新公司,对于网络环境肯定要重新规划。这期间遇到了一些阻力,也有一些人表示不认可,认为初创性公司,网络全部开放,没有关系。也许我是从上市公司出来的原因,对这些安全问题,特别看重,因此我坚持要将开发、市场、生产的网络分离开,并且开发的服务器坚决不能使用阿里云。基于以上考虑,目前终于对网络的规划理清了头绪,并且也完成了调整,现将遇到的问题,和我解决的思路都总结下。
首先遇到的第一个问题是公司的场地是从另一家公司接过来的,已经有一些网络设备,可能由于他们很久没有网管的原因,也许是因为他们以前的网管就很烂的问题,要重新梳理所有设备的用途和拓扑,研究了很久。最后得出他们有以下资产:1台draytek2950路由器、1台dlink605无线路由器、3台hub。
我计划是抛弃192.168的网络地址规划,这个也许是我个人对这个网段觉得太不专业的原因吧,(*^__^*) 嘻嘻……。采取10.1的网段,在原公司,网管分配了这个网段就用吧,给我什么掩码就设吧,现在我抓瞎了,掩码要设置成啥。这个时候我发现了一个好的在线计算掩码的网站,分享下:http://www.123cha.com/cidr。按照原先的计划,市场公共的网络使用10.1.7的网段,开发使用10.1.3的网段,服务器使用10.1.0的网段。计划很完美,但是发现,首先要给总路由器设一个ip,纠结了,设置多少,有没有规矩?算了,就直接用10.1.0.254好了。然后掩码,我上面是要有3个子网的样子,那我路由器是10.1.0的了,那这个网段算子网吗?还好上面给的网址,有一个“网络列表”里面有子网的起止网络段,解决了我的困惑,这个也算一个子网。然后问题来了,我真的只要3个子网吗?好像不止,将来也许会很多,那我是设成255.255.255.0吗?好像有点大,256个子网。我这台路由器都撑不住吧,哈哈。先用着吧,回头再调。子网掩码怎么计算,我这里不说了,因为我还是一知半解,看那个网站就好了,有兴趣的同学,自己去找。
解决了子网规划的问题,然后考虑cp接入的问题,因为原来的公司很久了,网络布线有老化,老鼠啃咬的问题,很多网线不能用了,因此计划全部做无线覆盖,但是又有部分台式机,因此考虑将他们接到hub上去,hub再接到路由器上。然后还有,原先的路由器没有设置vlan,大家等于都连在一块,没有网络隔绝,因此和上面的初衷有冲突,我就把路由器支持的vlan打开,没有个draytek的口对应一个vlan先,回头如果需要,再调整哪几个口放到一个vlan里去。
然后原先的公司将dlink设置为了ap模式,都共用draytek的dhcp,但是draytek的dhcp一定是只能按照我的10.1.0网段来分配地址,这样的话,明显和我的规划初衷冲突,经过学习,决定给dlink分配一个固定ip,将dlink的wan口接到draytek的lan口上,dlink自己开启dhcp,网段设置为10.1.7。很完美的解决了,如果没有以下问题的话。如果dlink下的主机要被draytek其他lan口上的机子访怎么办,由于dlink605毕竟还是属于家庭路由器,因此有他的局限性,比如不能关闭nat,导致10.1.7的网段不能直接暴露给draytek,经过n次搜索,才知道,要么买高端路由(公司成本,不考虑),要么弄一个三层交换机,这个默认是没有nat的,不过也不便宜,那就把这个问题暂时放下吧,反正目前没有这个困难,dlink要访问10.1.0的至少没有问题,那样就能访问服务器就好了。回头设置路由就是了。
这些常识都弄清楚了,再就是一个从公网访问路由器,进入公司网络的问题。fuck,这里有好多的vpn的专业术语,研究了半天;以前公司有三种vpn,一种是直接用windows的连接到公司网络,一种是csiso的vpn软件,还有一种是打开网页,装一个插件就好了。我一直纠结是不是要专门安装一个windows的服务器,实现vpn接入。度娘也没有给我很满意的答案。实践出真知吧。首先看到路由器里有一个ssl vpn,好像很容易的样子,就设置了一个账号,然后从外面用网页打开,果真可以连接上,但是当要用到turnal插件的时候,死活装不上,这个也许就是这种东西的局限性吧,果断放弃。然后有看到ipsec的设定,不懂这个干吗的,也不管了,直接设置,试下用windows的网络连接里的拨号,居然成功了,很好的连接到了路由器上,太牛了,不用装windows了,耶,所有问题完美解决。
经过以上的折腾,看来网络的世界也没有我想的那么复杂,不过也许我还没有碰到关键吧,哈哈,先这样了。接下来要解决服务器的事情了。