Безопасная локальная сеть в существующей офисной локальной сети

Перво-наперво, я собирался опубликовать это о сбое сервера, но, честно говоря, я не сетевой администратор, я студент CS, которого призвали разобраться в очень маленьком семейном бизнесе, который только что перешел в небольшой офисных помещений, и у меня нет наличных денег, чтобы нанять кого-то, чтобы разобраться, поэтому мне нужно узнать, что нужно для выполнения работы. Мне также известно, что этот вопрос «ЛВС внутри ЛВС» задавался ранее, поэтому не стесняйтесь пометить его как дубликат, хотя ни один из существующих вопросов действительно не ответил на мои вопросы.

Итак, вопрос. Офис, в который мы переехали, превращается из большого здания, которое раньше использовалось одним бизнесом, в «бизнес-центр», где отдельные помещения сдаются в аренду. Каждая комната подключена несколькими сетевыми портами, ведущими обратно в сетевую комнату с шкафом, полным коммутаторов, чтобы связать все вместе, хотя, насколько я могу судить, ничего из этого не используется. Парня, который управлял сетью, сделали излишним, и теперь это в основном святилище из-за его отсутствия кабельного управления.

Все действующие предприятия, которые занимают эти комнаты, полагаются на сеть Wi-Fi, предоставляемую интернет-провайдером BT HomeHub, предоставившим домашний маршрутизатор / модем. Поскольку мы регулируемся правительством, мне не нравится идея совместного использования сети, и я сомневаюсь, что регулирующие органы тоже это сделают.

Итак, какие варианты здесь? Я ничего не могу поделать с домашним маршрутизатором / модемом, так как есть несколько других компаний, которые делятся этим для беспроводного доступа. В идеале я хотел бы получить доступ к Интернету через этот модем, но должен убедиться, что сеть, в которой мы работаем, полностью недоступна для других устройств в сети, которые не являются частью нашего бизнеса. Я просматривал некоторые предложения Cisco для маршрутизаторов для малого бизнеса вместе с беспроводными точками доступа (беспроводный доступ является первоочередным приоритетом), но я не уверен, смогу ли я достичь вышеуказанного с одним из них, и хочу быть уверен, прежде чем заказывать какие-либо аппаратное обеспечение.

Я уверен, что лучшим вариантом было бы просто запустить еще одну линию в здание, но это добавило бы дополнительную ежемесячную стоимость плюс контракт на обслуживание, поэтому я очень хочу избежать этого на данный момент.

Какие-нибудь мысли о лучшем варианте в этой ситуации и как я могу это сделать?

Прежде всего: если у вас есть юридические обязательства по обеспечению разделения трафика, всегда заставляйте кого-либо с полномочиями сделать это, чтобы подписать любой план в соответствии с требованиями законодательства, прежде чем приступить к его реализации. В зависимости от конкретных правовых требований, возможно, вам придется предоставлять физически отдельные сети без единой точки доверия.

Тем не менее, я думаю, что у вас в основном есть три варианта: VLAN 802.1Q (лучше) и несколько уровней NAT (хуже) и физически отдельные сети (наиболее безопасные, но также сложные и, вероятно, наиболее дорогие из-за физического перемонтирования) .

Здесь я предполагаю, что все, что уже подключено, это Ethernet. Одна часть общего стандарта Ethernet - это то, что известно как IEEE 802.1Q , в котором описывается, как устанавливать отдельные ЛВС канального уровня на одном физическом канале. Это известно как виртуальные локальные сети или виртуальные локальные сети (примечание: беспроводная локальная сеть совершенно не связана и в этом контексте обычно обозначает беспроводную локальную сеть и очень часто ссылается на один из вариантов IEEE 802.11 ). Затем вы можете использовать более качественный коммутатор (дешевый продукт, который вы можете купить для домашнего использования, обычно не имеет этой функции; вы хотите найти управляемый коммутатор , в идеале тот, который специально рекламирует поддержку 802.1Q).хотя будьте готовы платить больше за функцию), настроенную для разделения каждой VLAN на набор (возможно, только один) порта (ов). В каждой VLAN общие коммутаторы-потребители (или шлюзы NAT с портом восходящей линии Ethernet, если это необходимо) могут использоваться для дальнейшего распределения трафика внутри офисного устройства.

Преимущество VLAN по сравнению с несколькими уровнями NAT состоит в том, что он полностью независим от типа трафика по проводам. С NAT вы застряли с IPv4 и, возможно, с IPv6, если вам повезет, а также вам придется бороться со всеми традиционными головными болями NAT, потому что NAT нарушает сквозное соединение (простой факт, что вы можете получить список каталогов из FTP-сервер через NAT является свидетельством изобретательности некоторых людей, которые работают с этим материалом, но даже эти обходные пути обычно предполагают, что на маршруте соединения есть только один NAT); с VLAN, потому что он использует дополнение к кадру Ethernet , буквально всекоторые могут быть переданы через Ethernet, могут быть переданы через VLAN Ethernet, и сквозное соединение сохраняется, поэтому в отношении IP ничего не изменилось, за исключением набора узлов, которые доступны в сегменте локальной сети. Стандарт допускает до 4094 (2 ^ 12 - 2) VLAN на одном физическом канале, но конкретное оборудование может иметь более низкие пределы.

Отсюда мое предложение:

• Проверьте, поддерживает ли главное оборудование (что находится в этой большой стойке коммутаторов в сетевой комнате) 802.1Q. Если это так, то узнайте, как его настроить, и правильно его настройте. Я бы рекомендовал начать с возврата к заводским настройкам, но при этом убедитесь, что вы не потеряете ни одной важной конфигурации. Обязательно советуйте всем, кто полагается на эту связь, что при этом произойдут сбои в обслуживании.
• Если главное оборудование не поддерживает 802.1Q, найдите такое, которое соответствует вашим потребностям с точки зрения количества VLAN, количества портов и т. Д., И купите его. Затем узнайте, как его настроить, и правильно его настройте. Это дает преимущество в том, что вы можете держать его отдельно при настройке, сокращая время простоя для любых существующих пользователей (сначала вы настроите его, затем удалите старое оборудование и подключите новое, поэтому время простоя будет ограничено в основном тем, как долго нужно все отключать и снова подключать).
• Попросите, чтобы каждое офисное устройство использовало коммутатор или домашний или малый бизнес-маршрутизатор (шлюз NAT) с портом восходящей связи Ethernet для дальнейшего распределения сетевого подключения между своими системами.

При настройке коммутаторов обязательно убедитесь, что каждая VLAN ограничена собственным набором портов, и убедитесь, что все эти порты подключены только к одному офисному устройству. В противном случае VLAN будут чуть более чем любезными знаками «не беспокоить».

Поскольку единственный трафик, который достигает Ethernet-выходов каждого устройства, будет их собственным (благодаря настройке отдельных, отдельных VLAN), это должно обеспечить адекватное разделение, не требуя от вас перемонтировать все как действительно физически отдельные сети.

Кроме того, особенно если вы внедряете сети VLAN или заканчиваете переподключением всего, воспользуйтесь возможностью правильно пометить все кабели номерами устройств и портов! Это займет некоторое дополнительное время, но оно того стоит, особенно если в будущем возникнут какие-либо проблемы с сетью. Проверьте, что я унаследовал крысиное гнездо каблирования. Что теперь? на сбое сервера для некоторых полезных советов.