V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
GuluMashimaro
V2EX  ›  宽带症候群

[架构设计] 如何设计公司的特殊网络架构(困难模式)

  •  
  •   GuluMashimaro · 2024-02-20 10:32:12 +08:00 · 4400 次点击
    这是一个创建于 365 天前的主题,其中的信息可能已经有所发展或是发生改变。
    [说明] :公司目前有 5 条光纤,分别对应 5 条特殊的专线,用于连通特殊内网。
    [目标] :公司的 40 台电脑需要分别连接到不同的专线,无互联网访问需求。
    [未来] :会持续加电脑,同时也会持续加光纤,理论上不超过 10 条光纤(每条代表不同的专线)。

    [现有思路及问题] :
    我现在的思路是,每条光纤通过光猫后,直接通过路由器发射 WiFi ,每台电脑安装无线网卡,通过连接不同 WiFi 来访问不同的专线,这样的好处是可以方便的切换专线(需求不大,基本没有切换需求)、并且不需要布线、不需要大量的交换机、不需要复杂配置。

    但是后来想了一下,目前工位面积 150 平左右,按照这个思路目前就有 5 个专线 WiFi ,一个互联网 WiFi (员工手机用),后期如果加到 10 条专线,就会出现 10 个 WiFi 挤在这个空间中,由于没有实际操作经验,不清楚 WiFi 间是否会互相影响(即使使用了不同的信道)。

    [求解] :哪位大哥还有不同的设计思路?我估计后面一周就要动手干了。
    第 1 条附言  ·  2024-02-20 11:10:47 +08:00
    可能公司半年或者一年面临扩张,也可能搬办公室,所以尽可能的选择不布网线。
    (主要是就我自己干活,布线太累了)
    第 2 条附言  ·  2024-02-20 11:11:29 +08:00
    还有个场景。

    一个专线给的静态 ip 地址范围是固定的,例如这个网段只有 5 个 ip ,但是公司可能需要连这个专线的有 10 台电脑。

    所以目前是专线光猫后 接了一个路由器,路由器设置固定 ip ,然后通过路由器给交换机,交换机连接这 10 台电脑。
    第 3 条附言  ·  2024-02-20 16:02:39 +08:00
    第 4 条附言  ·  364 天前
    不搞了,超出了我的认知范畴,一个是现场没有人帮忙配置,很有可能我自己配置的过程中出现各种问题。第二个是后面一旦出现某个设备的问题,短时间内我没有能力修复,影响公司业务。

    最后我选择的方案:
    把每个入户光纤拉到各个特定的工位区域,然后特定分给这个区域的电脑。
    在我能力范围内安全、可控、可维护。

    感谢各位大佬的专业回答!!!感谢
    69 条回复    2024-02-24 18:42:53 +08:00
    my3157
        1
    my3157  
       2024-02-20 10:41:13 +08:00
    最简单的方法, 通过 dhcp + mac 地址控制终端的 IP 地址, 通过路由控制下一跳, 当然能上 VPN 最好上 VPN,
    markgor
        2
    markgor  
       2024-02-20 10:54:53 +08:00   ❤️ 2
    这场景....以前干运维时候遇过.....不是挺简单的事情吗,没 wifi 使用场景的话连 wifi 也不需要。
    直接 cisco 上配置静态路由,
    根据这 5 个 Intranet 的地址,写死静态路由走哪个脚。
    如果涉及到需要控制访问权限,就用 acl2 来控制。
    客户端基本不需要做什么,包括切换,分配的是本地的 IP ;
    访问对应地址时,路由会根据静态表进行访问。

    没 cisco 的话就找台 x86 普通电脑,但 PCIe 接口尽量多的主板,装个 linux ,通过 route 形式写个静态路由,
    至于 acl2 在 linux 上如何实现这个我就没试过,但是如果你不需要控制访问权限,直接一条 route 命令就满足了。
    GuluMashimaro
        3
    GuluMashimaro  
    OP
       2024-02-20 11:00:34 +08:00
    @markgor #2 因为不是专业人员,程序员,然后帮忙给装装电脑 弄弄网络之类的 😅
    pinkbook
        4
    pinkbook  
       2024-02-20 11:03:21 +08:00
    有一个方法可以让所有电脑同时访问 5 条(未来的 10 条专线)。开一个局域网 wifi ,网关指向 Linux 主机。Linux 主机根据目的地址做 SNAT 。前提是这 5 条专线内网网段不一样。可以用 ipset 匹配进行细则划分,ipset 调整也比较方便
    GuluMashimaro
        5
    GuluMashimaro  
    OP
       2024-02-20 11:04:09 +08:00
    可能公司半年或者一年面临扩张,也可能搬办公室,所以尽可能的选择不布网线。
    (主要是就我自己干活,布线太累了)
    Admrial
        6
    Admrial  
       2024-02-20 11:05:12 +08:00   ❤️ 1
    最简单的办法,dhcp 服务器上写好绑定,出口路由器根据源 IP 分流就行了
    dhb233
        7
    dhb233  
       2024-02-20 11:05:31 +08:00
    如果 5 个特殊内网是可控范围,地址不冲突,那就没什么特殊的了。
    如果地址是冲突的,可以用路由器把地址映射成不冲突的。

    你那 5 个 WiFi 的方案,估计会被员工喷吧。。。
    GuluMashimaro
        8
    GuluMashimaro  
    OP
       2024-02-20 11:09:08 +08:00
    @dhb233 #7 地址不冲突,但是还有个场景。

    一个专线给的静态 ip 地址范围是固定的,例如这个网段只有 5 个 ip ,但是公司可能需要连这个专线的有 10 台电脑。

    所以目前是光猫后 接了一个路由器,路由器设置固定 ip ,然后通过路由器给交换机,交换机连接这 10 台电脑。
    markgor
        9
    markgor  
       2024-02-20 11:10:52 +08:00   ❤️ 1
    @GuluMashimaro cisco 好像是用 rip 命令写对端 ip ,太久了完整命令忘记了,你可以下载个思科模拟器,百度下一个上午就能搭建好模拟的场景,测试下没问题就可以开始部署。 百度关键字 RIP 、cisco packet tracer
    cisco 3600 系列二手的估计也就几百元,但是网卡好像只有 100M ;
    如果你们有熟悉 linux 的,我反而觉得用 linux 会更好,我们之前是用了一台残残旧旧的 x86 普通主机做了个 router 连接联通,1 年下来都没出过啥事。不过我们当时业务量和对带宽要求不高,IPLC 跨境线路也只有 2M 。
    GuluMashimaro
        10
    GuluMashimaro  
    OP
       2024-02-20 11:13:02 +08:00
    @markgor #9 用 cisco 的话 是不是必须得布线了?
    xomix
        11
    xomix  
       2024-02-20 11:16:19 +08:00
    看有没有隔离需求,有隔离需求就直接内网 VPN 切换网络,没有就是个路由表的事。
    markgor
        12
    markgor  
       2024-02-20 11:16:59 +08:00
    @GuluMashimaro 我是 10 几年前的时候干过,无线方案肯定也有,但我没试过.
    说真的按我之前的项目经验,走 wifi 的话使用期间你肯定一大堆破事要处理,要么说 wifi 信号,要么有信号没速度......
    1 个人布线很辛苦,我劝你让公司找人来布线吧,记得让他们水晶头也打了,否则........
    如果公司连请人来布线都不舍得,你觉得半年后扩张可信吗.....
    kingsoT
        13
    kingsoT  
       2024-02-20 11:26:19 +08:00   ❤️ 1
    简单,不用布线,AP 上开多 SSID ,每个 SSID 绑不同的 VLAN 就好了。tplink 的 AP 就支持 7 个 SSID 。现有基础上增加一个 VLAN 交换机就完事
    GuluMashimaro
        14
    GuluMashimaro  
    OP
       2024-02-20 11:26:46 +08:00
    @markgor #12 实际是我们家公司😂,创业阶段,全靠家里扶持,开额外的渠道给我们小家庭来经营,每个专线都能产生客观的利润,只是对员工能力要求有点高,目前起步阶段(刚开始一两个月,地方不够大,故找了个新办公室,所以产生了这个问题)员工较少,不足以支撑更多的业务,业务目前不愁接,只是苦于现有的办公场地较小和员工数量问题。

