Salam, habrozhitel tersayang dan tamu biasa. Dalam seri artikel ini, kami akan fokus membangun jaringan sederhana untuk perusahaan yang tidak terlalu menuntut infrastruktur TI-nya, tetapi pada saat yang sama memiliki kebutuhan untuk menyediakan karyawannya dengan koneksi Internet berkualitas tinggi, akses ke sumber daya file bersama, dan menyediakan akses VPN kepada karyawan ke tempat kerja dan menghubungkan sistem pengawasan video, akses yang akan tersedia dari mana saja di dunia. Untuk segmen usaha kecil, pertumbuhan yang cepat dan, karenanya, perencanaan ulang jaringan sangat karakteristik. Pada artikel ini, kita akan mulai dari satu kantor dengan 15 tempat kerja dan kemudian kita akan memperluas jaringan. Jadi, jika ada topik yang menarik, tulis komentar, kami akan mencoba memperkenalkannya ke dalam artikel. Saya akan berasumsi bahwa pembaca akrab dengan dasar-dasar jaringan komputer, tetapi saya akan memberikan tautan ke Wikipedia untuk semua istilah teknis, jika ada sesuatu yang tidak jelas, klik dan perbaiki cacat ini.
Jadi mari kita mulai. Jaringan apa pun dimulai dengan tur ke area tersebut dan mendapatkan persyaratan pelanggan, yang nantinya akan dibentuk dalam laporan kerja. Seringkali, pelanggan itu sendiri tidak sepenuhnya memahami apa yang dia inginkan dan apa yang dia butuhkan untuk ini, jadi dia perlu diarahkan pada apa yang bisa kita lakukan, tetapi ini lebih dari perwakilan penjualan, kami akan menyediakan Anda dengan bagian teknis, jadi anggaplah bahwa kami mendapat persyaratan awal seperti itu:
- 17 pekerjaan untuk PC desktop
- Network Attached Storage ( NAS )
- Sistem pengawasan menggunakan kamera NVR dan IP (8 buah)
- Cakupan kantor Wi-Fi, keberadaan dua jaringan (internal dan tamu)
- Anda dapat menambahkan printer jaringan (hingga 3 buah)
- Prospek membuka kantor kedua di sisi lain kota
Pemilihan peralatan
Saya tidak akan menyelidiki pemilihan vendor, karena ini adalah pertanyaan yang menghasilkan kontroversi selama berabad-abad, kami akan fokus pada fakta bahwa kami telah memutuskan pada merek, ini adalah Cisco.
Dasar dari jaringan adalah
router (router). Penting untuk menilai kebutuhan kita, karena di masa depan kita berencana untuk memperluas jaringan. Jelas, pembelian router dengan cadangan untuk ini akan menghemat uang bagi pelanggan selama ekspansi, meskipun itu akan sedikit lebih mahal pada tahap pertama. Cisco untuk segmen usaha kecil menawarkan serangkaian Rvxxx, yang menghadirkan router untuk kantor rumahan (RV1xx, paling sering dengan modul Wi-Fi bawaan), yang dirancang untuk menghubungkan beberapa workstation dan penyimpanan jaringan. Tetapi mereka tidak menarik bagi kami, karena mereka memiliki kemampuan VPN yang agak terbatas dan bandwidth yang cukup kecil. Selain itu, kami tidak tertarik dengan modul nirkabel bawaan, karena seharusnya ditempatkan di ruang teknis di rak, Wi-Fi akan diatur menggunakan AP (
Access Point's ). Pilihan kami akan jatuh pada RV320, yang merupakan model termuda dari seri yang lebih lama. Kami tidak memerlukan sejumlah besar port di sakelar bawaan, karena kami akan memiliki sakelar terpisah untuk menyediakan jumlah port yang memadai. Di antara kelebihan utama router adalah throughput yang agak tinggi dari server
VPN (75 Mbit / s), ketersediaan lisensi untuk 10 terowongan VPN, kemampuan untuk meningkatkan terowongan VPN Site-2-site. Poin penting lainnya adalah keberadaan port WAN kedua untuk menyediakan koneksi Internet cadangan.
