Bezpieczna sieć LAN w ramach istniejącej biurowej sieci LAN

12

Po pierwsze, zamierzałem zamieścić to w usłudze Server Fault, ale szczerze mówiąc, nie jestem administratorem sieci, jestem studentem CS, który został wezwany do załatwienia czegoś dla bardzo małej firmy rodzinnej, która właśnie przeprowadziła się do małej powierzchni biurowej i nie mam tak naprawdę gotówki, aby kogoś zatrudnić, aby ją posortować, więc muszę się dowiedzieć, co jest potrzebne do wykonania pracy. Wiem również, że pytanie „LAN w sieci LAN” zostało zadane wcześniej, więc proszę zaznaczyć je jako duplikat, chociaż żadne z istniejących pytań tak naprawdę nie odpowiedziało na moje pytania.

Tak więc problem. Biuro, w którym się przeprowadziliśmy, jest przekształcane z dużego budynku, który był kiedyś używany przez jedną firmę, w „centrum biznesowe” z wynajmowanymi pojedynczymi pokojami. Każdy pokój jest okablowany z kilkoma portami ethernetowymi prowadzącymi z powrotem do pokoju sieciowego z szafką pełną przełączników do wiązania wszystkiego, chociaż żaden z nich nie jest używany, o ile wiem. Facet, który zarządzał siecią, został zwolniony, a obecnie jest to głównie sanktuarium jego braku zarządzania kablami.

Obecne firmy zajmujące pokoje opierają się na sieci Wi-Fi zapewnianej przez dostawcę usług domowych „BT HomeHub” zapewniającego połączenie domowego routera / modemu. Ponieważ jesteśmy regulowani przez rząd, nie podoba mi się pomysł współdzielenia sieci i wątpię, by regulatorzy też to zrobili.

Jakie są tutaj opcje? Naprawdę nie mogę nic zrobić z domowym routerem / modemem, ponieważ wiele innych firm udostępnia to w celu uzyskania dostępu bezprzewodowego. Idealnie chciałbym uzyskać dostęp do Internetu za pośrednictwem tego modemu, ale muszę upewnić się, że sieć, w której działamy, jest całkowicie niedostępna dla innych urządzeń w sieci, które nie są częścią naszej działalności. Przeglądam niektóre oferty routerów dla małych firm firmy Cisco wraz z bezprzewodowymi punktami dostępowymi (bezpośredni dostęp do Internetu jest priorytetem), ale nie jestem pewien, czy uda mi się to osiągnąć za jednym z nich i chcę mieć pewność przed złożeniem zamówienia sprzęt komputerowy.

Jestem pewien, że najlepszą opcją byłoby po prostu poprowadzenie kolejnej linii do budynku, ale to powoduje dodatkowy miesięczny koszt plus umowę serwisową, więc na razie chcę tego uniknąć.

Masz jakieś przemyślenia na temat najlepszej opcji w tej sytuacji i jak sobie z tym poradzić?

networking router lan Hexodus
źródło
3
Pierwsze pytania, które należy sobie zadać: jak bardzo potrzebujemy dostępu do Internetu? Czy firma umrze, to zginie domowy router BT. Jeśli jest to konieczne, wynająć własną linię nie będącą konsumentem domowym. Najlepiej od innego usługodawcy internetowego niż tego, który jest już w biurze, aby można było użyć go jako awaryjnej kopii zapasowej. Druga uwaga: kto ma dostęp do szafy pełnej przełączników? Jakie to są modele / możliwości (miło wiedzieć, zanim zaczniesz pracować nad rozwiązaniem). Czy zarządza się ich zamianą? Firmware na bieżąco? Trzeci jest prawdopodobnie czas, aby dowiedzieć się, które kable są podłączone do pomieszczeń.
Hennes,
Po otrzymaniu tych odpowiedzi przeczytaj o sieciach VLAN (dla przewodowych). Zastanów się również, czy nie zezwalać na dostęp do Internetu do niczego poza serwerem poczty i proxy dla wszystkich innych urządzeń za nim. (To serwer jako zapora ogniowa, logicznie za serwerem poczty i logicznie za serwerem proxy) i serwer plików). I pomyśl o kopiach zapasowych. Jednym z najgorszych początków byłoby, gdyby ludzie przechowywali informacje na swoich laptopach zamiast na dysku sieciowym.
Hennes,
Jaki masz dostęp do sprzętu? Czy masz uprawnienia do zalogowania się do „domowego zestawu routera / modemu”? Jakie jest źródło dostępu do strony internetowej? (Zgaduję DSL z BT. Tylko zgaduję. Odpowiedź nie brzmi Wi-Fi.) Jeśli chcesz „chronić” swoją sieć przed innymi sieciami na miejscu, typowym urządzeniem do „ochrony” sieci jest zapora ogniowa. To powiedziawszy, wiele routerów zapewnia wewnętrzne funkcje typu „firewall” (przypuszczalnie mniej wyspecjalizowane / zaprojektowane do tego zadania niż dedykowane urządzenie firewall). Niektóre z profesjonalnych urządzeń Cisco mogą mieć wysoką krzywą uczenia się.
TOOGAM,
Oficjalnie nie mam dostępu, choć jestem pewien, że można to wynegocjować, więc jutro się tym zajmę. Po prostu szukam pomysłów na to, co może być możliwe z już zainstalowanym sprzętem. Źródłem wydaje się być zwykła biznesowa linia DSL, o której wiem, że nie jest to „WiFi” (nie jestem weteranem sieci, ale nie jestem taki nieudolny, nie martw się). Sieci VLAN wyglądają interesująco, przyjrzę się im z pewnością dalej. Po prostu staram się połączyć niektóre koncepcje sieciowe z konfiguracją w świecie rzeczywistym.
Heksodus
@TOOGAM Nie spodziewałbym się, że przeciętny użytkownik komputera zrozumie niektóre rzeczy z mojego „routera” Cisco dla małych firm bez wskazówek. Nie mówiąc już o możliwości konfiguracji sprzętu sieciowego opartego na IOS firmy Cisco. Jak dotąd się z tobą zgadzam. Ale tak naprawdę nie sądzę, że jest to unikalne dla Cisco; specjalistyczny sprzęt często ma stromą krzywą uczenia się. Heck, możesz ustawić przeciętnego użytkownika komputera przed przeciętnym oscyloskopem i przejść do oglądania fajerwerków. Nawet nie jestem pewien, ilu ponadprzeciętnych użytkowników komputerów wiedziałoby, jak korzystać z oscyloskopu.
CVn

Odpowiedzi:

16

Po pierwsze: jeśli masz prawne zobowiązania do zapewnienia separacji ruchu, zawsze poproś kogoś, kto jest do tego upoważniony, aby podpisał się na dowolnym planie zgodnym z wymogami prawnymi, zanim zaczniesz go wdrażać. W zależności od konkretnych wymagań prawnych może być tak, że będziesz musiał zapewnić fizycznie oddzielne sieci bez wspólnego punktu zaufania.

To powiedziawszy, myślę, że w zasadzie masz trzy opcje: sieci VLAN 802.1Q (lepsze) i wiele warstw NAT (gorsze) i fizycznie oddzielne sieci (najbezpieczniejsze, ale także skomplikowane i prawdopodobnie najdroższe ze względu na fizyczne ponowne podłączenie) .

Zakładam, że wszystko, co jest już podłączone, to Ethernet. Jedną częścią ogólnego standardu Ethernet jest tak zwana IEEE 802.1Q , która opisuje, jak ustanowić odrębne sieci LAN warstwy łącza na tym samym łączu fizycznym. Jest to znane jako VLAN lub wirtualne sieci LAN (uwaga: WLAN jest całkowicie niezwiązana iw tym kontekście zwykle oznacza bezprzewodową sieć LAN i bardzo często odnosi się do jednego z wariantów IEEE 802.11 ). Następnie możesz użyć wyższej klasy przełącznika (tanie rzeczy, które można kupić do użytku domowego, na ogół nie mają tej funkcji; chcesz poszukać przełącznika zarządzanego , najlepiej takiego, który reklamuje wsparcie 802.1Q, choć bądź przygotowany na zapłacenie premii za tę funkcję) skonfigurowanej do segregacji każdej sieci VLAN do zestawu (prawdopodobnie tylko jednego) portu (portów). Na każdej sieci VLAN można następnie użyć zwykłych przełączników konsumenckich (lub bram NAT z portem w górę Ethernet, jeśli jest to pożądane), aby dalej rozdzielić ruch w obrębie jednostki biurowej.

