LAN aman dalam LAN kantor yang ada

12

Hal pertama yang pertama, saya akan memposting ini di Server Fault tetapi jujur, saya bukan admin jaringan, saya seorang siswa CS yang telah dipanggil untuk menyelesaikan sesuatu untuk bisnis keluarga yang sangat kecil yang baru saja pindah ke bisnis kecil ruang kantor dan tidak benar-benar memiliki uang tunai untuk mempekerjakan seseorang untuk mengatasinya jadi saya harus belajar apa yang diperlukan untuk menyelesaikan pekerjaan. Saya juga menyadari bahwa pertanyaan ini 'LAN dalam LAN' telah ditanyakan sebelumnya jadi jangan ragu untuk menandai ini sebagai duplikat meskipun tidak ada pertanyaan yang ada yang benar-benar menjawab pertanyaan yang saya miliki.

Jadi, masalahnya. Kantor tempat kami pindah dikonversi dari sebuah gedung besar yang sebelumnya digunakan oleh satu bisnis menjadi 'pusat bisnis' dengan masing-masing kamar disewakan. Setiap kamar dilengkapi dengan beberapa port ethernet yang mengarah kembali ke ruang jaringan dengan kabinet penuh sakelar untuk mengikat semuanya meskipun tidak ada yang digunakan sejauh yang saya tahu. Orang yang mengelola jaringan dibuat mubazir dan sekarang sebagian besar menjadi tempat suci karena kurangnya manajemen kabel.

Bisnis saat ini yang menempati kamar semua mengandalkan jaringan wifi yang disediakan oleh ISP 'BT HomeHub' yang disediakan router rumah / kombo modem. Karena kita diatur oleh Pemerintah, saya tidak suka gagasan berbagi jaringan dan saya ragu para regulator juga.

Jadi, apa saja opsi di sini? Saya tidak bisa melakukan apa-apa tentang router / modem rumah karena ada beberapa bisnis lain yang berbagi ini untuk akses nirkabel. Saya idealnya ingin mengakses internet melalui modem ini tetapi perlu memastikan bahwa jaringan yang kami jalankan sepenuhnya tidak dapat diakses oleh perangkat lain di jaringan yang bukan bagian dari bisnis kami. Saya telah menjelajahi beberapa tawaran router bisnis kecil oleh Cisco bersama dengan titik akses nirkabel (akses nirkabel menjadi prioritas langsung) tetapi saya tidak yakin apakah saya dapat mencapai yang di atas dengan satu dan ingin memastikan sebelum saya memesan apa pun. perangkat keras.

Saya yakin pilihan terbaik adalah dengan menjalankan jalur lain ke dalam gedung tetapi itu menambahkan biaya bulanan tambahan ditambah kontrak layanan jadi saya ingin menghindari itu untuk saat ini.

Adakah pemikiran tentang pilihan terbaik dalam situasi ini dan bagaimana saya akan melakukannya?

networking router lan Hexodus
sumber
3
Pertanyaan pertama untuk bertanya pada diri sendiri: Seberapa parah kita membutuhkan akses Internet? Apakah perusahaan akan mati kalau router rumah BT mati. Jika itu penting maka sewalah lini konsumen non-rumah Anda sendiri. Lebih disukai dari ISP yang berbeda daripada yang sudah ada di kantor sehingga Anda dapat menggunakannya sebagai cadangan darurat. Pertimbangan kedua: Siapa yang memiliki akses ke kabinet penuh sakelar? Apa model / kemampuan mereka (senang mengetahui sebelum Anda mulai bekerja pada solusi). Apakah mereka berhasil beralih? Firmware terbaru? Ketiga mungkin saatnya untuk mencari tahu kabel mana yang disambungkan ke kamar Anda.
Hennes
Ketika Anda mendapat jawaban-jawaban itu, baca di VLAN (untuk kabel). Juga pertimbangkan untuk tidak mengizinkan akses internet ke apa pun selain server surat dan proksi semua perangkat lain di belakangnya. (Itu adalah server sebagai firewall, secara logis di belakang server mail dan secara logis di belakang proxy itu) dan fileserver). Dan pikirkan tentang cadangan. Salah satu permulaan terburuk adalah jika poeple menyimpan informasi pada laptop mereka dan bukannya pada drive jaringan.
Hennes
Akses apa yang Anda miliki ke peralatan? Apakah Anda memiliki izin untuk masuk ke "router rumah / kombo modem"? Apa sumber akses Internet situs itu? (Saya menebak DSL dari BT. Hanya dugaan. Jawabannya bukan Wi-Fi.) Jika Anda ingin "melindungi" jaringan Anda dari jaringan lain di situs, perangkat khas untuk "melindungi" jaringan adalah firewall. Yang mengatakan, banyak router menyediakan kemampuan tipe "firewall" internal (mungkin kurang khusus / dirancang untuk tugas daripada perangkat firewall khusus). Beberapa peralatan pro Cisco dapat memiliki kurva belajar yang tinggi.
TOOGAM
Secara resmi saya tidak memiliki akses, meskipun saya yakin itu bisa dinegosiasikan jadi saya akan memastikannya besok. Hanya mencari beberapa ide tentang apa yang mungkin dilakukan dengan peralatan yang sudah ada. Sumber tampaknya menjadi garis DSL bisnis biasa, yang saya tahu bukan 'WiFi' (Saya bukan veteran jaringan tapi saya tidak mahir, jangan khawatir). VLAN terlihat menarik, saya akan memeriksanya lebih jauh. Saya hanya berjuang untuk menyatukan beberapa konsep jaringan dengan pengaturan dunia nyata.
Hexodus
@TOOGAM Saya tidak berharap pengguna komputer rata-rata memahami beberapa hal di "router" bisnis kecil Cisco saya tanpa panduan. Apalagi bisa mengkonfigurasi peralatan jaringan berbasis iOS Cisco. Setuju dengan Anda sejauh ini. Tapi saya benar-benar tidak berpikir itu unik untuk Cisco; peralatan spesialis seringkali memang memiliki kurva belajar yang curam. Heck, Anda dapat mengatur pengguna komputer rata-rata di depan osiloskop rata-rata dan melanjutkan untuk menonton kembang api. Saya tidak yakin berapa banyak pengguna komputer di atas rata-rata akan tahu cara menggunakan osiloskop, bahkan.
CVn

Jawaban:

16

Pertama: Jika Anda berada di bawah kewajiban hukum untuk memberikan pemisahan lalu lintas, selalu mintalah seseorang yang berwenang untuk melakukannya untuk menandatangani rencana apa pun sesuai dengan persyaratan hukum sebelum Anda mulai menerapkannya. Bergantung pada persyaratan hukum tertentu, mungkin saja Anda harus menyediakan jaringan yang terpisah secara fisik tanpa titik kepercayaan bersama.

Yang mengatakan, saya pikir Anda pada dasarnya memiliki tiga pilihan: 802.1Q VLAN (lebih baik) dan beberapa lapisan NAT (lebih buruk) dan jaringan yang terpisah secara fisik (paling aman, tetapi juga rumit dan kemungkinan paling mahal karena pengerjaan ulang fisik) .

Saya berasumsi di sini bahwa semua yang sudah terhubung adalah Ethernet. Salah satu bagian dari keseluruhan standar Ethernet adalah apa yang dikenal sebagai IEEE 802.1Q , yang menjelaskan bagaimana cara membuat LAN lapisan-tautan yang berbeda pada tautan fisik yang sama. Ini dikenal sebagai VLAN atau LAN virtual (catatan: WLAN sama sekali tidak terkait dan dalam konteks ini biasanya merupakan singkatan dari LAN Nirkabel dan sangat sering merujuk ke salah satu varian IEEE 802.11 ). Anda kemudian dapat menggunakan sakelar kelas atas (barang murah yang bisa Anda beli untuk digunakan di rumah umumnya tidak memiliki fitur ini; Anda ingin mencari sakelar terkelola , idealnya sakelar yang secara khusus mengiklankan dukungan 802.1Q, meskipun bersiaplah untuk membayar premi untuk fitur) yang dikonfigurasi untuk memisahkan setiap VLAN ke satu set (mungkin hanya satu) port (s). Pada masing-masing VLAN, switch konsumen umum (atau gateway NAT dengan port uplink Ethernet, jika diinginkan) dapat digunakan untuk lebih jauh mendistribusikan lalu lintas di dalam unit kantor.

Kelebihan dari VLAN, dibandingkan dengan beberapa lapisan NAT, adalah bahwa itu sepenuhnya independen dari jenis lalu lintas pada kabel. Dengan NAT, Anda terjebak dengan IPv4 dan mungkin IPv6 jika Anda beruntung, dan juga harus bersaing dengan semua sakit kepala tradisional NAT karena NAT memecah konektivitas ujung-ke-ujung (fakta sederhana bahwa Anda bisa mendapatkan daftar direktori dari sebuah Server FTP melalui NAT adalah kesaksian tentang kecerdikan beberapa orang yang bekerja dengan hal-hal itu, tetapi bahkan pemecahan masalah tersebut biasanya mengasumsikan bahwa hanya ada satu NAT di sepanjang rute koneksi); dengan VLAN, karena menggunakan tambahan ke frame Ethernet , secara harfiah apa sajayang dapat ditransfer melalui Ethernet dapat ditransfer melalui VLAN Ethernet dan konektivitas end-to-end dipertahankan, sejauh menyangkut IP, tidak ada yang berubah kecuali set node yang dapat dijangkau pada segmen jaringan lokal. Standar ini memungkinkan hingga 4.094 (2 ^ 12 - 2) VLAN pada satu tautan fisik, tetapi peralatan tertentu mungkin memiliki batas yang lebih rendah.

Maka saran saya:

  • Periksa untuk melihat apakah peralatan utama (apa yang ada di rak besar sakelar di ruang jaringan) mendukung 802.1Q. Jika ya, cari tahu cara mengonfigurasinya, dan atur dengan benar. Saya akan merekomendasikan memulai dengan melakukan reset pabrik, tetapi pastikan Anda tidak kehilangan konfigurasi penting dengan melakukannya. Pastikan untuk memberi nasihat dengan benar kepada siapa pun yang mengandalkan konektivitas yang akan ada gangguan layanan saat Anda melakukan ini.
  • Jika peralatan utama tidak mendukung 802.1Q, temukan beberapa yang sesuai dan memenuhi kebutuhan Anda dalam hal jumlah VLAN, jumlah port, dan sebagainya, dan beli. Kemudian cari tahu cara mengkonfigurasinya, dan mengaturnya dengan benar. Ini memang memiliki bonus yang Anda bisa tetap terpisah saat mengatur segalanya, mengurangi downtime untuk setiap pengguna yang sudah ada (Anda akan mengaturnya terlebih dahulu, kemudian menghapus peralatan lama dan menghubungkan yang baru, sehingga pada dasarnya downtime akan terbatas pada dasarnya bagaimana lama Anda perlu mencabut dan pasang kembali semuanya).
  • Mintalah setiap unit kantor menggunakan sakelar, atau "router" rumah atau usaha kecil (gateway NAT) dengan port uplink Ethernet, untuk lebih lanjut mendistribusikan konektivitas jaringan di antara sistem mereka sendiri.

Saat Anda mengonfigurasi sakelar, pastikan untuk membatasi setiap VLAN hanya untuk set portnya sendiri, dan pastikan semua port tersebut hanya untuk satu unit kantor. Jika tidak, VLAN akan lebih dari sekadar tanda "jangan ganggu".

Karena satu-satunya lalu lintas yang mencapai outlet Ethernet masing-masing unit akan menjadi milik mereka sendiri (berkat konfigurasi VLAN terpisah dan terpisah), ini harus menyediakan pemisahan yang memadai tanpa mengharuskan Anda memasang ulang semuanya sebagai jaringan yang benar-benar terpisah secara fisik.

Juga, terutama jika Anda menerapkan VLAN atau mengakhiri pemasangan ulang semuanya, gunakan peluang untuk menandai semua kabel dengan benar dengan nomor unit dan port! Ini akan membutuhkan waktu ekstra, tetapi akan lebih dari cukup untuk maju ke depan terutama jika ada masalah jaringan di masa depan. Lihat Saya sudah mewarisi sarang tikus kabel. Apa sekarang? pada Server Fault untuk beberapa petunjuk bermanfaat.

sebuah CVn
sumber
2
Terima kasih untuk Michael ini, informasi yang sangat berguna dan saran Anda sepertinya masuk akal (saya sudah tervvatifikasi tetapi tidak memiliki 15 perwakilan saat ini). Besok saya akan melakukan penyelidikan lebih lanjut mengenai apa yang didukung oleh perangkat keras yang ada dan berbicara dengan pemilik gedung, apakah itu dapat digunakan kembali dengan cara ini. Tentu saja VLAN terdengar lebih seperti apa yang ingin saya capai dengan lalu lintas yang benar-benar terpisah jadi saya akan melakukan beberapa bacaan tentang itu. Pertanyaan Server Fault yang ditautkan membuat saya tertawa, untungnya itu tidak seburuk itu. Saya akan mengambil saran Anda tentang memilahnya. Bersulang!
Hexodus
2
Juga, ada opsi lain. Di perusahaan tempat saya bekerja, kami mendapatkan router 4G, dengan kontrak terpisah. Ini mengurangi beban pada jaringan nirkabel yang ada dan Anda dapat yakin bahwa Anda akan memiliki layanan yang sama, ke mana pun Anda pergi, sepenuhnya terlepas dari orang lain. Ini tidak menambah banyak kerumitan dan tidak terlalu mahal.
Ismael Miguel