Saudações, queridos residentes de Habro e convidados aleatórios. Nesta série de artigos falaremos sobre a construção de uma rede simples para uma empresa que não é muito exigente com sua infraestrutura de TI, mas ao mesmo tempo tem a necessidade de fornecer aos seus funcionários uma conexão de Internet de alta qualidade, acesso a arquivos compartilhados recursos, e fornecer aos funcionários acesso VPN ao local de trabalho e conectar um sistema de videovigilância, que pode ser acessado de qualquer lugar do mundo. O segmento de pequenas empresas é caracterizado pelo rápido crescimento e, consequentemente, pelo replanejamento da rede. Neste artigo começaremos com um escritório com 15 locais de trabalho e expandiremos ainda mais a rede. Então, se algum tema for interessante, escreva nos comentários, tentaremos implementá-lo no artigo. Assumirei que o leitor está familiarizado com os conceitos básicos de redes de computadores, mas fornecerei links para a Wikipédia para todos os termos técnicos; se algo não estiver claro, clique e corrija esta deficiência.
Então, vamos começar. Qualquer rede começa com uma vistoria da área e obtenção dos requisitos do cliente, que posteriormente serão formados nas especificações técnicas. Muitas vezes o próprio cliente não entende bem o que quer e o que precisa para isso, então é necessário orientá-lo sobre o que podemos fazer, mas isso é trabalho de mais que um representante comercial, nós fornecemos a parte técnica, então assumiremos que obtivemos os seguintes requisitos iniciais:
- 17 estações de trabalho para PCs desktop
- Armazenamento em disco de rede ()
- Sistema de CFTV usando e câmeras IP (8 peças)
- Cobertura Wi-Fi do escritório, duas redes (interna e convidada)
- É possível adicionar impressoras de rede (até 3 peças)
- A perspectiva de abrir um segundo escritório do outro lado da cidade
Seleção de equipamentos
Não vou me aprofundar na seleção de um fornecedor, pois esta é uma questão que dá origem a disputas antigas, vamos focar no fato de que a marca já está decidida, é a Cisco.
A base da rede é (roteador). É importante avaliar as nossas necessidades, pois pretendemos expandir a rede no futuro. Adquirir um roteador com reserva para isso economizará dinheiro para o cliente durante a expansão, embora seja um pouco mais caro na primeira etapa. A Cisco para o segmento de pequenas empresas oferece a série Rvxxx, que inclui roteadores para escritórios domésticos (RV1xx, na maioria das vezes com módulo Wi-Fi integrado), projetados para conectar várias estações de trabalho e armazenamento de rede. Mas não estamos interessados neles, uma vez que têm capacidades VPN bastante limitadas e largura de banda bastante baixa. Também não estamos interessados no módulo wireless embutido, pois ele deve ser colocado em uma sala técnica em um rack; o Wi-Fi será organizado através de um AP (). Nossa escolha recairá sobre o RV320, que é o modelo júnior da série mais antiga. Não precisamos de um grande número de portas no switch integrado, pois teremos um switch separado para fornecer um número suficiente de portas. A principal vantagem do roteador é seu rendimento bastante alto. servidor (75 Mbits), uma licença para 10 túneis VPN, a capacidade de criar um túnel VPN site-2-site. Também importante é a presença de uma segunda porta WAN para fornecer uma conexão de backup à Internet.
O roteador deve ser . O parâmetro mais importante de um switch é o conjunto de funções que ele possui. Mas primeiro, vamos contar as portas. No nosso caso, planejamos conectar ao switch: 17 PCs, 2 APs (pontos de acesso Wi-Fi), 8 câmeras IP, 1 NAS, 3 impressoras de rede. Usando aritmética, obtemos o número 31, correspondente ao número de dispositivos inicialmente conectados à rede, adicione 2 a isso (estamos planejando expandir a rede) e vai parar em 48 portos. Agora sobre a funcionalidade: nosso switch deve ser capaz de , de preferência todos os 4096, não fará mal o meu, como será possível conectar um switch na outra extremidade do prédio por meio de ótica, ele deve poder funcionar em círculo fechado, o que nos permite reservar links (), também o AP e as câmeras serão alimentados via par trançado, portanto é necessário ter (você pode ler mais sobre os protocolos no wiki, os nomes são clicáveis). Muito complicado Não precisamos de funcionalidade, então nossa escolha será Cisco SG250-50P, pois possui funcionalidade suficiente para nós e ao mesmo tempo não inclui funções redundantes. Falaremos sobre Wi-Fi no próximo artigo, pois este é um tema bastante amplo. Lá nos deteremos na escolha do AR. Não escolhemos NAS e câmeras, presumimos que outras pessoas estão fazendo isso, mas estamos interessados apenas na rede.
planejamento
Primeiro, vamos decidir quais redes virtuais precisamos (você pode ler o que são VLANs na Wikipedia). Portanto, temos vários segmentos de rede lógica:
- Estações de trabalho clientes (PCs)
- Servidor (NAS)
- Vigilância por vídeo
- Dispositivos convidados (WiFi)
Além disso, de acordo com as regras de boas maneiras, moveremos a interface de gerenciamento de dispositivos para uma VLAN separada. Você pode numerar as VLANs em qualquer ordem, vou escolher isto:
- Gerenciamento de VLAN10 (MGMT)
- Servidores VLAN50
- VLAN100 LAN+Wi-Fi
- WiFI do visitante VLAN150 (V-WiFi)
- CAM VLAN200
A seguir, elaboraremos um plano de IP e usaremos 24 bits e sub-rede 192.168.x.x. Vamos começar.