    这一两个月的支出全靠家里扶持,所以想尽可能的省钱。即将要租的办公室的租金也是选的尽可能低的。

    感谢各位大佬提供帮助。
    Cassius
        15
    Cassius  
       2024-02-20 11:28:05 +08:00   ❤️ 1
    你这种情况.我倒是建议你上 ikuai 了.. 直接服务器硬件配好点的,爱快里每个 wan 口写好是干嘛的,然后设置路由,让他自己去分流就完事了.
    当然你乐于折腾配一套 cisco 也是没问题的.
    mohumohu
        16
    mohumohu  
       2024-02-20 11:55:15 +08:00
    简简单单买个多 wan 口的软路由装爱快就行了,mac 地址绑定然后指定走哪个 wan 很简单。
    Tink
        17
    Tink  
       2024-02-20 11:57:45 +08:00
    就五个啊,写五条静态路由呗
    f165af34d4830eeb
        18
    f165af34d4830eeb  
       2024-02-20 12:12:28 +08:00
    本来想推荐 op 用 openwrt/opnsense 的,但是考虑到 op 什么经验都没有,我建议直接去咨询一下华为的销售经理吧,觉得华为的贵了去问问 tp link 也行,都有企业网络解决方案的。

    没有经验就不要自己乱折腾了,专业的事情交给专业的人去做,那些开源方案 op 真不一定能搞得掂。
    tomczhen
        19
    tomczhen  
       2024-02-20 12:45:10 +08:00
    不知道是干嘛的,感觉一般只有 Web 类的可以利用指纹浏览器的环境管理来做。

    增加线路那边物理线路和代理都行,但对内都是代理,实际用户通过切换指纹浏览器环境切换。

    也可以用内网也得走 VPN 切换的方式,(当然代理也行,只要有熟悉的方案就好)互不影响。

    这样不管你是 WiFi 还是拉线,只要一条就够(前提是使用的目标应用不通过其他方式检测是否是同一台设备)。
    zwy100e72
        20
    zwy100e72  
       2024-02-20 12:48:40 +08:00 via iPhone   ❤️ 2
    建议逻辑上用 vlan ,不同 vlan 对应不同上游
    物理上用网线+网管交换机
    ip 不够分的情况考虑和上游协调或者用 nat

    网线的好处是相互不干扰,延迟和带宽都更有保证
    elmagnificogg
        21
    elmagnificogg  
       2024-02-20 12:54:06 +08:00
    10 个 wifi 也没有问题,5-5.8g 信道分开用就是了,一个 wifi 连一个光纤下的路由器就行了,甚至直接用个胖 AP 就行了,省一个路由
    tomczhen
        22
    tomczhen  
       2024-02-20 12:58:54 +08:00
    补充一下,方案肯定是很多的,这种外贸还有各种羊毛场景很多了。

    但是呢,切换是谁做,如果都是终端用户控制要不要做网络隔离,要不要防止误操作引发问题,要不要对终端用户做限制风控。有没有基于一些对抗风控的要求。

    完全不考虑的话,完全可以用虚拟机或者服务器多用户来解决。反正只要远程到特定机器就是特定线路,完全不用考虑什么切换和布线,弄台服务器就行。
    x86
        23
    x86  
       2024-02-20 13:00:33 +08:00
    这种更适合爱快路由器了,vlan 混合模式拨号。
    然后 LAN 口可以绑定之类
    markgor
        24
    markgor  
       2024-02-20 13:18:16 +08:00
    @GuluMashimaro
    懂了,不過你就算找人佈線打頭,40 台機 1K 應該足夠了吧;
    我們公司今年搬場,50 台機上下兩層,加上會議室辦公室的入墻線大概 60 個點。
    找了弱電的師傅來拉線打水晶頭一共 1.2K ,坐標 GD ,聽說那個是電信的師傅接的外包,打完還一個個頭檢測,挺認真的。
    wifi 的話你要考慮帶機量,另外要測量 wifi 重疊區域是否會造成影響,實際使用過程中並不一定穩定,而且樓上也有人說了,混凝土和玻璃對 wifi 信號阻隔不能忽視,過於接近的 wifi 又會導致干擾,如果是 mesh 組網還可能一直跳來跳去。
    GuluMashimaro
        25
    GuluMashimaro  
    OP
       2024-02-20 13:41:54 +08:00
    @markgor #24 确实是有点担心后期 WiFi 过多的问题。
    目前新办公室没有任何网孔,要布线就是所有都是明线,沿着墙角之类的布线,所以这也是为什么刚开始会突发奇想想用 WiFi 的原因😂
    GuluMashimaro
        26
    GuluMashimaro  
    OP
       2024-02-20 13:43:47 +08:00
    @tomczhen #22 一旦定下来这台电脑访问哪个专线,就几乎没有切换到其他专线的需求。(起码几个月不动)
    timeance
        27
    timeance  
       2024-02-20 13:53:55 +08:00
    5 个 wifi 的方式慎用
    因为电脑会自动切 wifi ,上次看一家电商公司这么搞,现在店铺关联被封了

    可以试试端口聚合,然后给电脑配静态 ip (也可以准备一个有),需要手动切换就用 VPN
    dhb233
        28
    dhb233  
       2024-02-20 14:08:36 +08:00
    @GuluMashimaro 还是没太明白你的网络拓扑。但是听你说的只有 5 个地址,但是要 10 个电脑用,那必须要做 SNAT 没跑了。

    都要用 WiFi 了,应该带宽不是很大?可以找个机器,多插点网卡,做软路由,想怎么搞都可以。
    这个机器的网口连 5 个光猫,和 WiFi 路由器。
    如果特殊内网地址不冲突,配置静态路由就可以。
    如果特殊内网地址冲突,就用 net ns 隔离一下,在 root ns 统一分配不冲突的地址,并映射好。
    地址复用那个,肯定是要做 SNAT 了,配置 iptables 就可以了

    这样员工只要连上公司 WiFi ,就可以访问任何一个特殊内网和公网。
    dhb233
        29
    dhb233  
       2024-02-20 14:14:23 +08:00
    不知道那些个特殊内网是用域名访问,还是用 IP 访问。如果地址冲突的情况下,域名访问,可以在软路由上做个 DNS 劫持,这样就无感访问了。

    反正装个 Linux 的系统,一切网络拓扑都可以搞定,只是性能不太高
    alexsz
        30
    alexsz  
       2024-02-20 14:20:16 +08:00
    感觉用 vlan 不难实现啊,找个网络工程师干吧
    1den
        31
    1den  
       2024-02-20 14:31:18 +08:00 via Android   ❤️ 2
    有钱/有技术:Dynamic Vlan + 802.1X
    没钱:内网五个 VPN server ,一个 server 一条专线,设备自己客户端连进去。交换机 ACL dst-addr != 五个 VPN 地址的 drop ,接入控制交给 VPN server 做
    fs418082760
        32
    fs418082760  
       2024-02-20 14:35:46 +08:00
    核心路由打通,在防火墙上把员工的静态 ip 做权限访问管控
    cq65617875
        33
    cq65617875  
       2024-02-20 14:40:46 +08:00
    一个大内网 dhcp 绑 mac 然后打标走对应的出口
    sun82kg
        34
    sun82kg  
       2024-02-20 14:53:47 +08:00
    爱快分流最简单,定义五个 WAN ,几分钟搞定
    GuluMashimaro
        35
    GuluMashimaro  
    OP
       2024-02-20 14:57:45 +08:00
    @dhb233 #29 有 ip 、有域名,并且是只有 ip 在某个网段才能访问,特定的网关地址 特定的 dns
    GuluMashimaro
        36
    GuluMashimaro  
    OP
       2024-02-20 15:00:43 +08:00
    @sun82kg #34 现在正在 ikuai 京东旗舰店问问题,看看需要买哪些设备,客服正在挠头。

    每个专线都有特定的 ip 网段、特定的网关地址、特定的 dns 地址。
    tomczhen
        37
    tomczhen  
       2024-02-20 15:22:09 +08:00   ❤️ 2
    不用挠头,如果只要满足又不是不能用的程度,vlan 都不需要。一台傻瓜交换机和 N 台普通路由即可。
    A 路由上默认线路,就是普通互联网线路。剩下的都是专线路由器,改好 lan ,IP 关闭 DHCP ,设置好接入之后全部怼到一台傻瓜交换机。

    电脑用 a 路由 WiFi 接入,需要用哪条专线就手动设置本地 IP ,网关,DNS 即可。

    话说有红包吗?

    @GuluMashimaro
    test0103
        38
    test0103  
       2024-02-20 15:26:53 +08:00
    推荐用 MikroTik 的设备,或者 RouterOS 系统,多 vlan 对应多个 wifi ,MikroTik 是专门做无线互联的,硬件调教的比较好的,很多工作室用它做一拖 N 的,然后多链路直接手动路由表就可以实现你的需求了,信道调优之类的,MikroTik 都有完整的方案的,官方手册就有
    diskerjtr
        39
    diskerjtr  
       2024-02-20 16:16:02 +08:00
    买个飞塔防火墙 做 sdwan 选路
    dhb233
        40
    dhb233  
       2024-02-20 16:41:56 +08:00
    看画的那个图,那几个路由器可以用一台,支持多个口就可以。

    重要的就是你那个问题,“根据某些东西来区分”,具体根据什么来区分,是要你自己搞清楚的。域名区分? IP 区分?比如 a.com 走专线 1 ,b.com 走专线 2 ,这个需要你自己明确。


    感觉对你来说还是挺复杂。多 WiFi 也不是不可以。。。每个专线用一个家用路由器,都不用什么设置

    单个 WiFi 的,可以独立建一套,每个专线光猫再用一个口一个 IP 就够了,折腾起来,不好用就去连之前的 WiFi
    dko
        41
    dko  
       2024-02-20 16:50:25 +08:00
    @1den 按照你现在的情况,建议 31 楼的方案。
    5 台服务器接 5 条线,然后搭 VPN Server ,专线上再套一层自己搭的专线。谁需要谁用自己的账号密码拨到那台机器上去,设备都不用买,也不用搞什么网络策略之类的。
    wifi 的方案不建议,首先是干扰厉害,并且按照你这个专线的性质,用 wifi 可能是不合规的。
    GuluMashimaro
        42
    GuluMashimaro  
    OP
       2024-02-20 17:02:57 +08:00
    @dko #41 确实,用 WiFi 的话肯定要考虑安全问题了,不能被蹭网。
    GuluMashimaro
        43
    GuluMashimaro  
    OP
       2024-02-20 17:07:32 +08:00
    @dhb233 #40 无法通过 ip 或者域名来区分。
    我的意思是例如根据机器的 mac 地址来指定 某台机器 就固定访问某个专线。
    markgor
        44
    markgor  
       2024-02-20 17:18:27 +08:00
    @GuluMashimaro
    这样...我觉得复杂了.......
    非要这样做,关键字:DHCP 中为客户端分配不同的网关和 DNS

    我想法比较简单,直接路由上 RIP 加 acl2 写个静态,或者 linux 上通过 iptable 和 route 进行配置。
    这样
    通过 iptable 或 acl2 表,如果源 IP 是 xxxx 母的 IP 是 xxxx ,就通过 ethx 脚进行投递。

    后续你要变更之类的,直接去路由或 linux 上配置就行了。

    如果在每台客户端上面做手脚切换拨号,到时候有任何变动都要每台机搞一次。
    dko
        45
    dko  
       2024-02-20 17:28:13 +08:00
    @GuluMashimaro #42 计算机科学领域没有什么是不能通过加一个中间件来解决的,如果不能,那就再加一个。
    GuluMashimaro
        46
    GuluMashimaro  
    OP
       2024-02-20 17:40:29 +08:00
    1.将多个专线的光猫连接到交换机。
    2.将服务器连接到交换机。
    3.在服务器上创建多个虚拟机,并为每个虚拟机配置不同的网关和代理服务。
    4.将无线路由器连接到交换机。
    5.将工作机器连接到无线路由器,然后代理指向不同的虚拟机代理。

    这个方案能实现吗,各位热心大佬?
    dhb233
        47
    dhb233  
       2024-02-20 17:43:38 +08:00
    mac 区分的话,那不就是 dhcp 配置静态分配规则
    只走指定专线就明确了,静态分配的,IP 是知道的,指定 IP 走指定专线,配置策略路由就可以。

    但是这个还是搞不定你的同时访问互联网和专线。那至少可以 2WiFi 方案,访问专线一个 WiFi ,访问互联网一个 WiFi
    dhb233
        48
    dhb233  
       2024-02-20 17:46:01 +08:00
    代理的方案是可以,只是要确定专线的服务都是可以被代理的
    goodryb
        49
    goodryb  
       2024-02-20 17:56:13 +08:00
    就是一个路由配置的问题,一台路由器能搞定,你参考 2 楼方案自己搞,或者请个专业的网工给你搞

    至于跟你们的办公电脑走优先还是 WiFi ,跟你这 5 条专线是两码事
    szzys
        50
    szzys  
       2024-02-20 18:58:40 +08:00 via Android
    用策略路由不就好了吗。。
    Liku
        51
    Liku  
       2024-02-20 19:27:30 +08:00
    多 vlan 多 ssid ,不难
    oldhan
        52
    oldhan  
       2024-02-20 19:37:55 +08:00
    存在变化又有临时性的生产网,推荐直接上字节 NaaS ,自己就别操心了
    cnbatch
        53
    cnbatch  
       2024-02-20 20:08:20 +08:00
    1 台多网口软路由+1 台交换机+无线 AP 就可以了,没必要问客服,客服不是网络专业运维,未必懂那么多的。

    然后把专线都接到软路由,软路由配置 DHCP 根据 MAC 地址做绑定(前面楼层大家都有提到),顺便把 DNS 也绑定好,就写专线提供的 DNS 地址,这样内网分配 DNS 地址的时候就可以直接提供专线的 DNS 。

    接着就是配置策略路由(前面楼层也有人提到),让内网不同的机器走不同的专线。这里可以顺便搞个 NAT ,解决专线 IP 地址数量不够用的局限。

    至于软路由的型号,既可以买整合好的成品,也可以自己买小型服务器+多网口 PCIE 卡
    mohumohu
        54
    mohumohu  
       2024-02-20 20:34:32 +08:00
    楼上一堆解决方案看下来,结合 op 的需求,感觉就是简单的事情自己搞复杂了。
    楼主既然能问出这个问题,说明自己对这个也不好维护,解决方案都已经超出了认知范畴,买了设备也是折磨自己。
    直接拉网线就完事了。
    给 op 算一笔帐,五条专线,直接用光猫拨号就行了路由器都不用买,买交换机,拉网线,工位拉到机房配线架,要接哪条专线直接用跳线接哪个交换机。你乐意加个路由器像 360T7 这种还能刷机的也就 100 块一个。
    24 口千兆的二手交换机 100 块钱随便买,也就 500 块钱。
    拉网线,合格的 CAT6 网线一箱 300 米也就 600 块钱。五类更便宜。PVC 线槽不值钱。就这么点,请个网工干 400 块钱怎么都够了。那就 1000 元。
    总成本不到 2000 元,我看你买什么路由器+WiFi 能够实现这么傻瓜简单稳定,故障率低网络质量还好。
    TigerK
        55
    TigerK  
       2024-02-20 22:34:01 +08:00   ❤️ 1
    每条光纤的光猫后面固定连 5 个电脑,直接让运营商做迁移,拉到电脑旁边,每台电脑固定用途。
    电脑固定,员工轮换,换人不换电脑。
    rrfeng
        56
    rrfeng  
       2024-02-20 23:05:46 +08:00 via Android
    你猜路由器里的路由两个字是什么意思…
    kome
        57
    kome  
       2024-02-20 23:46:16 +08:00
    交换机划分 VLAN ,划分网段,做好路由,做好 ACL ,一台电脑仅允许接入一个网络,办公网络不得使用任何形式的无线设备和共享设备,专机专网专用,静态绑定 IP MAC 做好端口安全。差不多了吧,两台(核心层和接入层)或者几台华为中兴华三的中高端交换机就行了。剩下的就是布线了,记得做好跳线,打好标签。
    isnullstring
        58
    isnullstring  
       364 天前
    不知道楼主的技术水平,建议上爱快,实在不懂就找他的销售,对公要有对公的样子
    HawkinsSherpherd
        59
    HawkinsSherpherd  
       364 天前
    不介意用软路由吧?这个需求一台路由器就能搞定。
    搞两张无线网卡,一张发射专线 wifi ,一张发射互联网 wifi 。
    计划好地址段,比如给专线 wifi 的 wifi 接口分配 192.168.37.0/24 ,然后再细致划分用于 pbr 策略分配的子网,比如专线 1 对应 192.168.37.0/28 ,专线 2 对应 192.168.37.16/28 。这些子网只用于 pbr 策略,所有设备还是使用 255.255.255.0 的掩码。
    路由上装个 frr ,在专线 wifi 接口上绑定基于源 ip 的 pbr 策略。https://docs.frrouting.org/en/stable-9.1/pbr.html
    用 iptable 的 snat 配 nat 池。举个例子,如果你的专线 1 的静态地址池是 203.0.113.0-203.0.113.4 ,对应的内网网段是 192.168.37.0/28 ,那么你的 nat 规则可以这么配:
    iptables -t nat -A POSTROUTING -s 192.168.37.0/28 -j SNAT --to 203.0.113.0-203.0.113.4