Router
(switch) mengikuti router. Parameter sakelar terpenting adalah sekumpulan fungsi yang dimilikinya. Tapi pertama-tama, mari kita hitung port-portnya. Dalam kasus kami, kami berencana untuk terhubung ke sakelar: 17 PC, 2 AP (titik akses Wi-Fi), 8 kamera IP, 1 NAS, 3 printer jaringan. Dengan menggunakan aritmatika, kita mendapatkan nomor 31, yang sesuai dengan jumlah perangkat yang awalnya terhubung ke jaringan, tambahkan 2
uplink ke ini (kami berencana untuk memperluas jaringan) dan berhenti di 48 port. Sekarang tentang fungsi: switch kita harus dapat
VLAN , lebih disukai semua 4096, tambang
SFP tidak akan mengganggu, karena akan mungkin untuk menghubungkan switch ke ujung bangunan menggunakan optik, itu harus dapat bekerja dalam lingkaran setan, yang memungkinkan kita untuk memesan tautan (
STP-Spanning) Tree Protocol ), serta AP dan kamera akan diberdayakan melalui kabel twisted pair, jadi
PoE diperlukan (Anda dapat membaca lebih lanjut tentang protokol di wiki, namanya dapat diklik). Kami tidak memerlukan fungsionalitas
L3 yang terlalu rumit, jadi pilihan kami ada pada Cisco SG250-50P, karena ia memiliki fungsionalitas yang cukup untuk kami dan pada saat yang sama tidak termasuk fungsi yang berlebihan. Kami akan berbicara tentang Wi-Fi di artikel berikutnya, karena ini adalah topik yang cukup luas. Di sana kami memikirkan pilihan AR. Kami tidak memilih NAS dan kamera, kami berasumsi bahwa orang lain melakukan ini, tetapi kami hanya tertarik pada jaringan.
Perencanaan
Untuk memulainya, kita akan menentukan jaringan virtual apa yang kita butuhkan (VLAN virtual apa yang dapat ditemukan di Wikipedia). Jadi, kami memiliki beberapa segmen jaringan logis:
- Workstation Klien (PC)
- Server (NAS)
- Pengawasan video
- Perangkat tamu (WiFi)
Selain itu, sesuai dengan aturan bentuk yang baik, kami akan mentransfer antarmuka manajemen perangkat ke VLAN terpisah. Anda dapat memberi nomor VLAN dalam urutan apa pun, saya akan memilih ini:
- Manajemen VLAN10 (MGMT)
- Server VLAN50
- VLAN100 LAN + WiFi
- WiFI Pengunjung VLAN150 (V-WiFi)
- VLAN200 CAM
Selanjutnya, kita akan membuat rencana IP, kita akan menggunakan
mask 24-bit dan subnet 192.168.x.x. Mari kita mulai.
Di redundant pool akan ada alamat yang akan dikonfigurasi secara statis (printer, server, antarmuka manajemen, dll., Untuk klien
DHCP akan memberikan alamat dinamis).
Jadi kami pikir IP, ada beberapa poin yang ingin saya perhatikan:
- Dalam jaringan manajemen, tidak masuk akal untuk meningkatkan DHCP, persis sama seperti di jaringan server, karena semua alamat ditugaskan secara manual saat mengkonfigurasi peralatan. Beberapa meninggalkan kolam DHCP kecil jika menghubungkan peralatan baru untuk konfigurasi awal, tetapi saya sudah terbiasa dan saya menyarankan Anda untuk mengkonfigurasi peralatan bukan pada pelanggan, tetapi di meja Anda, jadi saya tidak melakukan kolam ini di sini.
- Beberapa model kamera mungkin memerlukan alamat statis, tetapi kami menganggap bahwa kamera menerimanya secara otomatis.
- Di jaringan lokal, kami meninggalkan kumpulan untuk printer, karena layanan pencetakan jaringan tidak berfungsi dengan baik dengan alamat dinamis.
