Вітаю, шановні хаброжителі та випадкові гості. У даному циклі статей йтиметься про побудову нескладної мережі для фірми, яка не є надто вимогливою до своєї ІТ-інфраструктури, але водночас має потребу у забезпеченні своїх працівників якісним підключенням до Інтернету, доступом до загальних файлових ресурсів, забезпеченням співробітникам VPN доступу до робочого місця та підключення системи відеоспостереження, доступ до якої був би з будь-якої точки світу. Для сегменту малого бізнесу дуже властивим є швидке зростання та, відповідно, перепланування мережі. У цій статті ми почнемо з одного офісу на 15 робочих місць і далі розширюватимемо мережу. Так, якщо буде цікава якась тема, пишіть у коментарі, намагатимемося впровадити її до статті. Припускатиму, що читач знайомий з основами комп'ютерних мереж, але на всі технічні терміни наводитиму посилання на Вікіпедію, якщо щось не зрозуміло — клікайте і виправляйте цей недолік.
Тож почнемо. Будь-яка мережа починається з огляду місцевості та отримання вимог клієнта, які пізніше будуть сформовані у ТЗ. Часто замовник сам до кінця не розуміє, чого він хоче і що йому для цього потрібно, тому його необхідно навести на те, що ми зробити зможемо, але це робота більша за торгового представника, ми ж з Вами забезпечуємо технічну частину, тому припустимо, що до нам потрапили такі вихідні вимоги:
- 17 робочих місць за стаціонарними ПК
- Мережеве дискове сховище ()
- Система відеоспостереження з використанням та IP камер (8 штук)
- Покриття офісу Wi-Fi, наявність двох мереж (внутрішньої та гостьової)
- Можливе додавання мережевих принтерів (до 3 штук)
- Перспектива відкриття другого офісу на іншому кінці міста
Підбір обладнання
Не заглиблюватимуся в підбір вендора, оскільки це питання, що породжує вікові суперечки, зупинимося на тому, що з брендом вже визначилися, це Cisco.
Основою мережі є (Роутер). Важливо оцінити наші потреби, оскільки надалі плануємо розширення мережі. Придбання роутера свідомо з резервом для цього заощадить гроші замовнику при розширенні, хоч і буде трохи дорожчим на першому етапі. Cisco для сегменту малого бізнесу пропонує серію Rvxxx, в яких представлені роутери для домашніх офісів (RV1xx, які найчастіше мають вбудований Wi-Fi модуль), які розраховані на підключення кількох робочих станцій та мережевого сховища. Але нас вони не цікавлять, оскільки мають досить обмежені можливості з VPN і досить малу пропускну здатність. Також нас не цікавить вбудований бездротовий модуль, оскільки передбачається розміщення в технічному приміщенні у стійці, Wi-Fi буде організовано за допомогою AP (). Наш вибір впаде на RV320, який є наймолодшою моделлю старшої серії. У нас немає потреби у великій кількості портів у вбудованому свитку, так як свитч у нас буде окремим, щоб забезпечити достатню кількість портів. З основних переваг роутера - досить висока пропускна здатність сервера (75 Мбітс), наявність ліцензії на 10 VPN тунелів, можливість підняття Site-2-site VPN тунелю. Також важливим моментом є наявність другого порту WAN для забезпечення резервного підключення Інтернету.
За роутером слідує . Найважливішим параметром світчу є набір функція, якими він має. Але спочатку порахуємо порти. У нашому випадку ми плануємо підключити до освітлення: 17 ПК, 2 АР (точки доступу Wi-Fi), 8 IP камер, 1 NAS, 3 мережні принтери. За допомогою арифметики отримуємо число 31, відповідне кількість пристроїв, що спочатку підключаються до мережі, додамо до цього 2 (Ми ж плануємо розширювати мережу) і зупинимося на 48 портах. Тепер про функціонал: наш свитч має вміти , бажано всі 4096, не завадять шахти, оскільки буде можливим підключення світчу на іншому кінці будівлі за допомогою оптики, повинен уміти працювати в замкнутому колі, що нам уможливлює резервування лінків (), також АР і камери будуть харчуватися через кручену пару, тому необхідна наявність (Докладніше про протоколи можете почитати у вікі, назви клікабельні). Занадто складний функціонал нам не потрібен, тому наш вибір зупиниться на Cisco SG250-50P, оскільки він має достатній для нас функціонал і в той же час не включає надлишкові функції. Про Wi-Fi говоритимемо в наступній статті, оскільки це досить велика тема. Там же зупинимося на виборі АР. NAS і камери ми не вибираємо, припускаємо, що цим займаються інші люди, нас цікавить лише мережа.
планування
Спочатку визначимося з тим, які віртуальні мережі нам необхідні (що таке віртуальні мережі VLAN можете прочитати на Вікіпедії). Отже, маємо кілька логічних сегментів мережі:
- Клієнтські робочі станції (ПК)
- Сервер (NAS)
- Відеоспостереження
- Гостьові пристрої (WiFi)
Також, за правилами гарного тону, інтерфейс керування пристроями винесемо до окремої VLAN. Нумерувати VLAN можна в будь-якому порядку, я виберу такий:
- VLAN10 Management (MGMT)
- VLAN50 Server's
- VLAN100 LAN+WiFi
- VLAN150 Visitor's WiFI (V-WiFi)
- VLAN200 CAM's
Далі складемо IP-план, будемо використовувати 24 біти та підсіти 192.168.х.х. Приступимо.
