LAN protetta all'interno della LAN dell'ufficio esistente

12

Per prima cosa, stavo per pubblicare questo su Server Fault ma onestamente, non sono un amministratore di rete, sono uno studente CS che è stato chiamato a risolvere qualcosa per una piccola impresa familiare che si è appena trasferita in un piccolo spazi per uffici e non ho davvero i soldi a disposizione per assumere qualcuno per smistarli, quindi devo imparare cosa è necessario per completare il lavoro. Sono anche consapevole del fatto che questa domanda "LAN all'interno di una LAN" è stata posta in precedenza, quindi sentitevi liberi di contrassegnarlo come duplicato, sebbene nessuna delle domande esistenti abbia realmente risposto alle domande che ho.

Quindi, il problema. L'ufficio in cui ci siamo trasferiti viene convertito da un grande edificio precedentemente utilizzato da una singola azienda in un "centro business" con l'affitto di singole stanze. Ogni stanza è cablata con diverse porte Ethernet che conducono a una sala di rete con un armadio pieno di interruttori per legare tutto insieme anche se nulla di tutto ciò è in uso per quanto ne so. Il ragazzo che ha gestito la rete è stato licenziato ed ora è principalmente un santuario della sua mancanza di gestione dei cavi.

Le attuali aziende che occupano le stanze si affidano tutte a una rete wifi fornita da un ISP "BT HomeHub" fornito da un router / modem domestico. Dato che siamo regolati dal governo, non mi piace l'idea di condividere una rete e dubito che anche i regolatori lo farebbero.

Quindi, quali sono le opzioni qui? Non riesco davvero a fare nulla per il router / modem domestico poiché ci sono più altre aziende che condividono questo per l'accesso wireless. Idealmente, vorrei accedere a Internet tramite questo modem, ma devo assicurarmi che la rete su cui siamo in esecuzione sia completamente inaccessibile dagli altri dispositivi della rete che non fanno parte della nostra attività. Ho esplorato alcune delle offerte di router per piccole imprese di Cisco insieme a punti di accesso wireless (l'accesso wireless è la priorità immediata) ma non sono sicuro di poter ottenere quanto sopra con uno e voglio essere sicuro prima di ordinare qualsiasi hardware.

Sono sicuro che l'opzione migliore sarebbe quella di eseguire semplicemente un'altra linea nell'edificio, ma ciò aggiunge un costo mensile aggiuntivo oltre a un contratto di servizio, quindi sono desideroso di evitarlo per il momento.

Qualche idea sull'opzione migliore in questa situazione e su come potrei procedere?

