Saudações, querido habrozhitel e convidados casuais. Nesta série de artigos, focaremos na construção de uma rede simples para uma empresa que não é muito exigente em sua infraestrutura de TI, mas, ao mesmo tempo, precisa fornecer a seus funcionários uma conexão com a Internet de alta qualidade, acesso a recursos de arquivos compartilhados e acesso a VPN. ao local de trabalho e conectando um sistema de videovigilância, cujo acesso estaria disponível em qualquer lugar do mundo. Para o segmento de pequenas empresas, o rápido crescimento e, consequentemente, o re-planejamento da rede são muito característicos. Neste artigo, iniciaremos em um escritório com 15 locais de trabalho e expandiremos a rede. Portanto, se algum tópico for interessante, escreva nos comentários, tentaremos introduzi-lo no artigo. Assumirei que o leitor esteja familiarizado com os conceitos básicos de redes de computadores, mas fornecerei links para a Wikipedia para todos os termos técnicos; se algo não estiver claro, clique e corrija esse defeito.
Então, vamos começar. Qualquer rede começa com um tour pela área e a obtenção dos requisitos do cliente, que serão posteriormente formados na declaração de trabalho. Freqüentemente, o próprio cliente não entende completamente o que deseja e o que precisa para isso; portanto, ele precisa ser levado ao que podemos fazer, mas isso é mais do que um representante de vendas; forneceremos a parte técnica, portanto, suponha que temos esses requisitos iniciais:
- 17 trabalhos para PCs desktop
- Network Attached Storage ( NAS )
- Sistema de vigilância usando câmeras NVR e IP (8 peças)
- Cobertura de escritório Wi-Fi, presença de duas redes (interna e de convidado)
- Você pode adicionar impressoras de rede (até 3 peças)
- A perspectiva de abrir um segundo escritório no outro lado da cidade
Seleção de equipamentos
Não vou me aprofundar na seleção de um fornecedor, já que essa é uma questão que gera séculos de controvérsia, vamos nos concentrar no fato de que já decidimos sobre a marca, essa é a Cisco.
A base da rede é um
roteador (roteador). É importante avaliar nossas necessidades, pois no futuro planejamos expandir a rede. Obviamente, a compra de um roteador com uma reserva para isso economizará dinheiro para o cliente durante a expansão, embora seja um pouco mais caro no primeiro estágio. A Cisco para o segmento de pequenas empresas oferece a série Rvxxx, que apresenta roteadores para escritórios domésticos (RV1xx, na maioria das vezes com um módulo Wi-Fi interno), projetados para conectar várias estações de trabalho e armazenamento em rede. Mas eles não nos interessam, pois possuem recursos de VPN bastante limitados e uma largura de banda bastante pequena. Além disso, não estamos interessados no módulo sem fio embutido, uma vez que ele deve ser colocado em uma sala técnica em um rack, o Wi-Fi será organizado usando AP (
pontos de acesso ). Nossa escolha será do RV320, que é o modelo mais jovem da série mais antiga. Não precisamos de um grande número de portas no switch embutido, pois teremos um switch separado para fornecer um número suficiente de portas. Entre as principais vantagens do roteador estão a alta taxa de transferência do servidor
VPN (75 Mbit / s), a disponibilidade de uma licença para 10 túneis VPN, a capacidade de aumentar o túnel VPN Site-2-site. Outro ponto importante é a presença de uma segunda porta WAN para fornecer uma conexão de Internet de backup.
Um roteador
(switch) segue o roteador. O parâmetro de chave mais importante é o conjunto de funções que possui. Mas primeiro, vamos contar as portas. No nosso caso, planejamos conectar-se ao switch: 17 PCs, 2 APs (pontos de acesso Wi-Fi), 8 câmeras IP, 1 NAS, 3 impressoras de rede. Usando aritmética, obtemos o número 31, que corresponde ao número de dispositivos que estão inicialmente conectados à rede, adicionamos 2
uplinks a isso (planejamos expandir a rede) e paramos em 48 portas. Agora, sobre a funcionalidade: nosso switch deve poder usar
VLAN , de preferência todas as 4096, minas
SFP não interferirá, já que será possível conectar o switch à outra extremidade do edifício usando óptica, ele deve poder trabalhar em um círculo vicioso, o que nos permite reservar links (
STP-Spanning Tree Protocol ), assim como APs e câmeras serão alimentados através de um cabo de par trançado, portanto,
PoE é necessário (você pode ler mais sobre os protocolos no wiki, os nomes são clicáveis). Como não precisamos de uma funcionalidade
L3 muito complexa, nossa escolha será no Cisco SG250-50P, pois ele possui funcionalidade suficiente para nós e, ao mesmo tempo, não inclui funções redundantes. Falaremos sobre Wi-Fi no próximo artigo, pois esse é um tópico bastante extenso. Aí nos debruçamos sobre a escolha do AR. Não escolhemos NAS e câmeras, assumimos que outras pessoas estão fazendo isso, mas estamos interessados apenas na rede.
