现有办公室局域网内的安全局域网

12

首先,我将其发布在Server Fault上,但老实说,我不是网络管理员,我是一名CS学生,他被要求为一家很小的家族企业挑选一些东西,而他们刚刚搬入一家小企业。办公空间,而且实际上没有现金来雇用某人进行分类,因此我必须了解完成这项工作所需的知识。我也知道之前曾问过“局域网内的局域网”这个问题,所以尽管现有的问题都没有真正回答我的问题,但可以将其标记为重复。

因此,问题。我们搬进的办公室正在从以前由一家公司使用的大型建筑转变为“商务中心”,并出租了各个房间。每个房间都通过数个以太网端口进行布线,这些以太网端口通向带有一个装有交换机的机柜的网络房间,以将所有内容捆绑在一起,尽管据我所知,这些都没有被使用。管理网络的那个人变得多余了,现在这成了他缺乏电缆管理的圣地。

当前占用房间的企业都依赖于由“ BT HomeHub” ISP提供的家庭路由器/调制解调器组合提供的wifi网络。由于我们受政府监管,所以我不喜欢共享网络的想法,而且我怀疑监管机构是否也会这样做。

那么,这里有哪些选择?对于家用路由器/调制解调器,我真的无能为力,因为还有许多其他公司在共享它来进行无线访问。理想情况下,我想通过此调制解调器访问Internet,但需要确保正在运行的网络完全不受网络上其他与我们业务无关的设备的访问。我一直在浏览思科提供的一些小型企业路由器产品以及无线接入点(无线接入是当务之急),但是我不确定我能否用一个实现上述目标,并且想确定在订购任何产品之前硬件。

我敢肯定,最好的选择是简单地在建筑物中再铺设一条生产线,但这会增加每月的额外费用和一份服务合同,因此我希望暂时避免这种情况。

在这种情况下,关于最佳选择的任何想法以及如何解决?

networking  router  lan 
六足纲
source
3
首先要问自己的问题:我们多么需要互联网访问?BT的家用路由器死亡时,公司会死吗?如果必不可少的话,请租用自己的非家庭用户电话。最好是从另一个ISP,然后再从一个已经在办公室的ISP,以便将其用作紧急备份。第二个考虑:谁可以访问装有交换机的机柜?它们是什么模型/功能(很高兴知道在开始使用解决方案之前)。他们被管理交换了吗?固件最新?第三可能是时候找出哪些电缆连接到您的房间了。
Hennes
当您得到这些答案时,请阅读VLAN(用于有线)。还应考虑不允许互联网访问除邮件服务器以外的任何设备,并代理位于其后的所有其他设备。(这是一台作为防火墙的服务器,在逻辑上位于邮件服务器之后,在逻辑上位于代理之后)和文件服务器)。然后考虑备份。最糟糕的开始之一是如果人们将信息存储在笔记本电脑上而不是网络驱动器上。
Hennes
您对设备有什么访问权限?您是否有权登录“家用路由器/调制解调器组合”?该站点的Internet访问源是什么?(我猜是来自BT的DSL。只是一个猜测。答案不是Wi-Fi。)如果要“保护”网络免受站点中其他网络的干扰,则“保护”网络的典型设备是防火墙。就是说,许多路由器都提供内部“防火墙”类型的功能(与专用防火墙设备相比,可能不那么专门针对任务设计/针对任务设计)。思科的某些专业设备可能具有较高的学习曲线。
TOOGAM
正式地我没有访问权限,尽管我可以确定可以协商,所以明天再说。只是想寻找一些有关已经存在的设备可能带来的想法。消息来源似乎是一条常规的商业DSL线路,我知道这不是“ WiFi”(我不是网络资深人士,但我并不那么无能,请放心)。VLAN看起来很有趣,我一定会进一步研究它们。我只是在努力将一些网络概念与实际设置结合在一起。
Hexodus
@TOOGAM我不希望普通计算机用户在没有指导的情况下了解我的思科小型企业“路由器”中的某些内容。更不用说能够配置基于Cisco IOS的​​网络设备了。到目前为止,您都同意。但是我真的不认为这是思科独有的。专业设备通常确实具有陡峭的学习曲线。哎呀,您可以将普通计算机用户设置在普通示波器前面,然后继续观看烟花。我也不知道有多少高于平均水平的计算机用户知道如何使用示波器。
CVn

Answers:

16

首先,如果您负有提供流量隔离的法律义务,请始终授权某人在法律要求之内签署任何计划,然后再开始实施。根据特定的法律要求,可能只是您将不得不提供没有公共信任点的物理上独立的网络。

