VLANs usando um comutador gerenciado ou roteador de link para comutadores não gerenciados?

Navegue suas respostas
3

Eu sou o cara de TI residente em um escritório com cerca de 20 funcionários, entre três empresas separadas que sublocam um escritório.

Estamos conectados a 24 portas ethernet espalhadas pelos escritórios que levam a um patch panel no meu escritório. Eles estão conectados a 4 switches não gerenciados em nosso roteador barato fornecido pelo ISP. (A Internet é fornecida por um ADSL2 + regular fornecido pela BT no Reino Unido).

O problema é que somos todos uma rede, apesar de sermos empresas separadas, o que é uma preocupação de segurança, então queremos separar as redes lógicas / virtuais (presumivelmente, VLANs), mas nosso roteador básico atual não suporta porta-base VLANs.

Eu considero duas opções para isolar as redes e gostaria de conselhos que farão o seguinte:

  1. Um roteador empresarial de 4 portas (talvez um Zyxel P660HN-51 ou Draytek Vigor ) que suporte VLANs baseadas em porta e conecte nossos switches não gerenciados existentes a isso:

    (obviamente,euficariarestritoa3-4VLANs,mastudobem

  2. Ou,umswitchgerenciadode24portas(comoumCisco),quesuporta,permitedefinirquaisdesuasportaspertencemaquaisVLANs.

    Eu entendo que isso pode funcionar apenas em uma configuração "roteador em um bastão". Crucialmente, meu armário de rede é muito pequeno para caber um switch típico de 24 portas. Ele tem apenas 22cm de profundidade.

por AshirusNW 21.07.2013 / 20:10

3 respostas

4

Desde que as empresas compartilhem apenas a conexão com a Internet e não precisem compartilhar outros recursos (como servidores de arquivos), eu claramente preferiria a opção 1 .

Se você tem empresas separadas e se tornou o administrador por acaso, em vez de uma decisão externa vinculante para cada uma das empresas, uma das coisas que você mais deseja seria uma interface / ponto de transferência limpo e bem definido. Isso é o que você obtém com uma única porta de uplink para um roteador com uma sub-rede própria (melhor ainda, um próprio endereço IPv4 público / sub-rede IPv6 e um roteador outro para eles administrarem). Cada uma das empresas poderia escolher seu próprio switch e, mais importante, seu próprio administrador para essa mudança.

Se você escolher usar a opção 2, a principal desvantagem será que você será a pessoa de contato de tudo para sempre. Mesmo que qualquer uma das empresas emprega um administrador próprio, há uma boa chance de que sempre seja você quem está obstruindo as coisas, quebrando coisas ou não fazendo as coisas direito em sua opinião. Espere até que um autoclismo quebrado esteja dentro de sua responsabilidade.

    
por 22.07.2013 / 00:01
3

Opção 2 - você terá a oportunidade de comprar um switch L3 com mais capacidade, capacidade, flexibilidade e resiliência do que a opção 1. O desempenho geral provavelmente será maior, você terá a opção de usar portas PoE para o telefones, se desejar, e você terá a opção de executar alguma forma de ferramenta de gerenciamento de rede para saber o que está acontecendo e onde.

A opção 1 vai mantê-lo ocupado, mas é obviamente mais barato que a opção 2.

    
por 21.07.2013 / 23:14
3

Eu preferiria a opção 3 pessoalmente:

  • Instale um "Interruptor gerenciado grande" como você tem na opção 2
  • Coloque cada empresa em sua própria VLAN.
  • Para os uplinks, você tem algumas opções:
    • Dê a cada empresa seu próprio uplink (modem, etc.) dentro de sua vLAN, como você tem na Opção 1.
    • Instale um firewall decente como o PFSense com uma interface em cada vLAN e canalize todo o tráfego por meio de um modem (como na opção 2)
    • Instale um firewall decente com uma interface em cada vLAN e algumas regras de tráfego engenhosas para separar alguns usuários em seus próprios uplinks e fazer com que todos utilizem um link compartilhado.

(Um firewall decente também permite que você estabeleça regras para que as empresas possam acessar os recursos uns dos outros conforme necessário, além de oferecer a capacidade de executar software de monitoramento / administração que pode ser visto em todas as redes).

Esta é definitivamente uma alternativa cara, mas a flexibilidade é tal que vale a pena se você vai realizar esse trabalho por um tempo.

    
por 22.07.2013 / 21:56

Tags

rsync pull desconsidera minha umask, por quê? Diferença entre conectar usando nome ou IP no ambiente do Active Directory