接着文章往下写,还是苏州某木业企业,华为USGE安装调试初步完成,拓扑图如下:
新增加的ADSL,电信已经安装到位,并且已经开通,那就该轮到我们上场了,今天的任务是:(1)戴尔R服务器格式化——被黑客当过肉鸡的系统,实在是不敢再用了,于是格式化——安装ProxmoxVE,再安装WindowsServer,然后就等着做网站的人重新部署网站;这部分咱就不写了,之前的文章都有。
(2)将WIFI配置为通过新安装的ADSL上网,其他不变;
更改TP-LinkTL-ERG的配置:
看了一下,一共有15个AP,但是我们怎么找,即只能找到9个,剩下的,居然没人知道哪里,时间紧迫,先配置了再说,真有问题,上不了的人肯定会叫我们。
本来想划个VLAN的,结果看到交换机,尤其是分机柜里面的交换机,只能打消这个念头了,该怎么把无线网段区分出来呢?主机房里就一台主交换机和一台POE交换机,不可能单独把无线AP独立成一个网络,思前想后,决定新建一个SSID,把这个SSID绑定到VLAN2,然后VLAN2的接口,网线连接到防火墙,小小改造解决大问题了,如下图所示
1、TP-LinkTL-ERG,是原来的主路由器,现在降级成AC控制器来使用了,VLAN1的IP为..1.2;首先要创建一个VLAN2
2、为VLAN2划分端口
3、为VLAN2配置DHCP服务
4、为VLAN2配置SSID
看到这里,有的网友会问,为什么要新建一个SSID呢?直接把现在的SSID划到VLAN2不行吗?答案是,如果直接改,肯定会影响用户使用,导致客户体验不佳,所以我们打算配置完成上,在晚上切换:把原来的SSID名称改掉,然后新建的SSID名称改成原来的就行了,客户第二天上班的时候,就无感知切换了。
修改光猫的网段
电信的安装师傅,把光猫配置成了路由模式,而且网段同样是..1.0/24,与防火墙在同一网段,这显然会引起NAT问题,于是首先必须得修改光猫的网段,然后才能把光猫接入防火墙的Wan0/0/1接口,本来把光猫改成桥接模式的,但是叫电信师傅过来要时间,自己破解也要时间,没那么多时间折腾,就简单点吧,改个网段最方便了——背面有一般账户和密码,虽然这个用户名和密码极限很低,但是改个网段还是可以的
华为防火墙USGE的进一步配置
1、将GE0/0/2接口的安全区域配置为trust,并且设置IP地址为..2.1/24
2、将WAN0/0/1接口的安全区域配置为untrust,并且设置IP地址为..11./24
3、配置一条策略路由,使..2.0/24,从ADSL出去
4、配置NAT策略,网段..2.0/24的出接口为Wan0/0/1
5、上面图中,可以直接生成安全策略,这是新版的软件才有的,以前都得自己配置安全策略,现在能直接生成,方便多了
注意,这里应该把反病毒和入侵防御配上,如果你购买了授权的话。
