800平方新办公室组网实战
1、前言
公司新搬到一个800平米大平层,新的办公室布线组网、wifi覆盖就摆上了日程,找一个专业公司,不存在的。需求其实也不难实现,作为一个处处拿极客要求自己的公司,当然是自己DIY了。全文较长,包含需求、实现过程、购买的设备,还附送物理装修图等,最核心的两个设备是TP-LINK的企业路由器TL-ER6520G以及科地公司POE交换机(三层PoE交换机LS7130G-24P4C-450W),成功打造了一个高速互联网接入、内部网路有效隔离、高速wifi无死角覆盖和远程异地办公安全通信(VPN)的网路环境。2、需求
企业的详细需求方案如下:1. 企业从电信办理500M的光纤宽频,支持一个大平层办公面积800平方,130个工位(卡座)和3个会议室。
2. 企业内部有研发、市场、人事、业务等部门,企业为信息安全考虑,要求各部门使用不同的网段,并且不允许相互访问;开发部有两个伺服器群,开发伺服器群和测试伺服器群,只允许开发访问;业务部门有文件共享伺服器位于广域网区(DMZ区),对广域网、市场部、业务部全天候开放;企业要求需要防范来自企业内部的ARP欺骗、DOS等常见攻击。* 红区red0: 含开发ci/cd伺服器如gitlab/jenkins/开发环境/测试环境* 红区red1: 科技开发* 红区red2: 只允许授权mac地址白名单接入,隐藏wifissid(qy_dev 2G/5G)* 绿区green: 财务/市场/总裁办/HR,wifissid(qy_office 2G/5G)* 访客区visitors: 只访问internet,完全隔离不连任何内网,wifissid(qy_visitors 2G/5G)3. 为方便出差员工安全的访问总部伺服器,需要建立PC到站点模式的VPN隧道;4. 为合理利用带宽资源,要求对各个部门所使用的带宽进行限制;5. 企业需要对网路流量进行实时监控,监控伺服器需要对企业内部访问外网的数据进行监控和备份。6. 为减少走线复杂,AP和摄像头尽量采用POE供电,实现基本的安防监控和视频考勤。
3、网路规划和实现3.1 设备
3.2 组网拓扑图
3.3 物理装修图
3.4 VLAN设置
根据前面需求分析,我们做如下规划:
1. 首先将TL-ER6520G路由器做埠规划,埠1用来连接电信宽频,埠2,埠3,埠4备用,
留著以后做WAN口接其他宽频线路或LAN口来连接其他VLAN,由于埠5只能用做LAN口,所以我们优先使用埠52. 在路由器界面>>基本设置>>VLAN设置,创建VLAN3. 依次创建VLAN,5/6/7/8/9,其中:(1) VALN5埠成员是埠5,对应开发人员wifi,wifissid(qy_dev 2G/5G)(2) VALN6埠成员是埠5,对应财务/市场/总裁办/HR/行政,wifissid(qy_office 2G/5G)(3) VALN7埠成员是埠5,对应访客visitors,wifissid(qy_visitors 2G/5G)(4) VALN8埠成员是埠5,对应本地伺服器集群(5) VALN9埠成员是埠5,对应开发人员pc主机4. 建好VLAN后,具体如下图所示
根据前面的VLAN设置来划分地址段,进入路由器界面>>对象管理>>地址
1. 新建如下的地址段:(1) 新增名称dev,IP类型选择IP/Mask,填入172.16.15.0/24,备注为开发wifi网段(2) 新增名称office,IP类型选择IP/Mask,填入172.16.16.0/24,备注为业务和业务wifi网段(3) 新增名称visitors,IP类型选择IP/Mask,填入172.16.17.0/24,备注为访客wifi网段(4) 新增名称server,IP类型选择IP/Mask,填入172.16.18.0/24,备注为伺服器网段(5) 新增名称dev_pc,IP类型选择IP/Mask,填入172.16.5.0/24,备注为开发pc网段2. 建好的地址段如下图所示
根据前面的地址段来做地址管理,进入路由器界面>>对象管理>>地址管理
3.5 路由设置
由于根据前面已经按照不同部门和使用区域划分了不同的VLAN,进入路由器界面>>传输控制>>系统路由
1. 172.16.5.0,开发有线网段,出介面是92. 172.16.15.0,开发无线网段,出介面是53. 172.16.16.0,业务和业务无线网段,出介面是64. 172.16.17.0,访客无线网段,出介面是75. 172.16.18.0,伺服器网段,出介面是8
3.6 AP管理
