Безопасная локальная сеть в существующей офисной локальной сети

12

Перво-наперво, я собирался опубликовать это о сбое сервера, но, честно говоря, я не сетевой администратор, я студент CS, которого призвали разобраться в очень маленьком семейном бизнесе, который только что перешел в небольшой офисных помещений, и у меня нет наличных денег, чтобы нанять кого-то, чтобы разобраться, поэтому мне нужно узнать, что нужно для выполнения работы. Мне также известно, что этот вопрос «ЛВС внутри ЛВС» задавался ранее, поэтому не стесняйтесь пометить его как дубликат, хотя ни один из существующих вопросов действительно не ответил на мои вопросы.

Итак, вопрос. Офис, в который мы переехали, превращается из большого здания, которое раньше использовалось одним бизнесом, в «бизнес-центр», где отдельные помещения сдаются в аренду. Каждая комната подключена несколькими сетевыми портами, ведущими обратно в сетевую комнату с шкафом, полным коммутаторов, чтобы связать все вместе, хотя, насколько я могу судить, ничего из этого не используется. Парня, который управлял сетью, сделали излишним, и теперь это в основном святилище из-за его отсутствия кабельного управления.

Все действующие предприятия, которые занимают эти комнаты, полагаются на сеть Wi-Fi, предоставляемую интернет-провайдером BT HomeHub, предоставившим домашний маршрутизатор / модем. Поскольку мы регулируемся правительством, мне не нравится идея совместного использования сети, и я сомневаюсь, что регулирующие органы тоже это сделают.

Итак, какие варианты здесь? Я ничего не могу поделать с домашним маршрутизатором / модемом, так как есть несколько других компаний, которые делятся этим для беспроводного доступа. В идеале я хотел бы получить доступ к Интернету через этот модем, но должен убедиться, что сеть, в которой мы работаем, полностью недоступна для других устройств в сети, которые не являются частью нашего бизнеса. Я просматривал некоторые предложения Cisco для маршрутизаторов для малого бизнеса вместе с беспроводными точками доступа (беспроводный доступ является первоочередным приоритетом), но я не уверен, смогу ли я достичь вышеуказанного с одним из них, и хочу быть уверен, прежде чем заказывать какие-либо аппаратное обеспечение.

Я уверен, что лучшим вариантом было бы просто запустить еще одну линию в здание, но это добавило бы дополнительную ежемесячную стоимость плюс контракт на обслуживание, поэтому я очень хочу избежать этого на данный момент.

Какие-нибудь мысли о лучшем варианте в этой ситуации и как я могу это сделать?

