Tęsiame ciklą apie vienos įmonės tinklo vystymą ir šiam kartui įmonės verslo plėtros poreikiai užaugo iki atskiro produktų plėtojimo skyriaus ir gamybos padalinio. Tam tikslui buvo sukurtos papildomos patalpos ir sukurta gamybos linija. Tuo pačiu metu atskiriamas ir sukuriamas minimalus įmonės lokalus duomenų centras.
Poreikiai:
- Sukuriamas minimalus duomenų centras.
- Nutiesiamas optinis pastatų apjungimo kabelis.
- Gamybos linijose naudojami kompiuteriai, pasiekti gamybos darbo vietas.
- Vystymui naudojama tinklo architektūra trijų sluoksnių L2 tipo.
- Prieigos kontrolė turi būti aprašoma SWCORE01 komutatoriuje, ACL pagalba.
- Išėjimas į pasaulinį tinklą, turi būti ribotas R1 maršrutizatoriuje.
- Įsigyjama papildoma techninė įranga – valdomi tinklo komutatoriai.
- Valdymo potinklis išlieka ir yra plečiamas atitinkamai.
- Sukuriami papildomi potinkliai pagal skyrius.
Technologijos:
- TCP/IPv4 standartinis tinklas
- VLANs
- STP
- Statinis maršrutizavimas
- NAT tinklo paslauga
- DHCP tinklo paslauga
- WiFi (WAP2/3 PSK) tinklo paslauga
Tinklo įranga:
- 2 x L3 valdomas komutatorius;
- 2 x L2 valdomi komutatoriai
Planavimas
Kuriamam įmonės duomenų centrui yra praplečiamas komunikacijų kabinetas papildomai tinklo įrangai ir darbo stotims, kuri įsigyjama papildomai. Atliekami optinio kabelio apjungimui tarp pagrindinio ir gamybos pastatų.
Įsigyjami valdomi komutatoriai, kurių pagalba prijungiama tinklo atšaka įmonės duomenų centrui ir analogiškai – gamybos tinklo daliai. Žemesnio lygio L2 komutatoriai naudojami galiniams taškams prijungti.
Vartotojai
Pagal naujus įmonės poreikius vartotojų ir įrenginių kiekis didėja neženkliai, todėl nieko keisti nereikia. Papildomai gamybos padalinyje sukuriamos darbuotojų darbo vietos jiems skirtose patalpose.
Projektuojame loginį tinklą
Pagal naujus poreikius, įmonės loginį tinklą praplečiame sukurdami papildomus potinklius. Sudėliojame papildomus potinklius VLAN, parenkame papildomą IP adresavimo schemą ir tinklo dydžius. Gamybos linijų duomenų ir periferinės įrangos potinklis išėjimo į viešą kompiuterių tinklą neturi. Visus kitus parametrus ir geografines lokacijas paliekame tuos pačius.
Sukuriami papildomi potinkliai pagal įmonės poreikius ir dydžius.
- Produktų plėtojimo duomenų ir periferinės įrangos potinklis VLAN249 – 10.200.249.0/26
- Gamybos linijų duomenų ir periferinės įrangos potinklis VLAN248 – 10.200.248.0/26
- Duomenų centro darbo stočių potinklis VLAN247 – 10.200.247.0/26
Tinklo įrangos konfigūracijos
Toliau susikonfigūruojame pagrindinį įmonės maršrutizatorių R1. Prisijungiame tinklo prievadus prie ISP1, SWCORE01 ir sukonfigūruojame atitinkamus tinklo potinklius. Toliau pridedam reikalingus maršrutus į vidinius potinklius, sukuriame ugniasienės taisykles.
# jun/10/2024 11:04:45 by RouterOS 7.2.3
# software id =
#
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/ip settings
set tcp-syncookies=yes
/ip address
add address=203.0.113.2/30 interface=ether1 network=203.0.113.0
add address=10.111.111.1/30 interface=ether7 network=10.111.111.0
/ip dhcp-client
add disabled=yes interface=ether1
/ip firewall address-list
add address=10.200.254.0/27 list=MANAGEMENT
add address=10.200.250.0/26 list=HR
add address=10.200.251.0/26 list=FIN
add address=10.200.252.0/26 list=SALE
add address=10.200.253.0/26 list=WORKERS
add address=192.168.192.0/27 list=UNSECURE
add address=10.200.249.0/26 list=DEVELOPMENT
add address=10.200.247.0/26 list=SERVERS
/ip firewall filter
add action=drop chain=forward src-address-list=MANAGEMENT
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=HR
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=WORKERS
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=DEVELOPMENT
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=SERVERS
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=SALE
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=FIN
add action=masquerade chain=srcnat dst-port=53,80,443 out-interface=ether1 protocol=tcp src-address-list=UNSECURE
add action=masquerade chain=srcnat dst-port=53 out-interface=ether1 protocol=udp src-address-list=UNSECURE
/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=203.0.113.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.253.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=192.168.192.0/27 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.252.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.251.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.250.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.254.0/27 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.249.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.247.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/system identity
set name=R1
/system note
set show-at-login=no
Toliau paruošime pagrindinį L3 komutatorių SWCORE01. Sujungiame reikiamus tinklo prievadus su maršrutizatoriu R1, bei kitais L2 komutatoriais SWDC01, SWGAM01. Apsirašome atitinkamus VLAN ir sukuriame VLAN virtualius IP tinklo prievadus. Valdymo potinklyje priskiriame valdymo IP adresą įrenginiui pasiekti. Ties sujungimais su kitais maršrutizatoriais sukuriame magistralinius VLAN’ų prievadus.
SWCORE01
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SWCORE01
user admin group administrators password ciphertext AQBapaiOXPGCKBjiD1kwYc/wMFvxr90utl0u3FxiLAjarNUCYgAAAPIS9gTo2gFKFRQFwPxpG5fSrQhXGcXx3rghjnrbkU1VABiN4biYxnBZNRxIbxnHqQhLOIgp92wJC/zyS+9Bc4lc4A+WBfNghSc8nO+QwQTnOkQ2vgh0ZRNMBSEn0M+znyU7
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
ssh server vrf mgmt
vlan 1
vlan 192
description Nesaugus
vlan 247
description DC serveriai
vlan 248
description Gamybos linijos
vlan 249
description Produktu pletojimas
vlan 250
description Zmogiskieji
vlan 251
description Finansai
vlan 252
description Pardavimai
vlan 253
description Darbuotojai
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
no routing
vlan access 254
interface 1/1/4
no shutdown
description to SWGAM01
no routing
vlan trunk native 1
vlan trunk allowed 248-249,254
interface 1/1/5
no shutdown
description to SWDC01
no routing
vlan trunk native 1
vlan trunk allowed 247,254
interface 1/1/6
no shutdown
description to SW31
no routing
vlan trunk native 1
vlan trunk allowed 250-251,254
interface 1/1/7
no shutdown
description to SW21
no routing
vlan trunk native 1
vlan trunk allowed 247-248,252-254
interface 1/1/8
no shutdown
description to SW11
no routing
vlan trunk native 1
vlan trunk allowed 192,253-254
interface 1/1/9
no shutdown
description Magistral Uplink
