Захистіть локальну мережу в межах існуючої офісної локальної мережі

12

Спершу все, що я збирався опублікувати це на серверній помилці, але, чесно кажучи, я не адміністратор мережі, я студент CS, якого покликали розібратися в чомусь для дуже малого сімейного бізнесу, який щойно перейшов у малий офісних приміщень і насправді не маю грошей на руках, щоб найняти когось, щоб сортувати його, тому мені доведеться дізнатися, що потрібно для завершення роботи. Я також усвідомлюю, що це питання "LAN у межах локальної мережі" було задано раніше, тому сміливо позначайте це як дублікат, хоча жоден із існуючих питань насправді не відповідав на питання, які у мене є.

Таким чином, питання. Офіс, в який ми переїхали, перетворюється з великої будівлі, раніше використовуваної одним бізнесом, у «бізнес-центр», а окремі кімнати здаються в оренду. Кожна кімната поєднана з декількома портами Ethernet, що ведуть назад до мережевої кімнати з шафою, повною комутаторів, щоб зв'язати все разом, хоча жоден із них не використовується, наскільки я можу сказати. Хлопця, який керував мережею, було надлишково, і тепер це головним чином святиня через відсутність управління кабелем.

Поточні компанії, які займають кімнати, покладаються на мережу Wi-Fi, надану ISP BT HomeHub, що надається домашнім маршрутизатором / модемом. Оскільки ми регулюємось урядом, мені не подобається ідея спільного використання мережі, і я сумніваюся, що регулятори також будуть.

Отже, які тут варіанти? Я нічого не можу зробити з домашнім маршрутизатором / модемом, оскільки для бездротового доступу існує безліч інших підприємств. Я б хотів отримати доступ до Інтернету через цей модем, але потрібно переконатися, що мережа, в якій ми працюємо, повністю недоступна для інших пристроїв у мережі, які не є частиною нашого бізнесу. Я переглядав деякі пропозиції маршрутизаторів малого бізнесу від Cisco разом з точками бездротового доступу (безпосередній пріоритет є бездротовий доступ), але я не впевнений, чи зможу я досягти вищезазначеного одним і хочу бути певним, перш ніж замовити будь-який обладнання.

Я впевнений, що найкращим варіантом було б просто провести ще одну лінію в будівлю, але це додасть додаткових щомісячних витрат плюс договір на обслуговування, тому я прагну уникнути цього на даний момент.

Будь-які думки щодо найкращого варіанту в цій ситуації, і як я можу це зробити?

networking  router  lan 
Гексод
джерело
3
Перші питання, які слід задати собі: Наскільки погано нам потрібен доступ до Інтернету? Чи загине фірма - помер домашній маршрутизатор BT. Якщо це важливо, орендуйте власну лінію, яка не є домашнім споживачем. Переважно від іншого провайдера, а потім вже в офісі, щоб ви могли використовувати це як резервне резервне копіювання. Другий розгляд: Хто має доступ до шафи, повного вимикачів? Які вони / можливості вони (приємно знати, що ви починаєте працювати над рішенням). Чи вдалося їм переключитися? Поновлено прошивку? По-третє, напевно, час з’ясувати, які кабелі підключені до ваших кімнат.
Геннес
Коли ви отримали ці відповіді, прочитайте на VLAN (для провідних). Також врахуйте, що забороняти доступ до Інтернету ні до чого, окрім поштового сервера та проксі-сервера на всіх інших пристроях. (Це сервер як брандмауер, логічно за цим поштовим сервером і логічно за цим проксі) і сервер файлів). І подумайте про резервні копії. Одним з найгірших стартів було б, якщо poeple зберігає інформацію на своїх ноутбуках, а не на мережевому диску.
Геннес
Який у вас доступ до обладнання? У вас є дозвіл на вхід у "домашній маршрутизатор / модем комбо"? Яке джерело доступу до Інтернету на сайті? (Я здогадуюсь DSL від BT. Просто здогадка. Відповідь - не Wi-Fi.) Якщо ви хочете "захистити" свою мережу від інших мереж на сайті, типовим пристроєм для "захисту" мережі є брандмауер. Зважаючи на це, багато маршрутизатори забезпечують внутрішні можливості "брандмауера" (імовірно, менш спеціалізовані / розроблені для виконання завдання, ніж спеціальні пристрої для брандмауера). Деякі з обладнання обладнання Cisco можуть мати високу криву навчання.
TOOGAM
Офіційно у мене немає доступу, хоча я впевнений, що можна було б домовитись, тому я буду до цього завтра. Просто шукаю кілька ідей щодо того, що може бути можливим із уже встановленим обладнанням. Здається, що джерело є звичайною діловою лінією DSL, яку я знаю, що це не "WiFi" (я не ветеран мережі, але я не такий невмілий, не хвилюйтеся). VLAN виглядають цікавими, я детально розглядаю їх. Я просто намагаюся зібрати деякі концепції мереж із реальною програмою.
Гексод
@TOOGAM Я б не очікував, що звичайний користувач комп’ютера зрозуміє деякі речі в моєму «маршрутизаторі» малого бізнесу Cisco без настанов. Не кажучи вже про можливість налаштувати мережеве обладнання Cisco на базі IOS. Погоджуюся з вами поки що. Але я дійсно не думаю, що це унікально для Cisco; Спеціалізоване обладнання часто має круту криву навчання. Чорт забирай, ти можеш встановити середнього користувача комп'ютера перед середнім осцилографом і продовжувати дивитися феєрверки. Я не впевнений, скільки користувачів середнього рівня комп'ютерів знають, як користуватися осцилографом.
CVn

Відповіді:

16

По-перше: Якщо у вас є юридичні зобов'язання щодо забезпечення розділення руху, завжди дозвольте комусь, хто має повноваження зробити це, щоб підписатися на будь-який план, як це передбачено законодавчими вимогами, перш ніж розпочати його виконання. Залежно від конкретних юридичних вимог, можливо, вам доведеться надавати фізично окремі мережі, що не мають спільної точки довіри.

З цього приводу я думаю, що в основному у вас є три варіанти: 802.1Q VLAN (краще) та декілька шарів NAT (гірше) та фізично окремі мережі (найбільш безпечні, але також складні та, ймовірно, найдорожчі через фізичну перемотування) .

Я припускаю, що все, що вже пов'язано, - це Ethernet. Однією частиною загального стандарту Ethernet є те, що відомо як IEEE 802.1Q , де описано, як встановити окремі локальні локальні мережі на одному і тому ж фізичному зв’язку. Це відоме як VLAN або віртуальні локальні мережі (зверніть увагу: WLAN абсолютно не пов'язаний і в цьому контексті зазвичай розшифровується як бездротова локальна мережа і дуже часто відноситься до одного з варіантів IEEE 802.11 ). Потім ви можете використовувати вимикач вищого класу (дешеві речі, які ви можете придбати для домашнього використання, зазвичай не мають цієї функції; ви хочете шукати керований перемикач , в ідеалі той, який спеціально рекламує підтримку 802.1Q, але будьте готові заплатити премію за функцію), налаштовану розділити кожну VLAN на набір (можливо, лише один) порт (и). Тоді на кожній VLAN загальні споживчі комутатори (або NAT-шлюзи з портом висхідної лінії Ethernet, за бажанням) можуть використовуватися для подальшого розподілу трафіку в офісному блоці.

Переваги VLAN, порівняно з декількома шарами NAT, полягають у тому, що він повністю незалежний від типу трафіку на провідниках. З NAT, ви застрягли з IPv4 і, можливо, з IPv6, якщо вам пощастило, а також вам доведеться боротися зі всіма традиційними головними болями NAT, оскільки NAT порушує підключення до кінця (простий факт, що ви можете отримати список каталогу з FTP-сервер через NAT є свідченням винахідливості деяких людей, які працюють з цими матеріалами, але навіть ті способи вирішення зазвичай припускають, що на маршруті з'єднання є лише один NAT); з VLAN, оскільки він використовує додаток до кадру Ethernet , буквально всеякі можна перенести через Ethernet, можна перенести через VLAN Ethernet і зберегти підключення до кінця, тому що стосується IP, нічого не змінилося, крім набору вузлів, доступних у сегменті локальної мережі. Стандарт дозволяє використовувати до 4 094 (2 ^ 12 - 2) VLAN на одному фізичному зв’язку, але конкретне обладнання може мати нижчі межі.

