800平方新辦公室組網實戰
1、前言
公司新搬到一個800平米大平層,新的辦公室布線組網、wifi覆蓋就擺上了日程,找一個專業公司,不存在的。需求其實也不難實現,作為一個處處拿極客要求自己的公司,當然是自己DIY了。全文較長,包含需求、實現過程、購買的設備,還附送物理裝修圖等,最核心的兩個設備是TP-LINK的企業路由器TL-ER6520G以及科地公司POE交換機(三層PoE交換機LS7130G-24P4C-450W),成功打造了一個高速互聯網接入、內部網路有效隔離、高速wifi無死角覆蓋和遠程異地辦公安全通信(VPN)的網路環境。2、需求
企業的詳細需求方案如下:1. 企業從電信辦理500M的光纖寬頻,支持一個大平層辦公面積800平方,130個工位(卡座)和3個會議室。
2. 企業內部有研發、市場、人事、業務等部門,企業為信息安全考慮,要求各部門使用不同的網段,並且不允許相互訪問;開發部有兩個伺服器羣,開發伺服器羣和測試伺服器羣,只允許開發訪問;業務部門有文件共享伺服器位於廣域網區(DMZ區),對廣域網、市場部、業務部全天候開放;企業要求需要防範來自企業內部的ARP欺騙、DOS等常見攻擊。* 紅區red0: 含開發ci/cd伺服器如gitlab/jenkins/開發環境/測試環境* 紅區red1: 科技開發* 紅區red2: 只允許授權mac地址白名單接入,隱藏wifissid(qy_dev 2G/5G)* 綠區green: 財務/市場/總裁辦/HR,wifissid(qy_office 2G/5G)* 訪客區visitors: 只訪問internet,完全隔離不連任何內網,wifissid(qy_visitors 2G/5G)3. 為方便出差員工安全的訪問總部伺服器,需要建立PC到站點模式的VPN隧道;4. 為合理利用帶寬資源,要求對各個部門所使用的帶寬進行限制;5. 企業需要對網路流量進行實時監控,監控伺服器需要對企業內部訪問外網的數據進行監控和備份。6. 為減少走線複雜,AP和攝像頭盡量採用POE供電,實現基本的安防監控和視頻考勤。
3、網路規劃和實現3.1 設備
3.2 組網拓撲圖
3.3 物理裝修圖
3.4 VLAN設置
根據前面需求分析,我們做如下規劃:
1. 首先將TL-ER6520G路由器做埠規劃,埠1用來連接電信寬頻,埠2,埠3,埠4備用,
留著以後做WAN口接其他寬頻線路或LAN口來連接其他VLAN,由於埠5隻能用做LAN口,所以我們優先使用埠52. 在路由器界面>>基本設置>>VLAN設置,創建VLAN3. 依次創建VLAN,5/6/7/8/9,其中:(1) VALN5埠成員是埠5,對應開發人員wifi,wifissid(qy_dev 2G/5G)(2) VALN6埠成員是埠5,對應財務/市場/總裁辦/HR/行政,wifissid(qy_office 2G/5G)(3) VALN7埠成員是埠5,對應訪客visitors,wifissid(qy_visitors 2G/5G)(4) VALN8埠成員是埠5,對應本地伺服器集羣(5) VALN9埠成員是埠5,對應開發人員pc主機4. 建好VLAN後,具體如下圖所示
根據前面的VLAN設置來劃分地址段,進入路由器界面>>對象管理>>地址
1. 新建如下的地址段:(1) 新增名稱dev,IP類型選擇IP/Mask,填入172.16.15.0/24,備註為開發wifi網段(2) 新增名稱office,IP類型選擇IP/Mask,填入172.16.16.0/24,備註為業務和業務wifi網段(3) 新增名稱visitors,IP類型選擇IP/Mask,填入172.16.17.0/24,備註為訪客wifi網段(4) 新增名稱server,IP類型選擇IP/Mask,填入172.16.18.0/24,備註為伺服器網段(5) 新增名稱dev_pc,IP類型選擇IP/Mask,填入172.16.5.0/24,備註為開發pc網段2. 建好的地址段如下圖所示
根據前面的地址段來做地址管理,進入路由器界面>>對象管理>>地址管理
3.5 路由設置
由於根據前面已經按照不同部門和使用區域劃分了不同的VLAN,進入路由器界面>>傳輸控制>>系統路由
1. 172.16.5.0,開發有線網段,出介面是92. 172.16.15.0,開發無線網段,出介面是53. 172.16.16.0,業務和業務無線網段,出介面是64. 172.16.17.0,訪客無線網段,出介面是75. 172.16.18.0,伺服器網段,出介面是8
3.6 AP管理
1. 由於我們的6520G路由器是帶AP管理功能,所以能作為AC使用,進入路由器界面>>AP管理>>AP設置2. 管理AP需要在路由器LAN口有一個默認的UNTAG的VLAN作為管理AP的網段,路由器才能作為AC發現AP3. 因為路由器自帶有一個默認的UNTAG的VLAN,名稱是LAN,VLAN ID是1,這裡使用這個網段管理AP4. 我們在這裡打開AP管理功能,LAN口5接上POE網管交換機,AP再接入這個POE網管交換機,就能發現AP
3.7 無線網路設置
1. 首先進入路由器界面>>AP管理>>即插即用2. 關閉即插即用功能3. 進入路由器界面>>AP管理>>無線網路設置4. 新增無線網路名稱qy_dev;
AP設備勾選全選;關閉內部隔離;開啟隱藏無線網路;加密方式選擇WPA-PSK/WPA2-PSK;認證類型/加密演算法自動;密碼自己設置好;VLAN選擇5;狀態開啟5. 新增無線網路名稱qy_office;AP設備勾選全選;
開啟內部隔離;關閉隱藏無線網路;加密方式選擇WPA-PSK/WPA2-PSK;認證類型/加密演算法自動;密碼自己設置好;VLAN選擇6;狀態開啟6. 新增無線網路名稱qy_visitors;AP設備勾選全選;開啟內部隔離;
關閉隱藏無線網路;加密方式選擇WPA-PSK/WPA2-PSK;認證類型/加密演算法自動;密碼自己設置好;VLAN選擇7;狀態開啟
3.8 安全管理
1. 進入路由器界面>>安全管理>>ARP防護,啟用ARP防欺騙功能,並點擊設置2. 進入路由器界面>>安全管理>>攻擊防護,啟用防Flood類攻擊的所有項和防可以包攻擊的所有項,並點擊設置3. 由於我們現在使用的VLAN有5個類,分別是dev(開發wifi),office(業務和業務wifi),visitors(訪客wifi),server(伺服器),dev_pc(開發有線),根據需求,我們做出如下的訪問控制:(1) dev_pc網段對office和visitors網段的阻塞(2) dev網段對office和visitors網段的阻塞(3) office網段對dev_pc,dev,visitors和server網段的阻塞(4) visitors網段對dev_pc,dev,office和server網段的阻塞4. 根據需求,還需對開發wifi網段進行MAC地址過濾,所以進入路由器界面>>安全管理>>MAC過濾,(1) 選擇僅允許規則列表內的MAC地址訪問外網(2) 生效介面域選擇5(3) 並啟用MAC地址過濾功能(4) 點擊設置啟用功能
3.9 VPN
1. 首先需要進入路由器界面>>對象管理>>IP地址池,裡面設置相應的地址池2. 然後進入路由器界面>>VPN>>L2TP,配置L2TP伺服器3. 對伺服器的服務介面進行IPSec加密,預共享祕鑰要填好,狀態啟用4. 然後進入路由器界面>>VPN>>用戶管理5. 裡面設置對應的地址池/用戶名/密碼/服務類型/本地地址/DNS地址/組網模式
3.10 POE網管交換機設置
網管交換機是24口,按辦公室工位卡座需要的有線區域和AP需要的無線區域來對這24口做規劃:1. 左邊1-8埠區域留給科技開發部門使用,根據工位數量情況,伺服器情況和普通交換機數量,做出規劃:(1) GE1,連接一臺16口交換機,留給我們內部的伺服器集羣,取VLAN8(2) 在交換機界面>>VLAN>>介面配置,設置GE1為Hybrid模式,並取PVID為8(3) GE2/GE3/GE4/GE5,分別連接一臺48口交換機和三臺16口交換機,取VLAN9(4) 在介面配置,設置GE2/GE3/GE4/GE5為Hybrid模式,並取PVID為92. 中間9-16埠區域留給業務/財務/總裁辦等部門使用,根據工位數量情況,和普通交換機數量,做出規劃:(1) GE9/GE10/GE11/GE12,分別連接一臺48口交換機和三臺16口交換機,取VLAN6(2) 在介面配置,設置GE9/GE10/GE11/GE12為Hybrid模式,並取PVID為63. 右邊17-24埠區域留給AP和監控伺服器和接6520G的上行埠,規劃如下:(1) GE17/GE18/GE19/GE20/GE21,連接我們的AP1-5,取VLAN1/VLAN5/VLAN6/VLAN7(2) GE22連接監控伺服器(3) GE23連接6520G的LAN口5(4) GE24作為調試交換機的入口保留下來
有線配置:
1. 按找上面的網段分配規劃,進入交換機界面>>VLAN>>創建VLAN2. 創建VLAN5/VLAN6/VLAN7/VLAN8/VLAN93. 然後配置有線區域的網路,進入交換機界面>>VLAN>>埠VLAN成員4. 選擇GE1/GE2/GE3/GE4/GE5/GE9/GE10/GE11/GE12去配置上面規劃的VLAN
無線配置:
1. 按照規劃配好有線區域的網路,按照同樣的方式,進入交換機界面>>VLAN>>埠VLAN成員2. 選擇GE17/GE18/GE19/GE20/GE21配置上面規劃的VLAN
推薦閱讀:
