引言:隨著全球化和信息化的發(fā)展,隨著大眾創(chuàng)業(yè)、萬(wàn)眾創(chuàng)新的推進(jìn),中小公司和居家辦公(Small Office Home Office)對(duì)于信息化的要求也越來(lái)越高。然而一般的SOHO缺乏專職的網(wǎng)絡(luò)管理人員,也沒(méi)有價(jià)格高昂的專用組網(wǎng)設(shè)備。如何用普通的家用無(wú)線路由設(shè)備組建一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境呢?
某公司有銷售部、生產(chǎn)部、財(cái)務(wù)部,每個(gè)部門員工數(shù)量都不超過(guò)20。其組網(wǎng)需求如下:銷售部和生產(chǎn)部的員工需能相互訪問(wèn);財(cái)務(wù)部可以訪問(wèn)其他部門,但銷售部和生產(chǎn)部不能訪問(wèn)財(cái)務(wù)部;銷售部有一臺(tái)Web服務(wù)器需向外網(wǎng)用戶提供服務(wù);生產(chǎn)部的WiFi不允許非授權(quán)用戶使用,財(cái)務(wù)部的WIFI不允許非本部門的設(shè)備使用。
普通家用無(wú)線路由器,實(shí)際上并不是真正意義上的路由器,不具備路由選擇的功能,只是一個(gè)終端上行路由互聯(lián)設(shè)備。
根據(jù)公司的需求,拓?fù)湓O(shè)計(jì)如圖1所示:銷售部、生產(chǎn)部、財(cái)務(wù)部三個(gè)部門各有一個(gè)無(wú)線路由設(shè)備。每個(gè)部門都有有線接口和無(wú)線WIFI連接。
圖1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)圖
表1 網(wǎng)絡(luò)配置規(guī)劃表
其中銷售部、生產(chǎn)部的路由器用LAN口上行,確保能夠和出口主路由器的LAN口在同一網(wǎng)段,使銷售部和生產(chǎn)部能相互訪問(wèn),確保所有用戶都同屬于一個(gè)大私網(wǎng),確保用戶從主出口路由器獲取IP地址,實(shí)現(xiàn)統(tǒng)一管理,避免由于IP地址配置問(wèn)題造成上網(wǎng)的時(shí)斷時(shí)續(xù),同時(shí)也便于流控訪問(wèn)策略的實(shí)施。
財(cái)務(wù)部用Internet口上行,使財(cái)務(wù)部成為大私網(wǎng)中的小私網(wǎng),以確保財(cái)務(wù)部能訪問(wèn)其他部門,并禁止其他部門訪問(wèn)財(cái)務(wù)部。
無(wú)論是家庭和中小公司,做好網(wǎng)絡(luò)設(shè)備的規(guī)劃都有利于組網(wǎng)實(shí)施、日后的正常使用和維護(hù)。如表1所示,主出口路由器的用于通過(guò)PPPOE撥號(hào)連接廣域網(wǎng),DHCP服務(wù)配置的地址池為192.168.1.100-159,共計(jì)60個(gè)IP地址。內(nèi)網(wǎng)IP地址為:192.168.1.1,一方面作為內(nèi)網(wǎng)(192.168.1.0)網(wǎng)段的網(wǎng)關(guān),另一方面用于出口路由器的管理地址。
銷售部和生產(chǎn)部使用網(wǎng)段:192.168.1.0/24;上 行口使用LAN口,DHCP服務(wù)關(guān)閉;路由器的IP地址為192.168.1.2和192.168.1.3主要用于設(shè)備管理登入為防止非授權(quán)用戶登入,屏蔽路由器wifi連接的密碼設(shè)為1234567890。
財(cái)務(wù)部的結(jié)構(gòu)相當(dāng)于私網(wǎng)中的私網(wǎng),Internet口上 行,開(kāi) 啟DHCP服 務(wù)。DCHP服務(wù)器的地址池為192.168.2.10-100/24。內(nèi)網(wǎng)地址為192.168.2.1,作為子網(wǎng)的網(wǎng)關(guān)和網(wǎng)絡(luò)管理的登入。Internet口使用自動(dòng)獲取IP地址。屏蔽無(wú)線信號(hào),無(wú)線WIFI的連接使用Mac地址過(guò)濾技術(shù),防止非本部門的設(shè)備使用本部門的無(wú)線網(wǎng)絡(luò)。
圖2 主出口路由器配置截圖
圖3 銷售部路由器配置截圖
圖4 Web服務(wù)NAT配置圖
圖5 財(cái)務(wù)部路由器配置
主出口路由器外網(wǎng)口配置如圖2所示,采用PPPoE撥號(hào)連,連接Internet,內(nèi)網(wǎng)網(wǎng)關(guān)和管理地址為:192.168.1.1。DHCP地 址池為 :192.168.1.100-159。
銷售部配置如圖3所示,外網(wǎng)口無(wú)需配置,關(guān)閉DHCP服務(wù),管理地址配置為192.168.1.3。生產(chǎn)部路由器配置類似。銷售部的Web服務(wù)器需向外網(wǎng)用戶提供服務(wù),需要在主出口路由器上做NAT配置,如圖4所示,92.168.1.10是Web服務(wù)器地址,使能HTTP。
財(cái)務(wù)部路由器配置如圖5所示,Internet口可采用DHCP或靜態(tài)配置,開(kāi)啟DHCP服務(wù)。
文章通過(guò)實(shí)例描述了SOHO的典型組網(wǎng)方案,并在思科模擬器上完成了組網(wǎng)配置。通過(guò)私網(wǎng)內(nèi)的私網(wǎng)、MAC地址過(guò)濾、復(fù)雜的WIFI密碼等方式,在主出口路由器上配置訪問(wèn)策略和流控,可以加強(qiáng)SOHO網(wǎng)絡(luò)的安全。NAT方式容易以使服務(wù)器暴露在公網(wǎng)上,有條件的可以使用VPN的方式,限定訪問(wèn)的用戶。