[架构设计] 如何设计公司的特殊网络架构(困难模式)

2024-02-20 10:32:12 +08:00
 GuluMashimaro
[说明] :公司目前有 5 条光纤,分别对应 5 条特殊的专线,用于连通特殊内网。
[目标] :公司的 40 台电脑需要分别连接到不同的专线,无互联网访问需求。
[未来] :会持续加电脑,同时也会持续加光纤,理论上不超过 10 条光纤(每条代表不同的专线)。

[现有思路及问题] :
我现在的思路是,每条光纤通过光猫后,直接通过路由器发射 WiFi ,每台电脑安装无线网卡,通过连接不同 WiFi 来访问不同的专线,这样的好处是可以方便的切换专线(需求不大,基本没有切换需求)、并且不需要布线、不需要大量的交换机、不需要复杂配置。

但是后来想了一下,目前工位面积 150 平左右,按照这个思路目前就有 5 个专线 WiFi ,一个互联网 WiFi (员工手机用),后期如果加到 10 条专线,就会出现 10 个 WiFi 挤在这个空间中,由于没有实际操作经验,不清楚 WiFi 间是否会互相影响(即使使用了不同的信道)。

[求解] :哪位大哥还有不同的设计思路?我估计后面一周就要动手干了。
4610 次点击
所在节点    宽带症候群
69 条回复
elmagnificogg
2024-02-20 12:54:06 +08:00
10 个 wifi 也没有问题,5-5.8g 信道分开用就是了,一个 wifi 连一个光纤下的路由器就行了,甚至直接用个胖 AP 就行了,省一个路由
tomczhen
2024-02-20 12:58:54 +08:00
补充一下,方案肯定是很多的,这种外贸还有各种羊毛场景很多了。

但是呢,切换是谁做,如果都是终端用户控制要不要做网络隔离,要不要防止误操作引发问题,要不要对终端用户做限制风控。有没有基于一些对抗风控的要求。

完全不考虑的话,完全可以用虚拟机或者服务器多用户来解决。反正只要远程到特定机器就是特定线路,完全不用考虑什么切换和布线,弄台服务器就行。
x86
2024-02-20 13:00:33 +08:00
这种更适合爱快路由器了,vlan 混合模式拨号。
然后 LAN 口可以绑定之类
markgor
2024-02-20 13:18:16 +08:00
@GuluMashimaro
懂了,不過你就算找人佈線打頭,40 台機 1K 應該足夠了吧;
我們公司今年搬場,50 台機上下兩層,加上會議室辦公室的入墻線大概 60 個點。
找了弱電的師傅來拉線打水晶頭一共 1.2K ,坐標 GD ,聽說那個是電信的師傅接的外包,打完還一個個頭檢測,挺認真的。
wifi 的話你要考慮帶機量,另外要測量 wifi 重疊區域是否會造成影響,實際使用過程中並不一定穩定,而且樓上也有人說了,混凝土和玻璃對 wifi 信號阻隔不能忽視,過於接近的 wifi 又會導致干擾,如果是 mesh 組網還可能一直跳來跳去。
GuluMashimaro
2024-02-20 13:41:54 +08:00
@markgor #24 确实是有点担心后期 WiFi 过多的问题。
目前新办公室没有任何网孔,要布线就是所有都是明线,沿着墙角之类的布线,所以这也是为什么刚开始会突发奇想想用 WiFi 的原因😂
GuluMashimaro
2024-02-20 13:43:47 +08:00
@tomczhen #22 一旦定下来这台电脑访问哪个专线,就几乎没有切换到其他专线的需求。(起码几个月不动)
timeance
2024-02-20 13:53:55 +08:00
5 个 wifi 的方式慎用
因为电脑会自动切 wifi ,上次看一家电商公司这么搞,现在店铺关联被封了

可以试试端口聚合,然后给电脑配静态 ip (也可以准备一个有),需要手动切换就用 VPN
dhb233
2024-02-20 14:08:36 +08:00
@GuluMashimaro 还是没太明白你的网络拓扑。但是听你说的只有 5 个地址,但是要 10 个电脑用,那必须要做 SNAT 没跑了。