Planejamento
Para começar, determinaremos quais redes virtuais precisamos (quais VLANs virtuais podem ser encontradas na Wikipedia). Portanto, temos vários segmentos de rede lógica:
- Estações de trabalho do cliente (PCs)
- Servidor (NAS)
- Vigilância por vídeo
- Dispositivos convidados (WiFi)
Além disso, de acordo com as regras de boa forma, transferiremos a interface de gerenciamento de dispositivos para uma VLAN separada. Você pode numerar VLANs em qualquer ordem, eu escolherei isso:
- Gerenciamento de VLAN10 (MGMT)
- Servidor VLAN50
- LAN VLAN100 + WiFi
- Wi-Fi do visitante VLAN150 (V-WiFi)
- CAMs VLAN200
Em seguida, faremos um plano de IP, usaremos
uma máscara de 24 bits e uma sub-rede 192.168.x.x. Vamos começar.
No pool redundante, haverá endereços que serão configurados estaticamente (impressoras, servidores, interfaces de gerenciamento etc., para clientes
DHCP fornecerão um endereço dinâmico).
Então, imaginamos o IP, há alguns pontos que eu gostaria de prestar atenção:
- Na rede de controle, não faz sentido aumentar o DHCP, exatamente o mesmo que na rede do servidor, pois todos os endereços são atribuídos manualmente ao configurar o equipamento. Alguns deixam um pequeno pool DHCP no caso de conectar novos equipamentos, para sua configuração inicial, mas estou acostumado a isso e aconselho você a configurar o equipamento não no cliente, mas na sua mesa, para que não faça esse pool aqui.
- Alguns modelos de câmera podem exigir um endereço estático, mas assumimos que as câmeras o recebem automaticamente.
- Na rede local, deixamos o pool para impressoras, pois o serviço de impressão em rede não funciona de maneira confiável com endereços dinâmicos.
Configuração do roteador
Bem, finalmente, vamos à configuração. Pegamos um cabo de conexão e nos conectamos a uma das quatro portas LAN do roteador. Por padrão, um servidor DHCP está ativado no roteador e está disponível em 192.168.1.1. Você pode verificar isso com o utilitário do console ipconfig, cuja saída será nosso roteador como gateway padrão. Verifique:
No navegador, acesse este endereço, confirme uma conexão insegura e efetue login com o nome de usuário / senha cisco / cisco. Altere imediatamente a senha para proteger. E a primeira coisa que vamos para a guia Configuração, a seção Rede, aqui atribuímos o nome e o nome de domínio do roteador
Agora adicione VLANs ao nosso roteador. Vá para Gerenciamento de portas / associação à VLAN. Seremos recebidos pelo rótulo padrão de VLAN-ok
Não precisamos deles, excluiremos tudo, exceto o primeiro, já que ele é o padrão e não pode ser excluído; adicionaremos imediatamente as VLANs que planejamos. Não se esqueça de marcar a caixa na parte superior. Além disso, o gerenciamento de dispositivos é permitido apenas a partir da rede de gerenciamento, e o roteamento entre redes é permitido em qualquer lugar, exceto na rede de convidados. Vamos configurar as portas um pouco mais tarde.
Agora configure o servidor DHCP de acordo com a nossa tabela. Para fazer isso, vá para Configuração DHCP / DHCP.
Para redes nas quais o DHCP será desativado, configure apenas o endereço do gateway, que será o primeiro na sub-rede (respectivamente, a máscara).
Nas redes com DHCP, tudo é bem simples, também configuramos o endereço do gateway, abaixo prescrevemos pools e DNS-ki:
Nós descobrimos isso com o DHCP, agora os clientes conectados à rede local receberão o endereço automaticamente. Agora vamos configurar as portas (as portas são configuradas de acordo com o padrão
802.1q , o link é clicável, você pode se familiarizar com ele). Como se supõe que todos os clientes serão conectados por meio de switches gerenciados de uma VLAN (nativa) sem etiqueta, o MGMT estará em todas as portas, isso significa que qualquer dispositivo conectado a essa porta entrará nessa rede (mais detalhes aqui). Volte para Gerenciamento de portas / associação à VLAN e configure-o. Deixamos a VLAN1 em todas as portas Excluídas, não precisamos dela.
Agora, em nossa placa de rede, precisamos configurar um endereço estático da sub-rede de gerenciamento, pois entramos nessa sub-rede depois de clicar em “salvar” e o servidor DHCP não está aqui. Vamos às configurações do adaptador de rede e configuramos o endereço. Depois disso, o roteador estará disponível no endereço 192.168.10.1
Configure nossa conexão com a Internet. Suponha que obtivemos um endereço estático de um provedor. Vá para Setup / Network, marque WAN1 abaixo, clique em Edit. Selecione IP estático e configure seu endereço.
E o último de hoje - configuramos o acesso remoto. Para fazer isso, vá para Firewall / Geral e marque a caixa de seleção Gerenciamento Remoto, configure a porta conforme necessário
Provavelmente é tudo por hoje. Como resultado do artigo, temos um roteador configurado básico com o qual podemos acessar a Internet. O volume do artigo é maior do que eu esperava, portanto, na próxima parte, concluiremos a configuração do roteador, aumentamos o VPN-ku, configuramos o firewall e o log e configuramos o switch e já podemos iniciar nosso escritório. Espero que o artigo seja pelo menos um pouco útil e informativo para você. Estou escrevendo pela primeira vez, ficarei muito feliz com críticas e perguntas construtivas, tentarei responder a todos e levar em consideração seus comentários. Além disso, como escrevi no começo, seus pensamentos são bem-vindos sobre o que mais pode aparecer no escritório e o que mais iremos configurar.
Meus contatos:
Telegrama:
hebelzSkype / correio: kashuba@antik.sk
Adicione, fale.