ip address 10.111.111.2/30
interface 1/1/15
no shutdown
description to SWDC01
no routing
vlan trunk native 1
vlan trunk allowed 247,254
interface vlan 192
ip address 192.168.192.30/27
interface vlan 247
ip address 10.200.247.62/26
interface vlan 248
ip address 10.200.248.62/26
interface vlan 249
ip address 10.200.249.62/26
interface vlan 250
ip address 10.200.250.62/26
interface vlan 251
ip address 10.200.251.62/26
interface vlan 252
ip address 10.200.252.62/26
interface vlan 253
ip address 10.200.253.62/26
interface vlan 254
ip address 10.200.254.30/27
ip route 0.0.0.0/0 10.111.111.1
https-server vrf mgmt
SWDC01
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SWDC01
user admin group administrators password ciphertext AQBapWhnl9rG84Ro0UULqm+a+HcCZgiRqEZ0IE6sBpokqMKAYgAAANOZj5QmQAPIzVcrsYDfkq6GbWZAgU1aug6hKDCpFyfUkKxzYBUZlKxdSlJNs0foqya8hWrrqXuStP+25R1hGq5ekC3gLlOhkUVhy6LrXKyZ7LSLSCbUWVfaXgA1oZMyRI0N
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
ssh server vrf mgmt
vlan 1
vlan 247
description Servers
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
description to SWTOR01
no routing
vlan trunk native 1
vlan trunk allowed 247,254
interface 1/1/6
no shutdown
description to SWCORE01
no routing
vlan trunk native 1
vlan trunk allowed 247,254
interface vlan 254
ip address 10.200.254.5/27
https-server vrf mgmt
SWGAM01
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SWGAM01
user admin group administrators password ciphertext AQBapTisfYvRqTILqcpp/jGhqrqB5Y3MIR8y3hFpgjf3ag1iYgAAABfmU/fNA9YlyuUWNdEBQSBlV9Fk3DGYENuOu7YVIVASsvupUYSn0ajJp24wVrZ8jw93nURmJglZ2pH3Oen31CCiVAEBoYReK0RCAGE6NpAyJlgN1iicsKC5FW7MtJI3q4fl
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
ssh server vrf mgmt
vlan 1
vlan 248
description Gamybos linijos
vlan 249
description Produktu pletojimas
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/5
no shutdown
description to SWGAM02
no routing
vlan trunk native 1
vlan trunk allowed 248-249,254
interface 1/1/6
no shutdown
description to SWCORE01
no routing
vlan trunk native 1
vlan trunk allowed 248-249,254
interface vlan 254
ip address 10.200.254.4/27
https-server vrf mgmt
Ir pabaigai sukonfigūruojame likusius komutatorisuSWTOR01, SWGAM01.
SWTOR01
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SWTOR01
user admin group administrators password ciphertext AQBapR+QnRWM3MXEku8SyBvXGxCuoOLvnNQ/HXjZ9eyD9/LCYgAAALE8gdslUfcD2l/wlPSGn/Si2XtUwTv2ffUArFC+jT+pd8utoyMihO7x04DIvvaD708AtzZ9dkMwaWwOR7CLI2h1oy6LzUwVxQQun5Yy87vZhuyoeO8LJ2f1YZwY/c9lZFQ2
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
ssh server vrf mgmt
vlan 1
vlan 247
description Servers
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
no routing
vlan access 247
interface 1/1/2
no shutdown
no routing
vlan access 247
interface 1/1/3
no shutdown
no routing
vlan access 247
interface 1/1/6
no shutdown
description to SWDC01
no routing
vlan trunk native 1
vlan trunk allowed 247,254
interface vlan 254
ip address 10.200.254.6/27
https-server vrf mgmt
SWGAM02
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SWGAM02
user admin group administrators password ciphertext AQBapWk66JupjCgWiYGuJUSNudkP KuMEfepcrR52IPExi0xPYgAAABB6rfutnLOgV9djL3Rc6xhkMYCi9FZpwmew4vgY1zLubzs80DTaooXH fjtNSkcZH+eK4mNFKe3pvDcO/tHdMXHDVc7p3LB5EM+YHTD8iseIu/AavUU5uaYOJJSCY3qxf11f
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
ssh server vrf mgmt
vlan 1
vlan 248
description Gamybos linijos
vlan 249
description Produktu pletojimas
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
no routing
vlan access 249
interface 1/1/2
no shutdown
no routing
vlan access 248
interface 1/1/6
no shutdown
description to SWGAM01
no routing
vlan trunk native 1
vlan trunk allowed 248-249,254
interface vlan 254
ip address 10.200.254.5/27
https-server vrf mgmt