У резервованому пулі будуть адреси, які будуть налаштовані статично (принтери, сервери, інтерфейси керування і т.д., для клієнтів видаватиме динамічну адресу).
Ось ми і прикинули IP, тут є кілька моментів, на які хотілося б звернути увагу:
- У мережі управління немає сенсу піднімати DHCP, так само, як і в серверній, тому що всі адреси призначаються вручну при налаштуванні обладнання. Деякі залишають невеликий DHCP пул на випадок підключення нового обладнання, для його первинної конфігурації, але я звик і Вам раджу конфігурувати обладнання не у замовника, а у себе на столі, тому тут і не роблю цей пул.
- Деякі моделі камер можуть вимагати статичну адресу, ми ж припускаємо, що камери отримують її автоматично.
- У локальній мережі пул залишаємо для принтерів, оскільки служба мережного друку не надто надійно працює з динамічними адресами.
Налаштування роутера
Ну, нарешті перейдемо до налаштування. Беремо патч-корд і підключаємося до одного з чотирьох LAN портів роутера. За замовчуванням на роутері включений сервер DHCP і він доступний на адресі 192.168.1.1. Перевірити це можна консольною утилітою ipconfig, у виведенні якої наш роутер буде стандартним шлюзом. Перевіримо:
У браузері йдемо на цю адресу, підтверджуємо небезпечне підключення та логінімся з логіном/паролем cisco/cisco. Відразу змінюємо пароль на безпечний. І насамперед йдемо у вкладку Setup, розділ Network, тут присвоюємо назву та доменне ім'я для роутера
Тепер додамо до нашого роутера VLAN-и. Ідемо до Port Management/VLAN Membership. Нас зустріне табличка VLAN-ok, настроєних за замовчуванням
Вони нам не потрібні, видалимо все, крім першої, оскільки вона дефолтна і видаляти її не можна, тут же додамо VLAN-и, які ми запланували. Не забудемо поставити галочку вгорі. Також керування пристроями дозволимо лише з мережі керування, а маршрутизацію між мережами дозволимо скрізь, крім гостьової мережі. Порти налаштуємо трохи пізніше.
Тепер налаштуємо DHCP сервера згідно з нашою таблицею. Для цього йдемо DHCP/DHCP Setup.
Для мереж, в яких DHCP буде вимкнено, налаштуємо лише адресу шлюзу, яка буде першою в підмережі (відповідно та маску).
У мережах з DHCP все досить просто, також налаштовуємо адресу шлюзу, нижче прописуємо пули та DNS-ки:
На цьому ми розібралися з DHCP, тепер клієнти, підключені до локальної мережі, отримуватимуть адресу автоматично. Тепер конфігуруємо порти (порти конфігуруються за стандартом , посилання клікабельна, можете з нею ознайомитись). Оскільки мається на увазі, що всі клієнти будуть підключені через керовані свитчі нетегованої (нативної) VLAN на всіх портах буде MGMT, це означає, що будь-який пристрій, підключений до цього порту, потрапить в цю мережу (докладніше тут). Повертаємося в Port Management/VLAN Membership та налаштовуємо це. VLAN1 на всіх портах залишаємо Excluded, вона нам не потрібна.
Тепер на своїй мережній карті нам необхідно налаштувати статичну адресу з підмережі управління, тому що ми потрапили в цю підмережу після того, як натиснули «зберегти», а DHCP сервера тут немає. Йдемо в налаштування мережного адаптера та налаштовуємо адресу. Після цього роутер буде доступний за адресою 192.168.10.1
Налаштуємо наше підключення до Інтернету. Припустимо, що ми отримали статичну адресу від провайдера. Ідемо до Setup/Network, внизу відзначаємо WAN1, натискаємо Edit. Вибираємо Static IP та налаштовуємо свою адресу.
І останнє на сьогодні конфігуруємо дистанційний доступ. Для цього йдемо в Firewall/General і ставимо галочку Remote Management, за потребою налаштовуємо порт
На сьогодні, мабуть, все. За підсумками статті ми маємо базово налаштований роутер, за допомогою якого можемо отримати доступ в інтернет. Обсяг статті виходить більше, ніж я припускав, тому в наступній частині ми закінчимо налаштування роутера, піднімемо VPN-ку, сконфігуруємо файрвол та логування, а також сконфігуруємо свитч і вже зможемо запустити наш офіс у роботу. Сподіваюся, що стаття була для Вас хоч трохи корисною та пізнавальною. Пишу вперше, буду дуже радий конструктивній критиці та питанням, спробую відповісти всім і взяти до уваги ваші зауваження. Також, як я писав на початку, вітаються ваші думки щодо того, що ще може з'явитися в офісі і що ще будемо конфігурувати.
Мої контакти:
Telegram:
Skype/mail: [захищено електронною поштою]
Додайте, поспілкуємось.
Джерело: habr.com