1
my3157 311 天前
最简单的方法, 通过 dhcp + mac 地址控制终端的 IP 地址, 通过路由控制下一跳, 当然能上 VPN 最好上 VPN,
|
2
markgor 311 天前 2
这场景....以前干运维时候遇过.....不是挺简单的事情吗,没 wifi 使用场景的话连 wifi 也不需要。
直接 cisco 上配置静态路由, 根据这 5 个 Intranet 的地址,写死静态路由走哪个脚。 如果涉及到需要控制访问权限,就用 acl2 来控制。 客户端基本不需要做什么,包括切换,分配的是本地的 IP ; 访问对应地址时,路由会根据静态表进行访问。 没 cisco 的话就找台 x86 普通电脑,但 PCIe 接口尽量多的主板,装个 linux ,通过 route 形式写个静态路由, 至于 acl2 在 linux 上如何实现这个我就没试过,但是如果你不需要控制访问权限,直接一条 route 命令就满足了。 |
3
GuluMashimaro OP @markgor #2 因为不是专业人员,程序员,然后帮忙给装装电脑 弄弄网络之类的 😅
|
4
pinkbook 311 天前
有一个方法可以让所有电脑同时访问 5 条(未来的 10 条专线)。开一个局域网 wifi ,网关指向 Linux 主机。Linux 主机根据目的地址做 SNAT 。前提是这 5 条专线内网网段不一样。可以用 ipset 匹配进行细则划分,ipset 调整也比较方便
|
5
GuluMashimaro OP 可能公司半年或者一年面临扩张,也可能搬办公室,所以尽可能的选择不布网线。
(主要是就我自己干活,布线太累了) |
6
Admrial 311 天前 1
最简单的办法,dhcp 服务器上写好绑定,出口路由器根据源 IP 分流就行了
|
7
dhb233 311 天前
如果 5 个特殊内网是可控范围,地址不冲突,那就没什么特殊的了。
如果地址是冲突的,可以用路由器把地址映射成不冲突的。 你那 5 个 WiFi 的方案,估计会被员工喷吧。。。 |
8
GuluMashimaro OP @dhb233 #7 地址不冲突,但是还有个场景。
一个专线给的静态 ip 地址范围是固定的,例如这个网段只有 5 个 ip ,但是公司可能需要连这个专线的有 10 台电脑。 所以目前是光猫后 接了一个路由器,路由器设置固定 ip ,然后通过路由器给交换机,交换机连接这 10 台电脑。 |
9
markgor 311 天前 1
@GuluMashimaro cisco 好像是用 rip 命令写对端 ip ,太久了完整命令忘记了,你可以下载个思科模拟器,百度下一个上午就能搭建好模拟的场景,测试下没问题就可以开始部署。 百度关键字 RIP 、cisco packet tracer
cisco 3600 系列二手的估计也就几百元,但是网卡好像只有 100M ; 如果你们有熟悉 linux 的,我反而觉得用 linux 会更好,我们之前是用了一台残残旧旧的 x86 普通主机做了个 router 连接联通,1 年下来都没出过啥事。不过我们当时业务量和对带宽要求不高,IPLC 跨境线路也只有 2M 。 |
10
GuluMashimaro OP @markgor #9 用 cisco 的话 是不是必须得布线了?
|
11
xomix 311 天前
看有没有隔离需求,有隔离需求就直接内网 VPN 切换网络,没有就是个路由表的事。
|
12
markgor 311 天前
@GuluMashimaro 我是 10 几年前的时候干过,无线方案肯定也有,但我没试过.
