問候,親愛的哈布羅居民和隨機的客人。 在本系列文章中,我們將討論如何為一家對其 IT 基礎設施要求不太高,但同時需要為其員工提供高品質的 Internet 連接、存取共享文件的公司建立一個簡單的網路資源,為員工提供VPN 存取工作場所並連接視訊監控系統,可從世界任何地方存取該系統。 小型企業細分市場的特點是快速成長,並相應地進行網路重新規劃。 在本文中,我們將從一個擁有 15 個工作場所的辦公室開始,並將進一步擴大網路。 因此,如果有任何有趣的主題,請寫在評論中,我們將嘗試在文章中實現它。 我假設讀者熟悉電腦網路的基礎知識,但我將提供所有技術術語的維基百科連結;如果有不清楚的地方,請點擊並糾正此缺陷。
那麼,讓我們開始吧。 任何網路都始於對該區域的檢查並獲取客戶的要求,這些要求隨後將形成技術規格。 通常客戶自己並不完全了解他想要什麼以及他需要什麼,因此需要引導他知道我們可以做什麼,但這更多是銷售代表的工作,我們提供技術部分,所以我們假設我們得到了以下初步要求:
- 17 個桌上型電腦工作站
- 網盤儲存()
- 閉路電視系統使用 和網路攝影機(8 片)
- 辦公室 Wi-Fi 覆蓋,兩個網路(內部和訪客)
- 可新增網路印表機(最多3台)
- 在城市另一邊開設第二個辦事處的前景
裝置選用
我不會深究供應商的選擇,因為這是一個由來已久的爭議問題;我們重點關注的是品牌已經確定了,那就是思科。
網路的基礎是 (路由器)。 評估我們的需求非常重要,因為我們計劃在未來擴展網路。 購買一個有預留的路由器可以為客戶在擴展過程中節省資金,儘管在第一階段會貴一些。 思科針對小型企業市場提供了 Rvxxx 系列,其中包括用於家庭辦公室的路由器(RV1xx,通常帶有內建 Wi-Fi 模組),旨在連接多個工作站和網路儲存。 但我們對它們不感興趣,因為它們的 VPN 功能相當有限,頻寬也相當低。 我們對內建無線模組也不感興趣,因為它應該放置在機架中的技術室中;Wi-Fi 將使用 AP 進行組織()。 我們的選擇將落在 RV320 上,它是舊系列的初級型號。 我們不需要內建交換器中的大量端口,因為我們將有一個單獨的交換器以提供足夠數量的端口。 路由器的主要優點是其相當高的吞吐量。 伺服器(75 Mbits),10 個 VPN 隧道的許可證,能夠建立 Site-2-site VPN 隧道。 同樣重要的是第二個 WAN 連接埠的存在,以提供備用網路連線。
路由器應該是 。 開關最重要的參數是它所具有的功能集。 但首先,讓我們來數一下連接埠。 在我們的案例中,我們計劃連接到交換器:17 台 PC、2 個 AP(Wi-Fi 接入點)、8 個 IP 攝影機、1 個 NAS、3 個網路印表機。 透過算術,我們得到數字 31,對應最初連接到網路的設備數量,再加上 2 (我們正在計劃擴大網路)並將停靠48個港口。 現在關於功能:我們的交換器應該能夠 ,最好都是4096,不會有傷害 我的,由於可以使用光學連接建築物另一端的交換機,因此它必須能夠在封閉的圓圈中工作,這使得我們可以保留連結(),AP和攝影機也將透過雙絞線供電,因此有必要 (您可以在 wiki 中閱讀有關協議的更多信息,名稱可點擊)。 太複雜 我們不需要功能,因此我們選擇 Cisco SG250-50P,因為它為我們提供了足夠的功能,同時不包含冗餘功能。 我們將在下一篇文章中討論 Wi-Fi,因為這是一個相當廣泛的主題。 在那裡我們將詳細討論 AR 的選擇。 我們不選擇NAS和攝影機,我們假設其他人也在這樣做,但我們只對網路感興趣。
Планирование
首先,讓我們決定需要什麼虛擬網路(您可以在維基百科上閱讀什麼是 VLAN)。 因此,我們有幾個邏輯網段:
- 客戶端工作站 (PC)
- 伺服器(NAS)
- 中央電視台
- 訪客設備(WiFi)
另外,根據禮貌規則,我們會將設備管理介面移至單獨的 VLAN 中。 您可以按任意順序對 VLAN 進行編號,我將選擇以下順序:
- VLAN10 管理 (MGMT)
- VLAN50 伺服器
