Zdravím vás, milí obyvatelia Habra a náhodní hostia. V tejto sérii článkov si povieme o vybudovaní jednoduchej siete pre firmu, ktorá nie je príliš náročná na svoju IT infraštruktúru, no zároveň má potrebu zabezpečiť svojim zamestnancom kvalitné internetové pripojenie, prístup k zdieľaným súborom zdroje a poskytovanie prístupu k pracovisku cez VPN zamestnancom a pripojenie video monitorovacieho systému, ku ktorému je možné pristupovať odkiaľkoľvek na svete. Segment malých podnikov sa vyznačuje rýchlym rastom, a teda aj preplánovaním siete. V tomto článku začneme s jednou kanceláriou s 15 pracoviskami a sieť budeme ďalej rozširovať. Takže, ak je nejaká téma zaujímavá, napíšte do komentárov, pokúsime sa ju implementovať do článku. Budem predpokladať, že čitateľ pozná základy počítačových sietí, ale pre všetky odborné výrazy uvediem odkazy na Wikipédiu, ak niečo nie je jasné, kliknite a opravte tento nedostatok.
Takže, začnime. Akákoľvek sieť začína obhliadkou oblasti a získaním požiadaviek klienta, ktoré sa neskôr sformulujú v technických špecifikáciách. Často zákazník sám úplne nerozumie tomu, čo chce a čo k tomu potrebuje, preto je potrebné ho naviesť na to, čo vieme urobiť my, ale to je práca viac ako obchodného zástupcu, my zabezpečujeme technickú časť, tzv. budeme predpokladať, že máme nasledujúce počiatočné požiadavky:
- 17 pracovných staníc pre stolné počítače
- Sieťové úložisko disku ()
- Použitie CCTV systému a IP kamery (8 kusov)
- Kancelárske pokrytie Wi-Fi, dve siete (interná a hosťovská)
- Je možné pridať sieťové tlačiarne (až 3 kusy)
- Perspektíva otvorenia druhej kancelárie na druhej strane mesta
Výber vybavenia
Nebudem sa púšťať do výberu predajcu, keďže ide o vec, ktorá vyvoláva odveké spory, zameriame sa na to, že o značke je už rozhodnuté, je to Cisco.
Základom siete je (router). Je dôležité posúdiť naše potreby, pretože v budúcnosti plánujeme rozšírenie siete. Nákup routera s rezervou na to ušetrí zákazníkovi peniaze pri rozširovaní, aj keď to bude v prvej fáze trochu drahšie. Cisco pre segment malých firiem ponúka sériu Rvxxx, ktorá zahŕňa routery pre domáce kancelárie (RV1xx, najčastejšie so zabudovaným Wi-Fi modulom), ktoré sú určené na pripojenie viacerých pracovných staníc a sieťových úložísk. Ale nemáme o nich záujem, pretože majú dosť obmedzené možnosti VPN a pomerne nízku šírku pásma. Nezaujíma nás ani vstavaný bezdrôtový modul, keďže má byť umiestnený v technickej miestnosti v racku, Wi-Fi bude organizované pomocou AP (). Naša voľba padne na RV320, čo je juniorský model staršej série. Nepotrebujeme veľký počet portov v zabudovanom prepínači, keďže budeme mať samostatný prepínač, aby sme zabezpečili dostatočný počet portov. Hlavnou výhodou smerovača je jeho pomerne vysoká priepustnosť. server (75 Mbits), licenciu na 10 VPN tunelov, možnosť vytvoriť VPN tunel Site-2-site. Dôležitá je aj prítomnosť druhého WAN portu, ktorý poskytuje záložné internetové pripojenie.
Router by mal byť . Najdôležitejším parametrom prepínača je súbor funkcií, ktoré má. Najprv si však spočítajme porty. V našom prípade plánujeme pripojiť k switchu: 17 PC, 2 AP (Wi-Fi prístupové body), 8 IP kamier, 1 NAS, 3 sieťové tlačiarne. Pomocou aritmetiky dostaneme číslo 31, ktoré zodpovedá počtu zariadení pôvodne pripojených k sieti, k tomu pridajte 2 (plánujeme rozšírenie siete) a zastaví sa na 48 portoch. Teraz o funkčnosti: náš prepínač by mal byť schopný , najlepšie všetky 4096, neublíži môj, keďže bude možné pripojiť switch na druhom konci budovy pomocou optiky, musí byť schopný pracovať v uzavretom kruhu, čo nám umožňuje rezervovať linky (), aj AP a kamery budú napájané cez krútenú dvojlinku, takže je potrebné mať (viac o protokoloch si môžete prečítať na wiki, názvy sú klikateľné). Príliš komplikované Funkcionalitu nepotrebujeme, takže naša voľba bude Cisco SG250-50P, pretože má pre nás dostatočnú funkčnosť a zároveň neobsahuje redundantné funkcie. O Wi-Fi si povieme v ďalšom článku, keďže ide o dosť širokú tému. Tam sa pozastavíme nad výberom AR. Nevyberáme si NAS a kamery, predpokladáme, že to robia iní ľudia, ale nás zaujíma iba sieť.
plánovanie
Najprv sa rozhodneme, aké virtuálne siete potrebujeme (čo sú VLAN, si môžete prečítať na Wikipédii). Máme teda niekoľko logických segmentov siete:
- Klientske pracovné stanice (PC)
- Server (NAS)
- Video dohľad
- Zariadenia pre hostí (WiFi)
Taktiež podľa pravidiel slušného správania presunieme rozhranie správy zariadení do samostatnej VLAN. VLAN môžete číslovať v ľubovoľnom poradí, vyberiem toto:
- Správa VLAN10 (MGMT)
- Servery VLAN50
- VLAN 100 LAN + WiFi
- VLAN150 návštevníka WiFi (V-WiFi)
- VLAN200 CAM
Ďalej zostavíme plán a používanie IP 24 bitov a podsieť 192.168.x.x. Začnime.
Vyhradená oblasť bude obsahovať adresy, ktoré budú staticky nakonfigurované (tlačiarne, servery, rozhrania na správu atď., pre klientov vydá dynamickú adresu).
Takže sme odhadli IP, existuje niekoľko bodov, ktorým by som chcel venovať pozornosť:
- V riadiacej sieti nemá zmysel nastavovať DHCP, rovnako ako v serverovni, pretože všetky adresy sa prideľujú manuálne pri konfigurácii zariadenia. Niektorí ľudia nechávajú malý fond DHCP v prípade pripojenia nového zariadenia na jeho počiatočnú konfiguráciu, ale na to som si už zvykol a radím vám, aby ste zariadenie nenakonfigurovali u zákazníka, ale na vašom stole, takže ja nie urobte tento bazén tu.
- Niektoré modely kamier môžu vyžadovať statickú adresu, ale predpokladáme, že ju kamery prijímajú automaticky.
- V lokálnej sieti nechávame fond pre tlačiarne, keďže služba sieťovej tlače nefunguje obzvlášť spoľahlivo s dynamickými adresami.
Nastavenie smerovača
No a konečne prejdime k nastaveniu. Vezmeme prepojovací kábel a pripojíme sa k jednému zo štyroch LAN portov smerovača. V predvolenom nastavení je server DHCP na smerovači povolený a je dostupný na adrese 192.168.1.1. Môžete to skontrolovať pomocou konzoly ipconfig, na výstupe ktorej bude náš router predvolenou bránou. Skontrolujme to:
V prehliadači prejdite na túto adresu, potvrďte nezabezpečené pripojenie a prihláste sa prihlasovacím menom/heslom cisco/cisco. Okamžite zmeňte heslo na bezpečné. A najprv prejdite na kartu Nastavenie, časť Sieť, tu priradíme názov a názov domény pre smerovač
Teraz pridajme siete VLAN do nášho smerovača. Choďte do Port Management/VLAN Membership. Uvíta nás znak VLAN-ok, predvolene nakonfigurovaný
Nepotrebujeme ich, vymažeme všetky okrem prvého, keďže je predvolený a nedá sa vymazať, a okamžite pridáme VLAN, ktoré sme naplánovali. Nezabudnite zaškrtnúť políčko v hornej časti. Povolíme tiež správu zariadení iba zo siete pre správu a umožníme smerovanie medzi sieťami všade okrem siete pre hostí. Porty nakonfigurujeme o niečo neskôr.
Teraz nakonfigurujeme DHCP server podľa našej tabuľky. Ak to chcete urobiť, prejdite na nastavenie DHCP/DHCP.
Pre siete, v ktorých bude DHCP vypnuté, nakonfigurujeme iba adresu brány, ktorá bude prvá v podsieti (a podľa toho aj masku).
V sieťach s DHCP je všetko celkom jednoduché, nakonfigurujeme aj adresu brány a zaregistrujeme fondy a DNS nižšie:
Týmto sme si poradili s DHCP, teraz klienti pripojení do lokálnej siete dostanú adresu automaticky. Teraz nakonfigurujme porty (porty sú nakonfigurované podľa štandardu , na odkaz sa dá kliknúť, môžete sa s ním zoznámiť). Keďže sa predpokladá, že všetci klienti budú pripojení cez riadené prepínače neoznačenej (natívnej) VLAN, všetky porty budú MGMT, to znamená, že do tejto siete bude spadať každé zariadenie pripojené k tomuto portu (podrobnejšie tu). Vráťme sa do Port Management/VLAN Membership a nakonfigurujeme to. VLAN1 necháme na všetkých portoch vylúčenú, nepotrebujeme ju.
Teraz na našej sieťovej karte musíme nakonfigurovať statickú adresu zo správcovskej podsiete, keďže sme po kliknutí na „uložiť“ skončili v tejto podsieti, ale nie je tu žiadny DHCP server. Prejdite do nastavení sieťového adaptéra a nakonfigurujte adresu. Potom bude smerovač dostupný na adrese 192.168.10.1
Nastavíme naše internetové pripojenie. Predpokladajme, že sme od poskytovateľa dostali statickú adresu. Prejdite do časti Nastavenie/Sieť, v spodnej časti označte WAN1 a kliknite na Upraviť. Vyberte možnosť Statická IP a nakonfigurujte svoju adresu.
A posledná vec pre dnešok je nakonfigurovať vzdialený prístup. Ak to chcete urobiť, prejdite na Firewall/Všeobecné a začiarknite políčko Vzdialená správa, v prípade potreby nakonfigurujte port
To je na dnes asi všetko. V dôsledku článku máme základný nakonfigurovaný smerovač, pomocou ktorého môžeme pristupovať na internet. Dĺžka článku je dlhšia ako som čakal, takže v ďalšej časti dokončíme nastavenie routera, inštaláciu VPN, konfiguráciu firewallu a logovania a tiež konfiguráciu switchu a budeme môcť našu kanceláriu uviesť do prevádzky . Dúfam, že článok bol pre vás aspoň trochu užitočný a poučný. Píšem prvýkrát, budem veľmi rád, ak dostanem konštruktívnu kritiku a otázky, pokúsim sa každému odpovedať a zohľadniť vaše pripomienky. Taktiež, ako som písal na začiatku, sú vítané vaše myšlienky o tom, čo sa ešte môže v kancelárii objaviť a čo ešte nakonfigurujeme.
Moje kontakty:
telegram:
Skype/mail: [chránené e-mailom]
Pridajte si nás, porozprávajte sa.
Zdroj: hab.com