说真的按我之前的项目经验,走 wifi 的话使用期间你肯定一大堆破事要处理,要么说 wifi 信号,要么有信号没速度...... 1 个人布线很辛苦,我劝你让公司找人来布线吧,记得让他们水晶头也打了,否则........ 如果公司连请人来布线都不舍得,你觉得半年后扩张可信吗..... |
13
kingsoT 311 天前 1
简单,不用布线,AP 上开多 SSID ,每个 SSID 绑不同的 VLAN 就好了。tplink 的 AP 就支持 7 个 SSID 。现有基础上增加一个 VLAN 交换机就完事
|
14
GuluMashimaro OP @markgor #12 实际是我们家公司😂,创业阶段,全靠家里扶持,开额外的渠道给我们小家庭来经营,每个专线都能产生客观的利润,只是对员工能力要求有点高,目前起步阶段(刚开始一两个月,地方不够大,故找了个新办公室,所以产生了这个问题)员工较少,不足以支撑更多的业务,业务目前不愁接,只是苦于现有的办公场地较小和员工数量问题。
这一两个月的支出全靠家里扶持,所以想尽可能的省钱。即将要租的办公室的租金也是选的尽可能低的。 感谢各位大佬提供帮助。 |
15
Cassius 311 天前 1
你这种情况.我倒是建议你上 ikuai 了.. 直接服务器硬件配好点的,爱快里每个 wan 口写好是干嘛的,然后设置路由,让他自己去分流就完事了.
当然你乐于折腾配一套 cisco 也是没问题的. |
16
mohumohu 311 天前
简简单单买个多 wan 口的软路由装爱快就行了,mac 地址绑定然后指定走哪个 wan 很简单。
|
17
Tink 311 天前
就五个啊,写五条静态路由呗
|
18
f165af34d4830eeb 311 天前
本来想推荐 op 用 openwrt/opnsense 的,但是考虑到 op 什么经验都没有,我建议直接去咨询一下华为的销售经理吧,觉得华为的贵了去问问 tp link 也行,都有企业网络解决方案的。
没有经验就不要自己乱折腾了,专业的事情交给专业的人去做,那些开源方案 op 真不一定能搞得掂。 |
19
tomczhen 311 天前
不知道是干嘛的,感觉一般只有 Web 类的可以利用指纹浏览器的环境管理来做。
增加线路那边物理线路和代理都行,但对内都是代理,实际用户通过切换指纹浏览器环境切换。 也可以用内网也得走 VPN 切换的方式,(当然代理也行,只要有熟悉的方案就好)互不影响。 这样不管你是 WiFi 还是拉线,只要一条就够(前提是使用的目标应用不通过其他方式检测是否是同一台设备)。 |
20
zwy100e72 311 天前 via iPhone 2
建议逻辑上用 vlan ,不同 vlan 对应不同上游
物理上用网线+网管交换机 ip 不够分的情况考虑和上游协调或者用 nat 网线的好处是相互不干扰,延迟和带宽都更有保证 |
21
elmagnificogg 311 天前
10 个 wifi 也没有问题,5-5.8g 信道分开用就是了,一个 wifi 连一个光纤下的路由器就行了,甚至直接用个胖 AP 就行了,省一个路由
|
22
tomczhen 311 天前
补充一下,方案肯定是很多的,这种外贸还有各种羊毛场景很多了。
但是呢,切换是谁做,如果都是终端用户控制要不要做网络隔离,要不要防止误操作引发问题,要不要对终端用户做限制风控。有没有基于一些对抗风控的要求。 完全不考虑的话,完全可以用虚拟机或者服务器多用户来解决。反正只要远程到特定机器就是特定线路,完全不用考虑什么切换和布线,弄台服务器就行。 |
23
x86 311 天前
这种更适合爱快路由器了,vlan 混合模式拨号。
然后 LAN 口可以绑定之类 |
24
markgor 311 天前
@GuluMashimaro
懂了,不過你就算找人佈線打頭,40 台機 1K 應該足夠了吧; 我們公司今年搬場,50 台機上下兩層,加上會議室辦公室的入墻線大概 60 個點。 找了弱電的師傅來拉線打水晶頭一共 1.2K ,坐標 GD ,聽說那個是電信的師傅接的外包,打完還一個個頭檢測,挺認真的。 wifi 的話你要考慮帶機量,另外要測量 wifi 重疊區域是否會造成影響,實際使用過程中並不一定穩定,而且樓上也有人說了,混凝土和玻璃對 wifi 信號阻隔不能忽視,過於接近的 wifi 又會導致干擾,如果是 mesh 組網還可能一直跳來跳去。 |
25
