Assalomu alaykum, aziz Xabro aholisi va tasodifiy mehmonlar. Ushbu maqolalar turkumida biz IT infratuzilmasi uchun juda talabchan bo'lmagan, lekin shu bilan birga o'z xodimlarini yuqori sifatli Internet aloqasi, umumiy faylga kirish bilan ta'minlashga muhtoj bo'lgan kompaniya uchun oddiy tarmoqni qurish haqida gaplashamiz. manbalar va xodimlarga ish joyiga VPN kirishini ta'minlash va dunyoning istalgan nuqtasidan kirish mumkin bo'lgan video kuzatuv tizimini ulash. Kichik biznes segmenti tez o'sish va shunga mos ravishda tarmoqni qayta rejalashtirish bilan tavsiflanadi. Ushbu maqolada biz 15 ta ish joyiga ega bitta ofisdan boshlaymiz va tarmoqni yanada kengaytiramiz. Shunday qilib, agar biron bir mavzu qiziqarli bo'lsa, sharhlarda yozing, biz uni maqolada amalga oshirishga harakat qilamiz. Men o'quvchi kompyuter tarmoqlari asoslari bilan tanish deb o'ylayman, lekin men barcha texnik shartlar uchun Vikipediyaga havolalar beraman; agar biror narsa aniq bo'lmasa, ushbu kamchilikni bosing va tuzating.
Shunday ekan, boshlaylik. Har qanday tarmoq hududni tekshirish va mijozning talablarini olish bilan boshlanadi, keyinchalik u texnik xususiyatlarda shakllanadi. Ko'pincha mijozning o'zi nima istayotganini va buning uchun nima kerakligini to'liq tushunmaydi, shuning uchun uni biz nima qilishimiz mumkinligiga yo'naltirish kerak, ammo bu savdo vakilidan ko'ra ko'proq ish, biz texnik qismni taqdim etamiz, shuning uchun Biz quyidagi dastlabki talablarni oldik deb hisoblaymiz:
- Statsionar kompyuterlar uchun 17 ta ish stantsiyasi
- Tarmoq diskini saqlash ()
- CCTV tizimidan foydalanish va IP kameralar (8 dona)
- Ofis Wi-Fi qamrovi, ikkita tarmoq (ichki va mehmon)
- Tarmoq printerlarini qo'shish mumkin (3 donagacha)
- Shaharning narigi tomonida ikkinchi ofis ochish istiqboli
Uskunani tanlash
Men sotuvchini tanlash bilan shug'ullanmayman, chunki bu ko'p asrlik kelishmovchiliklarni keltirib chiqaradigan masala; biz brend haqida qaror qabul qilingan, bu Cisco ekanligiga e'tibor qaratamiz.
Tarmoqning asosi (router). Kelajakda tarmoqni kengaytirishni rejalashtirayotganimiz uchun ehtiyojlarimizni baholash muhim. Buning uchun zaxiraga ega marshrutizatorni sotib olish, birinchi bosqichda biroz qimmatroq bo'lsa-da, kengaytirish vaqtida mijozning pulini tejash imkonini beradi. Kichik biznes segmenti uchun Cisco bir nechta ish stantsiyalari va tarmoq xotirasini ulash uchun mo'ljallangan uy ofislari uchun routerlarni (RV1xx, ko'pincha o'rnatilgan Wi-Fi moduliga ega) o'z ichiga olgan Rvxxx seriyasini taklif qiladi. Ammo biz ularni qiziqtirmaymiz, chunki ular VPN imkoniyatlari juda cheklangan va o'tkazish qobiliyati juda past. Bizni o'rnatilgan simsiz modul ham qiziqtirmaydi, chunki u texnik xonada rafga joylashtirilishi kerak; Wi-Fi AP yordamida tashkil qilinadi (). Bizning tanlovimiz eski seriyaning kichik modeli bo'lgan RV320 ga to'g'ri keladi. O'rnatilgan kalitda bizga ko'p sonli portlar kerak emas, chunki bizda etarli miqdordagi portlarni ta'minlash uchun alohida kalit bo'ladi. Routerning asosiy afzalligi uning ancha yuqori o'tkazuvchanligidir. server (75 Mbits), 10 VPN tunnellari uchun litsenziya, Sayt-2-sayt VPN tunnelini ko'tarish qobiliyati. Zaxira Internetga ulanishni ta'minlash uchun ikkinchi WAN portining mavjudligi ham muhimdir.