Pengaturan router
Akhirnya, mari kita lanjutkan ke pengaturan. Kami mengambil kabel patch dan menghubungkan ke salah satu dari empat port LAN pada router. Secara default, server DHCP diaktifkan pada router dan tersedia di 192.168.1.1. Anda dapat memeriksa ini dengan utilitas konsol ipconfig, di mana output router kami akan menjadi gateway default. Periksa:
Di browser, buka alamat ini, konfirmasikan koneksi tidak aman dan masuk dengan nama pengguna / kata sandi cisco / cisco. Segera ganti kata sandi untuk mengamankan. Dan hal pertama yang kita pergi ke tab Setup, bagian Network, di sini kita menetapkan nama dan nama domain untuk router
Sekarang tambahkan VLAN ke router kami. Buka Keanggotaan Manajemen Port / VLAN. Kami akan disambut oleh label VLAN-ok default
Kami tidak membutuhkannya, kami akan menghapus semuanya kecuali yang pertama, karena sudah default dan tidak bisa dihapus, kami akan segera menambahkan VLAN yang kami rencanakan. Jangan lupa centang kotak di bagian atas. Selain itu, manajemen perangkat hanya diizinkan dari jaringan manajemen, dan perutean antar jaringan diizinkan di mana saja kecuali untuk jaringan tamu. Kami akan mengkonfigurasi porta sedikit kemudian.
Sekarang konfigurasikan server DHCP sesuai dengan tabel kami. Untuk melakukan ini, buka Pengaturan DHCP / DHCP.
Untuk jaringan di mana DHCP akan dinonaktifkan, konfigurasikan hanya alamat gateway, yang akan menjadi yang pertama di subnet (masing-masing, mask).
Dalam jaringan dengan DHCP, semuanya cukup sederhana, kami juga mengkonfigurasi alamat gateway, di bawah ini kami meresepkan kumpulan dan DNS-ki:
Kami menemukan ini dengan DHCP, sekarang klien yang terhubung ke jaringan lokal akan menerima alamat secara otomatis. Sekarang kita akan mengkonfigurasi port (port dikonfigurasi sesuai dengan standar
802.1q , tautannya dapat diklik, Anda dapat membiasakan diri dengannya). Karena diasumsikan bahwa semua klien akan terhubung melalui sakelar terkelola dari VLAN (asli) yang tidak ditandai, MGMT akan ada di semua port, ini berarti bahwa setiap perangkat yang terhubung ke port ini akan masuk ke jaringan ini (lebih detail di sini). Kembali ke Port Management / Keanggotaan VLAN dan konfigurasikan. Kami meninggalkan VLAN1 di semua port Dikecualikan, kami tidak membutuhkannya.
Sekarang, pada kartu jaringan kami, kami perlu mengonfigurasi alamat statis dari subnet manajemen, karena kami masuk ke subnet ini setelah mengklik "simpan", dan server DHCP tidak ada di sini. Kami pergi ke pengaturan adaptor jaringan dan mengkonfigurasi alamat. Setelah itu, router akan tersedia di alamat 192.168.10.1
Siapkan koneksi kami ke Internet. Misalkan kita mendapat alamat statis dari penyedia. Buka Pengaturan / Jaringan, tandai WAN1 di bawah ini, klik Edit. Pilih IP Statis dan konfigurasikan alamat Anda.
Dan yang terakhir untuk hari ini - kami mengkonfigurasi akses jarak jauh. Untuk melakukan ini, buka Firewall / Umum dan centang kotak centang Remote Management, konfigurasikan port sesuai kebutuhan
Mungkin itu saja untuk hari ini. Sebagai hasil dari artikel ini, kami memiliki router terkonfigurasi dasar yang dengannya kami dapat mengakses Internet. Volume artikel lebih dari yang saya harapkan, jadi di bagian selanjutnya kita akan selesai mengkonfigurasi router, menaikkan VPN-ku, mengkonfigurasi firewall dan logging, dan mengkonfigurasi switch dan kita sudah dapat memulai kantor kita. Saya harap artikel itu setidaknya sedikit bermanfaat dan informatif untuk Anda. Saya menulis untuk pertama kalinya, saya akan sangat senang dengan kritik dan pertanyaan yang membangun, saya akan mencoba untuk menjawab semua orang dan mempertimbangkan komentar Anda. Juga, seperti yang saya tulis di awal, pikiran Anda dipersilakan mengenai apa lagi yang mungkin muncul di kantor dan apa lagi yang akan kami konfigurasi.
Kontak saya:
Telegram:
hebelzSkype / mail: kashuba@antik.sk
Tambah, bicara.