LAN segura dentro de la LAN existente de la oficina

12

Primero lo primero, iba a publicar esto en Server Fault pero, sinceramente, no soy administrador de red, soy un estudiante de CS al que se me pidió que resolviera algo para un negocio familiar muy pequeño que acaba de mudarse a un pequeño espacio de oficina y realmente no tengo el efectivo disponible para contratar a alguien para que lo clasifique, así que tengo que aprender lo que se necesita para completar el trabajo. También soy consciente de que esta pregunta 'LAN dentro de una LAN' se ha hecho antes, así que siéntase libre de marcar esto como un duplicado, aunque ninguna de las preguntas existentes realmente respondió a las preguntas que tengo.

Por lo tanto, el problema. La oficina a la que nos hemos mudado se está convirtiendo de un gran edificio utilizado anteriormente por una sola empresa en un 'centro de negocios' con habitaciones individuales alquiladas. Cada sala está conectada con varios puertos ethernet que conducen a una sala de red con un gabinete lleno de conmutadores para unir todo, aunque nada de eso está en uso hasta donde puedo decir. El tipo que administraba la red se volvió redundante y ahora es principalmente un santuario a su falta de administración de cable.

Las empresas actuales que ocupan las habitaciones dependen de una red wifi proporcionada por un combo de módem / enrutador doméstico proporcionado por el ISP 'BT HomeHub'. Como estamos regulados por el gobierno, no me gusta la idea de compartir una red y dudo que los reguladores tampoco lo hagan.

Entonces, ¿cuáles son las opciones aquí? Realmente no puedo hacer nada sobre el enrutador / módem doméstico, ya que hay muchas otras empresas que comparten esto para el acceso inalámbrico. Idealmente, me gustaría acceder a Internet a través de este módem, pero necesito asegurarme de que la red en la que estamos corriendo sea completamente inaccesible para los otros dispositivos en la red que no son parte de nuestro negocio. He estado explorando algunas de las ofertas de enrutadores para pequeñas empresas de Cisco junto con puntos de acceso inalámbrico (el acceso inalámbrico es la prioridad inmediata), pero no estoy seguro de si puedo lograr lo anterior con uno y quiero estar seguro antes de ordenar cualquier hardware.

Estoy seguro de que la mejor opción sería simplemente pasar otra línea al edificio, pero eso agrega un costo mensual adicional más un contrato de servicio, así que estoy ansioso por evitarlo por el momento.

¿Alguna idea sobre la mejor opción en esta situación y cómo podría hacerlo?

