Прежде всего: если у вас есть юридические обязательства по обеспечению разделения трафика, всегда заставляйте кого-либо с полномочиями сделать это, чтобы подписать любой план в соответствии с требованиями законодательства, прежде чем приступить к его реализации. В зависимости от конкретных правовых требований, возможно, вам придется предоставлять физически отдельные сети без единой точки доверия.
Тем не менее, я думаю, что у вас в основном есть три варианта: VLAN 802.1Q (лучше) и несколько уровней NAT (хуже) и физически отдельные сети (наиболее безопасные, но также сложные и, вероятно, наиболее дорогие из-за физического перемонтирования) .
Здесь я предполагаю, что все, что уже подключено, это Ethernet. Одна часть общего стандарта Ethernet - это то, что известно как IEEE 802.1Q , в котором описывается, как устанавливать отдельные ЛВС канального уровня на одном физическом канале. Это известно как виртуальные локальные сети или виртуальные локальные сети (примечание: беспроводная локальная сеть совершенно не связана и в этом контексте обычно обозначает беспроводную локальную сеть и очень часто ссылается на один из вариантов IEEE 802.11 ). Затем вы можете использовать более качественный коммутатор (дешевый продукт, который вы можете купить для домашнего использования, обычно не имеет этой функции; вы хотите найти управляемый коммутатор , в идеале тот, который специально рекламирует поддержку 802.1Q).хотя будьте готовы платить больше за функцию), настроенную для разделения каждой VLAN на набор (возможно, только один) порта (ов). В каждой VLAN общие коммутаторы-потребители (или шлюзы NAT с портом восходящей линии Ethernet, если это необходимо) могут использоваться для дальнейшего распределения трафика внутри офисного устройства.
Преимущество VLAN по сравнению с несколькими уровнями NAT состоит в том, что он полностью независим от типа трафика по проводам. С NAT вы застряли с IPv4 и, возможно, с IPv6, если вам повезет, а также вам придется бороться со всеми традиционными головными болями NAT, потому что NAT нарушает сквозное соединение (простой факт, что вы можете получить список каталогов из FTP-сервер через NAT является свидетельством изобретательности некоторых людей, которые работают с этим материалом, но даже эти обходные пути обычно предполагают, что на маршруте соединения есть только один NAT); с VLAN, потому что он использует дополнение к кадру Ethernet , буквально всекоторые могут быть переданы через Ethernet, могут быть переданы через VLAN Ethernet, и сквозное соединение сохраняется, поэтому в отношении IP ничего не изменилось, за исключением набора узлов, которые доступны в сегменте локальной сети. Стандарт допускает до 4094 (2 ^ 12 - 2) VLAN на одном физическом канале, но конкретное оборудование может иметь более низкие пределы.
Отсюда мое предложение:
- Проверьте, поддерживает ли главное оборудование (что находится в этой большой стойке коммутаторов в сетевой комнате) 802.1Q. Если это так, то узнайте, как его настроить, и правильно его настройте. Я бы рекомендовал начать с возврата к заводским настройкам, но при этом убедитесь, что вы не потеряете ни одной важной конфигурации. Обязательно советуйте всем, кто полагается на эту связь, что при этом произойдут сбои в обслуживании.
- Если главное оборудование не поддерживает 802.1Q, найдите такое, которое соответствует вашим потребностям с точки зрения количества VLAN, количества портов и т. Д., И купите его. Затем узнайте, как его настроить, и правильно его настройте. Это дает преимущество в том, что вы можете держать его отдельно при настройке, сокращая время простоя для любых существующих пользователей (сначала вы настроите его, затем удалите старое оборудование и подключите новое, поэтому время простоя будет ограничено в основном тем, как долго нужно все отключать и снова подключать).
- Попросите, чтобы каждое офисное устройство использовало коммутатор или домашний или малый бизнес-маршрутизатор (шлюз NAT) с портом восходящей связи Ethernet для дальнейшего распределения сетевого подключения между своими системами.
При настройке коммутаторов обязательно убедитесь, что каждая VLAN ограничена собственным набором портов, и убедитесь, что все эти порты подключены только к одному офисному устройству. В противном случае VLAN будут чуть более чем любезными знаками «не беспокоить».
Поскольку единственный трафик, который достигает Ethernet-выходов каждого устройства, будет их собственным (благодаря настройке отдельных, отдельных VLAN), это должно обеспечить адекватное разделение, не требуя от вас перемонтировать все как действительно физически отдельные сети.
Кроме того, особенно если вы внедряете сети VLAN или заканчиваете переподключением всего, воспользуйтесь возможностью правильно пометить все кабели номерами устройств и портов! Это займет некоторое дополнительное время, но оно того стоит, особенно если в будущем возникнут какие-либо проблемы с сетью. Проверьте, что я унаследовал крысиное гнездо каблирования. Что теперь? на сбое сервера для некоторых полезных советов.