Hex*_*dus 12 networking router lan
首先,我本打算在 Server Fault 上发帖,但老实说,我不是网络管理员,我是一名计算机科学专业的学生,被要求为一家刚刚搬入小型企业的小型家族企业整理一些东西办公空间,手头上没有足够的现金雇人来整理它,所以我必须了解完成工作需要什么。我也知道之前已经问过这个问题“局域网内的局域网”,所以尽管现有问题都没有真正回答我的问题,但请随意将其标记为重复。
因此,问题。我们搬进的办公室正在从一个以前由单一企业使用的大型建筑改造成一个“商务中心”,单独的房间被出租。每个房间都连接了几个以太网端口,这些端口通向一个网络房间,里面有一个装满交换机的机柜,将所有东西连接在一起,尽管据我所知,这些都没有使用。管理网络的人被裁掉了,现在主要是他缺乏电缆管理的圣地。
当前占用房间的企业都依赖于由“BT HomeHub”ISP 提供的家庭路由器/调制解调器组合提供的 wifi 网络。由于我们受政府监管,我不喜欢共享网络的想法,我怀疑监管机构也不喜欢。
那么,这里有哪些选择呢?我真的无法对家庭路由器/调制解调器做任何事情,因为有多个其他企业共享它以进行无线访问。理想情况下,我希望通过此调制解调器访问互联网,但需要确保网络上不属于我们业务的其他设备完全无法访问我们正在运行的网络。我一直在浏览 Cisco 提供的一些小型企业路由器产品以及无线接入点(无线接入是当务之急),但我不确定我是否可以通过一个实现上述目标,并希望在订购任何产品之前确定硬件。
我敢肯定,最好的选择是简单地在大楼内铺设另一条线路,但这会增加额外的每月成本和服务合同,因此我现在很想避免这种情况。
关于在这种情况下的最佳选择以及我将如何处理的任何想法?
use*_*ser 16
首先:如果您负有提供交通分隔的法律义务,请始终让有权这样做的人在开始实施之前签署法律要求范围内的任何计划。根据特定的法律要求,您可能必须提供没有公共信任点的物理独立网络。
也就是说,我认为您基本上有三种选择:802.1Q VLAN(更好)和多层 NAT(更差)和物理上分离的网络(最安全,但也很复杂,而且可能由于物理重新布线而最昂贵)。
我在这里假设已经连接的所有东西都是以太网。整个以太网标准的一部分是所谓的IEEE 802.1Q,它描述了如何在同一物理链路上建立不同的链路层 LAN。这被称为 VLAN 或虚拟 LAN(注意:WLAN完全无关,在这种情况下通常代表无线 LAN,通常指IEEE 802.11变体之一)。然后你可以使用更高端的交换机(你可以买到的便宜的家用的东西一般没有这个功能;你想找一个管理的交换机,最好是专门做广告的802.1Q 支持的,但准备为该功能支付额外费用)配置为将每个 VLAN 隔离到一组(可能只有一个)端口。然后,在每个 VLAN 上,可以使用普通消费者交换机(或带有以太网上行链路端口的 NAT 网关,如果需要)进一步分配办公室单元内的流量。
与多层 NAT 相比,VLAN 的优势在于它完全独立于线路上的流量类型。使用NAT,你被卡住IPv4和可能IPv6的,如果你是幸运的,也有与所有的抗衡NAT的传统头疼,因为NAT中断终端到端到端连接(一个简单的事实,你可以得到一个目录从上市通过 NAT 的 FTP 服务器证明了一些使用这些东西的人的独创性,但即使是那些变通方法通常也假设连接路由上只有一个NAT);使用 VLAN,因为它使用以太网帧的附加项,字面意思是任何可以通过以太网传输的可以通过 VLAN 以太网传输并保留端到端连接,因此就 IP 而言,除了本地网段上可访问的节点集之外,没有任何变化。该标准允许在单个物理链路上最多支持 4,094 (2^12 - 2) 个 VLAN,但特定设备可能具有更低的限制。
因此我的建议是:
当您配置交换机时,一定要确保将每个 VLAN 限制到它自己的一组端口,并确保所有这些端口只连接到一个办公室单元。否则,VLAN 将只是礼貌的“请勿打扰”标志。
因为到达每个单元的以太网出口的唯一流量是它们自己的(由于您配置了单独的、隔离的 VLAN),所以这应该提供足够的分离,而无需您将所有东西重新布线为真正物理上分离的网络。
此外,特别是如果您实施 VLAN 或最终重新布线所有内容,请务必抓住机会使用单元和端口号正确标记所有电缆!这将需要一些额外的时间,但值得继续前进,特别是如果将来出现任何类型的网络问题。看看我继承了一个老鼠窝的电缆。现在怎么办?在 Server Fault 上获取一些有用的提示。
| 归档时间: |
|
| 查看次数: |
1296 次 |
| 最近记录: |