问候,亲爱的哈布罗居民和随机的客人。 在本系列文章中,我们将讨论如何为 IT 基础设施要求不高,但同时需要为其员工提供高质量的 Internet 连接、访问共享文件的公司构建一个简单的网络资源,并为员工提供对工作场所的 VPN 访问,并连接视频监控系统,可以从世界任何地方访问该系统。 小型企业细分市场的特点是快速增长,并相应地进行网络重新规划。 在本文中,我们将从一个拥有 15 个工作场所的办公室开始,并将进一步扩大网络。 因此,如果有任何有趣的主题,请写在评论中,我们将尝试在文章中实现它。 我假设读者熟悉计算机网络的基础知识,但我将提供所有技术术语的维基百科链接;如果有不清楚的地方,请单击并纠正此缺陷。
那么,让我们开始吧。 任何网络都始于对该区域的检查并获取客户的要求,这些要求随后将形成技术规范。 通常客户自己并不能完全理解他想要什么以及他为此需要什么,因此有必要指导他我们可以做什么,但这不仅仅是销售代表的工作,我们提供技术部分,所以我们假设我们有以下初始要求:
- 17 个台式电脑工作站
- 网盘存储()
- 闭路电视系统使用 和网络摄像机(8 件)
- 办公室 Wi-Fi 覆盖,两个网络(内部和访客)
- 可添加网络打印机(最多3台)
- 在城市另一边开设第二个办事处的前景
设备选型
我不会深究供应商的选择,因为这是一个由来已久的争议问题;我们重点关注的是品牌已经确定了,那就是思科。
网络的基础是 (路由器)。 评估我们的需求非常重要,因为我们计划在未来扩展网络。 购买一个有预留的路由器可以为客户在扩展过程中节省资金,尽管在第一阶段会贵一些。 思科针对小型企业市场提供了 Rvxxx 系列,其中包括用于家庭办公室的路由器(RV1xx,最常见的是内置 Wi-Fi 模块),旨在连接多个工作站和网络存储。 但我们对它们不感兴趣,因为它们的 VPN 功能相当有限,带宽也相当低。 我们对内置无线模块也不感兴趣,因为它应该放置在机架中的技术室中;Wi-Fi 将使用 AP 进行组织()。 我们的选择将落在 RV320 上,它是旧系列的初级型号。 我们不需要内置交换机中的大量端口,因为我们将有一个单独的交换机以提供足够数量的端口。 路由器的主要优点是其相当高的吞吐量。 服务器(75 Mbits),10 个 VPN 隧道的许可证,能够建立 Site-2-site VPN 隧道。 同样重要的是第二个 WAN 端口的存在,以提供备用互联网连接。
路由器应该是 。 开关最重要的参数是它所具有的功能集。 但首先,让我们来数一下端口。 在我们的案例中,我们计划连接到交换机:17 台 PC、2 个 AP(Wi-Fi 接入点)、8 个 IP 摄像机、1 个 NAS、3 个网络打印机。 通过算术,我们得到数字 31,对应于最初连接到网络的设备数量,再加上 2 (我们正在计划扩大网络)并将停靠48个港口。 现在关于功能:我们的交换机应该能够 ,最好都是4096,不会有伤害 我的,由于可以使用光学连接建筑物另一端的交换机,因此它必须能够在封闭的圆圈中工作,这使得我们可以保留链接(),AP和摄像头也将通过双绞线供电,所以有必要 (您可以在 wiki 中阅读有关协议的更多信息,名称可点击)。 太复杂 我们不需要功能,因此我们选择 Cisco SG250-50P,因为它为我们提供了足够的功能,同时不包含冗余功能。 我们将在下一篇文章中讨论 Wi-Fi,因为这是一个相当广泛的话题。 在那里我们将详细讨论 AR 的选择。 我们不选择NAS和摄像头,我们假设其他人也在这样做,但我们只对网络感兴趣。
规划
首先,让我们决定需要什么虚拟网络(您可以在维基百科上阅读什么是 VLAN)。 因此,我们有几个逻辑网段:
- 客户端工作站 (PC)
- 服务器(NAS)
- 视频监控
- 访客设备(WiFi)
另外,根据礼貌规则,我们会将设备管理接口移至单独的 VLAN 中。 您可以按任意顺序对 VLAN 进行编号,我将选择以下顺序:
- VLAN10 管理 (MGMT)
- VLAN50 服务器
- VLAN100 LAN+WiFi
- VLAN150 访客 WiFi (V-WiFi)
- VLAN200 CAM
接下来,我们将制定IP计划并使用 24 位和子网 192.168.x.x。 让我们开始吧。
保留池将包含静态配置的地址(打印机、服务器、管理接口等,供客户端使用) 将发出动态地址)。
所以我们估算了IP,有几点我想提请大家注意:
- 就像在服务器机房中一样,在控制网络中设置 DHCP 是没有意义的,因为所有地址都是在配置设备时手动分配的。 有些人会留下一个小的 DHCP 池,以备连接新设备时进行初始配置,但我已经习惯了,我建议您不要在客户处配置设备,而是在您的办公桌上配置设备,所以我不这样做在这里做这个泳池。
- 某些相机型号可能需要静态地址,但我们假设相机会自动接收它。
- 在本地网络上,我们将打印机池留给打印机,因为网络打印服务对于动态地址的工作不是特别可靠。
配置路由器
好吧,最后让我们继续进行设置。 我们将跳线连接到路由器的四个 LAN 端口之一。 默认情况下,路由器上启用 DHCP 服务器,并且可在地址 192.168.1.1 处使用。 您可以使用 ipconfig 控制台实用程序进行检查,在其输出中我们的路由器将是默认网关。 让我们检查:
在浏览器中,转到此地址,确认不安全连接并使用登录名/密码 cisco/cisco 登录。 立即将密码更改为安全密码。 首先,转到“设置”选项卡的“网络”部分,在这里我们为路由器分配名称和域名
现在让我们向路由器添加 VLAN。 转至端口管理/VLAN 成员资格。 我们将看到默认配置的 VLAN-ok 标志
我们不需要它们,我们将删除除第一个之外的所有 VLAN,因为它是默认的且无法删除,并且我们将立即添加我们规划的 VLAN。 不要忘记选中顶部的框。 我们还将允许仅从管理网络进行设备管理,并允许在除访客网络之外的任何网络之间进行路由。 稍后我们将配置端口。
现在让我们根据我们的表配置 DHCP 服务器。 为此,请转至 DHCP/DHCP 设置。
对于禁用 DHCP 的网络,我们将仅配置网关地址,该地址将是子网中的第一个地址(以及相应的掩码)。
在具有 DHCP 的网络中,一切都非常简单,我们还配置网关地址,并注册以下池和 DNS:
至此,我们已经处理了 DHCP,现在连接到本地网络的客户端将自动接收地址。 现在我们来配置端口(端口按照标准配置 ,链接可点击,大家可以熟悉一下)。 由于假设所有客户端都将通过未标记(本机)VLAN 的托管交换机进行连接,因此所有端口都将是 MGMT,这意味着连接到该端口的任何设备都将包含在该网络中(更多详细信息请参见此处)。 让我们回到端口管理/VLAN 成员身份并进行配置。 我们在所有端口上保留 VLAN1 排除,我们不需要它。
现在,我们需要在网卡上配置管理子网的静态地址,因为单击“保存”后我们就进入了该子网,但这里没有 DHCP 服务器。 转到网络适配器设置并配置地址。 此后,路由器将在 192.168.10.1 上可用
让我们设置互联网连接。 假设我们从提供商那里收到了一个静态地址。 进入“设置/网络”,在底部标记“WAN1”,然后单击“编辑”。 选择静态 IP 并配置您的地址。
今天的最后一件事是配置远程访问。 为此,请转到防火墙/常规并选中远程管理框,根据需要配置端口
今天的内容大概就这些了。 通过本文,我们有了一个基本配置的路由器,可以通过它访问互联网。 文章的长度比我预期的要长,所以在下一部分中我们将完成路由器的设置、VPN的安装、防火墙和日志的配置,以及交换机的配置,我们就可以开始运行我们的办公室了。 我希望这篇文章至少对您有一点有用和信息。 我是第一次写文章,我很高兴收到建设性的批评和问题,我会尽力回答大家并考虑你们的意见。 另外,正如我在开头所写的,欢迎您对办公室中可能出现的其他内容以及我们将配置的其他内容提出想法。