Sicheres LAN im vorhandenen Office-LAN

12

Das Wichtigste zuerst, ich wollte dies auf Server Fault posten, aber ehrlich gesagt, ich bin kein Netzwerkadministrator. Ich bin ein CS-Student, der beauftragt wurde, etwas für ein sehr kleines Familienunternehmen zu regeln, das gerade in ein kleines eingezogen ist Ich habe keine Büroräume und habe nicht wirklich das Geld, um jemanden zu beauftragen, damit ich lernen kann, was nötig ist, um den Job zu erledigen. Mir ist auch bewusst, dass diese Frage "LAN in einem LAN" bereits gestellt wurde. Sie können sie also als Duplikat markieren, obwohl keine der vorhandenen Fragen meine Fragen wirklich beantwortet hat.

Also das Thema. Das Büro, in das wir umgezogen sind, wird von einem großen Gebäude, das zuvor von einem einzelnen Unternehmen genutzt wurde, in ein "Business Center" umgewandelt, in dem einzelne Räume vermietet werden. Jeder Raum ist mit mehreren Ethernet-Ports verkabelt, die zu einem Netzwerkraum mit einem Schrank voller Switches führen, um alles zusammenzubinden, obwohl, soweit ich das beurteilen kann, nichts davon in Gebrauch ist. Der Typ, der das Netzwerk verwaltet hat, wurde entlassen und ist heute hauptsächlich ein Grund für sein fehlendes Kabelmanagement.

Die derzeitigen Unternehmen, die die Zimmer belegen, verlassen sich alle auf ein WLAN-Netzwerk, das von einer von einem Internetdienstanbieter (ISP) bereitgestellten Kombination aus Heimrouter und Modem bereitgestellt wird. Da wir von der Regierung reguliert werden, mag ich die Idee, ein Netzwerk zu teilen, nicht und ich bezweifle, dass die Regulierungsbehörden dies auch tun würden.

Welche Möglichkeiten gibt es hier? Ich kann nicht wirklich etwas gegen den Heimrouter / das Modem unternehmen, da es mehrere andere Unternehmen gibt, die dies für den drahtlosen Zugriff teilen. Ich möchte im Idealfall über dieses Modem auf das Internet zugreifen, muss aber sicherstellen, dass das Netzwerk, in dem wir arbeiten, für die anderen Geräte im Netzwerk, die nicht zu unserem Geschäft gehören, vollständig unzugänglich ist. Ich habe einige der Small Business Router-Angebote von Cisco zusammen mit Wireless Access Points durchsucht (Wireless Access ist die unmittelbare Priorität), bin mir jedoch nicht sicher, ob ich mit einem Router das oben Genannte erreichen kann, und möchte sicher sein, bevor ich einen bestelle Hardware.

Ich bin mir sicher, dass die beste Option darin besteht, einfach eine weitere Leitung in das Gebäude zu verlegen, aber dadurch fallen zusätzliche monatliche Kosten und ein Servicevertrag an. Daher möchte ich dies vorerst vermeiden.

Irgendwelche Gedanken zur besten Option in dieser Situation und wie könnte ich vorgehen?

Hexodus
quelle
3
Erste Fragen, die Sie sich stellen sollten: Wie dringend benötigen wir einen Internetzugang? Wird die Firma sterben, stirbt der Heim-Router von BT? Wenn es darauf ankommt, mieten Sie Ihre eigene Non-Home-Consumer-Linie. Am besten von einem anderen ISP als einem, der bereits im Büro ist, damit Sie das als Notfall-Backup verwenden können. Zweite Überlegung: Wer hat Zugang zu dem Schrank voller Schalter? Welches Modell / welche Fähigkeiten sind das? (Gut zu wissen, bevor Sie anfangen, an einer Lösung zu arbeiten). Werden sie vermittelt? Firmware auf dem neuesten Stand? Drittens ist es wahrscheinlich an der Zeit, herauszufinden, welche Kabel mit Ihren Räumen verbunden sind.
Hennes
Wenn Sie diese Antworten erhalten haben, informieren Sie sich über VLANs (für Kabel). Denken Sie auch daran, den Internetzugang nur für einen Mailserver und einen Proxy für alle anderen Geräte zuzulassen, die sich dahinter befinden. (Das ist ein Server als Firewall, logisch dahinter ein Mailserver und logisch dahinter ein Proxy) und Fileserver. Und denken Sie an Backups. Einer der schlimmsten Starts wäre, wenn Leute Informationen auf ihren Laptops anstatt auf einem Netzwerklaufwerk speichern würden.
Hennes
Welchen Zugang haben Sie zur Ausrüstung? Haben Sie die Berechtigung, sich bei der "Heimrouter / Modem-Kombination" anzumelden? Woher stammt der Internetzugang der Site? (Ich vermute DSL von BT. Nur eine Vermutung. Die Antwort ist nicht Wi-Fi.) Wenn Sie Ihr Netzwerk vor anderen Netzwerken vor Ort "schützen" möchten, ist das typische Gerät zum "Schützen" eines Netzwerks eine Firewall. Allerdings bieten viele Router interne Funktionen vom Typ "Firewall" (vermutlich weniger spezialisiert / für diese Aufgabe ausgelegt als ein dediziertes Firewall-Gerät). Einige Pro-Geräte von Cisco können eine hohe Lernkurve aufweisen.
TOOGAM
Offiziell habe ich keinen Zugang, obwohl ich sicher bin, dass dies ausgehandelt werden könnte, also werde ich mich morgen darum kümmern. Ich bin nur auf der Suche nach Ideen, was mit der bereits vorhandenen Ausrüstung möglich sein könnte. Die Quelle scheint ein normaler Geschäfts-DSL-Anschluss zu sein, von dem ich weiß, dass er nicht "WiFi" ist (ich bin kein Netzwerk-Veteran, aber ich bin nicht so unfähig, keine Sorge). VLANs sehen interessant aus, ich werde sie mit Sicherheit weiter untersuchen. Ich habe nur Mühe, einige der Netzwerkkonzepte mit dem realen Setup zusammenzustellen.
Hexodus
@TOOGAM Ich würde nicht erwarten, dass der durchschnittliche Computerbenutzer einige der Dinge in meinem Cisco Small Business "Router" ohne Anleitung versteht. Geschweige denn, Sie können die IOS-basierten Netzwerkgeräte von Cisco konfigurieren. Stimme dir soweit zu. Aber ich glaube wirklich nicht, dass dies nur bei Cisco der Fall ist. Spezialgeräte haben oft eine steile Lernkurve. Zum Teufel, Sie könnten den durchschnittlichen Computerbenutzer vor das durchschnittliche Oszilloskop stellen und mit dem Anschauen des Feuerwerks fortfahren. Ich bin mir nicht sicher, wie viele überdurchschnittliche Computerbenutzer überhaupt wissen, wie man ein Oszilloskop benutzt.
einen Lebenslauf vom

Antworten:

16

Erstens: Wenn Sie gesetzlich zur Verkehrstrennung verpflichtet sind, bitten Sie immer jemanden, dies zu tun, um einen Plan gemäß den gesetzlichen Anforderungen zu unterzeichnen, bevor Sie mit der Implementierung beginnen. Je nach den spezifischen gesetzlichen Anforderungen, sei es könnte in Erfüllung , dass Sie haben physisch getrennte Netzwerke ohne gemeinsamen Punkt Vertrauen zu schaffen.

Ich denke jedoch, dass Sie im Grunde genommen drei Optionen haben: 802.1Q-VLANs (besser) und mehrere NAT-Ebenen (schlechter) und physikalisch getrennte Netzwerke (am sichersten, aber auch kompliziert und wahrscheinlich am teuersten aufgrund physischer Neuverkabelung) .

Ich gehe hier davon aus, dass alles, was bereits verkabelt ist, Ethernet ist. Ein Teil des gesamten Ethernet-Standards ist das, was als IEEE 802.1Q bezeichnet wird , das beschreibt, wie unterschiedliche LANs auf der Verbindungsschicht auf derselben physischen Verbindung eingerichtet werden. Dies wird als VLAN oder virtuelles LAN bezeichnet (Hinweis: WLAN ist völlig unabhängig und steht in diesem Zusammenhang normalerweise für Wireless LAN und bezieht sich sehr oft auf eine der IEEE 802.11- Varianten). Sie können dann einen High-End-Switch verwenden (das billige Produkt, das Sie für den Heimgebrauch kaufen können, verfügt im Allgemeinen nicht über diese Funktion). Sie möchten nach einem verwalteten Switch suchen , im Idealfall einem, der speziell dafür wirbt 802.1Q-UnterstützungSie müssen jedoch bereit sein, eine Prämie für die Funktion zu zahlen), die so konfiguriert ist, dass jedes VLAN auf einen Satz von (möglicherweise nur einen) Ports aufgeteilt wird. In jedem VLAN können dann allgemeine Consumer-Switches (oder NAT-Gateways mit einem Ethernet-Uplink-Port, falls gewünscht) verwendet werden, um den Verkehr innerhalb der Büroeinheit weiter zu verteilen.

Der Vorteil von VLANs im Vergleich zu mehreren NAT-Schichten ist, dass sie völlig unabhängig von der Art des Datenverkehrs auf den Drähten sind. Bei NAT stecken Sie mit IPv4 und vielleicht mit IPv6 fest, wenn Sie Glück haben, und müssen sich auch mit all den herkömmlichen Kopfschmerzen von NAT herumschlagen, weil NAT die End-to-End-Konnektivität unterbricht (die einfache Tatsache, dass Sie eine Verzeichnisliste von a erhalten können) Ein FTP-Server über NAT ist ein Beweis für den Einfallsreichtum einiger Leute, die mit diesem Zeug arbeiten, aber selbst diese Problemumgehungen gehen normalerweise davon aus, dass es nur eine NAT entlang der Verbindungsroute gibt. mit VLANs, weil es eine Ergänzung zum Ethernet-Frame verwendet , buchstäblich allesDie Daten, die über Ethernet übertragen werden können, können über VLAN-Ethernet übertragen werden, und die End-to-End-Konnektivität bleibt erhalten. In Bezug auf die IP-Adresse hat sich nichts geändert, außer der Gruppe von Knoten, die im lokalen Netzwerksegment erreichbar sind. Der Standard ermöglicht bis zu 4.094 (2 ^ 12 - 2) VLANs auf einer einzelnen physischen Verbindung, für bestimmte Geräte gelten jedoch möglicherweise niedrigere Grenzwerte.

Daher mein Vorschlag:

  • Überprüfen Sie, ob das Master-Gerät (was sich in diesem großen Switch-Rack im Netzwerkraum befindet) 802.1Q unterstützt. Wenn dies der Fall ist, erfahren Sie, wie Sie es konfigurieren und richtig einrichten können. Ich würde empfehlen, mit einem Werksreset zu beginnen, aber stellen Sie sicher, dass Sie dabei keine wichtige Konfiguration verlieren. Stellen Sie sicher, dass Sie alle Personen, die sich auf diese Konnektivität verlassen, ordnungsgemäß darüber informieren, dass es währenddessen zu Dienstunterbrechungen kommen wird.
  • Wenn das Master-Gerät 802.1Q nicht unterstützt, suchen Sie nach einem Gerät , das Ihre Anforderungen hinsichtlich der Anzahl der VLANs, der Anzahl der Ports usw. erfüllt, und kaufen Sie es. Dann erfahren Sie, wie Sie es konfigurieren und richtig einrichten. Dies hat den Vorteil, dass Sie es beim Einrichten getrennt lassen und so die Ausfallzeiten für vorhandene Benutzer verringern können (Sie würden es zuerst einrichten, dann die alten Geräte entfernen und die neuen anschließen, sodass die Ausfallzeiten auf das Wesentliche beschränkt wären lange müssen Sie alles ausstecken und wieder einstecken).
  • Lassen Sie jede Büroeinheit einen Switch oder einen "Router" (NAT-Gateway) für Privatanwender oder kleine Unternehmen mit einem Ethernet-Uplink-Port verwenden, um die Netzwerkkonnektivität auf die eigenen Systeme zu verteilen.

Achten Sie beim Konfigurieren der Switches unbedingt darauf, dass jedes VLAN auf einen eigenen Satz von Ports beschränkt ist, und stellen Sie sicher, dass alle diese Ports nur zu einer einzelnen Büroeinheit gehören. Andernfalls sind die VLANs nur Höflichkeitszeichen für "Bitte nicht stören".

Da der einzige Datenverkehr, der die Ethernet-Ausgänge der einzelnen Einheiten erreicht, der eigene ist (dank der Konfiguration separater, getrennter VLANs), sollte dies eine angemessene Trennung gewährleisten, ohne dass Sie alles als wirklich physisch separate Netzwerke neu verkabeln müssen.

Auch besonders , wenn Sie VLANs implementieren oder am Ende alles Neuverkabelung, nehmen Sie die Möglichkeit, richtig alle Kabel mit dem Gerät und Portnummern Tag hinzu ! Es wird einige zusätzliche Zeit in Anspruch nehmen, aber es wird sich in Zukunft mehr als lohnen , insbesondere wenn es in Zukunft irgendwelche Netzwerkprobleme gibt. Schauen Sie, ich habe das Kabelnest einer Ratte geerbt. Was jetzt? Bei Serverfehler finden Sie einige hilfreiche Hinweise.

ein CVn
quelle
2
Vielen Dank für diesen Michael, äußerst nützliche Informationen und Ihr Vorschlag scheint vernünftig zu sein (ich habe abgestimmt, aber im Moment fehlen die 15 Wiederholungen). Ich werde morgen weitere Nachforschungen anstellen, was die vorhandene Hardware unterstützt, und mit den Bauherren darüber sprechen, ob sie auf diese Weise wiederverwendet werden könnten. Sicherlich klingen VLANs eher nach dem, was ich mit vollständig getrenntem Datenverkehr erreichen wollte, also werde ich etwas darüber lesen. Diese Serverfehler-Frage, die Sie verlinkt haben, hat mich zum Lachen gebracht. Zum Glück ist es nicht ganz so schlimm. Ich werde Ihren Rat befolgen, um das zu klären. Prost!
Hexodus
2
Es gibt auch eine andere Option. In der Firma, in der ich arbeite, haben wir uns einen 4G-Router mit einem separaten Vertrag besorgt. Dadurch wird das vorhandene drahtlose Netzwerk weniger belastet, und Sie können sicher sein, dass Sie überall denselben Dienst haben, völlig unabhängig von allen anderen. Dies fügt nicht so viel Komplexität hinzu und ist auch nicht so teuer.
Ismael Miguel