[架构设计] 如何设计公司的特殊网络架构(困难模式)

269 天前
 GuluMashimaro
[说明] :公司目前有 5 条光纤,分别对应 5 条特殊的专线,用于连通特殊内网。
[目标] :公司的 40 台电脑需要分别连接到不同的专线,无互联网访问需求。
[未来] :会持续加电脑,同时也会持续加光纤,理论上不超过 10 条光纤(每条代表不同的专线)。

[现有思路及问题] :
我现在的思路是,每条光纤通过光猫后,直接通过路由器发射 WiFi ,每台电脑安装无线网卡,通过连接不同 WiFi 来访问不同的专线,这样的好处是可以方便的切换专线(需求不大,基本没有切换需求)、并且不需要布线、不需要大量的交换机、不需要复杂配置。

但是后来想了一下,目前工位面积 150 平左右,按照这个思路目前就有 5 个专线 WiFi ,一个互联网 WiFi (员工手机用),后期如果加到 10 条专线,就会出现 10 个 WiFi 挤在这个空间中,由于没有实际操作经验,不清楚 WiFi 间是否会互相影响(即使使用了不同的信道)。

[求解] :哪位大哥还有不同的设计思路?我估计后面一周就要动手干了。
4171 次点击
所在节点    宽带症候群
69 条回复
elmagnificogg
269 天前
10 个 wifi 也没有问题,5-5.8g 信道分开用就是了,一个 wifi 连一个光纤下的路由器就行了,甚至直接用个胖 AP 就行了,省一个路由
tomczhen
269 天前
补充一下,方案肯定是很多的,这种外贸还有各种羊毛场景很多了。

但是呢,切换是谁做,如果都是终端用户控制要不要做网络隔离,要不要防止误操作引发问题,要不要对终端用户做限制风控。有没有基于一些对抗风控的要求。

完全不考虑的话,完全可以用虚拟机或者服务器多用户来解决。反正只要远程到特定机器就是特定线路,完全不用考虑什么切换和布线,弄台服务器就行。
x86
269 天前
这种更适合爱快路由器了,vlan 混合模式拨号。
然后 LAN 口可以绑定之类
markgor
269 天前
@GuluMashimaro
懂了,不過你就算找人佈線打頭,40 台機 1K 應該足夠了吧;
我們公司今年搬場,50 台機上下兩層,加上會議室辦公室的入墻線大概 60 個點。
找了弱電的師傅來拉線打水晶頭一共 1.2K ,坐標 GD ,聽說那個是電信的師傅接的外包,打完還一個個頭檢測,挺認真的。
wifi 的話你要考慮帶機量,另外要測量 wifi 重疊區域是否會造成影響,實際使用過程中並不一定穩定,而且樓上也有人說了,混凝土和玻璃對 wifi 信號阻隔不能忽視,過於接近的 wifi 又會導致干擾,如果是 mesh 組網還可能一直跳來跳去。
GuluMashimaro
269 天前
@markgor #24 确实是有点担心后期 WiFi 过多的问题。
目前新办公室没有任何网孔,要布线就是所有都是明线,沿着墙角之类的布线,所以这也是为什么刚开始会突发奇想想用 WiFi 的原因😂
GuluMashimaro
269 天前
@tomczhen #22 一旦定下来这台电脑访问哪个专线,就几乎没有切换到其他专线的需求。(起码几个月不动)
timeance
269 天前
5 个 wifi 的方式慎用
因为电脑会自动切 wifi ,上次看一家电商公司这么搞,现在店铺关联被封了

可以试试端口聚合,然后给电脑配静态 ip (也可以准备一个有),需要手动切换就用 VPN
dhb233
269 天前
@GuluMashimaro 还是没太明白你的网络拓扑。但是听你说的只有 5 个地址,但是要 10 个电脑用,那必须要做 SNAT 没跑了。

都要用 WiFi 了,应该带宽不是很大?可以找个机器,多插点网卡,做软路由,想怎么搞都可以。
这个机器的网口连 5 个光猫,和 WiFi 路由器。
如果特殊内网地址不冲突,配置静态路由就可以。
如果特殊内网地址冲突,就用 net ns 隔离一下,在 root ns 统一分配不冲突的地址,并映射好。
地址复用那个,肯定是要做 SNAT 了,配置 iptables 就可以了

这样员工只要连上公司 WiFi ,就可以访问任何一个特殊内网和公网。
dhb233
269 天前
不知道那些个特殊内网是用域名访问,还是用 IP 访问。如果地址冲突的情况下,域名访问,可以在软路由上做个 DNS 劫持,这样就无感访问了。

反正装个 Linux 的系统,一切网络拓扑都可以搞定,只是性能不太高
alexsz
269 天前
感觉用 vlan 不难实现啊,找个网络工程师干吧
1den
269 天前
有钱/有技术:Dynamic Vlan + 802.1X
没钱:内网五个 VPN server ,一个 server 一条专线,设备自己客户端连进去。交换机 ACL dst-addr != 五个 VPN 地址的 drop ,接入控制交给 VPN server 做
fs418082760
269 天前
核心路由打通,在防火墙上把员工的静态 ip 做权限访问管控
cq65617875
269 天前
一个大内网 dhcp 绑 mac 然后打标走对应的出口
sun82kg
269 天前
爱快分流最简单,定义五个 WAN ,几分钟搞定
GuluMashimaro
269 天前
@dhb233 #29 有 ip 、有域名,并且是只有 ip 在某个网段才能访问,特定的网关地址 特定的 dns
GuluMashimaro
269 天前
@sun82kg #34 现在正在 ikuai 京东旗舰店问问题,看看需要买哪些设备,客服正在挠头。

每个专线都有特定的 ip 网段、特定的网关地址、特定的 dns 地址。
tomczhen
269 天前
不用挠头,如果只要满足又不是不能用的程度,vlan 都不需要。一台傻瓜交换机和 N 台普通路由即可。
A 路由上默认线路,就是普通互联网线路。剩下的都是专线路由器,改好 lan ,IP 关闭 DHCP ,设置好接入之后全部怼到一台傻瓜交换机。

电脑用 a 路由 WiFi 接入,需要用哪条专线就手动设置本地 IP ,网关,DNS 即可。

话说有红包吗?

@GuluMashimaro
test0103
269 天前
推荐用 MikroTik 的设备,或者 RouterOS 系统,多 vlan 对应多个 wifi ,MikroTik 是专门做无线互联的,硬件调教的比较好的,很多工作室用它做一拖 N 的,然后多链路直接手动路由表就可以实现你的需求了,信道调优之类的,MikroTik 都有完整的方案的,官方手册就有
diskerjtr
269 天前
买个飞塔防火墙 做 sdwan 选路
dhb233
269 天前
看画的那个图,那几个路由器可以用一台,支持多个口就可以。

重要的就是你那个问题,“根据某些东西来区分”,具体根据什么来区分,是要你自己搞清楚的。域名区分? IP 区分?比如 a.com 走专线 1 ,b.com 走专线 2 ,这个需要你自己明确。


感觉对你来说还是挺复杂。多 WiFi 也不是不可以。。。每个专线用一个家用路由器,都不用什么设置

单个 WiFi 的,可以独立建一套,每个专线光猫再用一个口一个 IP 就够了,折腾起来,不好用就去连之前的 WiFi

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1016751

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX