这里是直播环境的第二期:企业环境的讲解。
主要以本公司的网络环境为例来讲解下企业环境下相关的设置。
1.明确需求,根据需求来设计网络
公司环境最重要的是公司的信息的安全,在考虑公司的网络搭建时要注意公司安全性的保障。一般公司的需求如下:
1.要求布线整齐,专业。
组建网络时,应遵循以下原则:高可用性、高安全性、可扩展性、可管理性和先进性
2.测试部门需要由特定服务器的架设
3.不同的部门具有独立性,不同部门之间不能互访,不能相互影响。
市场,销售部门同事直接使用主路由进行上网。
4.通过主路由进行严格把控,只有各个部门的路由可以直接放行。
5.公司需要布设无线,划分两个ssid,无线名字为iKuairouter和iKuaiGuest。
iKuairouter:只能特定人员连接。
iKuaiGuest:员工与访客连接。
使用不同的网段,两者直接不能相互影响。
财务与人事部门专门有自己的网络
6.后续维护。
2.前期沟通:确定公司布局
与行政人员进行沟通,获知公司的整体布局,各个部门以及机房等的位置
3.机房建设
机房设备必须通过配线架,下图部门后面的数字表明机房配线架上面对应的变化,这样更显得专业,更有利于具体的整体网络的布置。
下图为确定公司部门位置后得出的整体布局,旁边“开发-26”中的“26”对应机房配线架上面的编号。
公司服务器众多,机房中不可能架设多台显示器,为了可以更快速的判断问题,在机柜中加入VGA分屏器:
如下图:不同的VGA的接口对应不同的服务器。
4.根据上面实际环境及要求,规划的网络拓扑如下图:
所有部门的路由器都连接到主路由上面。
主路由分为三个lan:
lan1:192.168.1.253/24
Lan2:192.168.21.253/24
LAN3:192.200.200.1/24
技术部路由使用:192.168.20.188上网(使用VLAN功能上网的)
财务使用192.168.21.245来上网,开发同事使用192.168.1.251来上网。
测试使用lan3上网,测试部门的网络拓扑应产品要求需要自行布设.
①测试部门本身需要特定的环境进行测试,有对应的服务器群,具体网络拓扑如下:
5.为了保证各个部门的独立性,使用J50核心交换机划分VLAN来隔离
具体VLAN的部署如下图:
技术,产品,测试等部分分别划分到不同VLAN,各个部门互不影响。
VLAN70:
大会议室,小会议室与公司领导使用
VLAN50:
产品与市场同事使用市场同事使用
VLAN40:
协议部门使用
VLAN20:
技术部门
开发同事由自己的布线需求只提供交换机接口。
财务同事有专门的lan口,不接VLAN交换机。
注: 各部门VLAN所使用的网段,为了更好的区分,统一以下面的格式:
“VLAN20”::“192.168.20.0/24”如下图:
这样整个企业的基本的网络框架就有了。下面就是针对企业网络的优化。
6.主路由严格把控,产品、销售与市场部门有线终端通过主路由上网,技术部以及测试不只能通过二级路由的来上网。
主路由设置如下:
①ARP绑定:勾选未绑定不能上网,产品、销售与市场部门有线终端以及无线VLAN70(因为规划中无线ssidiKuairouter使用VLAN70,使用加密方式需要进行绑定)进行绑定,技术部测试部只绑定二级路由的Mac。
ARP绑定中未绑定终端通过web认证的方式上网。最新版本可以跳过未绑定Mac功能上网。
②必须勾选“兼容ARP绑定列表为静态分配”实现客户端获取与ARP绑定一致的IP,避免IP地址冲突。
7.公司经常有外部人员访问,需要满足访客无线上网也要满足公司员工的日常手机上网。
内部存在重要数据,禁止访客访问。
基本规划是这样的:
iKuaiRouter:
内部特定员工使用,使用WPA-PSK+WPA2-PSK加密使用强密码
开启ssid-VLAN功能,划分到VLAN70.分配192.168.70.0/24的网段(ARP绑定中做好绑定实现上网)
iKuaiGuest:
访客以及员工使用,无密码,开启认证,测试认证。
开启ssid-vlan,划分VLAN80 ,分配192.168.80.0/24网段。(通过web认证上网)
①AP设置如图:
2.4G与5G设置相同。
②公共WiFi禁止访问内部数据
8.进阶功能(更好的方便进行管理用户以及实现公司的需求)
①IP分组,方便添加路由上面流控设置或者连接数限制等,内网IP地址的快速添加
②动态域名实现外网域名访问(方便管理人员,进行远程管理或者WAN口为动态的公网IP时,通过端口映射后,访问内网服务器的端口)
③内网端口映射到外网来实现出差人员进行访问内网的特定服务器资源。
公司WAN口地址为公网地址,那么直接通过外网地址+冒号+端口的方式进行访问。
④创建VPN,保证出差用户访问内网中特定资源。
上图是认证计费在线的情况,可以看出192.168.80.0/24网段是通过web认证实现正常上网。
还有对应VPN拨号的情况,上图中的拨号VPN是公司出差员工拨号访问公司内网的。
具体的VPN创建可点击认证计费中对应VPN右上角的“?”会跳转到对应教程,根据教程进行添加
⑤静态路由:
公司环境,想要实现不同网络之间的互访,那就需要使用静态路由功能。
比如,主路由上面想要访问下面技术部的内网。(技术部wan口:192.168.20.188,lan:192.168.15.1)使用红框中的设置即可。
9.后续维护
①无线管理:
通过WiFi分析仪,查看公司存在的无线,关闭未使用的无线并且针对现有的无线做好统计。
无线测试的ssid确定使用时间,在规定时间进行关闭。
②定期查看流量以及连接数等显示,流量超大,或者连接数超大情况下进行限制连接数或者流量来进行调优网络。
定期查看首页中的流量显示以及连接数显示,当流量超大时可查看内网监控中某些终端存在异常。可以通过流控或者连接数限制来调优网络。
定期查看线路监控可以观察线路的使用情况。
③终端备注统计
针对终端做好备注信息统计,避免管理人员误操作删除导致无法上网。
爱快企业场景干货链接:
http://v.youku.com/v_show/id_XMzA5ODE4NTM5Ng==.html?spm=a2h3j.8428770.3416059.1