Salutări, dragi locuitori Habro și oaspeți la întâmplare. În această serie de articole vom vorbi despre construirea unei rețele simple pentru o companie care nu este prea pretențioasă cu infrastructura sa IT, dar are în același timp nevoia să ofere angajaților săi o conexiune la Internet de înaltă calitate, acces la fișierul partajat. resurse și oferirea angajaților de acces VPN la locul de muncă și conectarea unui sistem de supraveghere video, care ar putea fi accesat de oriunde în lume. Segmentul de afaceri mici se caracterizează prin creștere rapidă și, în consecință, replanificarea rețelei. În acest articol vom începe cu un birou cu 15 locuri de muncă și vom extinde în continuare rețeaua. Deci, dacă vreun subiect este interesant, scrieți în comentarii, vom încerca să îl implementăm în articol. Voi presupune că cititorul este familiarizat cu elementele de bază ale rețelelor de calculatoare, dar voi oferi link-uri către Wikipedia pentru toți termenii tehnici; dacă ceva nu este clar, faceți clic și corectați această deficiență.
Deci, să începem. Orice rețea începe cu o inspecție a zonei și obținerea cerințelor clientului, care ulterior vor fi formate în specificațiile tehnice. Adesea, clientul însuși nu înțelege pe deplin ce vrea și ce are nevoie pentru aceasta, așa că este necesar să-l ghidăm spre ceea ce putem face, dar aceasta este munca mai mult decât un reprezentant de vânzări, noi oferim partea tehnică, deci vom presupune că Am primit următoarele cerințe inițiale:
- 17 stații de lucru pentru computere desktop
- Stocare pe disc de rețea ()
- Utilizarea sistemului CCTV și camere IP (8 bucăți)
- Acoperire Wi-Fi de birou, două rețele (internă și invitată)
- Este posibil să adăugați imprimante de rețea (până la 3 bucăți)
- Perspectiva deschiderii unui al doilea birou în cealaltă parte a orașului
Alegerea echipamentelor
Nu mă voi aprofunda în selecția unui furnizor, deoarece aceasta este o problemă care dă naștere unor dispute vechi, ne vom concentra pe faptul că marca a fost deja decisă, este Cisco.
Baza rețelei este (router). Este important să ne evaluăm nevoile, deoarece intenționăm să extindem rețeaua în viitor. Achiziționarea unui router cu o rezervă pentru aceasta va economisi bani clientului în timpul extinderii, deși va fi puțin mai scump în prima etapă. Cisco pentru segmentul de afaceri mici oferă seria Rvxxx, care include routere pentru birouri de acasă (RV1xx, cel mai adesea cu un modul Wi-Fi încorporat), care sunt concepute pentru a conecta mai multe stații de lucru și stocare în rețea. Dar nu ne interesează ele, deoarece au capabilități VPN destul de limitate și lățime de bandă destul de redusă. De asemenea, nu ne interesează modulul wireless încorporat, deoarece ar trebui să fie amplasat într-o cameră tehnică într-un rack; Wi-Fi va fi organizat folosind un AP (). Alegerea noastră va cădea pe RV320, care este modelul junior al seriei mai vechi. Nu avem nevoie de un număr mare de porturi în comutatorul încorporat, deoarece vom avea un comutator separat pentru a oferi un număr suficient de porturi. Principalul avantaj al routerului este debitul său destul de mare. server (75 Mbits), o licență pentru 10 tuneluri VPN, capacitatea de a ridica un tunel VPN Site-2-site. De asemenea, importantă este prezența unui al doilea port WAN pentru a oferi o conexiune de rezervă la Internet.
Routerul ar trebui să fie . Cel mai important parametru al unui comutator este setul de funcții pe care îl are. Dar mai întâi, să numărăm porturile. În cazul nostru, plănuim să ne conectăm la switch: 17 PC-uri, 2 AP-uri (puncte de acces Wi-Fi), 8 camere IP, 1 NAS, 3 imprimante de rețea. Folosind aritmetica, obținem numărul 31, corespunzător numărului de dispozitive conectate inițial la rețea, adăugați 2 la aceasta (planificăm extinderea rețelei) și se va opri la 48 de porturi. Acum despre funcționalitate: comutatorul nostru ar trebui să poată , de preferință toate 4096, nu va strica al meu, deoarece va fi posibil să conectați un comutator la celălalt capăt al clădirii folosind optica, acesta trebuie să poată funcționa într-un cerc închis, ceea ce ne face posibil să rezervăm legături (), de asemenea AP-ul și camerele vor fi alimentate prin pereche răsucită, deci este necesar să aveți (puteți citi mai multe despre protocoale în wiki, numele se pot face clic). Prea complicat Nu avem nevoie de funcționalitate, așa că alegerea noastră va fi Cisco SG250-50P, deoarece are suficientă funcționalitate pentru noi și, în același timp, nu include funcții redundante. Vom vorbi despre Wi-Fi în articolul următor, deoarece acesta este un subiect destul de larg. Acolo ne vom opri asupra alegerii AR. Nu alegem NAS și camere, presupunem că alți oameni fac asta, dar ne interesează doar rețea.
planificare
Mai întâi, să decidem de ce rețele virtuale avem nevoie (puteți citi ce VLAN-uri sunt pe Wikipedia). Deci, avem mai multe segmente logice de rețea:
- Stații de lucru client (PC-uri)
- Server (NAS)
- Supraveghere video
- Dispozitive pentru oaspeți (WiFi)
De asemenea, conform regulilor bunelor maniere, vom muta interfața de gestionare a dispozitivului într-un VLAN separat. Puteți numerota VLAN-urile în orice ordine, voi alege aceasta:
- Management VLAN10 (MGMT)
- Serverul VLAN50
- VLAN100 LAN+WiFi
- VLAN150 Wi-Fi pentru vizitatori (V-WiFi)
- VLAN200 CAM-uri
În continuare, vom întocmi un plan IP și vom folosi 24 de biți și subrețea 192.168.x.x. Să începem.