就是说,我认为您基本上有三种选择:802.1Q VLAN(更好)多层NAT(更差)以及物理上分离的网络(由于物理重新布线,最安全,但也很复杂,而且可能最昂贵)

我在这里假设已经连接的所有东西都是以太网。总体以太网标准的一部分是所谓的IEEE 802.1Q,它描述了如何在同一物理链路上建立不同的链路层LAN。这被称为VLAN或虚拟LAN(注意:WLAN 完全不相关,在这种情况下,WLAN 通常代表无线LAN,通常指的是IEEE 802.11变体之一)。然后,您可以使用更高端的交换机(您可以购买的用于家用的廉价产品通常不具有此功能;您需要寻找一台管理型交换机,最好是专门宣传802.1Q支持的交换机),尽管您准备为此功能支付额外费用),但该功能已配置为将每个VLAN隔离到一组(可能只有一个)端口。然后,在每个VLAN上,可以使用普通的用户交换机(或如果需要,具有以太网上行链路端口的NAT网关)在办公室单元内进一步分配流量。

与多层NAT相比,VLAN的优势在于它完全独立于线路上的流量类型。使用NAT,你被卡住IPv4和可能 IPv6的,如果你是幸运的,也有与所有的抗衡NAT的传统头疼,因为NAT中断终端到端到端连接(一个简单的事实,你可以得到一个目录从上市通过NAT的FTP服务器证明了一些从事该工作的人们的独创性,但是即使是这些变通方法,通常也假设连接路径上只有一个 NAT。使用VLAN,因为它使用了除以太网帧,从字面上看什么可以通过以太网传输的数据可以通过VLAN以太网传输,并且保留了端到端连接,因此,就IP而言,除了本地网段上可访问的节点集之外,其他都没有改变。该标准在单个物理链路上最多允许4,094(2 ^ 12-2)个VLAN,但是特定设备可能具有较低的限制。

因此,我的建议是:

  • 检查主设备(网络机房中那台大型交换机中的设备)是否支持802.1Q。如果是这样,请找出如何进行配置并正确设置。我建议您先恢复出厂设置,但要确保这样做不会丢失任何重要的配置。一定要正确地建议任何依赖该连接的人在执行此操作时会中断服务。
  • 如果主设备不支持802.1Q,请在VLAN数量,端口数量等方面找到可以满足您需求的设备,然后购买。然后找出如何配置它,并正确设置它。这样做确实有好处,您可以在设置时将其分开,从而减少任何现有用户的停机时间(您需要先对其进行设置,然后移除旧设备并连接新设备,因此停机时间基本上仅限于长,您需要拔出插头,然后重新插上所有插头)。
  • 让每个办公室单元使用交换机,或具有以太网上行链路端口的家庭或小型企业“路由器”(NAT网关),以进一步在其各自的系统之间分配网络连接。

在配置交换机时,绝对要确保将每个VLAN限制为其自己的端口集,并确保所有这些端口仅进入单个办公单元。否则,VLAN将仅是礼貌的“请勿打扰”标志。

由于到达每个单元的以太网出口的唯一流量将是它们自己的流量(由于配置了单独的,分离的VLAN),因此这应该提供足够的隔离,而无需您将所有东西重新连接为真正物理上独立的网络。

另外,尤其是在实施VLAN或最终重新布线时,请务必利用所有设备和端口号正确标记所有电缆!这将花费一些额外的时间,但特别值得一提的是,如果将来出现任何类型的网络问题。看看我继承了电缆的老鼠窝。现在怎么办?有关服务器故障的一些有用提示。

简历
source
2
感谢Michael的帮助,非常有用的信息和您的建议似乎是一个明智的建议(我赞成,但目前缺乏15名代表)。明天,我将对现有硬件支持什么进行进一步调查,并与建筑物所有者讨论是否可以这种方式重复使用。当然,VLAN听起来更像是我希望通过完全分离的流量来实现的目标,所以我将对此做一些阅读。您链接的服务器故障问题让我发笑,幸好这还不算太糟糕。不过,我会根据您的建议进行整理。干杯!
Hexodus
2
另外,还有另一种选择。在我工作的公司中,我们为自己配备了4G路由器,并有单独的合同。这样可以减轻现有无线网络的负担,并且您可以确保无论身在何处,都能获得与其他人完全分离的相同服务。这并不会增加太多复杂性,也不是那么昂贵。
Ismael Miguel
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.