networking  router  lan 
Hexodus
fonte
3
Prime domande da porsi: quanto è necessario l'accesso a Internet? La ditta morirà il router domestico di BT muore. Se è essenziale, noleggia la tua linea non domestica. Preferibilmente da un ISP diverso rispetto a uno già in ufficio, in modo da poterlo utilizzare come backup di emergenza. Seconda considerazione: chi ha accesso all'armadio pieno di interruttori? Che modello / capacità sono (bello sapere prima di iniziare a lavorare su una soluzione). Sono gestiti commutati? Firmware aggiornato? Il terzo è probabilmente il momento di capire quali cavi sono collegati alle vostre stanze.
Hennes,
Quando hai ricevuto quelle risposte, leggi su VLAN (per via cavo). Considera anche di non consentire l'accesso a Internet a parte un server di posta e proxy tutti gli altri dispositivi dietro di esso. (Quello è un server come firewall, logicamente dietro quel server di posta e logicamente dietro quel proxy) e fileserver). E pensa ai backup. Uno dei peggiori inizi sarebbe se poeple memorizzava le informazioni sui loro laptop invece che su un'unità di rete.
Hennes,
Che accesso hai all'attrezzatura? Hai il permesso di accedere al "router combinato casa / modem"? Qual è la fonte dell'accesso a Internet del sito? (Sto indovinando DSL da BT. Solo un'ipotesi. La risposta non è Wi-Fi.) Se vuoi "proteggere" la tua rete da altre reti sul sito, il dispositivo tipico per "proteggere" una rete è un firewall. Detto questo, molti router offrono funzionalità interne di tipo "firewall" (presumibilmente meno specializzate / progettate per l'attività rispetto a un dispositivo firewall dedicato). Alcune delle attrezzature pro di Cisco possono avere un'alta curva di apprendimento.
TOOGAM,
Ufficialmente non ho accesso, anche se sono certo che potrebbe essere negoziato, quindi lo farò domani. Sto solo cercando alcune idee su cosa potrebbe essere possibile con l'attrezzatura che è già in atto. La fonte sembra essere una normale linea DSL aziendale, che sono consapevole che non è "WiFi" (non sono un veterano delle reti ma non sono così inetto, non ti preoccupare). Le VLAN sembrano interessanti, le esaminerò sicuramente di più. Sto solo lottando per mettere insieme alcuni dei concetti di rete con la configurazione del mondo reale.
Hexodus,
@TOOGAM Non mi aspetterei che l'utente medio del computer capisca alcune cose nel mio "router" Cisco per piccole imprese senza guida. Per non parlare della possibilità di configurare le apparecchiature di rete basate su IOS di Cisco. Sono d'accordo con te finora. Ma non penso proprio che sia unico per Cisco; le attrezzature specialistiche hanno spesso una curva di apprendimento ripida. Cavolo, potresti impostare l'utente medio del computer davanti all'oscilloscopio medio e procedere a guardare i fuochi d'artificio. Non sono sicuro di quanti utenti di computer superiori alla media saprebbero usare un oscilloscopio, anche.
un CVn

Risposte:

16

Prima di tutto: se hai l'obbligo legale di fornire la separazione del traffico, chiedi sempre a qualcuno con l'autorità di farlo di firmare su qualsiasi piano come nei requisiti legali prima di iniziare a implementarlo. A seconda dei requisiti di legge specifici, che potrebbe essere solo che si hanno a fornire reti fisicamente separate con nessun punto di fiducia comune.

Detto questo, penso che tu abbia fondamentalmente tre opzioni: VLAN 802.1Q (migliore) e più livelli di NAT (peggio) e reti fisicamente separate (più sicure, ma anche complicate e probabilmente più costose a causa del ricablaggio fisico) .

Sto assumendo qui che tutto ciò che è già cablato sia Ethernet. Una parte dello standard Ethernet generale è ciò che è noto come IEEE 802.1Q , che descrive come stabilire LAN distinte a livello di collegamento sullo stesso collegamento fisico. Questo è noto come VLAN o LAN virtuale (nota: la WLAN non è completamente correlata e in questo contesto normalmente sta per Wireless LAN e molto spesso si riferisce a una delle varianti IEEE 802.11 ). È quindi possibile utilizzare uno switch di fascia alta (le cose economiche che è possibile acquistare per uso domestico in genere non dispongono di questa funzione; si desidera cercare uno switch gestito , idealmente uno che pubblicizza specificamente il supporto 802.1Q, sebbene siate pronti a pagare un premio per la funzione) configurato per separare ciascuna VLAN in un set di (possibilmente solo una) porta (e). Su ciascuna VLAN, quindi, è possibile utilizzare switch consumer comuni (o gateway NAT con una porta Ethernet uplink, se lo si desidera) per distribuire ulteriormente il traffico all'interno dell'unità ufficio.

Il lato positivo delle VLAN, rispetto a più livelli di NAT, è che è completamente indipendente dal tipo di traffico sui cavi. Con NAT, sei bloccato con IPv4 e forse IPv6 se sei fortunato e devi anche fare i conti con tutti i tradizionali mal di testa di NAT perché NAT rompe la connettività end-to-end (il semplice fatto che puoi ottenere un elenco di directory da un Il server FTP tramite NAT è una testimonianza dell'ingegnosità di alcune persone che lavorano con quella roba, ma anche quelle soluzioni alternative di solito presuppongono che ci sia un solo NAT lungo il percorso di connessione); con le VLAN, perché utilizza un'aggiunta al frame Ethernet , letteralmente qualsiasi cosache può essere trasferito su Ethernet può essere trasferito su VLAN Ethernet e viene preservata la connettività end-to-end, quindi per quanto riguarda l'IP, nulla è cambiato tranne l'insieme di nodi che sono raggiungibili sul segmento di rete locale. Lo standard consente fino a 4.094 (2 ^ 12 - 2) VLAN su un singolo collegamento fisico, ma attrezzature specifiche potrebbero avere limiti inferiori.

Da qui il mio suggerimento:

  • Verifica se l'apparecchiatura principale (che si trova in quel grande rack di switch nella stanza della rete) supporta 802.1Q. In tal caso, scopri come configurarlo e impostalo correttamente. Consiglierei di iniziare eseguendo un ripristino delle impostazioni di fabbrica, ma assicurandoti di non perdere alcuna configurazione importante. Assicurati di avvisare adeguatamente chiunque si affidi a quella connettività che ci saranno interruzioni del servizio mentre lo fai.
  • Se l'apparecchiatura master non supporta lo standard 802.1Q, trova quello che fa e soddisfa le tue esigenze in termini di numero di VLAN, numero di porte e così via e acquistalo. Quindi scopri come configurarlo e impostarlo correttamente. Questo ha il vantaggio di poterlo tenere separato durante l'impostazione, riducendo i tempi di inattività per tutti gli utenti esistenti (lo configureresti prima, quindi rimuovi le vecchie apparecchiature e aggancia le nuove, quindi i tempi di inattività sarebbero limitati essenzialmente a come a lungo è necessario scollegare e ricollegare tutto).
  • Chiedi a ogni unità di ufficio di utilizzare uno switch o un "router" domestico o per piccole imprese (gateway NAT) con una porta Ethernet uplink, per distribuire ulteriormente la connettività di rete tra i propri sistemi.

Quando si configurano gli switch, accertarsi assolutamente di limitare ogni VLAN al proprio set di porte e assicurarsi che tutte queste porte vadano solo su una singola unità ufficio. Altrimenti, le VLAN saranno poco più che segnali di cortesia "non disturbare".

Poiché l'unico traffico che raggiunge le prese Ethernet di ciascuna unità sarebbe il proprio (grazie alla configurazione di VLAN separate e separate), ciò dovrebbe fornire un'adeguata separazione senza la necessità di ricablare tutto come reti fisicamente separate.

Inoltre, soprattutto se si implementano VLAN o si finisce per ricablare tutto, cogliere l'occasione per contrassegnare correttamente tutti i cavi con numeri di unità e porte! Ci vorrà un po 'di tempo in più, ma ne varrà la pena in futuro, soprattutto se ci sono problemi di rete in futuro. Dai un'occhiata che ho ereditato il nido di cavi di un topo. E adesso? in Server Fault per alcuni suggerimenti utili.

un CVn
fonte
2
Grazie per questo Michael, informazioni estremamente utili e il tuo suggerimento sembra sensato (ho votato per il momento ma per il momento non ho i 15 rappresentanti). Domani farò qualche ulteriore indagine su ciò che l'hardware esistente supporta e parlerò con i proprietari dell'edificio se potesse essere riutilizzato in questo modo. Certamente le VLAN sembrano più simili a ciò che stavo cercando di ottenere con un traffico completamente separato, quindi farò qualche lettura su questo. Quella domanda Server Fault che mi hai collegato mi ha fatto ridere, per fortuna non è poi così male. Prenderò il tuo consiglio per risolverlo però. Saluti!
Hexodus,
2
Inoltre, c'è un'altra opzione. Nell'azienda in cui lavoro ci siamo procurati un router 4G, con un contratto separato. Ciò carica meno quella rete wireless esistente e si può essere certi di avere lo stesso servizio, ovunque tu vada, completamente distaccato da tutti gli altri. Questo non aggiunge molta complessità e non è così costoso.
Ismael Miguel,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.