有了互联网，你就能做很多事情，对吧？即使没有实际的互联网接入，能够在局域网 (LAN) 内共享资源也很棒！我们可以通过存储共享共享文件；我们可以使用语音服务器在内部相互通话；我们可以拥有一个 Web 服务器，让我们拥有自己的内部可访问网页。为了使所有人都能访问互联网，我们需要建立这些 LAN，即使在偏远地区也是如此。那么我们如何在偏远地区建立这些 LAN？如果无法访问在典型的 LAN 环境中可能看到的所有工具和应用程序，我们如何提供所需的所有功能，同时又能提供安全性？我将介绍一些选项，以便能够在远程环境中有效地建立 LAN，这样我们就可以更接近人人都能访问互联网。

LAN 是本地网络，顾名思义就是如此。它是您拥有的网络。它可能由连接在一起提供本地服务的各种网络设备以及计算机和电话等用户设备组成。它将您网络中的所有内容连接在一起。通常，至少在 IPv4 寻址中，LAN 使用私有寻址方案作为其 IP 地址。这些是无法面向 Internet 的非 Internet 可路由地址。相反，它们通常具有某种网络地址转换 (NAT) 系统，允许 LAN 内的设备仍与外部资源通信。稍后将详细介绍这一点。

每个组织都有自己的一套要求，这些要求可能因环境、提供的服务以及主机所在的位置和国家/地区而异。这些要求通常围绕安全性、可用性、功能和易用性。从这四个类别考虑，这些是用户在 IT 冒险中（即使在远程环境中）想要的因素。

现在，我们来谈谈安全问题。保护我们的网络是必须的。每天都会发生数千次攻击；有些会成功，但大多数不会。事实上，如果不认真关注网络的安全，攻击就会成功。安全作为一项要求可能包括不同的方面，例如物理安全（保护您的资产免遭盗窃、保护服务提供设备免遭访问）、逻辑访问控制，以及其他安全措施，例如防病毒软件、防火墙等。逻辑访问控制是其中最重要的一个，因为大多数攻击都是以合乎逻辑的方式发生的。在这个类别中，我们希望将入侵者拒之门外，只允许用户访问需要的内容，并确保我们拥有某种缓解系统来帮助补救威胁。

您的互联网连接是否曾经中断过？非常令人沮丧，对吗？如今，对许多人来说，拥有可用的互联网是非常重要的。我们非常依赖连接，有时，如果没有连接，我们会感到迷失。在偏远地区，情况也没有什么不同。我们为其提供服务的用户不知道如此紧密的连接是什么感觉，他们需要体验一下连接的生活。这也不仅限于互联网。任何网络服务，例如提供的存储和文件共享，都将包括在其中。即使在资源匮乏的偏远地区，拥有高可用性网络也是必须的。这可以通过多种上行链路类型来实现，正如我在之前的指南《了解偏远地区的 WAN 网络类型》中讨论的那样。此外，多条链路或访问本地资源（如呼叫管理器或文件存储）的方式也很好。其中许多资源可以内置冗余。

谁会购买最新的设备，只是因为它具有一些您一直想要的酷炫功能？在某个地方建立新的 LAN 时，您需要考虑这些功能。您提供的功能不仅会影响网络的结构和配置，而且还需要考虑安全隐患。您提供语音服务吗？文件共享？媒体流？还是只是访问互联网？是有线还是无线？我建议，至少根据您的资源，提供某种小型呼叫管理器、用于用户管理的身份验证资源以及用于移动的无线访问。谁不喜欢移动？当然，这在很大程度上取决于您的需求。如果您只需要互联网访问，那么就应该提供这些。但是，如果需要或希望提供其他服务，那么您的 LAN 中的功能列表可能会相当长。

易用性可能是网络的要求之一。这是因为环境中的典型用户很可能不是 IT 专业人员，可能不知道如何排除可能出错的各种不同问题。大多数用户喜欢在使用技术时能够“即插即用”。拥有一个易于使用的系统有助于实现这一点，并允许您为用户创建一个友好的环境。在偏远地区，用户通常不会有太多的互联网和技术经验（这就是我们想要带给他们的原因！）。因此，让它尽可能简单和无忧是必要的。一个建议是自动化新设备的入职流程。为工作站设置标准图像，使用户帐户标准化，并使连接到网络的过程更加简化。平衡安全性和易用性是一项艰巨的任务。另一个易用性建议是进行用户培训。提供（或录制）一个关于基本连接、用户帐户以及用户将要连接的任何设备的环境的基本“操作方法”的简短课程。

说到上面提到的那些要求，它们在正常环境中确实很容易实现。我们可以使用或购买应用程序、设备和工具来帮助我们实现这一点。但在资源和能力有限的环境中，我们需要找出替代方案。我们无法设置带有单独防火墙、边界路由器、行为分析和防病毒套件的整个安全套件。这根本不可行。我们可能无法拥有冗余的 WAN 链路或备用电话进行呼叫。我们可能需要在文件共享和媒体流方面进行改进，例如如果资源不在现场，则使用云提供商。在尝试在偏远地区建立功能丰富的网络时给我们带来的限制可能很难克服。

知识也是这些限制之一。如果没有经过培训的人员，那么根据需要排除故障和发展网络将非常困难。互联网上有很多 IT 领域的免费教育资源。Pluralsight 也是一个很好的资源，特别是如果您负责管理网络。正如我的WAN 指南中提到的，电源是一个限制因素。一定要将资源投入到冗余电源中，或者至少将电源调节到稳定状态。成本也是限制因素。我们是要使用插入 WAN 的家用路由器，还是要使用坚固耐用的商用路由器？我们能否负担得起将第 2 层和第 3 层设备分开，还是需要将它们全部放在一个设备中？这些设备有几种选择，许多设备可以完成我们需要的多项任务。选择一种在成本和所需功能之间取得平衡的设备。对于我们选择的设备，它们有哪些功能？它们是否允许我们设置某些功能，或者我们是否需要其他产品才能提供其他服务（例如呼叫管理器）？

完成这项特定任务的方法有很多。设置 LAN 的方法因您拥有的设备而异。不过，我们假设您使用的设备同时具有第 2 层和第 3 层功能，并且您提供的任何服务都可以连接到该设备。请记住，OSI 模型中的第 2 层是关于交换的。它是数据链路层。MAC 地址在第 2 层。第 3 层是“路由”或网络层。它是 IP 地址以及数据包路由到目的地的方式。同时执行第 2 层和第 3 层功能的设备通常称为多层交换机。首先要讨论的是地址空间。

在 LAN 环境中，私有地址是标准。这允许您确定您的网络有多大。在远程环境中，您通常会使用一组较小的地址。使用 CIDR 表示法，我们使用 /24 子网。默认情况下，这在许多家庭网络中很常见。这允许您拥有 254 个可用的 IP 地址。您将如何将这些 IP 地址分配给用户？DHCP 还是静态？分配 IP 地址的最简单和最常见的方法是通过 DHCP。大多数第 3 层设备都能够充当 DHCP 服务器，因此这样做并不太难。

为了确定您的范围，让我们使用一组非常常见的地址：192.168.0.0/24。如果您提供 IP 语音服务 (VoIP)，则需要添加另一个子网或将其一分为二。但是，在此示例中，所有子网都将用于数据服务。让我们也保留一些地址以用于特定用途。我们将保留 192.168.0.1 作为路由器的 IP 地址，192.168.0.2 作为我们的打印机（每个网络都需要打印机，对吗？），然后保留 0.3-0.5 以供将来使用，例如文件共享服务器。其他所有地址均可用（0.0 和 0.255 除外，它们是此子网的典型网络和广播 IP 地址）。在您可能拥有的每个设备上，配置此 DHCP 服务器的方式都不同。大多数家庭和小型企业路由器都有一个不错的图形用户界面 (GUI)，可帮助您完成整个过程。

由于提供的语音服务将通过我们连接的计算机和数据设备提供，因此我们不必担心为此进行特殊寻址。毕竟，我们希望在远程环境中的配置和设置尽可能简单。这些服务的一些好选择包括 Skype、Google Voice 等应用程序。您还可以下载“软”电话，它可以充当计算机上的普通电话，但基于软件。

在当今的网络中，文件共享是必不可少的。这可能就像将 USB 硬盘插入路由器并单击共享按钮一样简单，也可能像构建具有特定用户权限的单独服务器一样困难。大多数路由器都具有将文件共享给用户的功能；一些协议（例如 FTP、SFTP 和 SMB）也用于在网络中执行此操作。一些具有“轻松共享”类型功能的路由器使设置变得简单，但严重限制了您对驱动器的控制和访问的粒度。让我们为文件共享提供自己的 IP 地址，假设我们占用服务器的一部分并将其共享出去；192.168.0.3。Windows 服务器使共享驱动器分区相对容易。您通常可以右键单击文件夹并单击共享按钮以查看选项并将其共享出去。这样做的好处是，您可以为共享的每个目录中的每个用户指定权限级别。他们可以搜索网络（取决于可发现性）或直接在 Windows 资源管理器中导航到共享。

