Salutations, cher habrozhitel et invités occasionnels. Dans cette série d'articles, nous nous concentrerons sur la construction d'un réseau simple pour une entreprise qui n'est pas trop exigeante sur son infrastructure informatique, mais qui a en même temps besoin de fournir à ses employés une connexion Internet de haute qualité, un accès aux ressources de fichiers partagés et de fournir aux employés un accès VPN sur le lieu de travail et en connectant un système de vidéosurveillance, dont l'accès serait disponible de partout dans le monde. Pour le segment des petites entreprises, une croissance rapide et, par conséquent, une nouvelle planification du réseau est très caractéristique. Dans cet article, nous partirons d'un bureau avec 15 postes de travail, puis nous étendrons le réseau. Donc, si un sujet est intéressant, écrivez dans les commentaires, nous essaierons de l'introduire dans l'article. Je suppose que le lecteur connaît les bases des réseaux informatiques, mais je fournirai des liens vers Wikipedia pour tous les termes techniques, si quelque chose n'est pas clair, cliquez et corrigez ce défaut.
Commençons donc. Tout réseau commence par une visite de la zone et l'obtention des exigences des clients, qui seront ultérieurement formulées dans l'énoncé des travaux. Souvent, le client lui-même ne comprend pas pleinement ce qu'il veut et ce dont il a besoin pour cela, il doit donc être guidé par ce que nous pouvons faire, mais c'est plus qu'un représentant des ventes, nous fournirons la partie technique, nous supposons donc que nous avons eu ces exigences initiales:
- 17 emplois pour PC de bureau
- Stockage en réseau ( NAS )
- Système de surveillance utilisant des caméras NVR et IP (8 pièces)
- Couverture de bureau Wi-Fi, la présence de deux réseaux (interne et invité)
- Vous pouvez ajouter des imprimantes réseau (jusqu'à 3 pièces)
- La perspective d'ouvrir un deuxième bureau de l'autre côté de la ville
Sélection d'équipement
Je ne m'attarderai pas sur la sélection d'un fournisseur, puisque c'est une question qui génère des siècles de controverse, nous nous concentrerons sur le fait que nous avons déjà décidé de la marque, c'est Cisco.
La base du réseau est un
routeur (routeur). Il est important d'évaluer nos besoins, car nous prévoyons à l'avenir d'étendre le réseau. Évidemment, l'achat d'un routeur avec une réserve pour cela permettra d'économiser de l'argent pour le client lors de l'expansion, bien qu'il soit un peu plus cher dans la première étape. Cisco pour le segment des petites entreprises propose la série Rvxxx, qui présente des routeurs pour les bureaux à domicile (RV1xx, le plus souvent avec module Wi-Fi intégré), qui sont conçus pour connecter plusieurs postes de travail et stockage réseau. Mais ils ne nous intéressent pas, car ils ont des capacités VPN assez limitées et une bande passante assez petite. De plus, nous ne sommes pas intéressés par le module sans fil intégré, car il est censé être placé dans une salle technique dans un rack, le Wi-Fi sera organisé en utilisant AP (
Access Point's ). Notre choix se portera sur le RV320, qui est le plus jeune modèle de l'ancienne série. Nous n'avons pas besoin d'un grand nombre de ports dans le commutateur intégré, car nous aurons un commutateur séparé afin de fournir un nombre suffisant de ports. Parmi les principaux avantages du routeur figurent le débit assez élevé du serveur
VPN (75 Mbit / s), la disponibilité d'une licence pour 10 tunnels VPN, la possibilité d'augmenter le tunnel VPN Site-2-site. Un autre point important est la présence d'un deuxième port WAN pour fournir une connexion Internet de secours.
Un routeur
(commutateur) suit le routeur. Le paramètre de commutation le plus important est l'ensemble des fonctions qu'il possède. Mais d'abord, comptons les ports. Dans notre cas, nous prévoyons de nous connecter au commutateur: 17 PC, 2 points d'accès (points d'accès Wi-Fi), 8 caméras IP, 1 NAS, 3 imprimantes réseau. En utilisant l'arithmétique, nous obtenons le nombre 31, qui correspond au nombre d'appareils qui sont initialement connectés au réseau, ajoutez 2
liaisons montantes à cela (nous prévoyons d'étendre le réseau) et nous nous arrêtons à 48 ports. Maintenant, à propos de la fonctionnalité: notre commutateur doit être capable de
VLAN , de préférence tous les 4096, les mines
SFP n'interféreront pas, car il sera possible de connecter le commutateur à l'autre extrémité du bâtiment en utilisant des optiques, il devrait pouvoir fonctionner dans un cercle vicieux, ce qui nous permet de réserver des liens (
STP-Spanning Tree Protocol ), ainsi que les points d'accès et les caméras seront alimentés via un câble à paire torsadée, donc
PoE est requis (vous pouvez en savoir plus sur les protocoles dans le wiki, les noms sont cliquables). Nous n'avons pas besoin de fonctionnalités
L3 trop complexes, notre choix sera donc sur le Cisco SG250-50P, car il a suffisamment de fonctionnalités pour nous et en même temps ne comprend pas de fonctions redondantes. Nous parlerons du Wi-Fi dans le prochain article, car il s'agit d'un sujet assez étendu. Là, nous nous attardons sur le choix de l'AR. Nous ne choisissons pas les NAS et les caméras, nous supposons que d'autres personnes le font, mais nous ne sommes intéressés que par le réseau.
Planification
Pour commencer, nous déterminerons de quels réseaux virtuels nous avons besoin (quels VLAN virtuels peuvent être trouvés sur Wikipedia). Nous avons donc plusieurs segments de réseau logiques:
- Stations de travail client (PC)
- Serveur (NAS)
- Vidéosurveillance
- Appareils invités (WiFi)
En outre, selon les règles de bonne forme, nous transférerons l'interface de gestion des périphériques vers un VLAN distinct. Vous pouvez numéroter les VLAN dans n'importe quel ordre, je choisirai ceci:
- Gestion du VLAN10 (MGMT)
- Serveurs VLAN50
- VLAN100 LAN + WiFi
- WiFI du visiteur VLAN150 (V-WiFi)
- CAM VLAN200
Ensuite, nous ferons un plan IP, nous utiliserons
un masque 24 bits et un sous-réseau 192.168.x.x. Commençons.
Dans le pool redondant, il y aura des adresses qui seront configurées statiquement (imprimantes, serveurs, interfaces de gestion, etc., pour les clients
DHCP , une adresse dynamique sera émise).
Nous avons donc pensé IP, il y a quelques points sur lesquels je voudrais faire attention:
- Dans le réseau de gestion, cela n'a aucun sens d'augmenter le DHCP, exactement comme dans le réseau du serveur, car toutes les adresses sont attribuées manuellement lors de la configuration de l'équipement. Certains laissent un petit pool DHCP en cas de connexion d'un nouvel équipement pour sa configuration initiale, mais j'y suis habitué et je vous conseille de configurer l'équipement non pas sur le client, mais sur votre bureau, donc je ne fais pas ce pool ici.
- Certains modèles de caméras peuvent nécessiter une adresse statique, mais nous supposons que les caméras la reçoivent automatiquement.
- Sur le réseau local, nous quittons le pool pour les imprimantes, car le service d'impression réseau ne fonctionne pas de manière fiable avec les adresses dynamiques.
