SOHO局域網(wǎng)的設(shè)計(jì)和組建

引言：隨著全球化和信息化的發(fā)展，隨著大眾創(chuàng)業(yè)、萬(wàn)眾創(chuàng)新的推進(jìn)，中小公司和居家辦公（Small Office Home Office）對(duì)于信息化的要求也越來(lái)越高。然而一般的SOHO缺乏專職的網(wǎng)絡(luò)管理人員，也沒(méi)有價(jià)格高昂的專用組網(wǎng)設(shè)備。如何用普通的家用無(wú)線路由設(shè)備組建一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境呢？

某公司有銷售部、生產(chǎn)部、財(cái)務(wù)部，每個(gè)部門員工數(shù)量都不超過(guò)20。其組網(wǎng)需求如下：銷售部和生產(chǎn)部的員工需能相互訪問(wèn)；財(cái)務(wù)部可以訪問(wèn)其他部門，但銷售部和生產(chǎn)部不能訪問(wèn)財(cái)務(wù)部；銷售部有一臺(tái)Web服務(wù)器需向外網(wǎng)用戶提供服務(wù)；生產(chǎn)部的WiFi不允許非授權(quán)用戶使用，財(cái)務(wù)部的WIFI不允許非本部門的設(shè)備使用。

拓?fù)湓O(shè)計(jì)

普通家用無(wú)線路由器，實(shí)際上并不是真正意義上的路由器，不具備路由選擇的功能，只是一個(gè)終端上行路由互聯(lián)設(shè)備。

根據(jù)公司的需求，拓?fù)湓O(shè)計(jì)如圖1所示：銷售部、生產(chǎn)部、財(cái)務(wù)部三個(gè)部門各有一個(gè)無(wú)線路由設(shè)備。每個(gè)部門都有有線接口和無(wú)線WIFI連接。

圖1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖

表1 網(wǎng)絡(luò)配置規(guī)劃表

其中銷售部、生產(chǎn)部的路由器用LAN口上行，確保能夠和出口主路由器的LAN口在同一網(wǎng)段，使銷售部和生產(chǎn)部能相互訪問(wèn)，確保所有用戶都同屬于一個(gè)大私網(wǎng)，確保用戶從主出口路由器獲取IP地址，實(shí)現(xiàn)統(tǒng)一管理，避免由于IP地址配置問(wèn)題造成上網(wǎng)的時(shí)斷時(shí)續(xù)，同時(shí)也便于流控訪問(wèn)策略的實(shí)施。

財(cái)務(wù)部用Internet口上行，使財(cái)務(wù)部成為大私網(wǎng)中的小私網(wǎng)，以確保財(cái)務(wù)部能訪問(wèn)其他部門，并禁止其他部門訪問(wèn)財(cái)務(wù)部。

配置規(guī)劃

無(wú)論是家庭和中小公司，做好網(wǎng)絡(luò)設(shè)備的規(guī)劃都有利于組網(wǎng)實(shí)施、日后的正常使用和維護(hù)。如表1所示，主出口路由器的用于通過(guò)PPPOE撥號(hào)連接廣域網(wǎng)，DHCP服務(wù)配置的地址池為192.168.1.100-159，共計(jì)60個(gè)IP地址。內(nèi)網(wǎng)IP地址為：192.168.1.1，一方面作為內(nèi)網(wǎng)（192.168.1.0）網(wǎng)段的網(wǎng)關(guān)，另一方面用于出口路由器的管理地址。

銷售部和生產(chǎn)部使用網(wǎng)段：192.168.1.0/24；上 行口使用LAN口，DHCP服務(wù)關(guān)閉；路由器的IP地址為192.168.1.2和192.168.1.3主要用于設(shè)備管理登入為防止非授權(quán)用戶登入，屏蔽路由器wifi連接的密碼設(shè)為1234567890。

財(cái)務(wù)部的結(jié)構(gòu)相當(dāng)于私網(wǎng)中的私網(wǎng)，Internet口上 行，開(kāi) 啟DHCP服 務(wù)。DCHP服務(wù)器的地址池為192.168.2.10-100/24。內(nèi)網(wǎng)地址為192.168.2.1，作為子網(wǎng)的網(wǎng)關(guān)和網(wǎng)絡(luò)管理的登入。Internet口使用自動(dòng)獲取IP地址。屏蔽無(wú)線信號(hào)，無(wú)線WIFI的連接使用Mac地址過(guò)濾技術(shù)，防止非本部門的設(shè)備使用本部門的無(wú)線網(wǎng)絡(luò)。

圖2 主出口路由器配置截圖

圖3 銷售部路由器配置截圖

圖4 Web服務(wù)NAT配置圖

圖5 財(cái)務(wù)部路由器配置

組網(wǎng)實(shí)施

主出口路由器外網(wǎng)口配置如圖2所示，采用PPPoE撥號(hào)連，連接Internet,內(nèi)網(wǎng)網(wǎng)關(guān)和管理地址為：192.168.1.1。DHCP地 址池為 ：192.168.1.100-159。

銷售部配置如圖3所示，外網(wǎng)口無(wú)需配置，關(guān)閉DHCP服務(wù)，管理地址配置為192.168.1.3。生產(chǎn)部路由器配置類似。銷售部的Web服務(wù)器需向外網(wǎng)用戶提供服務(wù)，需要在主出口路由器上做NAT配置，如圖4所示,92.168.1.10是Web服務(wù)器地址，使能HTTP。

財(cái)務(wù)部路由器配置如圖5所示，Internet口可采用DHCP或靜態(tài)配置，開(kāi)啟DHCP服務(wù)。

結(jié)束語(yǔ)

文章通過(guò)實(shí)例描述了SOHO的典型組網(wǎng)方案，并在思科模擬器上完成了組網(wǎng)配置。通過(guò)私網(wǎng)內(nèi)的私網(wǎng)、MAC地址過(guò)濾、復(fù)雜的WIFI密碼等方式，在主出口路由器上配置訪問(wèn)策略和流控，可以加強(qiáng)SOHO網(wǎng)絡(luò)的安全。NAT方式容易以使服務(wù)器暴露在公網(wǎng)上，有條件的可以使用VPN的方式，限定訪問(wèn)的用戶。