Назад | Перейти на главную страницу

Сети VLAN, использующие один управляемый коммутатор или маршрутизатор с неуправляемыми коммутаторами?

Я работаю ИТ-специалистом в офисе, в котором работает около 20 человек, из 3 отдельных компаний, которые сдают офис в субаренду.

Мы подключены к 24 портам Ethernet, разбросанным по офисам, и все они ведут к патч-панели в моем офисе. Они подключены к 4 неуправляемым коммутаторам в наш дешевый маршрутизатор, поставляемый провайдером. (Интернет предоставляется через обычный ADSL2 +, предоставляемый BT в Великобритании).

Проблема в том, что все мы - одна сеть, несмотря на то, что являемся отдельными компаниями, что является проблемой безопасности, поэтому мы хотим разделить логические / виртуальные сети (предположительно, VLAN), но наш текущий базовый маршрутизатор не поддерживает VLAN на основе портов.

Я рассматриваю два варианта изоляции сетей и хотел бы получить совет, который поможет:

  1. Корпоративный 4-портовый маршрутизатор (возможно, Zyxel P660HN-51 или Драйтек Вигор), который поддерживает VLAN на основе портов, и подключите к нему наши существующие неуправляемые коммутаторы:

    (очевидно, я бы ограничился 3-4 VLAN, но это нормально

  2. Или большой управляемый коммутатор с 24 портами (например, Cisco), который поддерживает, позволяет мне определять, какие из множества портов принадлежат каким VLAN.

    Я понимаю, что это может работать просто в конфигурации «маршрутизатор на палке». Важно отметить, что мой сетевой шкаф слишком мал для типичного 24-портового коммутатора, его глубина составляет всего около 22 см.

Пока компании используют только подключение к Интернету и не нуждаются в совместном использовании других ресурсов (например, файловых серверов), я бы предпочел Опция 1.

Если у вас есть отдельные компании, и вы стали администратором случайно, а не в качестве внешнего, обязательного решения для каждой из компаний, одной из вещей, которые вам больше всего нужны, будет чистый, четко определенный интерфейс / точка передачи. Это то, что вы получаете, имея один порт восходящей связи к маршрутизатору с собственной подсетью (еще лучше, собственный общедоступный IPv4-адрес / IPv6-подсеть и другой роутер для их администрирования). Каждая из компаний могла выбрать для него свой коммутатор и, что более важно, своего администратора.

Если вы выберете вариант 2, основным недостатком будет то, что вы всегда будете контактным лицом для всего. Даже если какая-либо из компаний собирается нанять собственного администратора, есть большая вероятность, что вы всегда будете препятствовать чему-либо, ломать или делать что-то неправильно, по их мнению. Ожидайте, что даже сломанный слив унитаза будет в вашей ответственности.

Я бы предпочел вариант 3 лично:

  • Установите правильный «большой управляемый коммутатор», как в варианте 2.
  • Поместите каждую компанию в свою собственную VLAN.
  • Для аплинков у вас есть несколько вариантов:
    • Предоставьте каждой компании свой собственный канал связи (модем и т. Д.) Внутри своей vLAN, как в варианте 1.
    • Установите достойный брандмауэр как PFSense с интерфейсом в каждой vLAN и направлять весь ваш трафик через один модем (как в варианте 2)
    • Установите приличный брандмауэр с интерфейсом в каждой vLAN и некоторыми хитроумными правилами трафика, чтобы разделить некоторых пользователей на свои собственные восходящие каналы и позволить всем остальным использовать общую ссылку.

(Приличный брандмауэр также позволит вам устанавливать правила, чтобы компании могли получать доступ к ресурсам друг друга по мере необходимости, а также дает вам возможность запускать программное обеспечение для мониторинга / администрирования, которое может видеть все сети).

Это определенно дорогая альтернатива, но гибкость такова, что она того стоит, если вы собираетесь какое-то время выполнять эту работу.

Вариант 2 - даст вам возможность купить коммутатор L3 с большей функциональностью, емкостью, гибкостью и отказоустойчивостью, чем вариант 1. Общая производительность, вероятно, будет выше, у вас будет возможность использовать порты PoE для телефонов, если вы желаю, и у вас будет возможность запустить какой-либо инструмент сетевого управления, чтобы вы знали, что и где происходит.

Вариант 1 займет у вас много дел, но он явно дешевле, чем вариант 2.