Configuration du routeur
Enfin, passons à la configuration. Nous prenons un cordon de raccordement et nous nous connectons à l'un des quatre ports LAN du routeur. Par défaut, un serveur DHCP est activé sur le routeur et il est disponible à 192.168.1.1. Vous pouvez le vérifier avec l'utilitaire de console ipconfig, dans la sortie duquel notre routeur sera la passerelle par défaut. Vérifier:
Dans le navigateur, accédez à cette adresse, confirmez une connexion non sécurisée et connectez-vous avec le nom d'utilisateur / mot de passe Cisco / Cisco. Modifiez immédiatement le mot de passe pour le sécuriser. Et la première chose que nous allons dans l'onglet Configuration, la section Réseau, ici nous attribuons le nom et le nom de domaine pour le routeur
Ajoutez maintenant des VLAN à notre routeur. Accédez à la gestion des ports / adhésion VLAN. Nous serons accueillis par l'étiquette VLAN-ok par défaut
Nous n'en avons pas besoin, nous supprimerons tout sauf le premier, car il est par défaut et ne peut pas être supprimé, nous ajouterons immédiatement les VLAN que nous avons planifiés. N'oubliez pas de cocher la case en haut. De plus, la gestion des appareils n'est autorisée qu'à partir du réseau de gestion et le routage entre les réseaux est autorisé partout sauf pour le réseau invité. Nous configurerons les ports un peu plus tard.
Configurez maintenant le serveur DHCP selon notre tableau. Pour ce faire, accédez à DHCP / DHCP Setup.
Pour les réseaux dans lesquels DHCP sera désactivé, configurez uniquement l'adresse de passerelle, qui sera la première du sous-réseau (respectivement, le masque).
Dans les réseaux avec DHCP, tout est assez simple, nous configurons également l'adresse de la passerelle, ci-dessous nous prescrivons des pools et DNS-ki:
Nous avons compris cela avec DHCP, maintenant les clients connectés au réseau local recevront automatiquement l'adresse. Nous allons maintenant configurer les ports (les ports sont configurés selon la norme
802.1q , le lien est cliquable, vous pouvez vous familiariser avec lui). Comme il est supposé que tous les clients seront connectés via des commutateurs gérés d'un VLAN non balisé (natif), MGMT sera sur tous les ports, cela signifie que tout périphérique connecté à ce port entrera dans ce réseau (plus de détails ici). Revenez à la gestion des ports / appartenance au VLAN et configurez-le. Nous laissons VLAN1 sur tous les ports Exclus, nous n'en avons pas besoin.
Maintenant, sur notre carte réseau, nous devons configurer une adresse statique à partir du sous-réseau de gestion, car nous sommes entrés dans ce sous-réseau après avoir cliqué sur «enregistrer», et le serveur DHCP n'est pas là. Nous allons dans les paramètres de la carte réseau et configurons l'adresse. Après cela, le routeur sera disponible à l'adresse 192.168.10.1
Configurez notre connexion à Internet. Supposons que nous ayons obtenu une adresse statique d'un fournisseur. Accédez à Configuration / Réseau, marquez WAN1 ci-dessous, cliquez sur Modifier. Sélectionnez IP statique et configurez votre adresse.
Et le dernier pour aujourd'hui - nous configurons l'accès à distance. Pour ce faire, accédez à Pare-feu / Général et cochez la case Gestion à distance, configurez le port si nécessaire
C'est probablement tout pour aujourd'hui. À la suite de l'article, nous avons un routeur configuré de base avec lequel nous pouvons accéder à Internet. Le volume de l'article est plus que prévu, donc dans la partie suivante, nous terminerons la configuration du routeur, augmenterons le VPN-ku, configurer le pare-feu et la journalisation, et configurer le commutateur et nous pouvons déjà démarrer notre bureau. J'espère que l'article vous a été au moins un peu utile et instructif. J'écris pour la première fois, je serai très content des critiques constructives et des questions, j'essaierai de répondre à tout le monde et de prendre en compte vos commentaires. De plus, comme je l'ai écrit au début, vos réflexions sont les bienvenues concernant ce qui peut apparaître au bureau et ce que nous allons configurer d'autre.
Mes contacts:
Télégramme:
hebelzSkype / mail: kashuba@antik.sk
Ajoutez, parlez.