 2. Tamén é importante a presenza dun segundo porto WAN para proporcionar unha conexión de backup a Internet.
O router debería estar interruptor (interruptor). O parámetro máis importante dun interruptor é o conxunto de funcións que ten. Pero primeiro, imos contar os portos. No noso caso, temos previsto conectarnos ao switch: 17 PCs, 2 AP (puntos de acceso Wi-Fi), 8 cámaras IP, 1 NAS, 3 impresoras de rede. Usando aritmética, obtemos o número 31, correspondente ao número de dispositivos conectados inicialmente á rede, suma 2 a este ligazón ascendente (estamos pensando en ampliar a rede) e parará en 48 portos. Agora sobre a funcionalidade: o noso interruptor debería poder facelo VLAN, preferiblemente todos os 4096, non farán mal SFP o meu, xa que se poderá conectar un interruptor no outro extremo do edificio mediante óptica, debe poder funcionar en círculo pechado, o que permita reservar enlaces (Protocolo STP-Spanning Tree), tamén o AP e as cámaras alimentaranse mediante par trenzado, polo que é necesario ter Poe (Podes ler máis sobre os protocolos na wiki, os nomes pódense facer clic). Demasiado complicado L3 Non necesitamos funcionalidades, polo que a nosa elección será Cisco SG250-50P, xa que ten funcionalidades suficientes para nós e, ao mesmo tempo, non inclúe funcións redundantes. Falaremos de Wi-Fi no seguinte artigo, xa que este é un tema bastante amplo. Alí deterémonos na elección de AR. Non escollemos NAS e cámaras, supoñemos que outras persoas están a facer isto, pero só nos interesa a rede.
Planificación
Primeiro, imos decidir que redes virtuais necesitamos (podes ler cales son as VLAN na Wikipedia). Polo tanto, temos varios segmentos de rede lóxica:
Estacións de traballo cliente (PC)
Servidor (NAS)
CCTV
Dispositivos convidados (WiFi)
Ademais, segundo as regras dos bos costumes, moveremos a interface de xestión do dispositivo a unha VLAN separada. Podes numerar as VLAN en calquera orde, eu escollerei isto:
Xestión VLAN10 (MGMT)
Servidor VLAN50
VLAN100 LAN+WiFi
WiFi do visitante VLAN150 (V-WiFi)
CAM VLAN200
A continuación, elaboraremos un plan de IP e utilizaremos máscara 24 bits e subrede 192.168.x.x. Imos comezar.
O pool reservado conterá enderezos que se configurarán de forma estática (impresoras, servidores, interfaces de xestión, etc., para os clientes). DHCP emitirá un enderezo dinámico).
Así que estimamos a IP, hai un par de puntos aos que me gustaría prestar atención:
De nada serve configurar DHCP na rede de control, igual que na sala de servidores, xa que todos os enderezos son asignados manualmente ao configurar o equipo. Algunhas persoas deixan un pequeno pool de DHCP en caso de conectar equipos novos, para a súa configuración inicial, pero estou afeito a iso e recoméndoche que configures o equipo non no lugar do cliente, senón na túa mesa, para que non o faga. fai esta piscina aquí.
Algúns modelos de cámara poden requirir un enderezo estático, pero supoñemos que as cámaras o reciben automaticamente.
Na rede local, deixamos o grupo para as impresoras, xa que o servizo de impresión en rede non funciona de forma especialmente fiable con enderezos dinámicos.
Configuración do enrutador
Ben, finalmente imos pasar á configuración. Collemos o cable de conexión e conectámonos a un dos catro portos LAN do router. Por defecto, o servidor DHCP está activado no router e está dispoñible no enderezo 192.168.1.1. Podes comprobalo usando a utilidade da consola ipconfig, en cuxa saída o noso enrutador será a pasarela predeterminada. Comprobamos:
No navegador, vai a este enderezo, confirma a conexión insegura e inicia sesión co nome de usuario/contrasinal cisco/cisco. Cambia inmediatamente o contrasinal por un seguro. E primeiro, vai á pestana Configuración, sección Rede, aquí asignamos un nome e un nome de dominio para o enrutador
Agora imos engadir VLAN ao noso enrutador. Vaia a Xestión de portos/Membro de VLAN. Seremos recibidos por un sinal VLAN-ok, configurado por defecto
Non os necesitamos, eliminaremos todos excepto o primeiro, xa que é predeterminado e non se pode borrar, e engadiremos inmediatamente as VLAN que planeamos. Non esquezas marcar a caixa na parte superior. Tamén permitiremos a xestión de dispositivos só desde a rede de xestión e permitiremos o enrutamento entre redes en todas partes, excepto na rede convidada. Configuraremos os portos un pouco máis tarde.
Agora imos configurar o servidor DHCP segundo a nosa táboa. Para facelo, vaia a Configuración de DHCP/DHCP.
Para as redes nas que se desactivará DHCP, configuraremos só o enderezo da pasarela, que será o primeiro da subrede (e a máscara en consecuencia).
Nas redes con DHCP, todo é bastante sinxelo, tamén configuramos o enderezo da pasarela, e rexistramos os pools e DNS a continuación:
Con isto tratamos con DHCP, agora os clientes conectados á rede local recibirán un enderezo automaticamente. Agora imos configurar os portos (os portos están configurados segundo o estándar 802.1q, a ligazón pódese facer clic, podes familiarizarte con ela). Dado que se supón que todos os clientes estarán conectados a través de conmutadores xestionados dunha VLAN (nativa) sen etiquetar, todos os portos serán MGMT, isto significa que calquera dispositivo conectado a este porto caerá nesta rede (máis detalles aquí). Volvamos a Xestión de portos/Pertenza a VLAN e configure isto. Deixamos VLAN1 excluído en todos os portos, non o necesitamos.
Agora na nosa tarxeta de rede necesitamos configurar un enderezo estático desde a subrede de xestión, xa que acabamos nesta subrede despois de facer clic en "gardar", pero aquí non hai ningún servidor DHCP. Vaia á configuración do adaptador de rede e configure o enderezo. Despois disto, o enrutador estará dispoñible no 192.168.10.1
Configuramos a nosa conexión a Internet. Supoñamos que recibimos un enderezo estático do provedor. Vaia a Configuración/Rede, marca WAN1 na parte inferior e fai clic en Editar. Seleccione IP estática e configure o seu enderezo.
E o último para hoxe é configurar o acceso remoto. Para iso, vaia a Firewall/Xeral e marque a caixa Xestión remota, configure o porto se é necesario
Probablemente iso sexa todo por hoxe. Como resultado do artigo, temos un enrutador básico configurado co que podemos acceder a Internet. A extensión do artigo é máis longa do que esperaba, polo que na seguinte parte remataremos de configurar o router, instalar unha VPN, configurar o firewall e rexistrar, e tamén configurar o switch e poderemos poñer en funcionamento a nosa oficina. . Espero que o artigo fose polo menos un pouco útil e informativo para vostede. Escribo por primeira vez, estarei moi contento de recibir críticas e preguntas construtivas, tentarei responder a todos e ter en conta os vosos comentarios. Ademais, como escribín ao principio, os teus pensamentos sobre o que máis pode aparecer na oficina e que máis configuraremos son benvidos.