Router bo'lishi kerak . Kommutatorning eng muhim parametri uning funktsiyalari to'plamidir. Lekin birinchi navbatda portlarni hisoblaymiz. Bizning holatda biz kalitga ulanishni rejalashtirmoqdamiz: 17 ta shaxsiy kompyuter, 2 ta kirish nuqtasi (Wi-Fi kirish nuqtalari), 8 ta IP kamera, 1 ta NAS, 3 ta tarmoq printeri. Arifmetikadan foydalanib, biz dastlab tarmoqqa ulangan qurilmalar soniga mos keladigan 31 raqamini olamiz, bunga 2 qo'shamiz. (tarmoqni kengaytirishni rejalashtirmoqdamiz) va 48 ta portda to'xtab qolamiz. Endi funksionallik haqida: bizning kalitimiz qila olishi kerak , afzal barcha 4096, zarar qilmaydi meniki, optika yordamida binoning boshqa uchida kalitni ulash mumkin bo'lganligi sababli, u yopiq doira ichida ishlay olishi kerak, bu bizga havolalarni zaxiralash imkonini beradi (), shuningdek, AP va kameralar o'ralgan juftlik orqali quvvatlanadi, shuning uchun bo'lishi kerak (protokollar haqida ko'proq ma'lumotni wiki-da o'qishingiz mumkin, nomlarni bosish mumkin). Juda murakkab Bizga funksionallik kerak emas, shuning uchun bizning tanlovimiz Cisco SG250-50P bo'ladi, chunki u biz uchun yetarli funksionallikka ega va shu bilan birga ortiqcha funksiyalarni o'z ichiga olmaydi. Keyingi maqolada Wi-Fi haqida gaplashamiz, chunki bu juda keng mavzu. U erda biz AR ni tanlash haqida to'xtalamiz. Biz NAS va kameralarni tanlamaymiz, biz buni boshqa odamlar qilmoqda deb hisoblaymiz, lekin biz faqat tarmoqqa qiziqamiz.
rejalashtirish
Birinchidan, bizga qanday virtual tarmoqlar kerakligini hal qilaylik (siz Vikipediyada VLAN-lar nima ekanligini o'qishingiz mumkin). Shunday qilib, bizda bir nechta mantiqiy tarmoq segmentlari mavjud:
- Mijoz ish stantsiyalari (kompyuterlar)
- Server (NAS)
- ΠΠΈΠ΄Π΅ΠΎΠ½Π°Π±Π»ΡΠ΄Π΅Π½ΠΈΠ΅
- Mehmon qurilmalari (WiFi)
Shuningdek, odob-axloq qoidalariga ko'ra, biz qurilma boshqaruv interfeysini alohida VLAN-ga o'tkazamiz. Siz VLAN-larni istalgan tartibda raqamlashingiz mumkin, men buni tanlayman:
- VLAN10 boshqaruvi (MGMT)
- VLAN50 serverlari
- VLAN100 LAN+WiFi
- VLAN150 tashrif buyuruvchilar uchun Wi-Fi (V-WiFi)
- VLAN200 CAM
Keyinchalik, biz IP rejasini tuzamiz va foydalanamiz 24 bit va pastki tarmoq 192.168.x.x. Qani boshladik.
Zaxiralangan hovuz statik tarzda sozlanadigan manzillarni o'z ichiga oladi (mijozlar uchun printerlar, serverlar, boshqaruv interfeyslari va h.k.) dinamik manzil chiqaradi).
Shunday qilib, biz IP-ni baholadik, men e'tibor berishni istagan bir nechta fikrlar mavjud:
- Boshqaruv tarmog'ida DHCP ni sozlashning ma'nosi yo'q, xuddi server xonasida bo'lgani kabi, chunki uskunani sozlashda barcha manzillar qo'lda tayinlanadi. Ba'zi odamlar yangi uskunani ulaganda, uning dastlabki konfiguratsiyasi uchun kichik DHCP hovuzini qoldiradilar, lekin men bunga ko'nikib qolganman va men sizga uskunani mijozning joyida emas, balki sizning stolingizda sozlashingizni maslahat beraman, shuning uchun men buni qilmayman. bu hovuzni shu yerda qiling.
- Ba'zi kamera modellari statik manzilni talab qilishi mumkin, ammo biz kameralar uni avtomatik ravishda qabul qiladi deb taxmin qilamiz.
- Mahalliy tarmoqda biz printerlar uchun hovuzni qoldiramiz, chunki tarmoq bosib chiqarish xizmati dinamik manzillar bilan ayniqsa ishonchli ishlamaydi.
