问候,亲爱的habrozhitel和休闲的客人。 在本系列文章中,我们将重点为公司建立一个简单的网络,该公司对IT基础架构的要求不是很高,但同时需要为其员工提供高质量的Internet连接,访问共享文件资源以及为员工提供VPN访问权限到工作场所并连接视频监控系统,该系统可以在世界任何地方访问。 对于小型企业而言,快速增长以及相应的网络重新规划非常具有特色。 在本文中,我们将从拥有15个工作场所的一个办公室开始,然后扩展网络。 因此,如果有任何有趣的话题,请发表评论,我们将尝试在文章中进行介绍。 我将假定读者熟悉计算机网络的基础知识,但是我将提供所有技术术语的Wikipedia链接,如果不清楚,请单击并更正此缺陷。
因此,让我们开始吧。 任何网络都必须先浏览该区域并获得客户需求,然后在工作说明书中形成这些需求。 通常,客户本人并不完全了解自己的需求和需求,因此需要引导他去做我们能做的,但是这不仅仅是销售代表,我们将为您提供技术部分,因此假设我们有这样的初始要求:
- 台式机17个职位
- 网络附加存储( NAS )
- 使用NVR和IP摄像机的监视系统(8个)
- Wi-Fi办公室覆盖范围,存在两个网络(内部和访客)
- 您可以添加网络打印机(最多3台)
- 在城市另一边开设第二个办事处的前景
设备选型
我不会深入研究厂商的选择,因为这是一个引起数百年争议的问题,因此我们将重点关注已经确定品牌的事实,这就是思科。
网络的基础是
路由器 (router)。 评估我们的需求非常重要,因为将来我们计划扩展网络。 显然,购买具有此功能的备用路由器将在扩展期间为客户省钱,尽管在第一阶段它会贵一些。 面向小型企业的思科提供了Rvxxx系列,该系列介绍了用于家庭办公室的路由器(RV1xx,通常带有内置的Wi-Fi模块),旨在连接多个工作站和网络存储。 但是他们对我们不感兴趣,因为它们具有相当有限的VPN功能和相当小的带宽。 另外,我们对内置无线模块不感兴趣,因为它应该被放置在机架的技术室中,所以将使用AP(
接入点 )来组织Wi-Fi。 我们的选择将取决于RV320,它是旧系列产品中最年轻的型号。 内置交换机中不需要大量端口,因为我们将使用单独的交换机来提供足够数量的端口。 路由器的主要优点包括
VPN服务器的吞吐量相当高(75 Mbit / s),10个VPN隧道的许可证可用性,提高Site-2站点VPN隧道的能力。 另一个重要点是第二个WAN端口的存在,以提供备用Internet连接。
路由器
(交换机)跟随该路由器。 最重要的开关参数是它具有的功能集。 但是首先,让我们数一下端口。 在我们的情况下,我们计划连接到交换机:17台PC,2个AP(Wi-Fi接入点),8个IP摄像机,1个NAS,3个网络打印机。 使用算术,我们得到数字31,该数字与最初连接到网络的设备的数量相对应,为此添加2个
上行链路 (我们计划扩展网络),并在48个端口处停止。 现在介绍功能:我们的交换机必须能够
VLAN ,最好是所有4096个
SFP地雷都不会干扰,因为可以使用光学器件将交换机连接到建筑物的另一端,所以它应该能够在一个恶性循环中工作,这使我们能够保留链路(
STP-Spanning Tree Protocol )以及AP和摄像机将通过双绞线电缆
供电 ,因此需要
PoE (您可以在Wiki中阅读有关协议的更多信息,名称可单击)。 我们不需要太复杂的
L3功能,因此我们将选择Cisco SG250-50P,因为它为我们提供了足够的功能,并且同时不包含冗余功能。 我们将在下一篇文章中讨论Wi-Fi,因为这是一个相当广泛的话题。 在那里,我们讨论了AR的选择。 我们不选择NAS和摄像机,我们假设其他人正在这样做,但是我们只对网络感兴趣。
规划中
首先,我们将确定所需的虚拟网络(可以在Wikipedia上找到哪些虚拟VLAN)。 因此,我们有几个逻辑网段:
- 客户端工作站(PC)
- 服务器(NAS)
- 视频监控
- 访客设备(WiFi)
另外,根据良好格式的规则,我们会将设备管理接口转移到单独的VLAN。 您可以按任何顺序为VLAN编号,我将选择以下方式:
- VLAN10管理(MGMT)
- VLAN50服务器
- VLAN100局域网+ WiFi
- VLAN150访问者的WiFI(V-WiFi)
- VLAN200 CAM的
接下来,我们将制定IP计划,我们将使用24位
掩码和192.168.x.x子网。 让我们开始吧。
在冗余池中,将静态配置地址(打印机,服务器,管理接口等,
DHCP客户端将提供动态地址)。
因此,我们想到了IP,我要注意以下几点:
- 在管理网络中,提高DHCP与服务器网络中的DHCP完全相同是没有意义的,因为在配置设备时,所有地址都是手动分配的。 有些人会为连接新设备进行初始配置而留下一个较小的DHCP池,但是我已经习惯了,我建议您不要在客户上而是在您的办公桌上配置设备,因此,我不在这里配置此池。
- 某些型号的相机可能需要静态地址,但我们假设相机会自动接收它。
- 在本地网络上,我们将打印机池留给打印机,因为网络打印服务无法可靠地与动态地址一起使用。
路由器设定
好了,最后,让我们继续进行设置。 我们接一根跳线,然后连接到路由器的四个LAN端口之一。 默认情况下,路由器上启用了DHCP服务器,该服务器位于192.168.1.1。 您可以使用ipconfig控制台实用程序进行检查,在该输出中,我们的路由器将成为默认网关。 检查:
在浏览器中,转到此地址,确认不安全的连接,然后使用cisco / cisco用户名/密码登录。 立即更改密码以确保安全。 首先,我们进入“设置”选项卡的“网络”部分,在这里我们为路由器分配名称和域名
现在将VLAN添加到我们的路由器。 转到端口管理/ VLAN成员资格。 默认的VLAN-ok标签会打招呼
我们不需要它们,我们将删除除第一个之外的所有内容,因为它是默认设置且无法删除,我们将立即添加我们计划的VLAN。 不要忘记选中顶部的框。 另外,仅允许从管理网络进行设备管理,并且除访客网络之外的所有地方都允许在网络之间进行路由。 我们将在稍后配置端口。
现在根据我们的表配置DHCP服务器。 为此,请转到DHCP / DHCP设置。
对于将禁用DHCP的网络,仅配置网关地址,该地址将是子网中的第一个(分别是掩码)。
在使用DHCP的网络中,一切都非常简单,我们还配置了网关地址,下面我们指定了池和DNS-ki:
我们通过DHCP解决了这一问题,现在连接到本地网络的客户端将自动收到该地址。 现在,我们将配置端口(这些端口是根据
802.1q标准配置的,该链接是可单击的,您可以熟悉一下它)。 由于假定所有客户端都将通过未标记(本地)VLAN的受管交换机连接,因此MGMT将位于所有端口上,这意味着连接到该端口的任何设备都将进入该网络(此处有更多详细信息)。 返回到“端口管理/ VLAN成员资格”并进行配置。 我们在所有端口上保留VLAN1,但我们不需要它。
现在,在我们的网卡上,我们需要从管理子网中配置一个静态地址,因为我们是在单击“保存”后进入该子网的,而DHCP服务器不在此处。 我们转到网络适配器设置并配置地址。 之后,路由器将在地址192.168.10.1可用
建立我们与Internet的连接。 假设我们从提供者那里得到了一个静态地址。 转到“设置/网络”,在下面标记WAN1,然后单击“编辑”。 选择静态IP并配置您的地址。
今天的最后一个-我们配置远程访问。 为此,请转到防火墙/常规,然后选中远程管理复选框,根据需要配置端口
今天可能就这些了。 作为本文的结果,我们有一个基本的配置路由器,可以使用它访问Internet。 这篇文章的数量超出了我的预期,因此在下一部分中,我们将完成配置路由器,提升VPN-ku,配置防火墙和日志记录以及配置交换机的工作,我们已经可以启动我们的办公室。 我希望这篇文章至少对您有用和有益。 我是第一次写作,我会对建设性的批评和问题感到非常满意,我将尽力回答所有人并考虑您的评论。 而且,正如我在开始时所写的那样,欢迎您对办公室中可能出现的其他内容以及我们将要配置的其他内容发表想法。
我的联络人:
电报:
hebelzSkype /邮件:kashuba@antik.sk
加,聊。