最近公司併購某一間公司的一個部門,所以開始要做整合的工作,我們買下的部門還是會和原來公司在同一地點辦公,但是主管希望做到實體區隔,所以會在該機會有一個機櫃給我這邊用,我要負責把網路相關infra搞定。
大致上會有些東西要做設定整理如下
1. isp 線路申請
2.SRX 240 HA 設定
3. Cisco L3 設定 (ip 規劃)
4. cisco AP 設定
5.Hyper-v 主機建立
6. DC建立
7.ad account 建立 (大約1百多人)
8.用戶端移轉
9.e-mail 移轉
10.備份設定
這剛好會是我之前類似之前在鐵人賽的文章 => mis理想的it基礎建設
當然會有很多狀況,目前我就當作練習因為有些東西我也沒碰過,在這一次的過程我會把它做個筆記。
首先 isp 線路我們是申請兩條,一條上網專用,另一條主要是做vpn使用
簡略的架構圖
Cisco 3750 網段規劃:
我們的IP網段都是向國外申請,此次申請到的是10.65.112.0/20 這一段內部IP
主要我規畫了4各vlan,每個vlan 可以用IP 我們決定發兩個C約5百多個,以免後續不夠的要再做調整。
1. vlan 112 : 這一段主要是給網路設備及server用
10.65.112.0/23
10.65.112.1 – 10.65.113.254
GW : 10.65.113.254
2. vlan 114: 這個是用戶pc/NB
10.65.114.0/23
10.65.114.1 – 10.65.115.254
GW : 10.65.115.254
3.vlan 126 : ip phone 網段
10.65.126.0/23
10.65.126.1 – 10.65.127.254
GW : 10.65.127.254
4. vlan 108 : wifi 如手機 、平版
192.168.108.0/23
192.168.108.1 –192.168.109.254
GW : 192.168.109.254
在cisco 的設定如下
interface Vlan108
description wi-fi
ip address 192.168.109.254 255.255.254.0
ip access-group permit_guest in
ip helper-address 10.65.112.3
interface Vlan112
description for Server Newtork subnet
ip address 10.65.113.254 255.255.254.0
!
interface Vlan114
description for user access vlan
ip address 10.65.115.254 255.255.254.0
ip helper-address 10.65.112.3
!
interface Vlan126
description for ip phone subnet
ip address 10.65.127.254 255.255.254.0
ip helper-address 10.65.112.3
ACL 部分主要是檔wifi 用戶無法連我的內部網段
ip access-list extended permit_guest
permit udp any host 10.65.112.3 eq bootpc
permit udp any host 10.65.112.3 eq bootps
deny ip 192.168.108.0 0.0.1.255 10.0.0.0 0.255.255.255
permit ip any any
最後就是路由
上網就是都往fw走,fw 規劃的IP就是10.65.113.253
ip route 0.0.0.0 0.0.0.0 10.65.113.253
本篇瀏覽人數: 5029
