12

Перво-наперво, я собирался опубликовать это о сбое сервера, но, честно говоря, я не сетевой администратор, я студент CS, которого призвали разобраться в очень маленьком семейном бизнесе, который только что перешел в небольшой офисных помещений, и у меня нет наличных денег, чтобы нанять кого-то для сортировки, поэтому мне нужно узнать, что нужно для завершения работы. Я также знаю, что этот вопрос «ЛВС внутри ЛВС» задавался ранее, поэтому не стесняйтесь пометить его как дубликат, хотя ни один из существующих вопросов действительно не ответил на мои вопросы.

Итак, вопрос. Офис, в который мы переехали, превращается из большого здания, ранее использовавшегося одним предприятием, в «бизнес-центр», где отдельные помещения сдаются в аренду. Каждая комната подключена несколькими сетевыми портами, ведущими обратно в сетевую комнату с шкафом, полным коммутаторов, чтобы связать все вместе, хотя, насколько я могу судить, ничего из этого не используется. Парня, который управлял сетью, сделали излишним, и теперь это в основном святилище из-за его отсутствия кабельного управления.

Все текущие предприятия, которые занимают комнаты, все полагаются на сеть Wi-Fi, предоставленную интернет-маршрутизатором / модемом, предоставленным провайдером BT HomeHub. Поскольку мы регулируемся правительством, мне не нравится идея совместного использования сети, и я сомневаюсь, что регулирующие органы тоже это сделают.

Итак, какие варианты здесь? Я ничего не могу поделать с домашним маршрутизатором / модемом, так как есть несколько других компаний, которые делятся этим для беспроводного доступа. В идеале я хотел бы получить доступ к Интернету через этот модем, но должен убедиться, что сеть, в которой мы работаем, полностью недоступна для других устройств в сети, которые не являются частью нашего бизнеса. Я просматривал некоторые предложения Cisco для маршрутизаторов для малого бизнеса вместе с беспроводными точками доступа (беспроводный доступ является первоочередным приоритетом), но я не уверен, смогу ли я достичь вышеуказанного с одним из них, и хочу быть уверен, прежде чем заказывать какие-либо аппаратное обеспечение.

Я уверен, что лучшим вариантом было бы просто провести еще одну линию в здание, но это добавило бы дополнительную ежемесячную стоимость плюс контракт на обслуживание, поэтому я очень хочу избежать этого на данный момент.

Есть какие-нибудь мысли о лучшем варианте в этой ситуации и как я могу это сделать?

|источник

1 ответ1

16

Прежде всего: если у вас есть юридические обязательства по обеспечению разделения трафика, всегда заставляйте кого-либо с полномочиями сделать это, чтобы подписать любой план в соответствии с требованиями законодательства, прежде чем приступить к его реализации. В зависимости от конкретных правовых требований, возможно, вам придется предоставлять физически отдельные сети без единой точки доверия.

Тем не менее, я думаю, что у вас в основном есть три варианта: VLAN 802.1Q (лучше) и несколько уровней NAT (хуже) и физически отдельные сети (наиболее безопасные, но также сложные и, вероятно, наиболее дорогие из-за физического перемонтирования).

Здесь я предполагаю, что все, что уже подключено, это Ethernet. Одна часть общего стандарта Ethernet - это то, что известно как IEEE 802.1Q, в котором описывается, как устанавливать отдельные ЛВС канального уровня на одном физическом канале. Это известно как виртуальные локальные сети или виртуальные локальные сети (примечание: беспроводная локальная сеть полностью не связана и в этом контексте обычно обозначает беспроводную локальную сеть и очень часто ссылается на один из вариантов IEEE 802.11 ). Затем вы можете использовать более качественный коммутатор (дешевый продукт, который вы можете купить для домашнего использования, как правило, не имеет этой функции; вам нужно искать управляемый коммутатор, в идеале тот, который специально рекламирует поддержку 802.1Q, хотя и готов к платить за функцию), настроенную для разделения каждой VLAN на набор (возможно, только один) порт (ы). Таким образом, в каждой VLAN общие потребительские коммутаторы (или шлюзы NAT с портом восходящей линии Ethernet, если необходимо) могут использоваться для дальнейшего распределения трафика внутри офисного устройства.

Преимущество сетей VLAN по сравнению с несколькими уровнями NAT состоит в том, что они полностью независимы от типа трафика по проводам. С NAT вы застряли с IPv4 и, возможно, с IPv6, если вам повезет, а также вам придется бороться со всеми традиционными головными болями NAT, потому что NAT нарушает сквозное соединение (простой факт, что вы можете получить список каталогов из FTP-сервер через NAT является свидетельством изобретательности некоторых людей, которые работают с этим, но даже эти обходные пути обычно предполагают, что на маршруте соединения есть только один NAT); с VLAN, поскольку он использует дополнение к фрейму Ethernet, буквально все, что может быть передано по Ethernet, может быть передано по VLAN Ethernet, и сквозное соединение сохраняется, поэтому в отношении IP ничего не изменилось, кроме набор узлов, которые доступны в сегменте локальной сети. Стандарт допускает до 4094 (2 ^ 12 - 2) VLAN на одном физическом канале, но конкретное оборудование может иметь более низкие пределы.

Отсюда мое предложение:

  • Проверьте, поддерживает ли главное оборудование (что находится в этой большой стойке коммутаторов в сетевой комнате) 802.1Q. Если это так, то узнайте, как его настроить, и правильно его настройте. Я бы порекомендовал начать с возврата к заводским настройкам, но при этом убедитесь, что вы не потеряете важную конфигурацию. Обязательно советуйте всем, кто полагается на эту связь, что произойдут сбои в обслуживании.
  • Если ведущее оборудование не поддерживает 802.1Q, найдите такое, которое соответствует вашим потребностям с точки зрения количества VLAN, количества портов и т.д., И купите его. Затем выясните, как его настроить и правильно его настроить. Это дает преимущество в том, что вы можете держать его отдельно при настройке, сокращая время простоя для любых существующих пользователей (сначала вы настроите его, затем удалите старое оборудование и подключите новое, поэтому время простоя будет ограничено в основном тем, как долго нужно все отключать и снова подключать).
  • Попросите каждое офисное устройство использовать коммутатор или домашний или малый бизнес-маршрутизатор (шлюз NAT) с портом восходящей связи Ethernet для дальнейшего распределения сетевого подключения между своими системами.

При настройке коммутаторов обязательно убедитесь, что каждая VLAN ограничена собственным набором портов, и убедитесь, что все эти порты подключены только к одному офисному устройству. В противном случае VLAN будут чуть более чем любезными знаками "не беспокоить".

Поскольку единственный трафик, который достигает Ethernet-выходов каждого устройства, будет их собственным (благодаря настройке отдельных, отдельных VLAN), это должно обеспечить адекватное разделение, не требуя от вас перемонтировать все как действительно физически отдельные сети.

Кроме того, особенно если вы внедряете сети VLAN или заканчиваете переподключением всего, воспользуйтесь возможностью правильно пометить все кабели номерами устройств и портов! Это займет некоторое дополнительное время, но будет более чем оправдано, особенно если в будущем возникнут какие-либо проблемы с сетью. Проверьте, что я унаследовал крысиное гнездо каблирования.Что теперь? на сбое сервера для некоторых полезных советов.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .