web-dev-qa-db-ja.com

既存のオフィスLAN内の安全なLAN

まず最初に、これをServer Faultに投稿するつもりでしたが、正直なところ、私はネットワーク管理者ではありません。私はCSの学生であり、小規模に移行したばかりの非常に小規模な家族経営の企業のために何かを整理するよう求められています。オフィススペースがあり、誰かを雇ってそれを分類するための現金が手元にないので、仕事を完了するために何が必要かを学ぶ必要があります。また、この質問「LAN内のLAN」が以前に尋ねられたことがあることも承知しています。既存の質問のいずれも実際に私が持っている質問に答えていませんが、これを重複としてマークしてください。

したがって、問題。私たちが移転したオフィスは、以前は単一の企業が使用していた大きな建物から、個別の部屋が貸し出されている「ビジネスセンター」に変換されています。各部屋はいくつかのイーサネットポートで配線されており、スイッチでいっぱいのキャビネットを備えたネットワークルームに戻って、すべてを結び付けていますが、私が知る限り、そのどれも使用されていません。ネットワークを管理していた人は冗長になり、ケーブル管理が不足しているため、今ではほとんどが神社になっています。

部屋を占有している現在のビジネスはすべて、「BTHomeHub」ISPが提供するホームルーター/モデムコンボによって提供されるwifiネットワークに依存しています。私たちは政府によって規制されているので、ネットワークを共有するという考えは好きではなく、規制当局もそうするのではないかと思います。

それで、ここでのオプションは何ですか?ワイヤレスアクセスのためにこれを共有している他の複数の企業があるので、私はホームルーター/モデムについて実際には何もできません。理想的にはこのモデム経由でインターネットにアクセスしたいのですが、私たちが実行しているネットワークが、私たちのビジネスの一部ではないネットワーク上の他のデバイスから完全にアクセスできないようにする必要があります。シスコが提供するスモールビジネスルーターのいくつかとワイヤレスアクセスポイント(ワイヤレスアクセスが最優先事項)を閲覧してきましたが、1つで上記を達成できるかどうかわからないため、注文する前に確認したいと思います。ハードウェア。

建物に別の路線を走らせるのが最善の選択肢だと確信していますが、それは追加の月額費用とサービス契約を追加するので、今のところそれを避けたいと思っています。

この状況での最良の選択肢と、それについてどうすればよいかについての考えはありますか?

12
Hexodus

まず最初に:トラフィックの分離を提供する法的義務がある場合は、実装を開始する前に、法的要件の範囲内で計画を承認する権限を持つ誰かに必ず依頼してください。特定の法的要件によっては、を使用して、共通の信頼ポイントのない物理的に分離されたネットワークを提供する場合があります。

そうは言っても、基本的に3つのオプションがあると思います:802.1Q VLAN(より良い)およびNAT(悪い)および物理的に分離されたネットワーク(最も安全ですが、物理的な再配線のために複雑で、おそらく最も高価です)

ここでは、すでに配線されているものはすべてイーサネットであると想定しています。イーサネット標準全体の一部は、 IEEE 802.1Q として知られているものであり、同じ物理リンク上に別個のリンク層LANを確立する方法を説明しています。これはVLANまたは仮想LAN として知られています(注:WLANは完全に無関係であり、このコンテキストでは通常を表します無線LAN であり、多くの場合、 IEEE 802.11 バリアントの1つを指します。次に、ハイエンドスイッチを使用できます(家庭用に購入できる安価なものには通常、この機能はありません。マネージドスイッチ、理想的には1つを探します。これは、 802.1Qサポートをアドバタイズしますが、各VLANを一連の(場合によっては1つだけの)ポートに分離するように構成されています。 )。次に、各VLANで、共通のコンシューマスイッチ(または必要に応じてイーサネットアップリンクポートを備えたNATゲートウェイ)を使用して、オフィスユニット内でトラフィックをさらに分散できます。

NATの複数のレイヤーと比較した場合のVLANの利点は、ワイヤー上のトラフィックのタイプから完全に独立していることです。 NATを使用すると、IPv4で立ち往生し、運が良ければ 多分 IPv6 であり、すべての NATの従来の頭痛の種 NATがエンドツーエンドの接続を切断するため(NATを介してFTPサーバーからディレクトリリストを取得できるという単純な事実は、働く人々の創意工夫の証ですそのようなもので、しかしそれらの回避策でさえ、通常、接続ルートに沿って 1つ NATしかないことを前提としています)。 VLANの場合、 イーサネットフレームへの追加を使用する であるため、文字通りイーサネット経由で転送できるものはVLANイーサネット経由で転送できます。エンドツーエンドの接続は維持されます。IPに関する限り、ローカルネットワークセグメントで到達可能なノードのセットを除いて、[////]何も変更されていません。この規格では、単一の物理リンクで最大4,094(2 ^ 12-2)のVLANが許可されていますが、特定の機器には下限がある場合があります。

したがって、私の提案:

  • マスター機器(ネットワークルームのスイッチの大きなラックにあるもの)が802.1Qをサポートしているかどうかを確認します。もしそうなら、それを設定する方法を見つけて、正しく設定してください。工場出荷時の状態にリセットすることから始めることをお勧めしますが、そうすることで重要な構成が失われないようにしてください。その接続に依存している人には、これを行っている間はサービスが中断する可能性があることを適切にアドバイスしてください。
  • マスター機器が802.1Qをサポートしていない場合、は、VLANの数、ポートの数などの点でニーズを満たしているものを見つけます。に、そしてそれを購入します。次に、それを構成する方法を見つけて、正しく設定します。これには、セットアップ中に分離しておくことができ、既存のユーザーのダウンタイムを減らすことができるというボーナスがあります(最初にセットアップしてから、古い機器を取り外して新しい機器を接続するため、ダウンタイムは基本的にどのように制限されますか?長い間、すべてを抜き差しする必要があります)。
  • 各オフィスユニットにスイッチ、またはイーサネットアップリンクポートを備えたホームまたはスモールビジネスの「ルーター」(NATゲートウェイ)を使用させて、ネットワーク接続をさらに分散させます独自のシステムの中で。

スイッチを構成するときは、必ず各VLANを独自のポートのセットに制限し、それらのポートがすべて1つのオフィスユニットにのみ接続されるようにしてください。それ以外の場合、VLANは「邪魔しないでください」という礼儀のサインにすぎません。

各ユニットのイーサネットアウトレットに到達するトラフィックは独自のものだけであるため(個別の分離されたVLANを構成することにより)、これにより、すべてを真に物理的に分離されたネットワークとして再配線する必要なしに、適切な分離が提供されます。

また、特に VLANを実装したり、すべてを再配線したりする場合は、すべてのケーブルにユニット番号とポート番号を正しくタグ付けする機会を利用してください。少し時間がかかりますが、特に将来何らかのネットワークの問題が発生した場合は、それ以上の価値があります。いくつかの役立つヒントについては、サーバー障害に関する ネズミのケーブルの巣を継承しました。今は何ですか? を確認してください。

16
a CVn