都要用 WiFi 了,应该带宽不是很大?可以找个机器,多插点网卡,做软路由,想怎么搞都可以。
这个机器的网口连 5 个光猫,和 WiFi 路由器。
如果特殊内网地址不冲突,配置静态路由就可以。
如果特殊内网地址冲突,就用 net ns 隔离一下,在 root ns 统一分配不冲突的地址,并映射好。
地址复用那个,肯定是要做 SNAT 了,配置 iptables 就可以了

这样员工只要连上公司 WiFi ,就可以访问任何一个特殊内网和公网。
dhb233
2024-02-20 14:14:23 +08:00
不知道那些个特殊内网是用域名访问,还是用 IP 访问。如果地址冲突的情况下,域名访问,可以在软路由上做个 DNS 劫持,这样就无感访问了。

反正装个 Linux 的系统,一切网络拓扑都可以搞定,只是性能不太高
alexsz
2024-02-20 14:20:16 +08:00
感觉用 vlan 不难实现啊,找个网络工程师干吧
1den
2024-02-20 14:31:18 +08:00
有钱/有技术:Dynamic Vlan + 802.1X
没钱:内网五个 VPN server ,一个 server 一条专线,设备自己客户端连进去。交换机 ACL dst-addr != 五个 VPN 地址的 drop ,接入控制交给 VPN server 做
fs418082760
2024-02-20 14:35:46 +08:00
核心路由打通,在防火墙上把员工的静态 ip 做权限访问管控
cq65617875
2024-02-20 14:40:46 +08:00
一个大内网 dhcp 绑 mac 然后打标走对应的出口
sun82kg
2024-02-20 14:53:47 +08:00
爱快分流最简单,定义五个 WAN ,几分钟搞定
GuluMashimaro
2024-02-20 14:57:45 +08:00
@dhb233 #29 有 ip 、有域名,并且是只有 ip 在某个网段才能访问,特定的网关地址 特定的 dns
GuluMashimaro
2024-02-20 15:00:43 +08:00
@sun82kg #34 现在正在 ikuai 京东旗舰店问问题,看看需要买哪些设备,客服正在挠头。

每个专线都有特定的 ip 网段、特定的网关地址、特定的 dns 地址。
tomczhen
2024-02-20 15:22:09 +08:00
不用挠头,如果只要满足又不是不能用的程度,vlan 都不需要。一台傻瓜交换机和 N 台普通路由即可。
A 路由上默认线路,就是普通互联网线路。剩下的都是专线路由器,改好 lan ,IP 关闭 DHCP ,设置好接入之后全部怼到一台傻瓜交换机。

电脑用 a 路由 WiFi 接入,需要用哪条专线就手动设置本地 IP ,网关,DNS 即可。

话说有红包吗?

@GuluMashimaro
test0103
2024-02-20 15:26:53 +08:00
推荐用 MikroTik 的设备,或者 RouterOS 系统,多 vlan 对应多个 wifi ,MikroTik 是专门做无线互联的,硬件调教的比较好的,很多工作室用它做一拖 N 的,然后多链路直接手动路由表就可以实现你的需求了,信道调优之类的,MikroTik 都有完整的方案的,官方手册就有
diskerjtr
2024-02-20 16:16:02 +08:00
买个飞塔防火墙 做 sdwan 选路
dhb233
2024-02-20 16:41:56 +08:00
看画的那个图,那几个路由器可以用一台,支持多个口就可以。

重要的就是你那个问题,“根据某些东西来区分”,具体根据什么来区分,是要你自己搞清楚的。域名区分? IP 区分?比如 a.com 走专线 1 ,b.com 走专线 2 ,这个需要你自己明确。


感觉对你来说还是挺复杂。多 WiFi 也不是不可以。。。每个专线用一个家用路由器,都不用什么设置

单个 WiFi 的,可以独立建一套,每个专线光猫再用一个口一个 IP 就够了,折腾起来,不好用就去连之前的 WiFi

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1016751

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX