Vienos įmonės kompiuterių tinklas ir plėtra 2

Mindaugas Dovidaitis DovidaviciusAruba, Cisco, Fortigate, Infrastructure, IPsec, Linux, Mikrotik, Network, RouterOS, Security

Tęsiame mūsų pradėtą straipsnių ciklą apie vienos įmonės verslo kilimą ir vieną iš jos poreikių naudoti ir vystyti kompiuterių tinklą, įmonei sparčiai augant.

Sukuriami organizacijos skyriai: Pardavimai, Finansai, Žmogiškieji ištekliai, turimos užuomenos apie produktų plėtojimo ir gamybos skyrius.

Išnuomojams biuro pastatas ir išskiriamos patalpos trejuose aukštuose. Kiekvienam skyriui paskiriami akstiki kabinetai.

Poreikiai:

  • Prieš tai naudoda tinklo įranga perkeliama.
  • Vystymui naudojama tinklo architektūra trijų sluoksnių L2 tipo.
  • Prieeigos kontrolė turi būti aprašoma SWCORE01 komutatoriuje, ACL pagalba.
  • Išėjimas į pasaulinį tinklą, turi būti ribotas R1 maršrutizatoriuje.
  • Įsigyjama papildoma techinė įranga – valdomi tinklo komutatoriai ir AP stotys.
  • Prieš tai sukurtą darbuotojų potinklį paliekame ir naudosime tik įmonės vadovams.
  • Sukuriamas nesaugus potinklis naudoti įmonės svečiams.
  • Valdymo potinklis išlieka ir yra plečiamas atitinkamai.
  • Sukuriami papildomi potinkliai pagal skyrius.

Technologijos:

  • TCP/IPv4 standartinis tinklas
  • VLANs
  • STP
  • Statinis maršrutizavimas
  • NAT tinklo paslauga
  • DHCP tinklo paslauga
  • WiFi (WAP2/3 PSK) tinklo paslauga

Tinklo įranga:

  • 1 x maršrutizatorius;
  • 1 x L3 valdomas komutatorius;
  • 3 x L2 valdomi komutatoriai
  • 2 x bevielio tinklo prieigos taškai (anlg. wireless access point);

Planavimas

Naujose patalpose yra išskirtas komunikacijų kabinetas tinklo įrangai, kurią perkelsime iš seno įmonės biuro. Fizinė tinklo instaliacija yra nauja ir nereikalauja jokių papildomų darbų. Taip pat kiekviename pastato aukšte galima diegti savo tinklo įrangą pagal poreikius ir apjungti optiniu kabeliu. Kas užtinkrina tokio tinklo plečiamumą ir didelį pralaidumą tiek šiuo metu, tiek ateityje.

Įsigyjami valdomi komutatoriai, kurių pagalba sukuriama nauja tinklo architektūra. Vietinio tinklo duomenų srautas lieka komutatoriuose ir nesiekia maršrutizatoriaus, o įeinantis/išeinantis duomenų srautas keliauja per magistralinį potinlį tarp maršrutizatoriaus ir L3 komutatoriaus. Žemesnio lygio tinklo komutatoriai atsakingi tik už vietinį duomenų persiuntimą.

Vartotojai

Pagal naujus įmonės poreikius vartotojų ir įrenginių kiekis didėja neženkliai, todėl nieko keisti nereikia. Darbuotojų darbo vietos išsidėsčiusios jiems skirtose patalpose, todėl yra fizinis ir loginis padalinių atskyrimas.

Projektuojame loginį tinklą

Pagal naujus poreikius, įmonės loginį tinklą praplečiame sukurdami papildomus potinklius. Sudėliojame papildomus potinklius VLAN, parenkame papildomą IP adresavimo schemą ir tinklo dydžius. Visus kitus parametrus ir geografines lokacijas paliekame tuos pačius.

