Mevcut ofis LAN içinde güvenli LAN


12

Öncelikle ilk önce, bunu Sunucu Hatası'na gönderecektim ama dürüst olmak gerekirse, ağ yöneticisi değilim, küçük bir aile işletmesi için küçük bir şirkete yeni bir şey yerleştirmek için çağrılan bir CS öğrencisiyim. ofis alanı ve sıralamak için birini işe almak için elinizde nakit para yok, bu yüzden işi tamamlamak için neyin gerekli olduğunu öğrenmek zorundayım. Ayrıca, bu 'LAN içindeki LAN' sorusunun daha önce sorulduğunun farkındayım; bu nedenle, mevcut sorulardan hiçbiri sahip olmadığım soruları cevaplamadığı halde, bunu yinelenen olarak işaretlemekten çekinmeyin.

Böylece, sorun. Taşındığımız ofis, daha önce tek bir işletme tarafından kullanılan büyük bir binadan, tek tek odaların kiralandığı bir “iş merkezine” dönüştürülüyor. Her oda, hiçbiri söyleyemediğim kadar kullanılmadığı halde, her şeyi birbirine bağlayacak anahtarlarla dolu bir kabinin bulunduğu bir ağ odasına geri götüren birkaç ethernet portu ile kablolanmıştır. Ağı yöneten adam gereksiz hale geldi ve artık kablo yönetimi eksikliğinden dolayı artık bir türbe.

Odaları işgal eden mevcut işletmelerin hepsi bir 'BT HomeHub' ISS tarafından sağlanan bir wifi ağına dayanmaktadır. Hükümetin düzenlediği gibi, bir ağ paylaşma fikrinden hoşlanmıyorum ve düzenleyicilerin de olacağından şüpheliyim.

Peki, burada seçenekler nelerdir? Bunu kablosuz erişim için paylaşan birden fazla işletme olduğu için ev yönlendiricisi / modem hakkında gerçekten bir şey yapamam. İnternete bu modem üzerinden erişmek istiyorum ancak çalıştığımız ağın, ağımızdaki işimizin bir parçası olmayan diğer cihazlar tarafından tamamen erişilememesini sağlamalıyım. Kablosuz erişim noktalarıyla (kablosuz erişim öncelikli olan) Cisco tarafından sunulan küçük işletme yönlendirici tekliflerinden bazılarına göz atıyordum, ancak yukarıdakilerden birini başarabildiğimden emin değilim ve herhangi bir sipariş vermeden önce emin olmak istiyorum. donanım.

En iyi seçeneğin binaya başka bir hat koymak olduğunu söyleyebilirim, ancak bu ek bir aylık maliyet artı bir servis sözleşmesi ekliyor, bu yüzden şu an için bundan kaçınmak istiyorum.

Bu durumda en iyi seçenek ve herhangi bir konuda nasıl düşünebilirim?


3
Kendinize sormanız gereken ilk sorular: İnternet erişimine ne kadar ihtiyacımız var? Firma ölecek mi BT'nin ev yönlendiricisi ölür. Eğer gerekliyse, kendi ev dışı tüketici hattınızı kiralayın. Tercihen farklı bir ISS'den sonra zaten ofiste olanlardan birini acil durum desteği olarak kullanabilirsiniz. İkinci konu: Anahtarlarla dolu dolaba kim erişebiliyor? Hangi model / yetenekler onlar (bir çözüm üzerinde çalışmaya başladığınız befoire bilmek güzel). Anahtarlanmışlar mı? Firmware güncel? Üçüncüsü, muhtemelen hangi kabloların odanıza bağlandığını bulma zamanıdır.
Hennes

Bu cevapları aldığınızda, VLAN'ları (kablolu) okuyun. Ayrıca internetin bir posta sunucusundan başka bir şeye erişmesine izin vermediğini ve arkasındaki diğer tüm cihazları proxy'ye almayı düşünün. (Güvenlik duvarı olarak bir sunucu, mantıksal olarak bir posta sunucusunun arkasında ve bunun arkasında mantıksal olarak bir proxy) ve dosya sunucusu). Ve yedekleri düşünün. En kötü başlangıçlardan biri, telefonun bir ağ sürücüsü yerine dizüstü bilgisayarlarındaki bilgileri saklaması halinde olur.
Hennes

Donanıma erişiminiz nedir? "Ev yönlendiricisi / modem combo" ya giriş yapmak için izniniz var mı? Sitenin İnternet erişiminin kaynağı nedir? (BT'den DSL tahmin ediyorum. Sadece bir tahmin. Cevap Wi-Fi değil.) Ağınızı sitedeki diğer ağlardan "korumak" istiyorsanız, bir ağı "korumak" için tipik bir cihaz bir güvenlik duvarıdır. Bununla birlikte, birçok yönlendirici dahili "güvenlik duvarı" tipi yetenekler sağlar (muhtemelen görev için özel bir güvenlik duvarı cihazından daha az uzmanlaşmış / tasarlanmıştır). Cisco'nun profesyonel ekipmanlarından bazıları yüksek bir öğrenme eğrisine sahip olabilir.
TOOGAM

Resmen erişimim yok, ancak müzakere edilebileceğinden emin olduğum için yarın göreceğim. Zaten mevcut olan ekipmanla neyin mümkün olabileceğine dair bazı fikirler arıyorum. Kaynak düzenli bir iş DSL hattı gibi gözüküyor, ki 'WiFi' olmadığının farkındayım (kıdemli ağ değilim ama o kadar beceriksiz değilim, endişelenme). VLAN'lar ilginç görünüyor, kesinlikle daha yakından inceleyeceğim. Ben sadece bazı ağ konseptlerini gerçek dünya kurulumuyla bir araya getirmek için mücadele ediyorum.
Hexodus

@TOOGAM Ortalama bir bilgisayar kullanıcısının Cisco küçük işletme yönlendiricimdeki bazı şeyleri rehberlik olmadan anlamasını beklemiyorum. Cisco'nun IOS tabanlı ağ donanımını yapılandırabilir. Şimdiye kadar seninle aynı fikirde. Ancak bunun Cisco'ya özgü olduğunu sanmıyorum; uzman ekipman genellikle dik bir öğrenme eğrisine sahiptir. Heck, ortalama bilgisayar kullanıcısını ortalama osiloskopun önüne yerleştirip havai fişekleri izlemeye devam edebilirsiniz. Hatta ortalamanın üstünde bir bilgisayar kullanıcısının bile bir osiloskopun nasıl kullanılacağını bildiğinden emin değilim .
bir CVn

Yanıtlar:


16

Öncelikle: Trafik ayrımı sağlama konusunda yasal zorunluluklar varsa, uygulamaya başlamadan önce yasal gereklilikler dahilindeki herhangi bir plana imza atmak için her zaman bunu yapma yetkisine sahip birisine başvurun. Özel yasal gerekliliklere bağlı olarak, sadece edeceğini olabilir var ortak güven noktası ile fiziksel olarak ayrı ağlar sağlamak.

Bununla birlikte, temel olarak üç seçeneğiniz olduğunu düşünüyorum: 802.1Q VLAN (daha iyi) ve çoklu katmanlar NAT (daha kötü) ve fiziksel olarak ayrı ağlar (en güvenli, aynı zamanda karmaşık ve muhtemelen fiziksel yeniden kablolama nedeniyle en pahalı) .

Burada zaten kablolu olan her şeyin Ethernet olduğunu varsayıyorum. Genel Ethernet standardının bir kısmı , aynı fiziksel bağlantı üzerinde farklı bağlantı katmanı LAN'larının nasıl kurulacağını açıklayan IEEE 802.1Q olarak bilinir . Bu, VLAN'lar veya sanal LAN'lar olarak bilinir (not: WLAN tamamen ilgisizdir ve bu bağlamda normalde Kablosuz LAN anlamına gelir ve çok sık IEEE 802.11 varyantlarından birine atıfta bulunur ). Daha sonra daha yüksek kaliteli bir anahtar kullanabilirsiniz (ev kullanımı için satın alabileceğiniz en ucuz şeyler genellikle bu özelliğe sahip değildir; özellikle 802.1Q desteğini özel olarak sunan bir anahtar) aramak istersiniz.Bununla birlikte, her bir VLAN'ı bir (veya sadece bir) port (lar) a ayarlamak üzere yapılandırılmış olan özellik için prim ödemeye hazır olun. Her bir VLAN'da, ortak tüketici anahtarları (veya istenirse bir Ethernet yukarı bağlantı portuna sahip NAT ağ geçitleri) ofis birimi içindeki trafiği daha da dağıtmak için kullanılabilir.

Birden fazla NAT katmanına kıyasla VLAN'ların tersi, kablolardaki trafik türünden tamamen bağımsız olmasıdır. NAT ile, şanslıysanız IPv4 ve belki de IPv6 ile sıkışıp kalmışsınız ve ayrıca NAT'ın baştan sona bağlantısını kesmesi nedeniyle (NAT'ın baştan sona bağlantısını kesmesi basit bir şeydir. FTP üzerinden NAT sunucusu, bu şeylerle çalışan bazı kişilerin ustalıklarının bir kanıtıdır, ancak bu geçici çözümler bile genellikle bağlantı yolu boyunca yalnızca bir NAT olduğunu varsayar ); VLAN'larla, çünkü o Ethernet çerçevesine bir ekleme kullanır , kelimenin tam anlamıyla şeyEthernet üzerinden aktarılabilen VLAN Ethernet üzerinden aktarılabilir ve uçtan uca bağlantı korunur, böylece IP söz konusu olduğunda, yerel ağ segmentinde erişilebilen düğümler kümesi dışında hiçbir şey değişmez . Standart, tek bir fiziksel bağlantı üzerinde 4.094 (2 ^ 12 - 2) VLAN'a izin verir, ancak belirli ekipmanın daha düşük limitleri olabilir.

Dolayısıyla benim önerim:

  • Ana ekipmanın (ağ odasındaki o büyük anahtar rafında ne var) 802.1Q’yu destekleyip desteklemediğini kontrol edin. Varsa, nasıl yapılandırılacağını öğrenin ve doğru şekilde ayarlayın. Fabrika ayarlarına sıfırlama işlemini başlatmanızı öneririm, ancak önemli bir yapılandırmayı kaybetmediğinizden emin olun. Bunu yaparken, hizmet kesintilerine neden olacağına, bu bağlantıya güven duyan herkese uygun bir şekilde tavsiyede bulunacağınızdan emin olun.
  • Ana donanım 802.1Q’yu desteklemiyorsa , VLAN sayısı, liman sayısı vb. Açısından ihtiyaçlarınızı karşılayan ve karşılayan bir şeyler bulun ve satın alın. Sonra nasıl yapılandırılacağını öğrenin ve doğru şekilde ayarlayın. Bu, işleri ayarlarken ayrı tutabileceğiniz, mevcut kullanıcılar için kapalı kalma süresini azaltan (ilk önce onu kurar, sonra eski ekipmanı çıkarır ve yenisini bağlar, böylece kesinti süresi temel olarak uzun zamandır her şeyi çıkarmanız ve yeniden takmanız gerekir).
  • Her ofis ünitesine , ağ bağlantılarını kendi sistemleri arasında daha da dağıtmak için bir anahtar veya Ethernet uplink portlu bir ev veya küçük işletme "yönlendirici" (NAT ağ geçidi) kullanmalarını sağlayın.

Anahtarları yapılandırırken, kesinlikle her VLAN'ı kendi bağlantı noktaları grubuyla sınırladığınızdan ve tüm bağlantı noktalarının yalnızca tek bir ofis birimine gittiğinden emin olun. Aksi takdirde, VLAN'lar nezaket “işaretlerini rahatsız etmemek” ten biraz daha fazla olacaktır.

Her bir birimin Ethernet çıkışlarına ulaşan tek trafik kendi olacağı için (ayrı, ayrılmış VLAN'ları yapılandırmanız sayesinde), bu, her şeyi tamamen fiziksel olarak ayrı ağlar olarak yeniden bağlamanıza gerek kalmadan yeterli bir ayırma sağlamalıdır.

Ayrıca, özellikle VLAN uygularsanız veya her şeyi geri alırsanız, tüm kabloları birim ve port numaralarıyla doğru şekilde etiketleme fırsatını yakalayın! Ekstra zaman alacaktır, ancak ileride herhangi bir ağ problemi varsa, ilerlemeye değmeyecek kadar fazla olacaktır. Check out Ben kablolama bir sıçan yuva miras kaldı. Şimdi ne var? Bazı yararlı ipuçları için Sunucu Arızası.


2
Bu Michael için teşekkürler, son derece yararlı bilgiler ve öneriniz mantıklı bir mesaj gibi görünüyor (şu an için 15 temsilciden yoksun kaldım). Mevcut donanımın neyi desteklediği konusunda yarın biraz daha araştırma yapacağım ve bina sahipleriyle bu şekilde tekrar kullanılıp kullanılamayacaklarıyla ilgili konuşacağım. Kesinlikle VLAN'lar tamamen ayrılmış trafikle ulaşmak istediklerime benziyorlar, bu yüzden biraz okuma yapacağım. Bağladığın Sunucu Hatası sorusu beni güldürdü, çok şükür bu kadar da kötü değil. Bunu halletmek için tavsiyene uyacağım. Şerefe!
Hexodus

2
Ayrıca, başka bir seçenek var. Çalıştığım şirkette, kendimiz için ayrı bir sözleşmeli 4G yönlendirici aldık. Bu, mevcut kablosuz ağa daha az yük getirir ve gittiğiniz her yerde aynı hizmetten olacağınızdan ve diğerlerinden tamamen ayrıldığından emin olabilirsiniz. Bu o kadar karmaşıklık katmıyor ve o kadar da açıklayıcı değil.
Ismael Miguel,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.