    这些需求一个廉价的小型主机装个常规的 linux 发行版(如 debian )就能满足,当然记得打开 ip 转发。
    wheat0r
        60
    wheat0r  
       364 天前
    现在的专线不都是 mstp 封装的么,这怎么还要过光猫
    1den
        61
    1den  
       364 天前 via Android
    靠 MAC 做策略的方案还得统计每个人设备的 MAC 号,现在的手机还得关闭动态 MAC 功能,以后每有个新员工都得连交换机/DHCP server 调一下
    GuluMashimaro
        62
    GuluMashimaro  
    OP
       364 天前
    @wheat0r #60 不太懂,但是实际有光猫,光猫层面分配好了 ip 网段 网关 dns 等信息。
    sapphire
        63
    sapphire  
       364 天前
    单 SSID ,配合 802.1X 和 RADIUS 服务器(比如 Windows 的 NPS ,FreeRadius 之类)动态分配 VLAN 和 DHCP 池,,然后在路由上做策略。可以做到新加专线或者电脑/调整人员,不需要动网络硬件,只需要调整路由策略,或者改变用户分组就行。
    设备可以用全套 UBNT ,或者任何管理型 AC+AP 方案,路由只需要企业级路由都没问题。
    GuluMashimaro
        64
    GuluMashimaro  
    OP
       364 天前
    感谢各位大佬,此贴终结。
    sun82kg
        65
    sun82kg  
       364 天前
    @GuluMashimaro 我看了你的图,使用爱快真的超简单就搞定。

    1 、终端分组。使用 IP 分组。
    2 、端口分流,不同的 IP 组,走不同的 WAN 出口。
    这样就搞定了,爱快支持多 wan 拨号。直接 5 个光猫接进来
    yunisky
        66
    yunisky  
       363 天前
    很简单啊,路由器交换机都行,支持 VPN instance ,支持 VRF ,隔离路由表。
    下行到用户区分 VLAN ,通过 AP 多开几个 SSID 。
    lirno
        67
    lirno  
       363 天前
    用可以划 vlan 的交换机把内网的网段划分开,然后出口用防火墙把这些专线直接街上,用防火墙的策略进行控制就好了,无线人多了会干扰,防火墙还可以开安全策略保证安全。
    flynaj
        68
    flynaj  
       363 天前 via Android
    你这个最简单就是上 vlan,有线无线都可以,复杂一点配置路由表。或者用 openwrt 的 mwan3 设置复杂的规则。
    liyouran
        69
    liyouran  
       361 天前
    用 ikuai 系统,,单网口的 x86 电脑加一台 VLAN 交换机,在加几天子交换机,全部用户用网线连接到交换机,WIFI2.4g 有干扰,5g 不太清楚,用 WIFI 的话,直接 ac ap 模式开 5 个 ssid 划分 VLAN 界到 ikuai 上。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2390 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 15:53 · PVG 23:53 · LAX 07:53 · JFK 10:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.