เครือข่ายสำหรับธุรกิจขนาดเล็กบนอุปกรณ์ของ Cisco ส่วนที่ 1

สวัสดีชาว Habro ที่รักและแขกรับเชิญทุกท่าน ในบทความชุดนี้ เราจะพูดถึงการสร้างเครือข่ายที่เรียบง่ายสำหรับบริษัทที่ไม่ต้องการโครงสร้างพื้นฐานด้านไอทีมากเกินไป แต่ในขณะเดียวกันก็จำเป็นต้องให้การเชื่อมต่ออินเทอร์เน็ตคุณภาพสูงแก่พนักงาน เข้าถึงไฟล์ที่แชร์ ทรัพยากร และช่วยให้พนักงานสามารถเข้าถึงสถานที่ทำงานด้วย VPN และเชื่อมต่อระบบกล้องวงจรปิดซึ่งสามารถเข้าถึงได้จากทุกที่ในโลก ส่วนธุรกิจขนาดเล็กมีลักษณะการเติบโตอย่างรวดเร็วและด้วยเหตุนี้จึงมีการวางแผนเครือข่ายใหม่ ในบทความนี้ เราจะเริ่มต้นด้วยสำนักงานหนึ่งแห่งที่มีสถานที่ทำงาน 15 แห่ง และจะขยายเครือข่ายต่อไป ดังนั้นหากหัวข้อใดน่าสนใจ เขียนความคิดเห็น เราจะพยายามนำไปใช้ในบทความ ฉันจะถือว่าผู้อ่านคุ้นเคยกับพื้นฐานของเครือข่ายคอมพิวเตอร์ แต่ฉันจะให้ลิงก์ไปยัง Wikipedia สำหรับคำศัพท์ทางเทคนิคทั้งหมด หากมีบางอย่างไม่ชัดเจน ให้คลิกและแก้ไขข้อบกพร่องนี้

เอาล่ะ มาเริ่มกันเลย เครือข่ายใด ๆ เริ่มต้นด้วยการตรวจสอบพื้นที่และรับความต้องการของลูกค้าซึ่งจะรวมอยู่ในข้อกำหนดทางเทคนิคในภายหลัง บ่อยครั้งที่ลูกค้าเองไม่เข้าใจอย่างถ่องแท้ถึงสิ่งที่เขาต้องการและสิ่งที่เขาต้องการในเรื่องนี้ ดังนั้นจึงจำเป็นต้องแนะนำเขาในสิ่งที่เราสามารถทำได้ แต่นี่เป็นงานของมากกว่าตัวแทนฝ่ายขาย เราจัดเตรียมส่วนทางเทคนิคไว้ ดังนั้น เราจะถือว่าเราได้รับข้อกำหนดเบื้องต้นดังต่อไปนี้:

• เวิร์คสเตชั่น 17 เครื่องสำหรับเดสก์ท็อปพีซี
• ที่เก็บข้อมูลดิสก์เครือข่าย (NAS)
• การใช้งานระบบกล้องวงจรปิด NVR และกล้อง IP (8 ชิ้น)
• ความครอบคลุมของ Wi-Fi ในสำนักงาน สองเครือข่าย (ภายในและแขก)
• สามารถเพิ่มเครื่องพิมพ์เครือข่ายได้ (สูงสุด 3 ชิ้น)
• โอกาสที่จะเปิดสำนักงานแห่งที่สองในอีกด้านหนึ่งของเมือง

การเลือกอุปกรณ์

ฉันจะไม่เจาะลึกการเลือกผู้ขายเนื่องจากนี่เป็นปัญหาที่ทำให้เกิดข้อพิพาทเก่าแก่ เราจะมุ่งเน้นไปที่ความจริงที่ว่าแบรนด์ได้รับการตัดสินใจแล้วนั่นคือ Cisco

พื้นฐานของเครือข่ายคือ เราเตอร์ (เราเตอร์) การประเมินความต้องการของเราเป็นสิ่งสำคัญ เนื่องจากเรากำลังวางแผนที่จะขยายเครือข่ายในอนาคต การซื้อเราเตอร์โดยสำรองไว้จะช่วยประหยัดเงินของลูกค้าในระหว่างการขยาย แม้ว่าจะมีราคาแพงกว่าเล็กน้อยในระยะแรกก็ตาม Cisco สำหรับกลุ่มธุรกิจขนาดเล็กนำเสนอซีรี่ส์ Rvxxx ซึ่งรวมถึงเราเตอร์สำหรับโฮมออฟฟิศ (RV1xx ซึ่งส่วนใหญ่มักจะมีโมดูล Wi-Fi ในตัว) ซึ่งออกแบบมาเพื่อเชื่อมต่อเวิร์กสเตชันและที่เก็บข้อมูลเครือข่ายหลายตัว แต่เราไม่สนใจสิ่งเหล่านี้ เนื่องจากมีขีดความสามารถของ VPN ค่อนข้างจำกัดและมีแบนด์วิธค่อนข้างต่ำ เรายังไม่สนใจโมดูลไร้สายในตัวเนื่องจากควรวางไว้ในห้องเทคนิคในชั้นวาง Wi-Fi จะถูกจัดระเบียบโดยใช้ AP (แอคเซสพอยต์). ตัวเลือกของเราจะตกอยู่ที่ RV320 ซึ่งเป็นรุ่นจูเนียร์ของซีรีส์เก่า เราไม่ต้องการพอร์ตจำนวนมากในสวิตช์ในตัว เนื่องจากเราจะมีสวิตช์แยกต่างหากเพื่อให้มีพอร์ตในจำนวนที่เพียงพอ ข้อได้เปรียบหลักของเราเตอร์คือปริมาณงานที่ค่อนข้างสูง VPN เซิร์ฟเวอร์ (75 Mbits), ใบอนุญาตสำหรับ 10 ทันเนล VPN, ความสามารถในการเพิ่มทันเนล VPN ไซต์ 2 สิ่งสำคัญคือการมีพอร์ต WAN ที่สองเพื่อให้การเชื่อมต่ออินเทอร์เน็ตสำรอง

เราเตอร์ควรจะเป็น สวิตช์ (สวิตช์). พารามิเตอร์ที่สำคัญที่สุดของสวิตช์คือชุดฟังก์ชันที่มี แต่ก่อนอื่นเรามานับพอร์ตกันก่อน ในกรณีของเรา เราวางแผนที่จะเชื่อมต่อกับสวิตช์: พีซี 17 เครื่อง, 2 AP (จุดเข้าใช้งาน Wi-Fi), กล้อง IP 8 ตัว, NAS 1 เครื่อง, เครื่องพิมพ์เครือข่าย 3 เครื่อง เมื่อใช้เลขคณิตเราจะได้หมายเลข 31 ซึ่งสอดคล้องกับจำนวนอุปกรณ์ที่เชื่อมต่อกับเครือข่ายในตอนแรกบวก 2 เข้ากับสิ่งนี้ อัปลิงค์ (เรากำลังวางแผนที่จะขยายเครือข่าย) และจะหยุดที่ 48 พอร์ต ตอนนี้เกี่ยวกับฟังก์ชันการทำงาน: สวิตช์ของเราควรจะสามารถทำได้ VLANโดยเฉพาะอย่างยิ่งทั้งหมด 4096 จะไม่เจ็บ SFP ของฉัน เนื่องจากจะสามารถเชื่อมต่อสวิตช์ที่ปลายอีกด้านของอาคารโดยใช้เลนส์ได้ จึงจะต้องสามารถทำงานในวงปิดได้ ซึ่งทำให้เราสามารถจองลิงก์ได้ (STP-Spanning Tree Protocol) นอกจากนี้ AP และกล้องจะใช้พลังงานจากคู่บิดเกลียว ดังนั้นจึงจำเป็นต้องมี PoE (คุณสามารถอ่านเพิ่มเติมเกี่ยวกับโปรโตคอลได้ในวิกิ ชื่อสามารถคลิกได้) ซับซ้อนเกินไป L3 เราไม่ต้องการฟังก์ชันการทำงาน ดังนั้นตัวเลือกของเราคือ Cisco SG250-50P เนื่องจากมีฟังก์ชันการทำงานที่เพียงพอสำหรับเราและในขณะเดียวกันก็ไม่มีฟังก์ชันที่ซ้ำซ้อน เราจะพูดถึง Wi-Fi ในบทความถัดไป เนื่องจากนี่เป็นหัวข้อที่ค่อนข้างกว้าง ที่นั่นเราจะอาศัยการเลือก AR เราไม่ได้เลือก NAS และกล้อง เราถือว่าคนอื่นกำลังทำเช่นนี้ แต่เราสนใจเฉพาะเครือข่ายเท่านั้น

Планирование

ขั้นแรก เรามาตัดสินใจว่าเราต้องการเครือข่ายเสมือนใด (คุณสามารถอ่านว่า VLAN คืออะไรในวิกิพีเดีย) ดังนั้นเราจึงมีส่วนเครือข่ายลอจิคัลหลายส่วน:

• เวิร์กสเตชันไคลเอ็นต์ (พีซี)
• เซิร์ฟเวอร์ (NAS)
• การเฝ้าระวังวิดีโอ
• อุปกรณ์สำหรับแขก (WiFi)

นอกจากนี้ ตามกฎของมารยาทที่ดี เราจะย้ายอินเทอร์เฟซการจัดการอุปกรณ์ไปยัง VLAN แยกต่างหาก คุณสามารถกำหนดหมายเลข VLAN ตามลำดับใดก็ได้ ฉันจะเลือกสิ่งนี้:

• การจัดการ VLAN10 (MGMT)
• เซิร์ฟเวอร์ VLAN50
• VLAN100 แลน+ไวไฟ
• WiFI ของผู้เยี่ยมชม VLAN150 (V-WiFi)
• VLAN200 CAM's

ต่อไปเราจะร่างแผน IP และใช้ หน้ากาก 24 บิตและซับเน็ต 192.168.x.x มาเริ่มกันเลย.

