接著上一篇文章往下寫,還是蘇州某木業企業,華為USG6305E安裝調試初步完成,拓撲圖如下:
新增加的ADSL,電信已經安裝到位,並且已經開通,那就該輪到我們上場了,今天的任務是:(1)戴爾R730伺服器格式化——被黑客當過肉雞的系統,實在是不敢再用了,於是格式化——安裝Proxmox VE,再安裝Windows Server 2019,然後就等著做網站的人重新部署網站;這部分咱就不寫了,之前的文章都有。
(2)將WIFI配置為通過新安裝的ADSL上網,其他不變;
更改TP-Link TL-ER3210G的配置:
看了一下,一共有15個AP,但是我們怎麼找,即只能找到9個,剩下的,居然沒人知道哪裡,時間緊迫,先配置了再說,真有問題,上不了的人肯定會叫我們。
本來想劃個VLAN的,結果看到交換機,尤其是分機櫃裡面的交換機,只能打消這個念頭了,該怎麼把無線網段區分出來呢?主機房裡就一臺主交換機和一臺POE交換機,不可能單獨把無線AP獨立成一個網絡,思前想後,決定新建一個SSID,把這個SSID綁定到VLAN2,然後VLAN2的接口,網線連接到防火牆,小小改造解決大問題了,如下圖所示
1、TP-Link TL-ER3210G,是原來的主路由器,現在降級成AC控制器來使用了,VLAN1的IP為192.168.1.2; 首先要創建一個VLAN2
2、為VLAN2劃分埠
3、為VLAN2配置DHCP服務
4、為VLAN2配置SSID
看到這裡,有的網友會問,為什麼要新建一個SSID呢?直接把現在的SSID劃到VLAN2不行嗎?答案是,如果直接改,肯定會影響用戶使用,導致客戶體驗不佳,所以我們打算配置完成上,在晚上切換:把原來的SSID名稱改掉,然後新建的SSID名稱改成原來的就行了,客戶第二天上班的時候,就無感知切換了。
修改光貓的網段
電信的安裝師傅,把光貓配置成了路由模式,而且網段同樣是192.168.1.0/24,與防火牆在同一網段,這顯然會引起NAT問題,於是首先必須得修改光貓的網段,然後才能把光貓接入防火牆的Wan0/0/1接口,本來把光貓改成橋接模式的,但是叫電信師傅過來要時間,自己破解也要時間,沒那麼多時間折騰,就簡單點吧,改個網段最方便了——背面有一般帳戶和密碼,雖然這個用戶名和密碼極限很低,但是改個網段還是可以的
華為防火牆USG6305E的進一步配置
1、將GE0/0/2接口的安全區域配置為trust,並且設置IP位址為192.168.2.1/24
2、將WAN0/0/1接口的安全區域配置為untrust,並且設置IP位址為192.168.11.254/24
3、配置一條策略路由,使192.168.2.0/24,從ADSL出去
4、配置NAT策略,網段192.168.2.0/24的出接口為Wan0/0/1
5、上面圖中,可以直接生成安全策略,這是新版的軟體才有的,以前都得自己配置安全策略,現在能直接生成,方便多了
注意,這裡應該把反病毒和入侵防禦配上,如果你購買了授權的話。