Múltiplas VLANs, um servidor - Equipamento mínimo requerido

2

Uma pequena escola tem atualmente 30 PCs conectados através de pontos de acesso wi-fi à Internet (3 WANs), mas não há uma LAN real no momento, além de cerca de 8 cabos que vão dos APs aos modems. Finalmente, o plano é: - comprar um interruptor 24p - compre um Windows Server 2012 - comprar um agregador de largura de banda de failover / balanceamento de rede

Esquema:

-----------          ----------           ------------           ----------------- 
| 5 VLANs | <------> | Switch |  <------> | Failover |  <------> |  3 modems     |
-----------          ----------           ------------           ----------------- 

Requisitos:

  • Cada VLAN pode acessar o Windows Server 2012 (servidor de arquivos, pastas compartilhadas)

Perguntas:

  1. Um switch L2 gerenciado é suficiente para essa tarefa?
  2. O servidor precisa de vários NICs?
por Riccardo 21.09.2016 / 11:45

1 resposta

4

Respostas a perguntas originais:

  1. Um switch L2 gerenciado com suporte a 802.1q VLAN é suficiente se todo o roteamento entre sub-redes for feito em outro sistema (seu roteador ou servidor ou outra máquina com NIC e software compatíveis com 802.1q). Se você quiser rotear no switch, você precisa comprar um switch habilitado para L3. Depende principalmente das suas necessidades de desempenho (um sistema único seria um gargalo, pois todo o tráfego de todas as portas tem que passar por isso).
  2. Desde que a NIC suporte tags de VLAN 802.1q, você pode fazer isso com uma única NIC. Dependendo do sistema operacional, pode ser mais fácil configurar diferentes NICs e o custo do hardware é relativamente baixo. Também depende de seus padrões de tráfego, se 4 NICs simples ou 4 NICs agregadas forem mais eficientes.

As VLANs ajudam na segurança?

  • Eles podem ajudar segregando tráfego em diferentes sub-redes, mas isso deve ser combinado com outras coisas. Por exemplo, ao usar 802.1q e 802.1x (RADIUS), um novo dispositivo pode se autenticar (por senha ou certificado) no primeiro contato (via cabo ou sem fio) e, em seguida, será atribuído a uma VLAN, dependendo das regras de configuração. (VLAN convidado, professor VLAN etc.). Da mesma forma, se você os combinar com o IPSec ou qualquer outra solução de VPN, você terá tráfego criptografado e, mesmo na mesma sub-rede, ninguém poderá ler / entender o tráfego não destinado a ele. Você pode e deve combinar diferentes tecnologias.
  • Existem cenários de ataque em que o objetivo é sair de uma VLAN (por bug / exploração ou explorando configurações de VLAN mal configuradas). Contanto que você configure suas VLANs corretamente, você provavelmente estará bem. Informações muito confidenciais ainda podem ser gerenciadas separadamente (entreferro ou com hardware separado) se você quiser.
  • Há sobrecarga em gerenciamento e configuração, portanto, você deve decidir se vale a pena configurá-lo corretamente. Você aproveita ao máximo sua topologia de rede desejada
    • muda frequentemente, mas o hardware permanece fixo ou
    • é complicado e diferente do seu layout físico ou
    • é impossível modelar fisicamente.
por 21.09.2016 / 11:58