networking router lan Hexodus
fuente
3
Primeras preguntas que debe hacerse: ¿hasta qué punto necesitamos acceso a Internet? ¿Morirá la empresa si muere el enrutador doméstico de BT? Si es esencial, alquile su propia línea que no sea para el consumidor doméstico. Preferiblemente de un ISP diferente, entonces uno ya en la oficina para que pueda usarlo como respaldo de emergencia. Segunda consideración: ¿Quién tiene acceso al gabinete lleno de interruptores? ¿Qué modelo / capacidades son? (Es bueno saberlo antes de comenzar a trabajar en una solución). ¿Se gestionan conmutadas? Firmware actualizado? El tercero es probablemente el momento de averiguar qué cables están conectados a sus habitaciones.
Hennes
Cuando obtenga esas respuestas, lea sobre las VLAN (para cable). También considere no permitir el acceso a Internet a otra cosa que no sea un servidor de correo y proxy a todos los demás dispositivos detrás de él. (Ese es un servidor como firewall, lógicamente detrás de ese servidor de correo y lógicamente detrás de ese proxy) y servidor de archivos). Y piense en las copias de seguridad. Uno de los peores comienzos sería si poeple almacenara información en sus computadoras portátiles en lugar de en una unidad de red.
Hennes
¿Qué acceso tiene al equipo? ¿Tiene permiso para iniciar sesión en el "combo de módem / enrutador doméstico"? ¿Cuál es la fuente del acceso a Internet del sitio? (Supongo que DSL de BT. Solo una suposición. La respuesta no es Wi-Fi). Si desea "proteger" su red de otras redes en el sitio, el dispositivo típico para "proteger" una red es un firewall. Dicho esto, muchos enrutadores proporcionan capacidades internas de tipo "firewall" (presumiblemente menos especializados / diseñados para la tarea que un dispositivo de firewall dedicado). Algunos de los equipos profesionales de Cisco pueden tener una curva de aprendizaje alta.
TOOGAM
Oficialmente no tengo acceso, aunque estoy seguro de que podría negociarse, así que lo veré mañana. Simplemente buscando algunas ideas sobre lo que podría ser posible con el equipo que ya está instalado. La fuente parece ser una línea DSL comercial normal, que sé que no es 'WiFi' (no soy un veterano de redes pero no soy tan inepto, no te preocupes). Las VLAN se ven interesantes, ciertamente las investigaré más a fondo. Solo estoy luchando por reunir algunos de los conceptos de redes con la configuración del mundo real.
Hexodus
@TOOGAM No esperaría que el usuario promedio de computadoras entienda algunas de las cosas en mi "enrutador" de Cisco para pequeñas empresas sin orientación. Y mucho menos poder configurar el equipo de red basado en IOS de Cisco. De acuerdo contigo hasta ahora. Pero realmente no creo que sea exclusivo de Cisco; El equipo especializado a menudo tiene una curva de aprendizaje empinada. Demonios, podría configurar el usuario promedio de la computadora frente al osciloscopio promedio y proceder a ver los fuegos artificiales. No estoy seguro de cuántos usuarios de computadoras superiores al promedio sabrían cómo usar un osciloscopio, incluso.
un CVn

Respuestas:

16

En primer lugar: si tiene la obligación legal de proporcionar separación de tráfico, siempre solicite a alguien con la autoridad para hacerlo que apruebe cualquier plan según los requisitos legales antes de comenzar a implementarlo. Dependiendo de los requisitos legales específicos, que sólo podría ser que va a tener para proporcionar redes físicamente separadas sin ningún punto común confianza.

Dicho esto, creo que básicamente tiene tres opciones: VLAN 802.1Q (mejor) y múltiples capas de NAT (peor) y redes físicamente separadas (más seguras, pero también complicadas y probablemente más caras debido al cableado físico) .

Asumo aquí que todo lo que ya está conectado es Ethernet. Una parte del estándar general de Ethernet es lo que se conoce como IEEE 802.1Q , que describe cómo establecer distintas LAN de capa de enlace en el mismo enlace físico. Esto se conoce como VLAN o LAN virtuales (nota: la WLAN no tiene ninguna relación y, en este contexto, normalmente significa LAN inalámbrica y con frecuencia se refiere a una de las variantes IEEE 802.11 ). Luego, puede usar un conmutador de gama alta (las cosas baratas que puede comprar para uso doméstico generalmente no tienen esta característica; desea buscar un conmutador administrado , idealmente uno que anuncie específicamente el soporte 802.1Q, aunque esté preparado para pagar una prima por la función) configurada para segregar cada VLAN a un conjunto de (posiblemente solo uno) puerto (s). En cada VLAN, entonces, los conmutadores de consumo comunes (o puertas de enlace NAT con un puerto de enlace ascendente Ethernet, si se desea) se pueden usar para distribuir aún más el tráfico dentro de la unidad de oficina.

La ventaja de las VLAN, en comparación con las múltiples capas de NAT, es que es completamente independiente del tipo de tráfico en los cables. Con NAT, está atrapado con IPv4 y tal vez IPv6 si tiene suerte, y también tiene que lidiar con todos los dolores de cabeza tradicionales de NAT porque NAT interrumpe la conectividad de extremo a extremo (el simple hecho de que puede obtener un listado de directorio de un El servidor FTP a través de NAT es un testimonio del ingenio de algunas de las personas que trabajan con esas cosas, pero incluso esas soluciones usualmente suponen que solo hay un NAT a lo largo de la ruta de conexión); con VLAN, porque utiliza una adición a la trama de Ethernet , literalmente, cualquier cosaque se puede transferir a través de Ethernet se puede transferir a través de VLAN Ethernet y se preserva la conectividad de extremo a extremo, por lo que en lo que respecta a IP, nada ha cambiado excepto el conjunto de nodos a los que se puede acceder en el segmento de red local. El estándar permite hasta 4,094 (2 ^ 12 - 2) VLAN en un solo enlace físico, pero un equipo específico puede tener límites más bajos.

De ahí mi sugerencia:

  • Verifique si el equipo maestro (lo que hay en ese gran estante de conmutadores en la sala de red) es compatible con 802.1Q. Si es así, descubra cómo configurarlo y configúrelo correctamente. Recomendaría comenzar haciendo un restablecimiento de fábrica, pero asegúrese de no perder ninguna configuración importante al hacerlo. Asegúrese de avisar adecuadamente a cualquiera que confíe en esa conectividad que habrá interrupciones del servicio mientras lo hace.
  • Si el equipo maestro no es compatible con 802.1Q, encuentre alguno que lo haga y satisfaga sus necesidades en términos de número de VLAN, número de puertos, etc., y cómprelo. Luego descubra cómo configurarlo y configúrelo correctamente. Esto tiene la ventaja de que podría mantenerlo separado mientras configura las cosas, reduciendo el tiempo de inactividad para los usuarios existentes (primero lo configuraría, luego quitaría el equipo viejo y conectaría el nuevo, por lo que el tiempo de inactividad se limitaría básicamente a cómo siempre necesita desconectar y volver a enchufar todo).
  • Haga que cada unidad de oficina use un conmutador, o un "enrutador" para el hogar o la pequeña empresa (puerta de enlace NAT) con un puerto de enlace ascendente Ethernet, para distribuir aún más la conectividad de red entre sus propios sistemas.

Cuando configure los conmutadores, asegúrese de limitar cada VLAN a su propio conjunto de puertos, y asegúrese de que todos esos puertos vayan solo a una sola unidad de oficina. De lo contrario, las VLAN serán poco más que signos de cortesía de "no molestar".

Debido a que el único tráfico que llega a las salidas Ethernet de cada unidad sería el suyo (gracias a la configuración de VLAN separadas y segregadas), esto debería proporcionar una separación adecuada sin requerir que vuelva a cablear todo como redes verdaderamente separadas físicamente.

Además, especialmente si implementa VLAN o termina volviendo a cablear todo, ¡aproveche la oportunidad para etiquetar correctamente todos los cables con números de unidad y puerto! Tomará algo de tiempo extra, pero valdrá la pena seguir adelante, especialmente si hay algún tipo de problema de red en el futuro. Mira que heredé el nido de cables de una rata. ¿Ahora que? en Server Fault para obtener algunos consejos útiles.

un CVn
fuente
2
Gracias por esto Michael, información extremadamente útil y su sugerencia parece sensata (he votado positivamente pero no tengo 15 representantes por el momento). Mañana investigaré un poco más sobre qué es compatible con el hardware existente y hablaré con los propietarios del edificio sobre si podría reutilizarse de esta manera. Ciertamente, las VLAN suenan más a lo que estaba buscando lograr con un tráfico completamente separado, así que leeré un poco sobre eso. Esa pregunta de error del servidor que vinculaste me hizo reír, afortunadamente no es tan malo como eso. Sin embargo, seguiré tu consejo para resolverlo. ¡Salud!
Hexodus
2
Además, hay otra opción. En la compañía en la que estoy trabajando, obtuvimos un enrutador 4G, con un contrato separado. Esto pone menos carga en esa red inalámbrica existente y puede estar seguro de que tendrá el mismo servicio, donde quiera que vaya, completamente desconectado de todos los demás. Esto no agrega tanta complejidad y no es tan costoso.
Ismael Miguel