- VLAN100 LAN+WiFi
- VLAN150 訪客 WiFi (V-WiFi)
- VLAN200 CAM
接下來,我們將製定IP計劃並使用 24 位元和子網路 192.168.x.x。 讓我們開始吧。
保留池將包含靜態設定的位址(印表機、伺服器、管理介面等,供客戶端使用) 將發出動態位址)。
所以我們估算了IP,有幾點我想注意:
- 就像在伺服器機房中一樣,在控製網路中設定 DHCP 是沒有意義的,因為所有位址都是在配置設備時手動分配的。 有些人會留下一個小的DHCP 池,以便連接新設備時進行初始配置,但我已經習慣了,我建議您不要在客戶處配置設備,而是在您的辦公桌上配置設備,所以我不這樣做在這裡做這個泳池。
- 某些相機型號可能需要靜態位址,但我們假設相機會自動接收它。
- 在本地網路上,我們將印表機池留給印表機,因為網路列印服務對於動態位址的工作不是特別可靠。
設定路由器
好吧,最後讓我們繼續進行設定。 我們將跳線連接到路由器的四個 LAN 連接埠之一。 預設情況下,路由器上啟用 DHCP 伺服器,並且可在位址 192.168.1.1 處使用。 您可以使用 ipconfig 控制台公用程式進行檢查,在其輸出中我們的路由器將是預設閘道。 讓我們檢查:
在瀏覽器中,前往該位址,確認不安全連線並使用使用者名稱/密碼 cisco/cisco 登入。 立即將密碼變更為安全密碼。 首先,前往「設定」標籤的「網路」部分,在這裡我們為路由器指派名稱和域名
現在讓我們為路由器新增 VLAN。 轉至連接埠管理/VLAN 成員資格。 我們將看到預設配置的 VLAN-ok 標誌
我們不需要它們,我們將刪除除第一個之外的所有 VLAN,因為它是預設的且無法刪除,並且我們將立即添加我們規劃的 VLAN。 不要忘記選中頂部的框。 我們還將允許僅從管理網路進行設備管理,並允許在除訪客網路之外的任何網路之間進行路由。 稍後我們將配置連接埠。
現在讓我們根據我們的表格來設定 DHCP 伺服器。 為此,請前往 DHCP/DHCP 設定。
對於停用 DHCP 的網絡,我們將僅配置網關位址,該位址將是子網路中的第一個位址(以及相應的遮罩)。
在具有 DHCP 的網路中,一切都非常簡單,我們也配置網關位址,並註冊以下池和 DNS:
至此,我們已經處理了 DHCP,現在連接到本地網路的用戶端將自動接收位址。 現在我們來配置連接埠(連接埠按照標準配置 ,連結可點擊,大家可以熟悉一下)。 由於假設所有用戶端都將透過未標記(本機)VLAN 的託管交換器進行連接,因此所有連接埠都將是MGMT,這表示連接到此連接埠的任何裝置都將落入此網路(更多詳細信息請參見此處)。 讓我們回到連接埠管理/VLAN 成員資格並進行設定。 我們在所有連接埠上保留 VLAN1 排除,我們不需要它。
現在,我們需要在網卡上設定管理子網的靜態位址,因為點擊「儲存」後我們就進入了該子網,但這裡沒有 DHCP 伺服器。 前往網路適配器設定並配置位址。 此後,路由器將在 192.168.10.1 上可用
讓我們設定網路連線。 假設我們從提供者收到了一個靜態位址。 進入“設定/網路”,在底部標記“WAN1”,然後按一下“編輯”。 選擇靜態 IP 並配置您的位址。
今天的最後一件事是配置遠端存取。 為此,請轉到防火牆/常規並選中遠端管理框,根據需要配置端口
今天的內容大概就這些了。 透過本文,我們有了一個基本設定的路由器,可以透過它存取網路。 文章的長度比我預期的要長,所以在下一部分中我們將完成路由器的設定、VPN的安裝、防火牆和日誌的配置,以及交換器的配置,我們就可以開始運行我們的辦公室了。 我希望這篇文章至少對您有一點有用和資訊。 我是第一次寫文章,我很高興收到建設性的批評和問題,我會盡力回答大家並考慮你們的意見。 另外,正如我在開頭所寫的,歡迎您對辦公室中可能出現的其他內容以及我們將配置的其他內容提出想法。
我的聯繫方式:
電報:
Skype/電子郵件: [電子郵件保護]
加我們,一起聊聊吧
來源: www.habr.com