Zaletą sieci VLAN w porównaniu z wieloma warstwami NAT jest to, że jest ona całkowicie niezależna od rodzaju ruchu na przewodach. W przypadku NAT utkniesz w IPv4 i być może IPv6, jeśli masz szczęście, a także musisz zmagać się ze wszystkimi tradycyjnymi problemami z NAT, ponieważ NAT przerywa łączność end-to-end (prosty fakt, że możesz uzyskać listę katalogów z Serwer FTP za pośrednictwem NAT jest świadectwem pomysłowości niektórych ludzi, którzy pracują z takimi rzeczami, ale nawet te obejścia zwykle zakładają, że istnieje tylko jeden NAT na trasie połączenia); z VLAN-ami, ponieważ wykorzystuje dodatek do ramki Ethernet , dosłownie wszystkoktóre można przesyłać przez Ethernet można przesyłać przez VLAN Ethernet, a łączność między końcami jest zachowana, więc jeśli chodzi o IP, nic się nie zmieniło oprócz zestawu węzłów, które są osiągalne w segmencie sieci lokalnej. Standard pozwala na maksymalnie 4 094 (2 ^ 12 - 2) sieci VLAN na jednym łączu fizycznym, ale określone urządzenia mogą mieć niższe limity.

Stąd moja sugestia:

  • Sprawdź, czy urządzenie główne (co znajduje się w tym dużym stojaku przełączników w pomieszczeniu sieciowym) obsługuje standard 802.1Q. Jeśli tak, dowiedz się, jak go skonfigurować i poprawnie skonfigurować. Polecam zacząć od przywrócenia ustawień fabrycznych, ale upewnij się, że nie stracisz żadnej ważnej konfiguracji. Upewnij się, że właściwie doradzasz każdemu, kto polega na tej łączności, że wystąpią zakłócenia w świadczeniu usług.
  • Jeśli urządzenie główne nie obsługuje standardu 802.1Q, znajdź takie, które spełniają twoje potrzeby pod względem liczby sieci VLAN, liczby portów itd., I kup je. Następnie dowiedz się, jak go skonfigurować i poprawnie skonfigurować. Ma to tę zaletę, że można go zachować osobno podczas konfigurowania, skracając przestoje dla wszystkich istniejących użytkowników (najpierw skonfigurujesz, a następnie usuniesz stary sprzęt i podłączysz nowy, więc przestój byłby ograniczony do długo trzeba odłączyć i ponownie podłączyć wszystko).
  • Niech każda jednostka biurowa używa przełącznika lub „routera” dla domu lub małego biznesu (brama NAT) z portem Ethernet uplink, aby dalej rozdzielić łączność sieciową między ich własne systemy.

Podczas konfigurowania przełączników należy bezwzględnie ograniczyć każdy VLAN do własnego zestawu portów i upewnić się, że wszystkie te porty są podłączone tylko do jednej jednostki biurowej. W przeciwnym razie sieci VLAN będą niczym więcej niż znakami „nie przeszkadzać”.

Ponieważ jedynym ruchem docierającym do gniazd Ethernet każdego urządzenia byłby ich własny (dzięki skonfigurowaniu oddzielnych, posegregowanych sieci VLAN), powinno to zapewnić odpowiednią separację bez konieczności ponownego okablowania wszystkich sieci jako naprawdę fizycznie oddzielnych.

Ponadto, zwłaszcza jeśli wdrażasz sieci VLAN lub kończysz ponowną instalację wszystkiego, skorzystaj z okazji, aby poprawnie oznaczyć wszystkie kable numerami urządzeń i portów! Zajmie to trochę więcej czasu, ale będzie bardziej niż warte kontynuowania, szczególnie jeśli w przyszłości pojawi się jakikolwiek problem z siecią. Sprawdź, czy odziedziczyłem gniazdo okablowania szczura. Co teraz? na awarię serwera, aby uzyskać przydatne wskazówki.

CVn
źródło
2
Dzięki za tego Michaela, niezwykle przydatna informacja i twoja sugestia wydaje się sensowna (głosowałem, ale na razie brakuje 15 powtórzeń). Jutro przeprowadzę dalsze dochodzenie w sprawie tego, co obsługuje istniejący sprzęt i porozmawiam z właścicielami budynków, czy można go ponownie wykorzystać w ten sposób. Z pewnością sieci VLAN brzmią bardziej jak to, co chciałem osiągnąć przy całkowicie oddzielnym ruchu, więc poczynię o tym trochę. To pytanie o awarię serwera, które podłączyłeś, rozśmieszyło mnie, na szczęście nie jest aż tak złe. Poradzę ci jednak, jak to rozwiązać. Twoje zdrowie!
Heksodus
2
Jest też inna opcja. W firmie, w której pracuję, otrzymaliśmy router 4G z osobną umową. Zmniejsza to obciążenie istniejącej sieci bezprzewodowej i możesz być pewien, że będziesz mieć tę samą usługę, gdziekolwiek jesteś, całkowicie odłączony od wszystkich innych. Nie dodaje to zbytniej złożoności i nie jest drogie.
Ismael Miguel