Hexodus
источник
3
Первые вопросы, которые нужно задать себе: Насколько сильно нам нужен доступ в Интернет? Умирает ли фирма, умирает домашний маршрутизатор BT. Если это необходимо, то арендуйте свою собственную линию, не относящуюся к домашнему потребителю. Предпочтительно от другого интернет-провайдера, чем от уже находящегося в офисе, чтобы вы могли использовать его в качестве аварийного резервного копирования. Второе соображение: у кого есть доступ к шкафу с выключателями? Какая у них модель / возможности (приятно знать, когда вы начинаете работать над решением). Им удалось переключиться? Прошивка обновлена? В-третьих, возможно, пришло время выяснить, какие кабели подключены к вашим комнатам.
Хеннес
Когда вы получите эти ответы, прочитайте о VLAN (для проводных). Также рассмотрите возможность запрета доступа в Интернет к чему-либо, кроме почтового сервера и прокси-серверов для всех остальных устройств. (Это сервер в качестве брандмауэра, логически позади этого почтового сервера и логически позади этого прокси) и файлового сервера). И подумайте о резервных копиях. Один из худших стартов был бы, если бы люди хранили информацию на своих ноутбуках, а не на сетевом диске.
Хеннес
Какой у вас доступ к оборудованию? У вас есть разрешение на вход в "домашний роутер / модем со списком"? Каков источник доступа в Интернет на сайте? (Я предполагаю DSL от BT. Просто предположение. Ответ не Wi-Fi.) Если вы хотите «защитить» свою сеть от других сетей на сайте, типичным устройством для «защиты» сети является межсетевой экран. Тем не менее, многие маршрутизаторы предоставляют внутренние возможности типа «брандмауэра» (предположительно, менее специализированные / предназначенные для этой задачи, чем выделенное устройство брандмауэра). Некоторое профессиональное оборудование Cisco может иметь высокую кривую обучения.
TOOGAM
Официально у меня нет доступа, хотя я уверен, что об этом можно договориться, так что я позабочусь об этом завтра. Просто ищу некоторые идеи относительно того, что может быть возможно с уже имеющимся оборудованием. Похоже, что источником является обычная бизнес-линия DSL, которая, как я знаю, не является «WiFi» (я не ветеран сетей, но я не настолько неумелый, не волнуйтесь). Виртуальные локальные сети выглядят интересно, я буду смотреть на них, конечно, дальше. Я просто изо всех сил пытаюсь соединить некоторые из сетевых концепций с реальной установкой.
Гексодус
@TOOGAM Я бы не ожидал, что обычный пользователь компьютера поймет некоторые вещи в моем «роутере» Cisco для малого бизнеса без руководства. Не говоря уже о возможности настройки сетевого оборудования Cisco на базе IOS. Согласна с вами пока. Но я действительно не думаю, что это уникально для Cisco; специальное оборудование часто имеет крутой кривой обучения. Черт возьми, вы можете настроить обычного пользователя компьютера перед осциллографом и продолжить наблюдать за фейерверком. Я не уверен, сколько пользователей компьютеров выше среднего знали бы, как пользоваться осциллографом, даже.
CVn

Ответы:

16

Прежде всего: если у вас есть юридические обязательства по обеспечению разделения трафика, всегда заставляйте кого-либо с полномочиями сделать это, чтобы подписать любой план в соответствии с требованиями законодательства, прежде чем приступить к его реализации. В зависимости от конкретных правовых требований, возможно, вам придется предоставлять физически отдельные сети без единой точки доверия.

Тем не менее, я думаю, что у вас в основном есть три варианта: VLAN 802.1Q (лучше) и несколько уровней NAT (хуже) и физически отдельные сети (наиболее безопасные, но также сложные и, вероятно, наиболее дорогие из-за физического перемонтирования) .

Здесь я предполагаю, что все, что уже подключено, это Ethernet. Одна часть общего стандарта Ethernet - это то, что известно как IEEE 802.1Q , в котором описывается, как устанавливать отдельные ЛВС канального уровня на одном физическом канале. Это известно как виртуальные локальные сети или виртуальные локальные сети (примечание: беспроводная локальная сеть совершенно не связана и в этом контексте обычно обозначает беспроводную локальную сеть и очень часто ссылается на один из вариантов IEEE 802.11 ). Затем вы можете использовать более качественный коммутатор (дешевый продукт, который вы можете купить для домашнего использования, обычно не имеет этой функции; вы хотите найти управляемый коммутатор , в идеале тот, который специально рекламирует поддержку 802.1Q).хотя будьте готовы платить больше за функцию), настроенную для разделения каждой VLAN на набор (возможно, только один) порта (ов). В каждой VLAN общие коммутаторы-потребители (или шлюзы NAT с портом восходящей линии Ethernet, если это необходимо) могут использоваться для дальнейшего распределения трафика внутри офисного устройства.

Преимущество VLAN по сравнению с несколькими уровнями NAT состоит в том, что он полностью независим от типа трафика по проводам. С NAT вы застряли с IPv4 и, возможно, с IPv6, если вам повезет, а также вам придется бороться со всеми традиционными головными болями NAT, потому что NAT нарушает сквозное соединение (простой факт, что вы можете получить список каталогов из FTP-сервер через NAT является свидетельством изобретательности некоторых людей, которые работают с этим материалом, но даже эти обходные пути обычно предполагают, что на маршруте соединения есть только один NAT); с VLAN, потому что он использует дополнение к кадру Ethernet , буквально всекоторые могут быть переданы через Ethernet, могут быть переданы через VLAN Ethernet, и сквозное соединение сохраняется, поэтому в отношении IP ничего не изменилось, за исключением набора узлов, которые доступны в сегменте локальной сети. Стандарт допускает до 4094 (2 ^ 12 - 2) VLAN на одном физическом канале, но конкретное оборудование может иметь более низкие пределы.

Отсюда мое предложение:

  • Проверьте, поддерживает ли главное оборудование (что находится в этой большой стойке коммутаторов в сетевой комнате) 802.1Q. Если это так, то узнайте, как его настроить, и правильно его настройте. Я бы рекомендовал начать с возврата к заводским настройкам, но при этом убедитесь, что вы не потеряете ни одной важной конфигурации. Обязательно советуйте всем, кто полагается на эту связь, что при этом произойдут сбои в обслуживании.
  • Если главное оборудование не поддерживает 802.1Q, найдите такое, которое соответствует вашим потребностям с точки зрения количества VLAN, количества портов и т. Д., И купите его. Затем узнайте, как его настроить, и правильно его настройте. Это дает преимущество в том, что вы можете держать его отдельно при настройке, сокращая время простоя для любых существующих пользователей (сначала вы настроите его, затем удалите старое оборудование и подключите новое, поэтому время простоя будет ограничено в основном тем, как долго нужно все отключать и снова подключать).
  • Попросите, чтобы каждое офисное устройство использовало коммутатор или домашний или малый бизнес-маршрутизатор (шлюз NAT) с портом восходящей связи Ethernet для дальнейшего распределения сетевого подключения между своими системами.

При настройке коммутаторов обязательно убедитесь, что каждая VLAN ограничена собственным набором портов, и убедитесь, что все эти порты подключены только к одному офисному устройству. В противном случае VLAN будут чуть более чем любезными знаками «не беспокоить».

Поскольку единственный трафик, который достигает Ethernet-выходов каждого устройства, будет их собственным (благодаря настройке отдельных, отдельных VLAN), это должно обеспечить адекватное разделение, не требуя от вас перемонтировать все как действительно физически отдельные сети.

Кроме того, особенно если вы внедряете сети VLAN или заканчиваете переподключением всего, воспользуйтесь возможностью правильно пометить все кабели номерами устройств и портов! Это займет некоторое дополнительное время, но оно того стоит, особенно если в будущем возникнут какие-либо проблемы с сетью. Проверьте, что я унаследовал крысиное гнездо каблирования. Что теперь? на сбое сервера для некоторых полезных советов.

CVn
источник
2
Спасибо за этого Майкла, чрезвычайно полезная информация и ваше предложение кажется разумным (я проголосовал, но на данный момент мне не хватает 15 представителей). Завтра я проведу дальнейшее исследование того, что поддерживает существующее оборудование, и поговорю с владельцами здания о том, можно ли его использовать таким образом. Конечно, VLAN больше похожи на то, чего я хотел достичь с полностью разделенным трафиком, поэтому я немного прочту об этом. Вопрос, связанный с ошибкой сервера, который вы связали, заставил меня смеяться, к счастью, он не так плох. Я приму ваш совет, как разобраться. Ура!
Гексодус
2
Также есть еще один вариант. В компании, в которой я работаю, мы получили 4G роутер с отдельным контрактом. Это создает меньшую нагрузку на эту существующую беспроводную сеть, и вы можете быть уверены, что у вас будет одинаковый сервис, где бы вы ни находились, полностью оторванный от всех остальных. Это не добавляет такой сложности и не так уж и дорого.
Исмаэль Мигель