พูลที่สงวนไว้จะมีที่อยู่ซึ่งจะถูกกำหนดค่าแบบคงที่ (เครื่องพิมพ์ เซิร์ฟเวอร์ อินเทอร์เฟซการจัดการ ฯลฯ สำหรับไคลเอนต์ DHCP จะออกที่อยู่แบบไดนามิก)

ดังนั้นเราจึงประมาณค่า IP มีประเด็นสองสามข้อที่ฉันต้องการให้ความสนใจ:

• การตั้งค่า DHCP ในเครือข่ายควบคุมไม่มีประโยชน์ เช่นเดียวกับในห้องเซิร์ฟเวอร์ เนื่องจากที่อยู่ทั้งหมดจะถูกกำหนดด้วยตนเองเมื่อกำหนดค่าอุปกรณ์ บางคนออกจากพูล DHCP เล็กๆ ในกรณีที่ต้องเชื่อมต่ออุปกรณ์ใหม่เพื่อการกำหนดค่าเริ่มต้น แต่ฉันคุ้นเคยกับมันแล้ว และขอแนะนำให้คุณกำหนดค่าอุปกรณ์ไม่ใช่ที่ของลูกค้า แต่อยู่ที่โต๊ะทำงานของคุณ ดังนั้นฉันจึงไม่ทำ ทำสระนี้ที่นี่
• กล้องบางรุ่นอาจต้องใช้ที่อยู่แบบคงที่ แต่เราถือว่ากล้องจะได้รับข้อมูลดังกล่าวโดยอัตโนมัติ
• บนเครือข่ายท้องถิ่น เราออกจากกลุ่มสำหรับเครื่องพิมพ์ เนื่องจากบริการการพิมพ์ผ่านเครือข่ายไม่ทำงานอย่างน่าเชื่อถือเป็นพิเศษกับที่อยู่แบบไดนามิก

การตั้งค่าเราเตอร์

ในที่สุดเรามาดูการตั้งค่ากันดีกว่า เราใช้สายแพตช์และเชื่อมต่อกับหนึ่งในสี่พอร์ต LAN ของเราเตอร์ ตามค่าเริ่มต้น เซิร์ฟเวอร์ DHCP จะเปิดใช้งานบนเราเตอร์และพร้อมใช้งานตามที่อยู่ 192.168.1.1 คุณสามารถตรวจสอบสิ่งนี้ได้โดยใช้ยูทิลิตี้คอนโซล ipconfig ในเอาต์พุตที่เราเตอร์ของเราจะเป็นเกตเวย์เริ่มต้น มาตรวจสอบกัน:

ในเบราว์เซอร์ ไปที่ที่อยู่นี้ ยืนยันการเชื่อมต่อที่ไม่ปลอดภัย และเข้าสู่ระบบด้วยชื่อผู้ใช้/รหัสผ่าน cisco/cisco เปลี่ยนรหัสผ่านเป็นรหัสที่ปลอดภัยทันที ก่อนอื่นไปที่แท็บการตั้งค่าส่วนเครือข่ายที่นี่เราจะกำหนดชื่อและชื่อโดเมนสำหรับเราเตอร์

ตอนนี้เรามาเพิ่ม VLAN ให้กับเราเตอร์ของเรา ไปที่การจัดการพอร์ต/การเป็นสมาชิก VLAN เราจะได้รับการต้อนรับด้วยเครื่องหมาย VLAN-ok ซึ่งกำหนดค่าตามค่าเริ่มต้น

เราไม่ต้องการมัน เราจะลบทั้งหมดยกเว้นอันแรก เนื่องจากเป็นค่าเริ่มต้นและไม่สามารถลบได้ และเราจะเพิ่ม VLAN ที่เราวางแผนไว้ทันที อย่าลืมทำเครื่องหมายในช่องด้านบน นอกจากนี้ เรายังอนุญาตการจัดการอุปกรณ์จากเครือข่ายการจัดการเท่านั้น และอนุญาตการกำหนดเส้นทางระหว่างเครือข่ายทุกที่ ยกเว้นเครือข่ายแขก เราจะกำหนดค่าพอร์ตในภายหลังเล็กน้อย

ตอนนี้เรามากำหนดค่าเซิร์ฟเวอร์ DHCP ตามตารางของเรากันดีกว่า เมื่อต้องการทำเช่นนี้ ไปที่การตั้งค่า DHCP/DHCP
สำหรับเครือข่ายที่จะปิดการใช้งาน DHCP เราจะกำหนดค่าเฉพาะที่อยู่เกตเวย์ซึ่งจะเป็นที่อยู่แรกในซับเน็ต (และมาสก์ตามลำดับ)

ในเครือข่ายที่มี DHCP ทุกอย่างค่อนข้างง่าย เรายังกำหนดค่าที่อยู่เกตเวย์ และลงทะเบียนพูลและ DNS ด้านล่าง:

ด้วยเหตุนี้ เราได้จัดการกับ DHCP แล้ว ขณะนี้ไคลเอ็นต์ที่เชื่อมต่อกับเครือข่ายท้องถิ่นจะได้รับที่อยู่โดยอัตโนมัติ ตอนนี้เรามากำหนดค่าพอร์ตกัน (พอร์ตได้รับการกำหนดค่าตามมาตรฐาน 802.1qสามารถคลิกลิงก์ได้ คุณสามารถทำความคุ้นเคยได้) เนื่องจากสันนิษฐานว่าไคลเอ็นต์ทั้งหมดจะเชื่อมต่อผ่านสวิตช์ที่ได้รับการจัดการของ VLAN ที่ไม่มีแท็ก (เนทิฟ) พอร์ตทั้งหมดจะเป็น MGMT ซึ่งหมายความว่าอุปกรณ์ใดๆ ที่เชื่อมต่อกับพอร์ตนี้จะตกอยู่ในเครือข่ายนี้ (รายละเอียดเพิ่มเติมที่นี่) กลับไปที่ Port Management/VLAN Membership แล้วกำหนดค่านี้ เราปล่อยให้ VLAN1 Excluded อยู่บนทุกพอร์ต เราไม่ต้องการมัน

ตอนนี้บนการ์ดเครือข่ายของเรา เราจำเป็นต้องกำหนดค่าที่อยู่แบบคงที่จากเครือข่ายย่อยการจัดการ เนื่องจากเราลงเอยในเครือข่ายย่อยนี้หลังจากที่เราคลิก "บันทึก" แต่ไม่มีเซิร์ฟเวอร์ DHCP ที่นี่ ไปที่การตั้งค่าอะแดปเตอร์เครือข่ายและกำหนดค่าที่อยู่ หลังจากนี้เราเตอร์จะใช้งานได้ที่ 192.168.10.1

มาตั้งค่าการเชื่อมต่ออินเทอร์เน็ตของเรากัน สมมติว่าเราได้รับที่อยู่แบบคงที่จากผู้ให้บริการ ไปที่การตั้งค่า/เครือข่าย ทำเครื่องหมาย WAN1 ที่ด้านล่าง คลิกแก้ไข เลือก IP แบบคงที่และกำหนดค่าที่อยู่ของคุณ

และสิ่งสุดท้ายสำหรับวันนี้คือการกำหนดค่าการเข้าถึงระยะไกล ในการดำเนินการนี้ ไปที่ไฟร์วอลล์/ทั่วไป และทำเครื่องหมายที่ช่องการจัดการระยะไกล กำหนดค่าพอร์ตหากจำเป็น

นั่นอาจเป็นทั้งหมดสำหรับวันนี้ จากบทความนี้ เรามีเราเตอร์ที่กำหนดค่าพื้นฐานซึ่งเราสามารถเข้าถึงอินเทอร์เน็ตได้ ความยาวของบทความยาวเกินคาด ดังนั้นในตอนต่อไปเราจะมาตั้งค่าเราเตอร์ ติดตั้ง VPN กำหนดค่าไฟร์วอลล์และบันทึกข้อมูล และกำหนดค่าสวิตช์ให้เสร็จสิ้น และเราจะสามารถนำสำนักงานของเราไปใช้งานได้จริง . ฉันหวังว่าบทความนี้จะมีประโยชน์และให้ข้อมูลแก่คุณเป็นอย่างน้อย ฉันเขียนเป็นครั้งแรก ฉันดีใจมากที่ได้รับคำวิจารณ์และคำถามที่สร้างสรรค์ ฉันจะพยายามตอบทุกคนและนำความคิดเห็นของคุณมาพิจารณา ตามที่ฉันเขียนไว้ตอนต้น เรายินดีรับฟังความคิดเห็นของคุณเกี่ยวกับสิ่งอื่นที่อาจปรากฏในสำนักงานและสิ่งอื่นที่เราจะกำหนดค่า

ผู้ติดต่อของฉัน:
โทรเลข: เฮเบลซ
สไกป์/เมล: [ป้องกันอีเมล]
เพิ่มเรา มาพูดคุยกัน

ที่มา: will.com