最近,某国际公司在上海进行办公室迁移,并计划在新办公室使用全新设备建立办公室网络环境。该公司将该项目交给了Net55进行设计与实施。
该上海分公司大约有30人左右,涉及公司终端设备40台左右,另外员工个人移动设备大约也在40台左右。
1. 基础网络配置要求 - 根据客户公司全球集团总部的标准,网络设备,用户有线连接,用户无线连接,打印机等无人值守设备,服务器,以及访客无线连接都需要有单独网段进行管理。
2. 网络设备要求 - 飞塔60F防火墙 x 2, 高可用性HA配置,思科Meraki MS125交换机 x 2, MR36无线接入点 x 2。
3. 配合海外集团总部IT配置基于Radius的内部WiFi认证。
4. 配合建立上海办公室与Azure的点对点VPN通道。
5. 全面开启飞塔防火墙的安全配置,并基于国内网站与应用的特殊情况,进行相应的本地化策略调整。
- 物理接口(Internal1),接口地址 - 10.xx.1.254/24, DHCP,用于网络设备管理。
- VLAN 10, 接口地址 - 10.xx.10.254/24, DHCP,用于用户有线连接。
- VLAN 20,接口地址 - 10.xx.20.254/24, DHCP, 用于用户无线连接。
- VLAN 30,接口地址 - 10.xx.30.254/24, DHCP,用于打印机等设备。
- VLAN 100, 接口地址 - 10.xx.100,254/24, 无DHCP, 用于服务器。
- VLAN 200,接口地址 - 10.xx.200.254/24, DHCP,用于访客WIFI连接。
- 所有网段均允许上网,等环境稳定运行后,开启防火墙安全配置。
- VLAN 10 和 VLAN 20 可访问 VLAN 30 与 VLAN 100,等环境稳定运行后,将只允许日常使用到的端口。
- HA模式采用飞塔推荐的Active-Passive模式。
1. 删除默认的VLAN Switch,释放原VLAN Switch中的所有物理端口。
2. 在Internal1接口上配置IP地址,开启DHCP。
3. 依次在Internal1接口下创建VLAN10,20,30,100,200,按照设计方案配置IP,开启DHCP。
5. 在System - HA下,开启HA,模式选择Active-Passive,并选择internal4和internal5作为心跳端口,在监控端口中,暂时不要选择端口,避免测试环境不稳定导致设备来回切换。
1. 默认IP进入防火墙,无须其他配置,直接到system - HA下,按照主防火墙的配置进行一样的配置。这里唯一要注意的,就是备用防火墙的优先级要低于主防火墙。
2. HA成功后,主防火墙的配置会同步至备用防火墙。
1. 去meraki.cn,免费创建一个中国区的账号。根据思科合规性的要求,在中国的Meraki设备,都需要注册在中国区账号下。
2. 登录账号,然后创建一个网络Shanghai Office,同时添加设备。这里可以选择思科的PO或者单个设备的序列号来添加。
3. 添加好设备后,Meraki会根据设备型号,自动显示可以配置的选项,这里不用等Meraki设备连上网络后再配置,可以在Meraki离线的状态下,进行配置,配置完以后,只要Meraki的设备连上网络,配置就会自动推到设备里。这里,我们按照要求配置交换机VLAN,端口类型等等,无线的SSID和认证方式。
4. 配置完以后,我们就可以连接设备让他们上线接收配置了,如果一切正常,设备会显示绿色标志,表示设备与数据中心保持连接正常。
至此,办公室网络基础架构部分就配置完成了,后续还需要配合海外集团总部IT进行WIFI Radius认证的配置,与Azure的site-to-site VPN通道建立以及飞塔防火墙的安全配置开启与日常运营调试。
如果你也正好有类似的需求,欢迎与我们联系,并期待合作。