1. 由于我们的6520G路由器是带AP管理功能,所以能作为AC使用,进入路由器界面>>AP管理>>AP设置2. 管理AP需要在路由器LAN口有一个默认的UNTAG的VLAN作为管理AP的网段,路由器才能作为AC发现AP3. 因为路由器自带有一个默认的UNTAG的VLAN,名称是LAN,VLAN ID是1,这里使用这个网段管理AP4. 我们在这里打开AP管理功能,LAN口5接上POE网管交换机,AP再接入这个POE网管交换机,就能发现AP
3.7 无线网路设置
1. 首先进入路由器界面>>AP管理>>即插即用2. 关闭即插即用功能3. 进入路由器界面>>AP管理>>无线网路设置4. 新增无线网路名称qy_dev;
AP设备勾选全选;关闭内部隔离;开启隐藏无线网路;加密方式选择WPA-PSK/WPA2-PSK;认证类型/加密演算法自动;密码自己设置好;VLAN选择5;状态开启5. 新增无线网路名称qy_office;AP设备勾选全选;
开启内部隔离;关闭隐藏无线网路;加密方式选择WPA-PSK/WPA2-PSK;认证类型/加密演算法自动;密码自己设置好;VLAN选择6;状态开启6. 新增无线网路名称qy_visitors;AP设备勾选全选;开启内部隔离;
关闭隐藏无线网路;加密方式选择WPA-PSK/WPA2-PSK;认证类型/加密演算法自动;密码自己设置好;VLAN选择7;状态开启
3.8 安全管理
1. 进入路由器界面>>安全管理>>ARP防护,启用ARP防欺骗功能,并点击设置2. 进入路由器界面>>安全管理>>攻击防护,启用防Flood类攻击的所有项和防可以包攻击的所有项,并点击设置3. 由于我们现在使用的VLAN有5个类,分别是dev(开发wifi),office(业务和业务wifi),visitors(访客wifi),server(伺服器),dev_pc(开发有线),根据需求,我们做出如下的访问控制:(1) dev_pc网段对office和visitors网段的阻塞(2) dev网段对office和visitors网段的阻塞(3) office网段对dev_pc,dev,visitors和server网段的阻塞(4) visitors网段对dev_pc,dev,office和server网段的阻塞4. 根据需求,还需对开发wifi网段进行MAC地址过滤,所以进入路由器界面>>安全管理>>MAC过滤,(1) 选择仅允许规则列表内的MAC地址访问外网(2) 生效介面域选择5(3) 并启用MAC地址过滤功能(4) 点击设置启用功能
3.9 VPN
1. 首先需要进入路由器界面>>对象管理>>IP地址池,里面设置相应的地址池2. 然后进入路由器界面>>VPN>>L2TP,配置L2TP伺服器3. 对伺服器的服务介面进行IPSec加密,预共享秘钥要填好,状态启用4. 然后进入路由器界面>>VPN>>用户管理5. 里面设置对应的地址池/用户名/密码/服务类型/本地地址/DNS地址/组网模式
3.10 POE网管交换机设置
网管交换机是24口,按办公室工位卡座需要的有线区域和AP需要的无线区域来对这24口做规划:1. 左边1-8埠区域留给科技开发部门使用,根据工位数量情况,伺服器情况和普通交换机数量,做出规划:(1) GE1,连接一台16口交换机,留给我们内部的伺服器集群,取VLAN8(2) 在交换机界面>>VLAN>>介面配置,设置GE1为Hybrid模式,并取PVID为8(3) GE2/GE3/GE4/GE5,分别连接一台48口交换机和三台16口交换机,取VLAN9(4) 在介面配置,设置GE2/GE3/GE4/GE5为Hybrid模式,并取PVID为92. 中间9-16埠区域留给业务/财务/总裁办等部门使用,根据工位数量情况,和普通交换机数量,做出规划:(1) GE9/GE10/GE11/GE12,分别连接一台48口交换机和三台16口交换机,取VLAN6(2) 在介面配置,设置GE9/GE10/GE11/GE12为Hybrid模式,并取PVID为63. 右边17-24埠区域留给AP和监控伺服器和接6520G的上行埠,规划如下:(1) GE17/GE18/GE19/GE20/GE21,连接我们的AP1-5,取VLAN1/VLAN5/VLAN6/VLAN7(2) GE22连接监控伺服器(3) GE23连接6520G的LAN口5(4) GE24作为调试交换机的入口保留下来
有线配置:
1. 按找上面的网段分配规划,进入交换机界面>>VLAN>>创建VLAN2. 创建VLAN5/VLAN6/VLAN7/VLAN8/VLAN93. 然后配置有线区域的网路,进入交换机界面>>VLAN>>埠VLAN成员4. 选择GE1/GE2/GE3/GE4/GE5/GE9/GE10/GE11/GE12去配置上面规划的VLAN
无线配置:
1. 按照规划配好有线区域的网路,按照同样的方式,进入交换机界面>>VLAN>>埠VLAN成员2. 选择GE17/GE18/GE19/GE20/GE21配置上面规划的VLAN
推荐阅读:
