기존 사무실 LAN 내의 안전한 LAN

12

먼저 서버 결함에 이것을 게시하려고했지만 솔직히 네트워크 관리자는 아닙니다. 저는 소규모로 이사를 한 소규모 가족 비즈니스를 위해 무언가를 정리하라는 CS 학생입니다. 사무실 공간에 실제로 현금을 가지고 있지 않아서 누군가를 고용하여 그것을 분류 할 수 없어서 직업을 완수하는 데 필요한 것을 배워야합니다. 또한 'LAN 내 LAN'이라는 질문은 이전에 요청되었으므로 기존 질문 중 어느 것도 본인의 질문에 실제로 답변하지 않았지만이 질문을 중복으로 표시해도됩니다.

따라서 문제입니다. 우리가 이전 한 사무실은 이전에 단일 비즈니스에서 사용했던 큰 건물에서 개별 객실을 임대하는 '비즈니스 센터'로 전환되었습니다. 각 방에는 몇 개의 이더넷 포트가 연결되어 있으며 스위치로 가득 찬 캐비닛이있는 네트워크 실로 돌아가서 모든 것을 묶어 둘 수는 없지만 아무 것도 사용하지 못합니다. 네트워크를 관리하는 사람은 중복되어 만들어졌으며 이제는 케이블 관리 부족으로 인해 대부분 신사입니다.

객실을 점유하고있는 현재 비즈니스는 모두 홈 라우터 / 모뎀 콤보를 제공하는 'BT HomeHub'ISP가 제공하는 Wi-Fi 네트워크에 의존하고 있습니다. 우리는 정부 규제를 받고 있기 때문에 네트워크 공유라는 아이디어가 마음에 들지 않으며 규제 당국도 그렇게 생각하지 않습니다.

여기에 어떤 옵션이 있습니까? 무선 액세스를 위해 이것을 공유하는 다른 여러 비즈니스가 있기 때문에 홈 라우터 / 모뎀에 대해서는 실제로 아무것도 할 수 없습니다. 이상적으로이 모뎀을 통해 인터넷에 액세스하고 싶지만 비즈니스의 일부가 아닌 네트워크의 다른 장치에서 실행중인 네트워크에 완전히 액세스 할 수 없도록해야합니다. 무선 액세스 포인트 (무선 액세스가 즉각적인 우선 순위)와 함께 Cisco의 소규모 비즈니스 라우터 제품 중 일부를 탐색했지만 위의 방법으로 하나를 달성 할 수 있는지 확실하지 않은 경우 주문하기 전에 하드웨어.

최선의 선택은 건물에 다른 선을 단순히 꽂는 것이지만 월간 비용과 서비스 계약이 추가되므로 당분간은 피하는 것이 좋습니다.

이 상황에서 가장 좋은 옵션에 대한 생각과 어떻게 할 수 있습니까?

networking  router  lan 
헥 소두
소스
3
스스로에게 물어보아야 할 첫 번째 질문 : 인터넷 액세스가 얼마나 나쁜가? 회사는 BT의 홈 라우터가 죽으면 죽을 것인가? 필수 인 경우 비 가정 소비자 라인을 임대하십시오. 다른 ISP에서 사무실에 이미있는 것이 바람직하므로 응급 백업으로 사용할 수 있습니다. 두 번째 고려 사항 : 스위치로 가득 찬 캐비닛에 누가 액세스 할 수 있습니까? 어떤 모델 / 기능입니까 (솔루션 작업을 시작하기 전에 알아두면 좋습니다). 그들은 관리 스위치? 펌웨어가 최신입니까? 셋째는 아마도 어떤 케이블이 당신의 방에 연결되어 있는지 알아낼 때입니다.
Hennes
이러한 답변을 받으면 VLAN (유선)을 확인하십시오. 또한 메일 서버 이외의 인터넷 액세스를 허용하지 않으며 그 뒤에있는 다른 모든 장치를 프록시하십시오. (이것은 방화벽으로서의 서버이며, 논리적으로 메일 서버 뒤에 있고 논리적으로 프록시 뒤에 있습니다) 및 파일 서버). 그리고 백업에 대해 생각하십시오. 최악의 시작 중 하나는 사람들이 네트워크 드라이브 대신 랩톱에 정보를 저장하는 것입니다.
Hennes
장비에 어떤 액세스 권한이 있습니까? "홈 라우터 / 모뎀 콤보"에 로그인 할 권한이 있습니까? 사이트의 인터넷 액세스 소스는 무엇입니까? (BT에서 DSL을 추측하고 있습니다. 추측으로는 답이 Wi-Fi가 아닙니다.) 사이트의 다른 네트워크에서 네트워크를 "보호"하려는 경우 네트워크를 "보호"하는 일반적인 장치는 방화벽입니다. 즉, 많은 라우터는 내부 "방화벽"유형의 기능을 제공합니다 (전용 방화벽 장치보다 작업에 특화 / 설계되지 않은 것으로 추정 됨). 시스코의 일부 프로 장비는 학습 곡선이 높을 수 있습니다.
TOOGAM
협상 할 수 있다고 확신하지만 공식적으로는 액세스 권한이 없으므로 내일 그 내용을 볼 수 있습니다. 이미 설치되어있는 장비로 가능한 것이 무엇인지에 대한 아이디어를 찾고 있습니다. 소스는 'WiFi'가 아닌 일반 비즈니스 DSL 회선 인 것으로 보입니다 (네트워크 베테랑은 아니지만 부적절하지는 않지만 걱정하지 마십시오). VLAN은 흥미로워 보입니다. 더 자세히 살펴 보겠습니다. 나는 실제 설정과 네트워킹 개념 중 일부를 결합하기 위해 고심하고 있습니다.
Hexodus
@TOOGAM 나는 일반 컴퓨터 사용자가 내 시스코 소기업 "라우터"의 일부를지도없이 이해할 것이라고 기대하지 않습니다. 시스코의 IOS 기반 네트워크 장비를 구성 할 수있는 것은 물론입니다. 지금까지 당신과 동의하십시오. 그러나 저는 이것이 시스코 만의 고유 한 것이라고 생각하지 않습니다. 전문 장비는 종종 가파른 학습 곡선을 가지고 있습니다. 평균 오실로스코프 앞에 평균 컴퓨터 사용자를 설정 하고 불꽃 놀이를 진행할 수 있습니다. 나는 얼마나 많은 모르겠어요 평균 이상 도, 오실로스코프를 사용하는 방법을 알게 될 것입니다 컴퓨터 사용자.
CVn

답변:

16

우선 : 교통 분리를 제공 할 법적 의무가있는 경우, 계획을 시작하기 전에 항상 법적 요구 사항 내에서 계획에 서명 할 수있는 권한을 가진 사람에게 문의하십시오. 특정 법적 요구 사항에 따라 공통 신뢰 지점없이 물리적으로 별도의 네트워크를 제공 해야 할 수도 있습니다 .

즉, 기본적으로 802.1Q VLAN (더 나은)다중 계층의 NAT (나쁜)물리적으로 분리 된 네트워크 (가장 안전하지만 물리적 재배 선으로 인해 복잡하고 비용이 많이 드는 )의 세 가지 옵션이 있다고 생각합니다 .

여기에 이미 연결된 모든 것이 이더넷이라고 가정합니다. 전체 이더넷 표준의 한 부분은 IEEE 802.1Q 로 알려진 것으로 , 동일한 물리적 링크에서 고유 한 링크 계층 LAN을 설정하는 방법을 설명합니다. 이것을 VLAN 또는 가상 LAN이라고합니다 (참고 : WLAN은 완전히 관련 이 없으며이 문맥에서 일반적으로 무선 LAN을 나타내며 IEEE 802.11 변형 중 하나를 나타냄 ). 그런 다음 고급 스위치를 사용할 수 있습니다 (가정용으로 구입할 수있는 저렴한 제품에는 일반적으로이 기능이 없습니다. 특히 관리되는 스위치 , 특히 802.1Q 지원을 광고하는 스위치 를 찾고 싶습니다)각 VLAN을 한 포트 세트로 분리하도록 구성된 기능에 대해 보험료를 지불 할 준비가되어 있어야합니다. 그런 다음 각 VLAN에서 공통 소비자 스위치 (또는 원하는 경우 이더넷 업 링크 포트가있는 NAT 게이트웨이)를 사용하여 사무실 장치 내에서 트래픽을 추가로 분배 할 수 있습니다.

VLAN의 장점은 여러 계층의 NAT와 비교할 때 유선 트래픽 유형과 완전히 독립적이라는 것입니다. NAT, 당신은 IPv4와 함께 붙어있다 어쩌면 IPv6를 당신이 운이 좋다면, 또한 모든 맞설 필요가 NAT의 전통 두통 NAT는 엔드 - 투 - 엔드 연결 (당신이 디렉토리가에서 목록을 얻을 수 있다는 단순한 사실을 나누기 때문에 NAT를 통한 FTP 서버는 해당 작업을 수행하는 일부 사람들의 독창성을 증거하지만 이러한 해결 방법조차도 일반적으로 연결 경로를 따라 하나의 NAT 만 있다고 가정 합니다. VLAN이 때문에 는 이더넷 프레임에 추가를 사용 , 문자 그대로 아무것도이더넷을 통해 전송할 수있는 VLAN 이더넷을 통해 전송할 수 있으며 엔드 투 엔드 연결이 유지되므로 IP에 관한 한 로컬 네트워크 세그먼트에서 도달 할 수있는 노드 세트를 제외하고는 아무것도 변경되지 않았습니다 . 이 표준은 단일 물리적 링크에서 최대 4,094 (2 ^ 12-2) 개의 VLAN을 허용하지만 특정 장비에는 더 낮은 제한이있을 수 있습니다.

따라서 내 제안 :

  • 마스터 장비 (네트워크 룸의 큰 스위치 랙에있는 것) 가 802.1Q를 지원 하는지 확인하십시오 . 그렇다면 구성 방법을 찾아서 올바르게 설정하십시오. 공장 초기화를 시작하여 시작하는 것이 좋지만 그렇게하면 중요한 구성을 잃지 않아야합니다. 이 연결에 의존하는 모든 사람에게 서비스를 중단하는 동안 서비스 중단이 발생할 것이라고 올바르게 조언하십시오.
  • 마스터 장비 가 802.1Q를 지원하지 않는 경우 VLAN 수, 포트 수 등의 측면에서 요구 사항을 충족하고 충족하는 제품을 찾아 구입하십시오. 그런 다음 구성 방법을 찾아 올바르게 설정하십시오. 여기에는 설정하는 동안 별도로 유지하여 기존 사용자의 가동 중지 시간을 줄일 수있는 보너스가 있습니다 (먼저 설치 한 다음 이전 장비를 제거하고 새로운 장비를 연결하므로 가동 중지 시간은 기본적으로 방법으로 제한됩니다) 모든 것을 분리했다가 다시 연결해야합니다).
  • 각 사무실 장치 가 이더넷 업 링크 포트가 있는 스위치 또는 가정 또는 소규모 비즈니스 "라우터" (NAT 게이트웨이)를 사용하여 자체 시스템간에 네트워크 연결을 더욱 분산 시키십시오.

스위치를 구성 할 때는 반드시 각 VLAN을 고유 한 포트 세트로 제한하고 모든 포트가 단일 사무실 장치로만 연결되도록하십시오. 그렇지 않으면 VLAN은 "방해하지 말 것"이라는 표시 이상의 의미가 있습니다.

각 장치의 이더넷 콘센트에 도달하는 유일한 트래픽은 고유 한 트래픽이므로 (별도의 분리 된 VLAN 구성 덕분에) 실제로 물리적으로 분리 된 네트워크로 모든 것을 다시 연결할 필요없이 적절한 분리를 제공해야합니다.

또한 특히 VLAN을 구현하거나 모든 케이블을 다시 연결하는 경우 모든 케이블에 장치 및 포트 번호를 올바르게 태그 지정하십시오! 시간이 좀 더 걸리 겠지만, 앞으로 네트워크 문제가있을 경우 특히 앞으로 나아갈 가치가 있습니다. 쥐의 케이블 연결을 상속했는지 확인하십시오 . 지금 무엇? 몇 가지 유용한 힌트를 보려면 서버 오류가 발생했습니다.

CVn
소스
2
이 Michael에게 매우 유용한 정보와 귀하의 제안은 합리적인 것으로 보입니다 (나는 공언했지만 15 명의 담당자는 부족합니다). 나는 내일 기존 하드웨어가 무엇을 지원하는지에 대해 좀 더 조사하고 건물 소유자에게 이런 식으로 재사용 할 수 있는지에 대해 이야기 할 것입니다. 확실히 VLAN은 완전히 분리 된 트래픽으로 달성하고자하는 것과 비슷하게 들리므로 이에 대해 읽어 볼 것입니다. 당신이 연결 한 Server Fault 질문은 저를 웃게 만들었습니다. 다행히도 그렇게 나쁘지는 않습니다. 그래도 분류에 대한 조언을 드리겠습니다. 건배!
Hexodus
2
또한 다른 옵션이 있습니다. 내가 일하는 회사에서 우리는 별도의 계약으로 4G 라우터를 얻었습니다. 이를 통해 기존 무선 네트워크에 대한 부하가 줄어들고 어디를 가든 동일한 서비스를 다른 사람과 완전히 분리 할 수 ​​있습니다. 이것은 그렇게 많은 복잡성을 추가하지 않으며 그렇게 비싸지 않습니다.
이스마엘 미겔
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.