GuluMashimaro OP @markgor #24 确实是有点担心后期 WiFi 过多的问题。
目前新办公室没有任何网孔,要布线就是所有都是明线,沿着墙角之类的布线,所以这也是为什么刚开始会突发奇想想用 WiFi 的原因😂 |
26
GuluMashimaro OP @tomczhen #22 一旦定下来这台电脑访问哪个专线,就几乎没有切换到其他专线的需求。(起码几个月不动)
|
27
timeance 311 天前
5 个 wifi 的方式慎用
因为电脑会自动切 wifi ,上次看一家电商公司这么搞,现在店铺关联被封了 可以试试端口聚合,然后给电脑配静态 ip (也可以准备一个有),需要手动切换就用 VPN |
28
dhb233 311 天前
@GuluMashimaro 还是没太明白你的网络拓扑。但是听你说的只有 5 个地址,但是要 10 个电脑用,那必须要做 SNAT 没跑了。
都要用 WiFi 了,应该带宽不是很大?可以找个机器,多插点网卡,做软路由,想怎么搞都可以。 这个机器的网口连 5 个光猫,和 WiFi 路由器。 如果特殊内网地址不冲突,配置静态路由就可以。 如果特殊内网地址冲突,就用 net ns 隔离一下,在 root ns 统一分配不冲突的地址,并映射好。 地址复用那个,肯定是要做 SNAT 了,配置 iptables 就可以了 这样员工只要连上公司 WiFi ,就可以访问任何一个特殊内网和公网。 |
29
dhb233 311 天前
不知道那些个特殊内网是用域名访问,还是用 IP 访问。如果地址冲突的情况下,域名访问,可以在软路由上做个 DNS 劫持,这样就无感访问了。
反正装个 Linux 的系统,一切网络拓扑都可以搞定,只是性能不太高 |
30
alexsz 311 天前
感觉用 vlan 不难实现啊,找个网络工程师干吧
|
31
1den 311 天前 via Android 2
有钱/有技术:Dynamic Vlan + 802.1X
没钱:内网五个 VPN server ,一个 server 一条专线,设备自己客户端连进去。交换机 ACL dst-addr != 五个 VPN 地址的 drop ,接入控制交给 VPN server 做 |
32
fs418082760 311 天前
核心路由打通,在防火墙上把员工的静态 ip 做权限访问管控
|
33
cq65617875 311 天前
一个大内网 dhcp 绑 mac 然后打标走对应的出口
|
34
sun82kg 311 天前
爱快分流最简单,定义五个 WAN ,几分钟搞定
|
35
GuluMashimaro OP @dhb233 #29 有 ip 、有域名,并且是只有 ip 在某个网段才能访问,特定的网关地址 特定的 dns
|
36
GuluMashimaro OP |
37
tomczhen 311 天前 2
不用挠头,如果只要满足又不是不能用的程度,vlan 都不需要。一台傻瓜交换机和 N 台普通路由即可。
A 路由上默认线路,就是普通互联网线路。剩下的都是专线路由器,改好 lan ,IP 关闭 DHCP ,设置好接入之后全部怼到一台傻瓜交换机。 电脑用 a 路由 WiFi 接入,需要用哪条专线就手动设置本地 IP ,网关,DNS 即可。 话说有红包吗? @GuluMashimaro |
38
test0103 311 天前
推荐用 MikroTik 的设备,或者 RouterOS 系统,多 vlan 对应多个 wifi ,MikroTik 是专门做无线互联的,硬件调教的比较好的,很多工作室用它做一拖 N 的,然后多链路直接手动路由表就可以实现你的需求了,信道调优之类的,MikroTik 都有完整的方案的,官方手册就有
|
39
diskerjtr 311 天前
买个飞塔防火墙 做 sdwan 选路
|
40
dhb233 311 天前
|
41
dko 311 天前
@1den 按照你现在的情况,建议 31 楼的方案。
5 台服务器接 5 条线,然后搭 VPN Server ,专线上再套一层自己搭的专线。谁需要谁用自己的账号密码拨到那台机器上去,设备都不用买,也不用搞什么网络策略之类的。 wifi 的方案不建议,首先是干扰厉害,并且按照你这个专线的性质,用 wifi 可能是不合规的。 |
42
GuluMashimaro OP @dko #41 确实,用 WiFi 的话肯定要考虑安全问题了,不能被蹭网。
|
43
