?
這里是直播環(huán)境的第二期:企業(yè)環(huán)境的講解。
?主要以本公司的網(wǎng)絡(luò)環(huán)境為例來(lái)講解下企業(yè)環(huán)境下相關(guān)的設(shè)置。
1.明確需求,根據(jù)需求來(lái)設(shè)計(jì)網(wǎng)絡(luò)
公司環(huán)境最重要的是公司的信息的安全,在考慮公司的網(wǎng)絡(luò)搭建時(shí)要注意公司安全性的保障。一般公司的需求如下:
?1.要求布線整齊,專業(yè)。
?組建網(wǎng)絡(luò)時(shí),應(yīng)遵循以下原則:高可用性、高安全性、可擴(kuò)展性、可管理性和先進(jìn)性
?2.測(cè)試部門需要由特定服務(wù)器的架設(shè)
?3.不同的部門具有獨(dú)立性,不同部門之間不能互訪,不能相互影響。
???市場(chǎng),銷售部門同事直接使用主路由進(jìn)行上網(wǎng)。
?4.通過主路由進(jìn)行嚴(yán)格把控,只有各個(gè)部門的路由可以直接放行。
?5.公司需要布設(shè)無(wú)線,劃分兩個(gè)ssid,無(wú)線名字為iKuairouter和iKuaiGuest。
??iKuairouter:只能特定人員連接。
??iKuaiGuest:?jiǎn)T工與訪客連接。
??使用不同的網(wǎng)段,兩者直接不能相互影響。
??財(cái)務(wù)與人事部門專門有自己的網(wǎng)絡(luò)
?6.后續(xù)維護(hù)。
?
2.前期溝通:確定公司布局
與行政人員進(jìn)行溝通,獲知公司的整體布局,各個(gè)部門以及機(jī)房等的位置
3.機(jī)房建設(shè)
? 機(jī)房設(shè)備必須通過配線架,下圖部門后面的數(shù)字表明機(jī)房配線架上面對(duì)應(yīng)的變化,這樣更顯得專業(yè),更有利于具體的整體網(wǎng)絡(luò)的布置。
? 下圖為確定公司部門位置后得出的整體布局,旁邊“開發(fā)-26”中的“26”對(duì)應(yīng)機(jī)房配線架上面的編號(hào)。
?
?
公司服務(wù)器眾多,機(jī)房中不可能架設(shè)多臺(tái)顯示器,為了可以更快速的判斷問題,在機(jī)柜中加入VGA分屏器:
如下圖:不同的VGA的接口對(duì)應(yīng)不同的服務(wù)器。
?
?
4.根據(jù)上面實(shí)際環(huán)境及要求,規(guī)劃的網(wǎng)絡(luò)拓?fù)淙缦聢D:
??所有部門的路由器都連接到主路由上面。
??主路由分為三個(gè)lan:
lan1:192.168.1.253/24
Lan2:192.168.21.253/24
LAN3:192.200.200.1/24
??技術(shù)部路由使用:192.168.20.188上網(wǎng)(使用VLAN功能上網(wǎng)的)
??財(cái)務(wù)使用192.168.21.245來(lái)上網(wǎng),開發(fā)同事使用192.168.1.251來(lái)上網(wǎng)。
??測(cè)試使用lan3上網(wǎng),測(cè)試部門的網(wǎng)絡(luò)拓?fù)鋺?yīng)產(chǎn)品要求需要自行布設(shè).
??
①測(cè)試部門本身需要特定的環(huán)境進(jìn)行測(cè)試,有對(duì)應(yīng)的服務(wù)器群,具體網(wǎng)絡(luò)拓?fù)淙缦拢?/span>
?
5.為了保證各個(gè)部門的獨(dú)立性,使用J50核心交換機(jī)劃分VLAN來(lái)隔離
具體VLAN的部署如下圖:
?
技術(shù),產(chǎn)品,測(cè)試等部分分別劃分到不同VLAN,各個(gè)部門互不影響。
? VLAN70:
?大會(huì)議室,小會(huì)議室與公司領(lǐng)導(dǎo)使用
VLAN50:
?產(chǎn)品與市場(chǎng)同事使用市場(chǎng)同事使用
VLAN40:
?協(xié)議部門使用
VLAN20:
?技術(shù)部門
開發(fā)同事由自己的布線需求只提供交換機(jī)接口。
財(cái)務(wù)同事有專門的lan口,不接VLAN交換機(jī)。
注: 各部門VLAN所使用的網(wǎng)段,為了更好的區(qū)分,統(tǒng)一以下面的格式:
“VLAN20”::“192.168.20.0/24”如下圖:
?這樣整個(gè)企業(yè)的基本的網(wǎng)絡(luò)框架就有了。下面就是針對(duì)企業(yè)網(wǎng)絡(luò)的優(yōu)化。
6.主路由嚴(yán)格把控,產(chǎn)品、銷售與市場(chǎng)部門有線終端通過主路由上網(wǎng),技術(shù)部以及測(cè)試不只能通過二級(jí)路由的來(lái)上網(wǎng)。
主路由設(shè)置如下:
①ARP綁定:勾選未綁定不能上網(wǎng),產(chǎn)品、銷售與市場(chǎng)部門有線終端以及無(wú)線VLAN70(因?yàn)橐?guī)劃中無(wú)線ssidiKuairouter使用VLAN70,使用加密方式需要進(jìn)行綁定)進(jìn)行綁定,技術(shù)部測(cè)試部只綁定二級(jí)路由的Mac。
ARP綁定中未綁定終端通過web認(rèn)證的方式上網(wǎng)。最新版本可以跳過未綁定Mac功能上網(wǎng)。
②必須勾選“兼容ARP綁定列表為靜態(tài)分配”實(shí)現(xiàn)客戶端獲取與ARP綁定一致的IP,避免IP地址沖突。
?