  • Mažos įmonės HQ tinklui pagal geografinę lokaciją priskirtas 200 kodas, todėl visi IP potinkliai turės naudoti adrese 200 skaičių.
  • VLAN ir IP potinlių rėžis duomenų ir valdymo tinklui bus naudojama tokia schema 10.200.x.0/16. Vietoje „x” bus VLAN numeris.
  • VLAN ir IP potinklių rėžis nesaugiam tinklui bus naudojama tokia schema 192.168.x.0/24. Vietoje „x” bus VLAN numeris.

Potinkliai pagal įmonės poreikius ir dydžius.

  • Magistralinis potinklis VLAN111 – 10.111.111.0/30
  • Valdymo potinklis VLAN254 – 10.200.254.0/27
  • Nesaugus potinklis VLAN192 – 192.168.192.0/27
  • Darbuotojų duomenų ir periferinės įrangos potinklis VLAN253 – 10.200.253.0/26
  • Pardavimai duomenų ir periferinės įrangos potinklis VLAN252 – 10.200.252.0/26
  • Finansai duomenų ir periferinės įrangos potinklis VLAN251 – 10.200.251.0/26
  • Žmogiškieji ištekliai duomenų ir periferinės įrangos potinklis VLAN250 – 10.200.250.0/26

Small SMB network architechture

Tinklo įrangos konfiguracijos

Pasiruošiame interneto tiekėjo įrangą ISP1 ir viešuosius IPv4 adresus. Taip pat prisidedame IP adresą, kuris bus naudojamas testavimui išorės pasiekimui 8.8.8.8

Konfiguracija ISP1.


version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
hostname ISP1
boot-start-marker
boot-end-marker
no aaa new-model
ip cef
no ipv6 cef
multilink bundle-name authenticated
interface Loopback0
ip address 8.8.8.8 255.255.255.255
!
interface FastEthernet0/0
ip address 203.0.113.1 255.255.255.252
duplex full
!
interface Ethernet1/0
no ip address
shutdown
duplex full
!
interface Ethernet1/1
no ip address
shutdown
duplex full
!
interface Ethernet1/2
no ip address
shutdown
duplex full
!
interface Ethernet1/3
no ip address
shutdown
duplex full
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
control-plane
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
end

Toliau susikonfigūruojame pagrindinį įmonės maršrutizatorių R1. Prisijungiame tinklo prievadus prie ISP1, SWCORE01 ir sukonfigūruojame atitinkamus tinklo porinklius. Toliau pridedam reikalingus maršrutus į vidinius potinklius, sukuriame ugniasienės taisykles.


# 2024-04-19 07:31:52 by RouterOS 7.14
# software id =
#
/port
set 0 name=serial0
/ip firewall connection tracking
set udp-timeout=10s
/ip settings
set max-neighbor-entries=6144
/ipv6 settings
set max-neighbor-entries=3072
/ip address
add address=203.0.113.2/30 interface=ether1 network=203.0.113.0
add address=10.111.111.1/30 interface=ether7 network=10.111.111.0
/ip dhcp-client
add interface=ether1
/ip firewall address-list
add address=10.200.254.0/24 list=MANAGEMENT
add address=10.200.250.0/24 list=HR
add address=10.200.251.0/24 list=FIN
add address=10.200.252.0/24 list=SALE
add address=10.200.253.0/24 list=WORKERS
add address=192.168.192.0/27 list=UNSECURE
/ip firewall filter
add action=drop chain=forward src-address-list=MANAGEMENT
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=HR
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=WORKERS
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=SALE
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=FIN
add action=masquerade chain=srcnat dst-port=53,80,443 out-interface=ether1 protocol=tcp src-address-list=UNSECURE
add action=masquerade chain=srcnat dst-port=53 out-interface=ether1 protocol=udp src-address-list=UNSECURE
/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=203.0.113.1 pref-src="" routing-table=main scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=10.200.253.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=1 dst-address=192.168.192.0/27 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=1 dst-address=10.200.252.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=1 dst-address=10.200.251.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=1 dst-address=10.200.250.0/26 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
add disabled=no distance=1 dst-address=10.200.254.0/27 gateway=10.111.111.2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
/system identity
set name=R1
/system note
set show-at-login=no