GuluMashimaro OP @dhb233 #40 无法通过 ip 或者域名来区分。
我的意思是例如根据机器的 mac 地址来指定 某台机器 就固定访问某个专线。 |
44
markgor 311 天前
@GuluMashimaro
这样...我觉得复杂了....... 非要这样做,关键字:DHCP 中为客户端分配不同的网关和 DNS 我想法比较简单,直接路由上 RIP 加 acl2 写个静态,或者 linux 上通过 iptable 和 route 进行配置。 这样 通过 iptable 或 acl2 表,如果源 IP 是 xxxx 母的 IP 是 xxxx ,就通过 ethx 脚进行投递。 后续你要变更之类的,直接去路由或 linux 上配置就行了。 如果在每台客户端上面做手脚切换拨号,到时候有任何变动都要每台机搞一次。 |
45
dko 311 天前
@GuluMashimaro #42 计算机科学领域没有什么是不能通过加一个中间件来解决的,如果不能,那就再加一个。
|
46
GuluMashimaro OP 1.将多个专线的光猫连接到交换机。
2.将服务器连接到交换机。 3.在服务器上创建多个虚拟机,并为每个虚拟机配置不同的网关和代理服务。 4.将无线路由器连接到交换机。 5.将工作机器连接到无线路由器,然后代理指向不同的虚拟机代理。 这个方案能实现吗,各位热心大佬? |
47
dhb233 311 天前
mac 区分的话,那不就是 dhcp 配置静态分配规则
只走指定专线就明确了,静态分配的,IP 是知道的,指定 IP 走指定专线,配置策略路由就可以。 但是这个还是搞不定你的同时访问互联网和专线。那至少可以 2WiFi 方案,访问专线一个 WiFi ,访问互联网一个 WiFi |
48
dhb233 311 天前
代理的方案是可以,只是要确定专线的服务都是可以被代理的
|
49
goodryb 311 天前
就是一个路由配置的问题,一台路由器能搞定,你参考 2 楼方案自己搞,或者请个专业的网工给你搞
至于跟你们的办公电脑走优先还是 WiFi ,跟你这 5 条专线是两码事 |
50
szzys 311 天前 via Android
用策略路由不就好了吗。。
|
51
Liku 311 天前
多 vlan 多 ssid ,不难
|
52
oldhan 311 天前
存在变化又有临时性的生产网,推荐直接上字节 NaaS ,自己就别操心了
|
53
cnbatch 311 天前
1 台多网口软路由+1 台交换机+无线 AP 就可以了,没必要问客服,客服不是网络专业运维,未必懂那么多的。
然后把专线都接到软路由,软路由配置 DHCP 根据 MAC 地址做绑定(前面楼层大家都有提到),顺便把 DNS 也绑定好,就写专线提供的 DNS 地址,这样内网分配 DNS 地址的时候就可以直接提供专线的 DNS 。 接着就是配置策略路由(前面楼层也有人提到),让内网不同的机器走不同的专线。这里可以顺便搞个 NAT ,解决专线 IP 地址数量不够用的局限。 至于软路由的型号,既可以买整合好的成品,也可以自己买小型服务器+多网口 PCIE 卡 |
54
mohumohu 311 天前
楼上一堆解决方案看下来,结合 op 的需求,感觉就是简单的事情自己搞复杂了。
楼主既然能问出这个问题,说明自己对这个也不好维护,解决方案都已经超出了认知范畴,买了设备也是折磨自己。 直接拉网线就完事了。 给 op 算一笔帐,五条专线,直接用光猫拨号就行了路由器都不用买,买交换机,拉网线,工位拉到机房配线架,要接哪条专线直接用跳线接哪个交换机。你乐意加个路由器像 360T7 这种还能刷机的也就 100 块一个。 24 口千兆的二手交换机 100 块钱随便买,也就 500 块钱。 拉网线,合格的 CAT6 网线一箱 300 米也就 600 块钱。五类更便宜。PVC 线槽不值钱。就这么点,请个网工干 400 块钱怎么都够了。那就 1000 元。 总成本不到 2000 元,我看你买什么路由器+WiFi 能够实现这么傻瓜简单稳定,故障率低网络质量还好。 |
55
TigerK 310 天前 1
每条光纤的光猫后面固定连 5 个电脑,直接让运营商做迁移,拉到电脑旁边,每台电脑固定用途。
电脑固定,员工轮换,换人不换电脑。 |
56
rrfeng 310 天前 via Android
你猜路由器里的路由两个字是什么意思…
|
57
kome 310 天前