Routerni sozlash
Xo'sh, nihoyat, sozlashga o'tamiz. Biz yamoq simini olamiz va yo'riqnoma to'rtta LAN portidan biriga ulanamiz. Odatiy bo'lib, DHCP server routerda yoqilgan va 192.168.1.1 manzilida mavjud. Buni ipconfig konsol yordam dasturidan foydalanib tekshirishingiz mumkin, uning chiqishida marshrutizatorimiz standart shlyuz bo'ladi. Keling, tekshiramiz:
Brauzerda ushbu manzilga o'ting, ishonchsiz ulanishni tasdiqlang va foydalanuvchi nomi/parol cisco/cisco bilan tizimga kiring. Darhol parolni xavfsizga o'zgartiring. Va birinchi navbatda, O'rnatish yorlig'iga o'ting Tarmoq bo'limi, bu erda biz router uchun nom va domen nomini beramiz
Endi marshrutizatorimizga VLAN qo'shamiz. Port boshqaruvi/VLAN a'zoligiga o'ting. Bizni sukut bo'yicha sozlangan VLAN-ok belgisi kutib oladi
Bizga ular kerak emas, birinchisidan tashqari barchasini o'chirib tashlaymiz, chunki u sukut bo'yicha va uni o'chirib bo'lmaydi va biz darhol rejalashtirgan VLAN-larni qo'shamiz. Yuqoridagi katakchani belgilashni unutmang. Shuningdek, biz qurilmalarni faqat boshqaruv tarmogβidan boshqarishga ruxsat beramiz va mehmonlar tarmogβidan tashqari hamma joyda tarmoqlar oβrtasida marshrutlash imkonini beramiz. Biz portlarni birozdan keyin sozlaymiz.
Endi DHCP serverini jadvalimizga muvofiq sozlaymiz. Buni amalga oshirish uchun DHCP/DHCP sozlamalariga o'ting.
DHCP o'chirilgan tarmoqlar uchun biz faqat pastki tarmoqda birinchi bo'ladigan shlyuz manzilini (va mos ravishda niqob) sozlaymiz.
DHCP-ga ega tarmoqlarda hamma narsa juda oddiy, biz shlyuz manzilini ham sozlaymiz va quyida hovuzlar va DNS-larni ro'yxatdan o'tkazamiz:
Bu bilan biz DHCP bilan ishladik, endi mahalliy tarmoqqa ulangan mijozlar manzilni avtomatik ravishda oladi. Endi portlarni sozlaymiz (portlar standartga muvofiq sozlangan , havolani bosish mumkin, siz u bilan tanishishingiz mumkin). Barcha mijozlar yorliqsiz (mahalliy) VLAN-ning boshqariladigan kalitlari orqali ulanadi deb taxmin qilinganligi sababli, barcha portlar MGMT bo'ladi, bu ushbu portga ulangan har qanday qurilma ushbu tarmoqqa tushishini anglatadi (batafsilroq ma'lumot bu erda). Keling, Port boshqaruvi/VLAN a'zoligiga qaytaylik va buni sozlaymiz. Biz VLAN1-ni barcha portlarda Excluded qoldiramiz, bizga kerak emas.
Endi bizning tarmoq kartamizda boshqaruv quyi tarmog'idan statik manzilni sozlashimiz kerak, chunki biz "saqlash" tugmasini bosganimizdan keyin ushbu quyi tarmoqqa kirdik, ammo bu erda DHCP serveri yo'q. Tarmoq adapteri sozlamalariga o'ting va manzilni sozlang. Shundan so'ng, router 192.168.10.1 da mavjud bo'ladi
Keling, Internetga ulanishni o'rnatamiz. Faraz qilaylik, biz provayderdan statik manzil oldik. O'rnatish/Tarmoq-ga o'ting, pastki qismida WAN1-ni belgilang, Tahrirlash-ni bosing. Statik IP-ni tanlang va manzilingizni sozlang.
Va bugungi kun uchun oxirgi narsa masofaviy kirishni sozlashdir. Buni amalga oshirish uchun xavfsizlik devori/Umumiy-ga o'ting va Masofadan boshqarish qutisini belgilang, agar kerak bo'lsa portni sozlang.
Bugun uchun hammasi shu bo'lsa kerak. Maqolaning natijasi sifatida biz Internetga kirishimiz mumkin bo'lgan asosiy konfiguratsiya qilingan routerga egamiz. Maqolaning uzunligi men kutganimdan uzunroq, shuning uchun keyingi qismda biz routerni sozlashni, VPN-ni o'rnatishni, xavfsizlik devorini sozlashni va jurnalni yozishni, shuningdek kalitni sozlashni tugatamiz va biz ofisimizni ishga tushira olamiz. . Umid qilamanki, maqola siz uchun hech bo'lmaganda foydali va ma'lumotli bo'ldi. Men birinchi marta yozyapman, konstruktiv tanqid va savollarni qabul qilishdan juda xursand bo'laman, men hammaga javob berishga va sharhlaringizni inobatga olishga harakat qilaman. Bundan tashqari, boshida yozganimdek, ofisda yana nima paydo bo'lishi mumkinligi va biz yana nimani sozlashimiz haqidagi fikrlaringiz mamnuniyat bilan qabul qilinadi.
Mening aloqalarim:
Telegramma:
Skype/mail: [elektron pochta bilan himoyalangan]
Bizni qo'shing, suhbatlashamiz.
Manba: www.habr.com