您也可以将 Linux 系统设置为文件共享。Linux 的 Samba 应用程序是一种非常常用的应用程序。因此，在 Linux 系统上，根据所需的驱动器大小安装 Samba，创建用户和密码，确定要共享的目录，确保编辑 smb.conf 文件以包含所有必要的参数，然后重新启动应用程序。然后，您的用户应该能够从他们的机器访问文件共享！还有其他几个应用程序和方法可用于创建文件共享。请务必记住，在这方面权限非常重要。这里应该遵循最小特权原则。

在当今的网络中，打印机共享也是必不可少的。它还需要自己的 IP 地址，因此我们将提供保留地址 192.168.0.2。对于大多数现代打印机和多功能设备来说，这是一项相当简单的任务。一旦您的打印机有了 IP 地址，您就可以在大多数计算机上轻松搜索和安装它。Mac 和 Windows 操作系统通常都会将您安装的第一台打印机识别为默认打印机，因此让用户能够打印应该不会花很长时间。

正如我之前提到的，保护我们的网络是必须的！网络上开放的打印机端口很容易受到攻击。它们使用的文件共享服务和端口很容易受到攻击。如果我们使用其中一个语音应用程序，这些应用程序就会接触到网络。这些应用程序也很容易受到攻击！访问控制列表 (ACL) 是我们拥有的最佳功能之一，尤其是在资源有限的情况下，它可以从逻辑上控制对某些设备、端口和协议的访问。在这些列表中，您可以定义允许访问 LAN 内某些资源的 IP 地址。例如，如果您将文件共享设备的访问权限限制为仅一组特定的计算机，以便更好地监控活动，则需要在路由器中定义一条规则，允许这些设备访问服务器 IP。最好定义使用的端口或协议，这将有助于更好地保护它。在每个访问列表之后，一定要有明确的拒绝（除非它隐含在其中），即拒绝任何 IP。访问列表末尾的“拒绝任何 IP”的作用是阻止 IP 地址访问资源。 “any any” 部分会阻止应用 ACL 的所有流量，因此它仅允许该语句之前列出的流量。ACL 从上到下工作，第一个匹配的流量获胜。因此，假设您的打印机挂在网络设备上。您只想允许您的 192.168.0.10 地址访问它。这就是您的 ACL 的样子，应用于打印机连接到的端口：

ip 访问列表扩展 PRINTER_ACCESS 允许 ip 192.168.0.10 192.168.0.2 拒绝 ip any any ! 接口 g1/0/1 ip 访问组 PRINTER_ACCESS

此 ACL 限制仅流向打印机的流量，因为它应用于仅打印机挂接的端口。您可以使用 ACL 根据 IP、MAC 地址、端口或流量类型限制这些资源。因此，这些可以应用于 LAN 环境中的任何地方。您可以根据需要将它们应用到一般或精细的环境中，从而比没有它们时更好地控制环境。

除了 ACL，我们还可以通过其他方式控制对网络资源的访问。假设您没有身份管理服务器，我们可以使用 MAC 地址白名单来仅允许网络上的某些 MAC 地址。如果我们使用企业交换机，我们还可以使用一种称为粘性 MAC 的技术来确保每个端口仅允许一定数量的 MAC 地址。当然，这是用户的访问控制。为了管理设备，您需要强化对任何管理访问功能的访问。这些必须使用强密码。ACL 也是如此。我们不希望用户能够访问这些管理功能。

让我们快速讨论一下 VLAN。至少，您应该使用几个不同的 VLAN 来分割您的流量。切勿将 VLAN 1 用作默认值。如果您的环境中有管理访问和管理设备（例如 Active Directory 服务器），请定义一个 VLAN。此外，还应有单独的数据、语音和打印机 VLAN，它们在网络上都有各自的访问级别。像这样对网络进行分段可以让您更好地控制谁可以在网络上执行什么操作。

关于 LAN 安全性的最后一个主题是设备保护和用户培训。这两者密不可分。您安装的防病毒、反垃圾邮件、反一切软件都很棒。它们非常有用，而且绝对是任何网络中的必需品。但用户培训必不可少。推广以安全为中心的文化对于保护环境是必要的。向用户传授安全知识。培训他们如何识别攻击并查找可疑的电子邮件和弹出窗口。推动这种文化是关键。在偏远地区，这个 LAN 是他们唯一的访问渠道。如果攻击成功，他们的访问可能会中断一段时间。

正如我在 WAN 指南中提到的那样，远程区域即将获得互联网访问权。这将是我们发展的重要一步。设置 LAN 与建立 WAN 链接同样重要，甚至更重要。在资源有限的区域设计和实施 LAN 时，请考虑所有要求。研究可用的选项和所需的功能。确保您拥有实施它所需的知识、能力和支持。第一次就做对了，这样您就不必再犯第二次了。