7.公司經(jīng)常有外部人員訪問,需要滿足訪客無(wú)線上網(wǎng)也要滿足公司員工的日常手機(jī)上網(wǎng)。
? 內(nèi)部存在重要數(shù)據(jù),禁止訪客訪問。
? 基本規(guī)劃是這樣的:
? iKuaiRouter:
內(nèi)部特定員工使用,使用WPA-PSK+WPA2-PSK加密使用強(qiáng)密碼
開啟ssid-VLAN功能,劃分到VLAN70.分配192.168.70.0/24的網(wǎng)段(ARP綁定中做好綁定實(shí)現(xiàn)上網(wǎng))
? iKuaiGuest:
??? 訪客以及員工使用,無(wú)密碼,開啟認(rèn)證,測(cè)試認(rèn)證。
??? 開啟ssid-vlan,劃分VLAN80 ,分配192.168.80.0/24網(wǎng)段。(通過web認(rèn)證上網(wǎng))
①AP設(shè)置如圖:
2.4G與5G設(shè)置相同。
?②公共WiFi禁止訪問內(nèi)部數(shù)據(jù)
?
8.進(jìn)階功能(更好的方便進(jìn)行管理用戶以及實(shí)現(xiàn)公司的需求)
①IP分組,方便添加路由上面流控設(shè)置或者連接數(shù)限制等,內(nèi)網(wǎng)IP地址的快速添加
?
②動(dòng)態(tài)域名實(shí)現(xiàn)外網(wǎng)域名訪問(方便管理人員,進(jìn)行遠(yuǎn)程管理或者WAN口為動(dòng)態(tài)的公網(wǎng)IP時(shí),通過端口映射后,訪問內(nèi)網(wǎng)服務(wù)器的端口)
?
③內(nèi)網(wǎng)端口映射到外網(wǎng)來(lái)實(shí)現(xiàn)出差人員進(jìn)行訪問內(nèi)網(wǎng)的特定服務(wù)器資源。
公司W(wǎng)AN口地址為公網(wǎng)地址,那么直接通過外網(wǎng)地址+冒號(hào)+端口的方式進(jìn)行訪問。
④創(chuàng)建VPN,保證出差用戶訪問內(nèi)網(wǎng)中特定資源。
?
?上圖是認(rèn)證計(jì)費(fèi)在線的情況,可以看出192.168.80.0/24網(wǎng)段是通過web認(rèn)證實(shí)現(xiàn)正常上網(wǎng)。
還有對(duì)應(yīng)VPN撥號(hào)的情況,上圖中的撥號(hào)VPN是公司出差員工撥號(hào)訪問公司內(nèi)網(wǎng)的。
具體的VPN創(chuàng)建可點(diǎn)擊認(rèn)證計(jì)費(fèi)中對(duì)應(yīng)VPN右上角的“?”會(huì)跳轉(zhuǎn)到對(duì)應(yīng)教程,根據(jù)教程進(jìn)行添加
⑤靜態(tài)路由:
?公司環(huán)境,想要實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互訪,那就需要使用靜態(tài)路由功能。
?
比如,主路由上面想要訪問下面技術(shù)部的內(nèi)網(wǎng)。(技術(shù)部wan口:192.168.20.188,lan:192.168.15.1)使用紅框中的設(shè)置即可。
9.后續(xù)維護(hù)
①無(wú)線管理:
?
通過WiFi分析儀,查看公司存在的無(wú)線,關(guān)閉未使用的無(wú)線并且針對(duì)現(xiàn)有的無(wú)線做好統(tǒng)計(jì)。
無(wú)線測(cè)試的ssid確定使用時(shí)間,在規(guī)定時(shí)間進(jìn)行關(guān)閉。
?②定期查看流量以及連接數(shù)等顯示,流量超大,或者連接數(shù)超大情況下進(jìn)行限制連接數(shù)或者流量來(lái)進(jìn)行調(diào)優(yōu)網(wǎng)絡(luò)。
定期查看首頁(yè)中的流量顯示以及連接數(shù)顯示,當(dāng)流量超大時(shí)可查看內(nèi)網(wǎng)監(jiān)控中某些終端存在異常。可以通過流控或者連接數(shù)限制來(lái)調(diào)優(yōu)網(wǎng)絡(luò)。
定期查看線路監(jiān)控可以觀察線路的使用情況。
③終端備注統(tǒng)計(jì)
針對(duì)終端做好備注信息統(tǒng)計(jì),避免管理人員誤操作刪除導(dǎo)致無(wú)法上網(wǎng)。
?
愛快企業(yè)場(chǎng)景干貨鏈接:
http://v.youku.com/v_show/id_XMzA5ODE4NTM5Ng==.html?spm=a2h3j.8428770.3416059.1