Pool-ul rezervat va conține adrese care vor fi configurate static (imprimante, servere, interfețe de management etc., pentru clienți va emite o adresă dinamică).
Deci am estimat IP-ul, există câteva puncte cărora aș dori să le acord atenție:
- Nu are rost să configurați DHCP în rețeaua de control, la fel ca în camera serverului, deoarece toate adresele sunt atribuite manual la configurarea echipamentului. Unii oameni lasă un mic pool DHCP în cazul conectării unor echipamente noi, pentru configurația inițială, dar eu m-am obișnuit și vă sfătuiesc să configurați echipamentul nu la client, ci la birou, ca să nu fac face acest bazin aici.
- Unele modele de camere pot necesita o adresă statică, dar presupunem că camerele o primesc automat.
- În rețeaua locală, lăsăm pool-ul pentru imprimante, deoarece serviciul de imprimare în rețea nu funcționează în mod deosebit de fiabil cu adrese dinamice.
Configurarea unui router
Ei bine, în sfârșit, să trecem la configurare. Luăm cordonul de corecție și ne conectăm la unul dintre cele patru porturi LAN ale routerului. În mod implicit, serverul DHCP este activat pe router și este disponibil la adresa 192.168.1.1. Puteți verifica acest lucru folosind utilitarul de consolă ipconfig, în a cărui ieșire routerul nostru va fi gateway-ul implicit. Sa verificam:
În browser, accesați această adresă, confirmați conexiunea nesigură și conectați-vă cu numele de autentificare/parola cisco/cisco. Schimbați imediat parola cu una sigură. Și, în primul rând, mergeți la fila Configurare, secțiunea Rețea, aici atribuim un nume și un nume de domeniu pentru router
Acum să adăugăm VLAN-uri la routerul nostru. Accesați Port Management/VLAN Membership. Vom fi întâmpinați de un semn VLAN-ok, configurat implicit
Nu avem nevoie de ele, le vom șterge pe toate, cu excepția primului, deoarece este implicit și nu poate fi șters și vom adăuga imediat VLAN-urile pe care le-am planificat. Nu uitați să bifați caseta de sus. De asemenea, vom permite gestionarea dispozitivelor numai din rețeaua de gestionare și vom permite rutarea între rețele peste tot, cu excepția rețelei invitate. Vom configura porturile puțin mai târziu.
Acum să configuram serverul DHCP conform tabelului nostru. Pentru a face acest lucru, accesați DHCP/DHCP Setup.
Pentru rețelele în care DHCP va fi dezactivat, vom configura doar adresa gateway-ului, care va fi prima din subrețea (și masca în consecință).
În rețelele cu DHCP, totul este destul de simplu, configurăm și adresa gateway-ului și înregistrăm mai jos pool-urile și DNS:
Cu aceasta ne-am ocupat de DHCP, acum clienții conectați la rețeaua locală vor primi automat o adresă. Acum să configuram porturile (porturile sunt configurate conform standardului , linkul se poate face clic, vă puteți familiariza cu el). Deoarece se presupune că toți clienții vor fi conectați prin switch-uri gestionate ale unui VLAN (nativ) neetichetat, toate porturile vor fi MGMT, aceasta înseamnă că orice dispozitiv conectat la acest port va intra în această rețea (mai multe detalii aici). Să ne întoarcem la Port Management/VLAN Membership și să configuram acest lucru. Lăsăm VLAN1 exclus pe toate porturile, nu avem nevoie de el.
Acum, pe placa noastră de rețea, trebuie să configuram o adresă statică din subrețeaua de management, deoarece am ajuns în această subrețea după ce am făcut clic pe „salvare”, dar nu există un server DHCP aici. Accesați setările adaptorului de rețea și configurați adresa. După aceasta, routerul va fi disponibil la 192.168.10.1
Să ne instalăm conexiunea la internet. Să presupunem că am primit o adresă statică de la furnizor. Accesați Configurare/Rețea, marcați WAN1 în partea de jos, faceți clic pe Editare. Selectați IP static și configurați adresa.
Și ultimul lucru pentru astăzi este să configurați accesul de la distanță. Pentru a face acest lucru, accesați Firewall/General și bifați caseta Remote Management, configurați portul dacă este necesar
Probabil asta e tot pentru ziua de azi. Ca urmare a articolului, avem un router configurat de bază cu care putem accesa Internetul. Lungimea articolului este mai mare decât mă așteptam, așa că în următoarea parte vom termina configurarea routerului, instalarea unui VPN, configurarea firewall-ului și logging-ul și, de asemenea, configurarea switch-ului și vom putea pune biroul nostru în funcțiune. . Sper că articolul a fost măcar puțin util și informativ pentru tine. Scriu pentru prima dată, voi fi foarte bucuros să primesc critici și întrebări constructive, voi încerca să răspund tuturor și să țin cont de comentariile voastre. De asemenea, așa cum am scris la început, gândurile tale despre ce mai poate apărea în birou și ce altceva vom configura sunt binevenite.
Contactele mele:
telegrama:
Skype/mail: [e-mail protejat]
Adaugă-ne, hai să discutăm.
Sursa: www.habr.com