LAN segura dentro da LAN do escritório existente

12

Primeiramente, eu postaria isso no Server Fault, mas honestamente, não sou administrador de rede, sou um estudante de CS que foi chamado para resolver algo para uma empresa familiar muito pequena que acabou de se mudar para uma pequena empresa. espaço de escritório e realmente não tenho dinheiro disponível para contratar alguém para resolvê-lo, então estou tendo que aprender o que é necessário para concluir o trabalho. Também estou ciente de que essa pergunta 'LAN dentro de uma LAN' já foi feita, portanto, fique à vontade para marcar isso como duplicado, embora nenhuma das perguntas existentes realmente tenha respondido às perguntas que tenho.

Assim, a questão. O escritório para o qual nos mudamos está sendo convertido de um grande edifício usado anteriormente por uma única empresa em um 'centro de negócios', com quartos individuais sendo alugados. Cada sala está conectada com várias portas Ethernet que levam de volta a uma sala de rede com um gabinete cheio de switches para unir tudo, embora nada disso esteja sendo usado até onde sei. O cara que gerenciava a rede ficou redundante e agora é principalmente um santuário para sua falta de gerenciamento de cabos.

As empresas atuais que ocupam os quartos dependem de uma rede wifi fornecida por um provedor de serviços de Internet 'BT HomeHub', fornecido por um roteador / modem doméstico. Como somos regulados pelo governo, não gosto da idéia de compartilhar uma rede e duvido que os reguladores também.

Então, quais são as opções aqui? Eu realmente não posso fazer nada sobre o roteador / modem doméstico, pois existem várias outras empresas compartilhando isso para acesso sem fio. Idealmente, gostaria de acessar a Internet por meio deste modem, mas preciso garantir que a rede em que estamos operando seja completamente inacessível pelos outros dispositivos da rede que não fazem parte de nossos negócios. Estive pesquisando algumas das ofertas de roteadores para pequenas empresas da Cisco, juntamente com pontos de acesso sem fio (o acesso sem fio é a prioridade imediata), mas não tenho certeza se posso conseguir o que foi mencionado acima com um deles e quero ter certeza antes de fazer o pedido. hardware.

Tenho certeza de que a melhor opção seria simplesmente executar outra linha no edifício, mas isso adiciona um custo mensal extra mais um contrato de serviço, por isso, evito isso no momento.

Alguma idéia sobre a melhor opção nessa situação e como eu posso fazer isso?

networking router lan Hexodus
fonte
3
Primeiras perguntas a se fazer: Quanto precisamos de acesso à Internet? A empresa morrerá se o roteador doméstico da BT morrer. Se for essencial, alugue sua própria linha de consumidor não doméstico. De preferência de um ISP diferente do já existente no escritório, para que você possa usá-lo como backup de emergência. Segunda consideração: quem tem acesso ao gabinete cheio de switches? Quais são os modelos / capacidades (é bom saber antes de começar a trabalhar em uma solução). Eles são gerenciados trocados? Firmware atualizado? Terceiro, provavelmente é hora de descobrir quais cabos estão conectados aos seus quartos.
Hennes 17/07
Quando você obtiver essas respostas, leia as VLANs (com fio). Além disso, considere não permitir o acesso à Internet a nada além de um servidor de correio e proxy de todos os outros dispositivos por trás dele. (Esse é um servidor como firewall, logicamente atrás do servidor de email e logicamente atrás do proxy) e servidor de arquivos). E pense em backups. Uma das piores iniciativas seria se pessoas armazenassem informações em seus laptops em vez de em uma unidade de rede.
Hennes 17/07
Que acesso você tem ao equipamento? Você tem permissão para fazer login no "combo roteador / modem doméstico"? Qual é a fonte do acesso à Internet do site? (Suponho que o DSL da BT. Apenas um palpite. A resposta não é Wi-Fi.) Se você deseja "proteger" sua rede de outras redes no local, o dispositivo típico para "proteger" uma rede é um firewall. Dito isto, muitos roteadores fornecem recursos internos do tipo "firewall" (presumivelmente menos especializados / projetados para a tarefa que um dispositivo de firewall dedicado). Alguns dos equipamentos profissionais da Cisco podem ter uma alta curva de aprendizado.
TOOGAM
Oficialmente, não tenho acesso, embora tenha certeza de que poderia ser negociado, portanto, cuidarei disso amanhã. Basta procurar algumas idéias sobre o que pode ser possível com o equipamento já instalado. A fonte parece ser uma linha DSL comercial comum, que sei que não é 'WiFi' (não sou veterano em redes, mas não sou tão inepto, não se preocupe). As VLANs parecem interessantes, eu as analisarei com mais certeza. Estou apenas lutando para reunir alguns dos conceitos de rede com a configuração do mundo real.
Hexodus 17/07
@TOOGAM Eu não esperaria que o usuário comum de computador entendesse algumas das coisas no meu "roteador" para pequenas empresas da Cisco sem orientação. Muito menos ser capaz de configurar o equipamento de rede baseado em IOS da Cisco. Concordo com você até agora. Mas eu realmente não acho que isso seja exclusivo da Cisco; equipamentos especializados costumam ter uma curva de aprendizado acentuada. Caramba, você pode definir o usuário médio do computador na frente do osciloscópio médio e continuar assistindo os fogos de artifício. Não sei ao certo quantos usuários de computador acima da média saberiam usar um osciloscópio.
um CVn

Respostas:

16

Primeiro: se você está sob a obrigação legal de fornecer separação de tráfego, sempre peça a alguém com autoridade para assinar qualquer plano conforme os requisitos legais antes de começar a implementá-lo. Dependendo dos requisitos legais específicos, pode ser que você precise fornecer redes fisicamente separadas sem um ponto de confiança comum.

Dito isso, acho que você basicamente tem três opções: VLANs 802.1Q (melhor) e várias camadas de NAT (pior) e redes fisicamente separadas (mais seguras, mas também complicadas e provavelmente mais caras devido à religação física) .

Estou assumindo aqui que tudo o que já está conectado é Ethernet. Uma parte do padrão geral da Ethernet é o IEEE 802.1Q , que descreve como estabelecer LANs da camada de link distintas no mesmo link físico. Isso é conhecido como VLANs ou LANs virtuais (nota: a WLAN não tem relação alguma e, nesse contexto, normalmente significa LAN sem fio e muitas vezes refere-se a uma das variantes do IEEE 802.11 ). Em seguida, você pode usar um switch de gama alta (o material barato que você pode comprar para uso doméstico geralmente não possui esse recurso; você deseja procurar um switch gerenciado , de preferência aquele que anuncia especificamente o suporte 802.1Q, esteja preparado para pagar um prêmio pelo recurso) configurado para segregar cada VLAN em um conjunto de (possivelmente apenas uma) porta (s). Em cada VLAN, então, comutadores de consumidor comuns (ou gateways NAT com uma porta de uplink Ethernet, se desejado) podem ser usados ​​para distribuir ainda mais o tráfego na unidade de escritório.

A vantagem das VLANs, em comparação com várias camadas de NAT, é que é completamente independente do tipo de tráfego nos fios. Com o NAT, você fica preso ao IPv4 e, talvez, ao IPv6, se tiver sorte, e também precisa enfrentar todas as dores de cabeça tradicionais do NAT, porque o NAT interrompe a conectividade de ponta a ponta (o simples fato de você poder obter uma lista de diretórios de um O servidor FTP através do NAT é um testemunho da engenhosidade de algumas das pessoas que trabalham com essas coisas, mas mesmo essas soluções alternativas geralmente assumem que existe apenas um NAT ao longo da rota de conexão); com VLANs, porque usa uma adição ao quadro Ethernet , literalmente qualquer coisaque podem ser transferidos pela Ethernet podem ser transferidos pela VLAN Ethernet e a conectividade de ponta a ponta é preservada; portanto, no que diz respeito ao IP, nada mudou, exceto o conjunto de nós acessíveis no segmento de rede local. O padrão permite até 4.094 (2 ^ 12 - 2) VLANs em um único link físico, mas equipamentos específicos podem ter limites mais baixos.

Daí a minha sugestão:

  • Verifique se o equipamento principal (o que há naquele grande rack de switches na sala de rede) suporta 802.1Q. Se isso acontecer, descubra como configurá-lo e configurá-lo corretamente. Eu recomendaria começar fazendo uma redefinição de fábrica, mas certifique-se de não perder nenhuma configuração importante ao fazê-lo. Certifique-se de aconselhar adequadamente qualquer pessoa que confie nessa conectividade de que haverá interrupções no serviço enquanto você faz isso.
  • Se o equipamento principal não suportar 802.1Q, encontre alguns que atendam às suas necessidades em termos de número de VLANs, número de portas, etc., e compre-o. Em seguida, descubra como configurá-lo e configurá-lo corretamente. Isso tem o bônus de que você pode mantê-lo separado durante a configuração, reduzindo o tempo de inatividade para qualquer usuário existente (você deve configurá-lo primeiro, depois remover o equipamento antigo e conectar o novo, para que o tempo de inatividade seja limitado basicamente a como você precisa desconectar e reconectar tudo).
  • Faça com que cada unidade de escritório use um comutador ou um "roteador" doméstico ou de pequena empresa (gateway NAT) com uma porta de uplink Ethernet, para distribuir ainda mais a conectividade de rede entre seus próprios sistemas.

Ao configurar os comutadores, limite absolutamente cada VLAN ao seu próprio conjunto de portas e verifique se todas essas portas vão apenas para uma única unidade de escritório. Caso contrário, as VLANs serão pouco mais do que sinais de cortesia "não perturbe".

Como o único tráfego que alcança as saídas Ethernet de cada unidade seria o seu (graças à configuração de VLANs separadas e segregadas), isso deve proporcionar uma separação adequada sem exigir que você reconecte tudo como redes verdadeiramente fisicamente separadas.

Além disso, especialmente se você implementar VLANs ou terminar de religar tudo, aproveite a oportunidade para marcar corretamente todos os cabos com números de unidade e porta! Levará algum tempo extra, mas valerá a pena avançar, especialmente se houver algum tipo de problema de rede no futuro. Verifiquei que herdei um ninho de cabos de rato. E agora? na falha do servidor para obter algumas dicas úteis.

um CVn
fonte
2
Obrigado por este Michael, informações extremamente úteis e sua sugestão parece sensata (votei positivamente, mas não tenho 15 representantes no momento). Amanhã farei uma investigação mais aprofundada sobre o suporte do hardware existente e conversarei com os proprietários do edifício sobre se ele poderá ser reutilizado dessa maneira. Certamente, as VLANs parecem mais com o que eu estava procurando alcançar com tráfego completamente separado, então vou ler um pouco sobre isso. A pergunta de falha no servidor que você vinculou me fez rir, felizmente não é tão ruim assim. Vou seguir o seu conselho para resolver o problema. Felicidades!
Hexodus 17/07/2016
2
Além disso, há outra opção. Na empresa em que estou trabalhando, adquirimos um roteador 4G, com um contrato separado. Isso coloca menos carga na rede sem fio existente e você pode ter certeza de que terá o mesmo serviço, onde quer que vá, completamente desconectado de todos os outros. Isso não adiciona muita complexidade e não é tão caro.
Ismael Miguel