Sicheres LAN im vorhandenen Office-LAN

Das Wichtigste zuerst, ich wollte dies auf Server Fault posten, aber ehrlich gesagt, ich bin kein Netzwerkadministrator. Ich bin ein CS-Student, der beauftragt wurde, etwas für ein sehr kleines Familienunternehmen zu regeln, das gerade in ein kleines eingezogen ist Ich habe keine Büroräume und habe nicht wirklich das Geld, um jemanden zu beauftragen, damit ich lernen kann, was nötig ist, um den Job zu erledigen. Mir ist auch bewusst, dass diese Frage "LAN in einem LAN" bereits gestellt wurde. Sie können sie also als Duplikat markieren, obwohl keine der vorhandenen Fragen meine Fragen wirklich beantwortet hat.

Also das Thema. Das Büro, in das wir umgezogen sind, wird von einem großen Gebäude, das zuvor von einem einzelnen Unternehmen genutzt wurde, in ein "Business Center" umgewandelt, in dem einzelne Räume vermietet werden. Jeder Raum ist mit mehreren Ethernet-Ports verkabelt, die zu einem Netzwerkraum mit einem Schrank voller Switches führen, um alles zusammenzubinden, obwohl, soweit ich das beurteilen kann, nichts davon in Gebrauch ist. Der Typ, der das Netzwerk verwaltet hat, wurde entlassen und ist heute hauptsächlich ein Grund für sein fehlendes Kabelmanagement.

Die derzeitigen Unternehmen, die die Zimmer belegen, verlassen sich alle auf ein WLAN-Netzwerk, das von einer von einem Internetdienstanbieter (ISP) bereitgestellten Kombination aus Heimrouter und Modem bereitgestellt wird. Da wir von der Regierung reguliert werden, mag ich die Idee, ein Netzwerk zu teilen, nicht und ich bezweifle, dass die Regulierungsbehörden dies auch tun würden.

Welche Möglichkeiten gibt es hier? Ich kann nicht wirklich etwas gegen den Heimrouter / das Modem unternehmen, da es mehrere andere Unternehmen gibt, die dies für den drahtlosen Zugriff teilen. Ich möchte im Idealfall über dieses Modem auf das Internet zugreifen, muss aber sicherstellen, dass das Netzwerk, in dem wir arbeiten, für die anderen Geräte im Netzwerk, die nicht zu unserem Geschäft gehören, vollständig unzugänglich ist. Ich habe einige der Small Business Router-Angebote von Cisco zusammen mit Wireless Access Points durchsucht (Wireless Access ist die unmittelbare Priorität), bin mir jedoch nicht sicher, ob ich mit einem Router das oben Genannte erreichen kann, und möchte sicher sein, bevor ich einen bestelle Hardware.

Ich bin mir sicher, dass die beste Option darin besteht, einfach eine weitere Leitung in das Gebäude zu verlegen, aber dadurch fallen zusätzliche monatliche Kosten und ein Servicevertrag an. Daher möchte ich dies vorerst vermeiden.

Irgendwelche Gedanken zur besten Option in dieser Situation und wie könnte ich vorgehen?

Erstens: Wenn Sie gesetzlich zur Verkehrstrennung verpflichtet sind, bitten Sie immer jemanden, dies zu tun, um einen Plan gemäß den gesetzlichen Anforderungen zu unterzeichnen, bevor Sie mit der Implementierung beginnen. Je nach den spezifischen gesetzlichen Anforderungen, sei es könnte in Erfüllung , dass Sie haben physisch getrennte Netzwerke ohne gemeinsamen Punkt Vertrauen zu schaffen.

Ich denke jedoch, dass Sie im Grunde genommen drei Optionen haben: 802.1Q-VLANs (besser) und mehrere NAT-Ebenen (schlechter) und physikalisch getrennte Netzwerke (am sichersten, aber auch kompliziert und wahrscheinlich am teuersten aufgrund physischer Neuverkabelung) .

Ich gehe hier davon aus, dass alles, was bereits verkabelt ist, Ethernet ist. Ein Teil des gesamten Ethernet-Standards ist das, was als IEEE 802.1Q bezeichnet wird , das beschreibt, wie unterschiedliche LANs auf der Verbindungsschicht auf derselben physischen Verbindung eingerichtet werden. Dies wird als VLAN oder virtuelles LAN bezeichnet (Hinweis: WLAN ist völlig unabhängig und steht in diesem Zusammenhang normalerweise für Wireless LAN und bezieht sich sehr oft auf eine der IEEE 802.11- Varianten). Sie können dann einen High-End-Switch verwenden (das billige Produkt, das Sie für den Heimgebrauch kaufen können, verfügt im Allgemeinen nicht über diese Funktion). Sie möchten nach einem verwalteten Switch suchen , im Idealfall einem, der speziell dafür wirbt 802.1Q-UnterstützungSie müssen jedoch bereit sein, eine Prämie für die Funktion zu zahlen), die so konfiguriert ist, dass jedes VLAN auf einen Satz von (möglicherweise nur einen) Ports aufgeteilt wird. In jedem VLAN können dann allgemeine Consumer-Switches (oder NAT-Gateways mit einem Ethernet-Uplink-Port, falls gewünscht) verwendet werden, um den Verkehr innerhalb der Büroeinheit weiter zu verteilen.

Der Vorteil von VLANs im Vergleich zu mehreren NAT-Schichten ist, dass sie völlig unabhängig von der Art des Datenverkehrs auf den Drähten sind. Bei NAT stecken Sie mit IPv4 und vielleicht mit IPv6 fest, wenn Sie Glück haben, und müssen sich auch mit all den herkömmlichen Kopfschmerzen von NAT herumschlagen, weil NAT die End-to-End-Konnektivität unterbricht (die einfache Tatsache, dass Sie eine Verzeichnisliste von a erhalten können) Ein FTP-Server über NAT ist ein Beweis für den Einfallsreichtum einiger Leute, die mit diesem Zeug arbeiten, aber selbst diese Problemumgehungen gehen normalerweise davon aus, dass es nur eine NAT entlang der Verbindungsroute gibt. mit VLANs, weil es eine Ergänzung zum Ethernet-Frame verwendet , buchstäblich allesDie Daten, die über Ethernet übertragen werden können, können über VLAN-Ethernet übertragen werden, und die End-to-End-Konnektivität bleibt erhalten. In Bezug auf die IP-Adresse hat sich nichts geändert, außer der Gruppe von Knoten, die im lokalen Netzwerksegment erreichbar sind. Der Standard ermöglicht bis zu 4.094 (2 ^ 12 - 2) VLANs auf einer einzelnen physischen Verbindung, für bestimmte Geräte gelten jedoch möglicherweise niedrigere Grenzwerte.

Daher mein Vorschlag:

• Überprüfen Sie, ob das Master-Gerät (was sich in diesem großen Switch-Rack im Netzwerkraum befindet) 802.1Q unterstützt. Wenn dies der Fall ist, erfahren Sie, wie Sie es konfigurieren und richtig einrichten können. Ich würde empfehlen, mit einem Werksreset zu beginnen, aber stellen Sie sicher, dass Sie dabei keine wichtige Konfiguration verlieren. Stellen Sie sicher, dass Sie alle Personen, die sich auf diese Konnektivität verlassen, ordnungsgemäß darüber informieren, dass es währenddessen zu Dienstunterbrechungen kommen wird.
• Wenn das Master-Gerät 802.1Q nicht unterstützt, suchen Sie nach einem Gerät , das Ihre Anforderungen hinsichtlich der Anzahl der VLANs, der Anzahl der Ports usw. erfüllt, und kaufen Sie es. Dann erfahren Sie, wie Sie es konfigurieren und richtig einrichten. Dies hat den Vorteil, dass Sie es beim Einrichten getrennt lassen und so die Ausfallzeiten für vorhandene Benutzer verringern können (Sie würden es zuerst einrichten, dann die alten Geräte entfernen und die neuen anschließen, sodass die Ausfallzeiten auf das Wesentliche beschränkt wären lange müssen Sie alles ausstecken und wieder einstecken).
• Lassen Sie jede Büroeinheit einen Switch oder einen "Router" (NAT-Gateway) für Privatanwender oder kleine Unternehmen mit einem Ethernet-Uplink-Port verwenden, um die Netzwerkkonnektivität auf die eigenen Systeme zu verteilen.

Achten Sie beim Konfigurieren der Switches unbedingt darauf, dass jedes VLAN auf einen eigenen Satz von Ports beschränkt ist, und stellen Sie sicher, dass alle diese Ports nur zu einer einzelnen Büroeinheit gehören. Andernfalls sind die VLANs nur Höflichkeitszeichen für "Bitte nicht stören".

Da der einzige Datenverkehr, der die Ethernet-Ausgänge der einzelnen Einheiten erreicht, der eigene ist (dank der Konfiguration separater, getrennter VLANs), sollte dies eine angemessene Trennung gewährleisten, ohne dass Sie alles als wirklich physisch separate Netzwerke neu verkabeln müssen.

Auch besonders , wenn Sie VLANs implementieren oder am Ende alles Neuverkabelung, nehmen Sie die Möglichkeit, richtig alle Kabel mit dem Gerät und Portnummern Tag hinzu ! Es wird einige zusätzliche Zeit in Anspruch nehmen, aber es wird sich in Zukunft mehr als lohnen , insbesondere wenn es in Zukunft irgendwelche Netzwerkprobleme gibt. Schauen Sie, ich habe das Kabelnest einer Ratte geerbt. Was jetzt? Bei Serverfehler finden Sie einige hilfreiche Hinweise.