SOHO局域网的设计和组建

引言：随着全球化和信息化的发展，随着大众创业、万众创新的推进，中小公司和居家办公（Small Office Home Office）对于信息化的要求也越来越高。然而一般的SOHO缺乏专职的网络管理人员，也没有价格高昂的专用组网设备。如何用普通的家用无线路由设备组建一个相对安全的网络环境呢？

某公司有销售部、生产部、财务部，每个部门员工数量都不超过20。其组网需求如下：销售部和生产部的员工需能相互访问；财务部可以访问其他部门，但销售部和生产部不能访问财务部；销售部有一台Web服务器需向外网用户提供服务；生产部的WiFi不允许非授权用户使用，财务部的WIFI不允许非本部门的设备使用。

拓扑设计

普通家用无线路由器，实际上并不是真正意义上的路由器，不具备路由选择的功能，只是一个终端上行路由互联设备。

根据公司的需求，拓扑设计如图1所示：销售部、生产部、财务部三个部门各有一个无线路由设备。每个部门都有有线接口和无线WIFI连接。

图1 网络拓扑设计图

表1 网络配置规划表

其中销售部、生产部的路由器用LAN口上行，确保能够和出口主路由器的LAN口在同一网段，使销售部和生产部能相互访问，确保所有用户都同属于一个大私网，确保用户从主出口路由器获取IP地址，实现统一管理，避免由于IP地址配置问题造成上网的时断时续，同时也便于流控访问策略的实施。

财务部用Internet口上行，使财务部成为大私网中的小私网，以确保财务部能访问其他部门，并禁止其他部门访问财务部。

配置规划

无论是家庭和中小公司，做好网络设备的规划都有利于组网实施、日后的正常使用和维护。如表1所示，主出口路由器的用于通过PPPOE拨号连接广域网，DHCP服务配置的地址池为192.168.1.100-159，共计60个IP地址。内网IP地址为：192.168.1.1，一方面作为内网（192.168.1.0）网段的网关，另一方面用于出口路由器的管理地址。

销售部和生产部使用网段：192.168.1.0/24；上 行口使用LAN口，DHCP服务关闭；路由器的IP地址为192.168.1.2和192.168.1.3主要用于设备管理登入为防止非授权用户登入，屏蔽路由器wifi连接的密码设为1234567890。

财务部的结构相当于私网中的私网，Internet口上 行，开 启DHCP服 务。DCHP服务器的地址池为192.168.2.10-100/24。内网地址为192.168.2.1，作为子网的网关和网络管理的登入。Internet口使用自动获取IP地址。屏蔽无线信号，无线WIFI的连接使用Mac地址过滤技术，防止非本部门的设备使用本部门的无线网络。

图2 主出口路由器配置截图

图3 销售部路由器配置截图

图4 Web服务NAT配置图

图5 财务部路由器配置

组网实施

主出口路由器外网口配置如图2所示，采用PPPoE拨号连，连接Internet,内网网关和管理地址为：192.168.1.1。DHCP地 址池为 ：192.168.1.100-159。

销售部配置如图3所示，外网口无需配置，关闭DHCP服务，管理地址配置为192.168.1.3。生产部路由器配置类似。销售部的Web服务器需向外网用户提供服务，需要在主出口路由器上做NAT配置，如图4所示,92.168.1.10是Web服务器地址，使能HTTP。

财务部路由器配置如图5所示，Internet口可采用DHCP或静态配置，开启DHCP服务。

结束语

文章通过实例描述了SOHO的典型组网方案，并在思科模拟器上完成了组网配置。通过私网内的私网、MAC地址过滤、复杂的WIFI密码等方式，在主出口路由器上配置访问策略和流控，可以加强SOHO网络的安全。NAT方式容易以使服务器暴露在公网上，有条件的可以使用VPN的方式，限定访问的用户。