Toliau paruošime pagrindinį L3 komutatorių SWCORE01. Sujungiame reikiamus tinklo prievadus su maršrutizatoriu R1, bei kitais L2 komutatoriais SW11, SW21, SW31. Apsirašome atitinkamus VLAN ir sukuriame VLAN virtualius IP tinklo prievadus. Valdymo potinklyje priskiriame valdymo IP adresą įrenginiui pasiekti. Ties sujungimais su kitais maršrutizatoriais sukuriame magistralinius VLAN’ų prievadus.


!
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SWCORE01
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
!

ssh server vrf mgmt
vlan 1
vlan 192
description Nesaugus
vlan 250
description Zmogiskieji
vlan 251
description Finansai
vlan 252
description Pardavimai
vlan 253
description Darbuotojai
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
no routing
vlan access 254
interface 1/1/6
no shutdown
description to SW31
no routing
vlan trunk native 1
vlan trunk allowed 250-251,254
interface 1/1/7
no shutdown
description to SW21
no routing
vlan trunk native 1
vlan trunk allowed 252-254
interface 1/1/8
no shutdown
description to SW11
no routing
vlan trunk native 1
vlan trunk allowed 192,253-254
interface 1/1/9
no shutdown
description Magistral Uplink
ip address 10.111.111.2/30
interface vlan 192
ip address 192.168.192.30/27
interface vlan 250
ip address 10.200.250.62/26
interface vlan 251
ip address 10.200.251.62/26
interface vlan 252
ip address 10.200.252.62/26
interface vlan 253
ip address 10.200.253.62/26
interface vlan 254
ip address 10.200.254.30/27
ip route 0.0.0.0/0 10.111.111.1
!
https-server vrf mgmt

Ir pabaigai sukonfigūruojame likusius maršrutizatorius SW11, SW21, SW31.

SW11


!
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SW11
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
!
!
ssh server vrf mgmt
vlan 1
vlan 192
description Nesaugus
vlan 253
description Darbuotojai
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
description VLAN253 client1
no routing
vlan access 253
interface 1/1/2
no shutdown
no routing
vlan access 192
interface 1/1/9
no shutdown
description Uplink to SWCORE01
no routing
vlan trunk native 1
vlan trunk allowed 192,253-254
interface vlan 254
ip address 10.200.254.1/27
!
https-server vrf mgmt

SW21


!
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SW22
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
!
!
ssh server vrf mgmt
vlan 1
vlan 252
description Pardavimai
vlan 253
description Darbuotojai
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
description VLAN253
no routing
vlan access 253
interface 1/1/2
no shutdown
description VLAN252
no routing
vlan access 252
interface 1/1/9
no shutdown
description Uplink to SWCORE01
no routing
vlan trunk native 1
vlan trunk allowed 252-254
interface vlan 254
ip address 10.200.254.2/27
!
https-server vrf mgmt

SW31


!
!Version ArubaOS-CX Virtual.10.07.0004
!export-password: default
hostname SW31
led locator on
ntp server pool.ntp.org minpoll 4 maxpoll 4 iburst
ntp enable
!
ssh server vrf mgmt
vlan 1
vlan 250
description Zmogiskieji
vlan 251
description Finansai
vlan 254
description Management
interface mgmt
no shutdown
ip dhcp
interface 1/1/1
no shutdown
no routing
vlan access 251
interface 1/1/2
no shutdown
no routing
vlan access 250
interface 1/1/9
no shutdown
description Uplink to SWCORE01
no routing
vlan trunk native 1
vlan trunk allowed 250-251,254
interface vlan 254
ip address 10.200.254.3/27
!
https-server vrf mgmt

Publikavo: 

Padedame prisijungti prie pasaulio ipv4/ipv6 lygio tinklų pagalba. ITIL, CISCO, Mikrotik, MCP, CompTIA, LPI