交换机划分 VLAN ,划分网段,做好路由,做好 ACL ,一台电脑仅允许接入一个网络,办公网络不得使用任何形式的无线设备和共享设备,专机专网专用,静态绑定 IP MAC 做好端口安全。差不多了吧,两台(核心层和接入层)或者几台华为中兴华三的中高端交换机就行了。剩下的就是布线了,记得做好跳线,打好标签。
|
58
isnullstring 310 天前
不知道楼主的技术水平,建议上爱快,实在不懂就找他的销售,对公要有对公的样子
|
59
HawkinsSherpherd 310 天前
不介意用软路由吧?这个需求一台路由器就能搞定。
搞两张无线网卡,一张发射专线 wifi ,一张发射互联网 wifi 。 计划好地址段,比如给专线 wifi 的 wifi 接口分配 192.168.37.0/24 ,然后再细致划分用于 pbr 策略分配的子网,比如专线 1 对应 192.168.37.0/28 ,专线 2 对应 192.168.37.16/28 。这些子网只用于 pbr 策略,所有设备还是使用 255.255.255.0 的掩码。 路由上装个 frr ,在专线 wifi 接口上绑定基于源 ip 的 pbr 策略。https://docs.frrouting.org/en/stable-9.1/pbr.html 用 iptable 的 snat 配 nat 池。举个例子,如果你的专线 1 的静态地址池是 203.0.113.0-203.0.113.4 ,对应的内网网段是 192.168.37.0/28 ,那么你的 nat 规则可以这么配: iptables -t nat -A POSTROUTING -s 192.168.37.0/28 -j SNAT --to 203.0.113.0-203.0.113.4 这些需求一个廉价的小型主机装个常规的 linux 发行版(如 debian )就能满足,当然记得打开 ip 转发。 |
60
wheat0r 310 天前
现在的专线不都是 mstp 封装的么,这怎么还要过光猫
|
61
1den 310 天前 via Android
靠 MAC 做策略的方案还得统计每个人设备的 MAC 号,现在的手机还得关闭动态 MAC 功能,以后每有个新员工都得连交换机/DHCP server 调一下
|
62
GuluMashimaro OP @wheat0r #60 不太懂,但是实际有光猫,光猫层面分配好了 ip 网段 网关 dns 等信息。
|
63
sapphire 310 天前
单 SSID ,配合 802.1X 和 RADIUS 服务器(比如 Windows 的 NPS ,FreeRadius 之类)动态分配 VLAN 和 DHCP 池,,然后在路由上做策略。可以做到新加专线或者电脑/调整人员,不需要动网络硬件,只需要调整路由策略,或者改变用户分组就行。
设备可以用全套 UBNT ,或者任何管理型 AC+AP 方案,路由只需要企业级路由都没问题。 |
64
GuluMashimaro OP 感谢各位大佬,此贴终结。
|
65
sun82kg 310 天前
@GuluMashimaro 我看了你的图,使用爱快真的超简单就搞定。
1 、终端分组。使用 IP 分组。 2 、端口分流,不同的 IP 组,走不同的 WAN 出口。 这样就搞定了,爱快支持多 wan 拨号。直接 5 个光猫接进来 |
66
yunisky 309 天前
很简单啊,路由器交换机都行,支持 VPN instance ,支持 VRF ,隔离路由表。
下行到用户区分 VLAN ,通过 AP 多开几个 SSID 。 |
67
lirno 309 天前
用可以划 vlan 的交换机把内网的网段划分开,然后出口用防火墙把这些专线直接街上,用防火墙的策略进行控制就好了,无线人多了会干扰,防火墙还可以开安全策略保证安全。
|
68
flynaj 309 天前 via Android
你这个最简单就是上 vlan,有线无线都可以,复杂一点配置路由表。或者用 openwrt 的 mwan3 设置复杂的规则。
|
69
liyouran 307 天前
用 ikuai 系统,,单网口的 x86 电脑加一台 VLAN 交换机,在加几天子交换机,全部用户用网线连接到交换机,WIFI2.4g 有干扰,5g 不太清楚,用 WIFI 的话,直接 ac ap 模式开 5 个 ssid 划分 VLAN 界到 ikuai 上。
|