O pool reservado conterá endereços que serão configurados estaticamente (impressoras, servidores, interfaces de gerenciamento, etc., para clientes emitirá um endereço dinâmico).
Então estimamos o IP, há alguns pontos que gostaria de prestar atenção:
- Não adianta configurar o DHCP na rede de controle, assim como na sala de servidores, pois todos os endereços são atribuídos manualmente na configuração do equipamento. Algumas pessoas deixam um pequeno pool de DHCP no caso de conectar novos equipamentos, para sua configuração inicial, mas estou acostumado e aconselho que você configure o equipamento não na casa do cliente, mas na sua mesa, então não faça essa piscina aqui.
- Alguns modelos de câmeras podem exigir um endereço estático, mas presumimos que as câmeras o recebam automaticamente.
- Na rede local, deixamos o pool para impressoras, pois o serviço de impressão em rede não funciona de maneira particularmente confiável com endereços dinâmicos.
Configurando um roteador
Bem, finalmente vamos passar para a configuração. Pegamos o patch cord e o conectamos a uma das quatro portas LAN do roteador. Por padrão, o servidor DHCP está habilitado no roteador e está disponível no endereço 192.168.1.1. Você pode verificar isso usando o utilitário do console ipconfig, cuja saída nosso roteador será o gateway padrão. Vamos checar:
No navegador, acesse este endereço, confirme a conexão insegura e faça login com o login/senha cisco/cisco. Altere imediatamente a senha para uma segura. E antes de tudo, vá para a guia Configuração, seção Rede, aqui atribuímos um nome e um nome de domínio para o roteador
Agora vamos adicionar VLANs ao nosso roteador. Vá para gerenciamento de porta/associação à VLAN. Seremos recebidos por um sinal VLAN-ok, configurado por padrão
Não precisamos deles, excluiremos todos, exceto o primeiro, pois é padrão e não pode ser excluído, e adicionaremos imediatamente as VLANs que planejamos. Não se esqueça de marcar a caixa no topo. Também permitiremos o gerenciamento de dispositivos somente a partir da rede de gerenciamento e permitiremos o roteamento entre redes em qualquer lugar, exceto na rede convidada. Configuraremos as portas um pouco mais tarde.
Agora vamos configurar o servidor DHCP de acordo com nossa tabela. Para fazer isso, vá para Configuração DHCP/DHCP.
Para redes nas quais o DHCP estará desabilitado, configuraremos apenas o endereço do gateway, que será o primeiro da sub-rede (e a máscara correspondente).
Em redes com DHCP tudo é bem simples, configuramos também o endereço do gateway, e cadastramos os pools e DNS abaixo:
Com isso tratamos do DHCP, agora os clientes conectados à rede local receberão um endereço automaticamente. Agora vamos configurar as portas (as portas são configuradas de acordo com o padrão , o link é clicável, você pode se familiarizar com ele). Como se presume que todos os clientes serão conectados através de switches gerenciados de uma VLAN não etiquetada (nativa), todas as portas serão MGMT, isso significa que qualquer dispositivo conectado a esta porta cairá nesta rede (mais detalhes aqui). Vamos voltar para Port Management/VLAN Membership e configurar isso. Deixamos VLAN1 excluída em todas as portas, não precisamos disso.
Agora em nossa placa de rede precisamos configurar um endereço estático da sub-rede de gerenciamento, pois acabamos nesta sub-rede depois de clicarmos em “salvar”, mas não há servidor DHCP aqui. Vá para as configurações do adaptador de rede e configure o endereço. Depois disso, o roteador estará disponível em 192.168.10.1
Vamos configurar nossa conexão com a Internet. Vamos supor que recebemos um endereço estático do provedor. Vá para Configuração/Rede, marque WAN1 na parte inferior e clique em Editar. Selecione IP estático e configure seu endereço.
E a última coisa de hoje é configurar o acesso remoto. Para fazer isso, vá em Firewall/Geral e marque a caixa Gerenciamento Remoto, configure a porta se necessário
Provavelmente isso é tudo por hoje. Como resultado do artigo, temos um roteador configurado básico com o qual podemos acessar a Internet. A extensão do artigo é maior do que eu esperava, então na próxima parte terminaremos de configurar o roteador, instalar uma VPN, configurar o firewall e o logging, e também configurar o switch e poderemos colocar nosso escritório em operação . Espero que o artigo tenha sido pelo menos um pouco útil e informativo para você. Estou escrevendo pela primeira vez, ficarei muito feliz em receber críticas e dúvidas construtivas, tentarei responder a todos e levar em consideração seus comentários. Além disso, como escrevi no início, sua opinião sobre o que mais pode aparecer no escritório e o que mais iremos configurar é bem-vinda.
Meus contatos:
Telegrama:
Skype/e-mail: [email protegido]
Adicione-nos, vamos conversar.
Fonte: habr.com