Звідси моя пропозиція:

  • Перевірте, чи підтримує головне обладнання (що знаходиться у цій великій стійці комутаторів у мережевій кімнаті) 802.1Q. Якщо це так, то дізнайтеся, як його налаштувати, і налаштуйте його правильно. Я б рекомендував почати, виконуючи скидання заводських налаштувань, але переконайтесь, що ви не втратите жодної важливої ​​конфігурації, зробивши це. Будьте впевнені, щоб належним чином порадити будь-кому, хто покладається на той зв'язок, що відбуватимуться перебої в обслуговуванні, поки ви це робите.
  • Якщо головне обладнання не підтримує 802.1Q, знайдіть те, що відповідає та відповідає вашим потребам щодо кількості VLAN, кількості портів тощо, і придбайте його. Потім з’ясуйте, як його налаштувати та правильно налаштувати. Це бонус, який ви могли б тримати окремо під час налаштування речей, скорочуючи час простою для будь-яких існуючих користувачів (ви б встановили його спочатку, потім видалили старе обладнання та підключили нове, тож час простою буде обмежений в основному тим, як довго вам потрібно все відключити та підключити заново.
  • Дозволяти кожному офісному підрозділу використовувати комутатор або домашній або малий бізнес-маршрутизатор (NAT шлюз) з портом Ethernet висхідної лінії зв'язку для подальшого поширення підключення до мережі між власними системами.

Конфігуруючи комутатори, обов'язково обмежте кожен VLAN своїм власним набором портів і переконайтесь, що всі ці порти переходять лише на один офісний блок. В іншому випадку VLAN буде трохи більше ніж ввічливість знаків "не турбувати".

Оскільки єдиний трафік, який досягає розетки Ethernet кожного блоку, буде власним (завдяки налаштуванням окремих, відокремлених VLAN), це повинно забезпечити адекватне розділення, не вимагаючи від вас перебудовувати все як справді фізично окремі мережі.

Крім того, особливо якщо ви впроваджуєте VLAN або закінчуєте повторне з'єднання все-таки, скористайтеся можливістю правильно позначити всі кабелі номерами номерів пристрою та порту! Це займе трохи додаткового часу, але буде більш ніж варте того, щоб продовжувати, особливо якщо в майбутньому є якась проблема з мережею. Перевірте, що я успадкував щуряче гніздо кабелів. Що тепер? про помилку сервера для корисних підказок.

CVn
джерело
2
Дякую за це Майклу, надзвичайно корисна інформація та Ваша пропозиція здається розумною (я вже схвалив, але наразі не вистачає 15 представників). Завтра я проведу ще кілька розслідувань щодо того, що підтримує існуюче обладнання, і поговорю з власниками будівель, чи можна його повторно використовувати таким чином. Безумовно, VLAN більше схожі на те, що я хотів досягти при повністю розділеному трафіку, тому я прочитаю про це читання. Це питання про помилку сервера, яке ви пов’язали, змусило мене сміятися, на щастя, це не так вже й погано. Я візьму вашу пораду щодо її сортування. Ура!
Гексод
2
Також є ще один варіант. У компанії, в якій я працюю, ми отримали собі маршрутизатор 4G, з окремим контрактом. Це зменшує навантаження на існуючу бездротову мережу, і ви можете бути впевнені, що у вас буде та сама послуга, де б ви не поїхали, повністю відірвані від усіх інших. Це не додає такої великої складності і не є таким витратним.
Ісмаїл Мігель
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.