华为USG6305E安装调试初步完成,拓扑图如下:
新增加的ADSL,电信已经安装到位,并且已经开通,那就该轮到我们上场了,今天的任务是:(1)戴尔R730服务器格式化——被黑客当过肉鸡的系统,实在是不敢再用了,于是格式化——安装Proxmox VE,再安装windows Server 2019,然后就等着做网站的人重新部署网站;这部分咱就不写了,之前的文章都有。
(2)将WIFI配置为通过新安装的ADSL上网,其他不变;
看了一下,一共有15个AP,但是我们怎么找,即只能找到9个,剩下的,居然没人知道哪里,时间紧迫,先配置了再说,真有问题,上不了的人肯定会叫我们。
本来想划个VLAN的,结果看到交换机,尤其是分机柜里面的交换机,只能打消这个念头了,该怎么把无线网段区分出来呢?主机房里就一台主交换机和一台POE交换机,不可能单独把无线AP独立成一个网络,思前想后,决定新建一个SSID,把这个SSID绑定到VLAN2,然后VLAN2的接口,网线连接到防火墙,小小改造解决大问题了,如下图所示
1、TP-Link TL-ER3210G,是原来的主路由器,现在降级成AC控制器来使用了,VLAN1的IP为192.168.1.2; 首先要创建一个VLAN2
2、为VLAN2划分端口
3、为VLAN2配置DHCP服务
4、为VLAN2配置SSID
看到这里,有的网友会问,为什么要新建一个SSID呢?直接把现在的SSID划到VLAN2不行吗?答案是,如果直接改,肯定会影响用户使用,导致客户体验不佳,所以我们打算配置完成上,在晚上切换:把原来的SSID名称改掉,然后新建的SSID名称改成原来的就行了,客户第二天上班的时候,就无感知切换了。
电信的安装师傅,把光猫配置成了路由模式,而且网段同样是192.168.1.0/24,与防火墙在同一网段,这显然会引起NAT问题,于是首先必须得修改光猫的网段,然后才能把光猫接入防火墙的Wan0/0/1接口,本来把光猫改成桥接模式的,但是叫电信师傅过来要时间,自己破解也要时间,没那么多时间折腾,就简单点吧,改个网段最方便了——背面有一般帐户和密码,虽然这个用户名和密码极限很低,但是改个网段还是可以的
1、将GE0/0/2接口的安全区域配置为trust,并且设置IP地址为192.168.2.1/24
2、将WAN0/0/1接口的安全区域配置为untrust,并且设置IP地址为192.168.11.254/24
3、配置一条策略路由,使192.168.2.0/24,从ADSL出去
4、配置NAT策略,网段192.168.2.0/24的出接口为Wan0/0/1
5、上面图中,可以直接生成安全策略,这是新版的软件才有的,以前都得自己配置安全策略,现在能直接生成,方便多了
注意,这里应该把防病毒和入侵防御配上,如果你购买了授权的话。
——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,觉得有用的,可以关注、点赞、转发,如有相同或者不同观点,欢迎评论。最近在“橱窗”上了一些精选商品和书籍,欢迎品评,谢谢!