Tout d'abord, j'allais publier ceci sur Server Fault mais honnêtement, je ne suis pas administrateur de réseau, je suis un étudiant CS qui a été appelé à trier quelque chose pour une très petite entreprise familiale qui vient d'emménager dans une petite des bureaux et je n'ai pas vraiment d'argent pour embaucher quelqu'un pour le trier, donc je dois apprendre ce qui est nécessaire pour terminer le travail. Je suis également conscient que cette question «LAN dans un LAN» a déjà été posée, alors n'hésitez pas à marquer cela comme un doublon, bien qu'aucune des questions existantes ne réponde vraiment aux questions que j'ai.
Ainsi, la question. Le bureau dans lequel nous avons emménagé est en train d'être converti d'un grand bâtiment précédemment utilisé par une seule entreprise en un «centre d'affaires» avec des chambres individuelles louées. Chaque chambre est câblée avec plusieurs ports Ethernet menant à une salle réseau avec une armoire remplie de commutateurs pour tout lier, bien que rien de cela ne soit utilisé pour autant que je sache. Le gars qui a géré le réseau a été licencié et c'est maintenant principalement un sanctuaire à son manque de gestion des câbles.
Les entreprises actuelles qui occupent les chambres dépendent toutes d'un réseau wifi fourni par un combo routeur / modem domestique fourni par le FAI 'BT HomeHub'. Étant donné que nous sommes réglementés par le gouvernement, je n'aime pas l'idée de partager un réseau et je doute que les régulateurs non plus.
Alors, quelles sont les options ici? Je ne peux vraiment rien faire pour le routeur / modem domestique car il y a plusieurs autres entreprises qui partagent cela pour un accès sans fil. J'aimerais idéalement accéder à Internet via ce modem, mais je dois m'assurer que le réseau sur lequel nous fonctionnons est complètement inaccessible par les autres appareils du réseau qui ne font pas partie de notre entreprise. J'ai parcouru certaines des offres de routeurs pour petites entreprises de Cisco ainsi que des points d'accès sans fil (l'accès sans fil étant la priorité immédiate), mais je ne sais pas si je peux atteindre ce qui précède avec un et je veux être certain avant de commander Matériel.
Je suis sûr que la meilleure option serait de simplement faire passer une autre ligne dans le bâtiment, mais cela ajoute un coût mensuel supplémentaire plus un contrat de service, donc je tiens à éviter cela pour le moment.
Avez-vous des réflexions sur la meilleure option dans cette situation et sur la façon de procéder?
la source
Réponses:
Tout d'abord: si vous êtes légalement tenu de procéder à la séparation du trafic, demandez toujours à une personne habilitée à le faire de signer tout plan conformément aux exigences légales avant de commencer à le mettre en œuvre. En fonction des exigences juridiques spécifiques, il pourrait bien être que vous avez à fournir des réseaux physiquement séparés sans point de confiance commun.
Cela dit, je pense que vous avez essentiellement trois options: VLAN 802.1Q (mieux) et plusieurs couches de NAT (pire) et réseaux physiquement séparés (les plus sécurisés, mais aussi compliqués et probablement les plus chers en raison du recâblage physique) .
Je suppose ici que tout ce qui est déjà câblé est Ethernet. Une partie de la norme Ethernet globale est ce que l'on appelle IEEE 802.1Q , qui décrit comment établir des réseaux locaux de couche liaison distincts sur la même liaison physique. C'est ce que l'on appelle des VLAN ou des LAN virtuels (remarque: le WLAN n'est absolument pas lié et dans ce contexte signifie normalement LAN sans fil et se réfère très souvent à l'une des variantes IEEE 802.11 ). Vous pouvez ensuite utiliser un commutateur haut de gamme (les produits bon marché que vous pouvez acheter pour un usage domestique n'ont généralement pas cette fonctionnalité; vous souhaitez rechercher un commutateur géré , idéalement un qui annonce spécifiquement la prise en charge 802.1Q, mais soyez prêt à payer une prime pour la fonctionnalité) configuré pour séparer chaque VLAN en un ensemble (éventuellement un seul) port (s). Sur chaque VLAN, des commutateurs de consommation courants (ou des passerelles NAT avec un port de liaison montante Ethernet, si vous le souhaitez) peuvent alors être utilisés pour répartir davantage le trafic au sein de l'unité de bureau.
L'avantage des VLAN, par rapport à plusieurs couches de NAT, est qu'il est complètement indépendant du type de trafic sur les câbles. Avec NAT, vous êtes coincé avec IPv4 et peut - être IPv6 si vous êtes chanceux, et devez également faire face à tous les maux de tête traditionnels de NAT parce que NAT rompt la connectivité de bout en bout (le simple fait que vous pouvez obtenir une liste de répertoires à partir d'un Le serveur FTP via NAT est un témoignage de l'ingéniosité de certaines personnes qui travaillent avec ce genre de choses, mais même ces solutions de contournement supposent généralement qu'il n'y a qu'un seul NAT le long de la route de connexion); avec les VLAN, car il utilise un ajout à la trame Ethernet , littéralement n'importe quoiqui peut être transféré via Ethernet peut être transféré via VLAN Ethernet et la connectivité de bout en bout est préservée, de sorte qu'en ce qui concerne IP, rien n'a changé, sauf l'ensemble de nœuds accessibles sur le segment de réseau local. La norme autorise jusqu'à 4 094 (2 ^ 12 - 2) VLAN sur une seule liaison physique, mais un équipement spécifique peut avoir des limites inférieures.
D'où ma suggestion:
Lorsque vous configurez les commutateurs, assurez-vous absolument de limiter chaque VLAN à son propre ensemble de ports, et assurez-vous que tous ces ports ne vont qu'à une seule unité de bureau. Sinon, les VLAN ne seront guère plus que des panneaux de courtoisie «ne pas déranger».
Parce que le seul trafic qui atteint les prises Ethernet de chaque unité serait le leur (grâce à la configuration de VLAN séparés et séparés), cela devrait fournir une séparation adéquate sans vous obliger à tout recâbler comme des réseaux réellement physiquement séparés.
De plus, surtout si vous implémentez des VLAN ou finissez par tout recâbler, profitez-en pour étiqueter correctement tous les câbles avec les numéros d'unité et de port! Cela prendra du temps supplémentaire, mais cela en vaudra plus que la peine d' aller de l'avant, surtout s'il y a un problème de réseau à l'avenir. Vérifiez que j'ai hérité d'un nid de câbles de rat. Et maintenant? sur Server Fault pour quelques conseils utiles.
la source