Po pierwsze: jeśli masz prawne zobowiązania do zapewnienia separacji ruchu, zawsze poproś kogoś, kto jest do tego upoważniony, aby podpisał się na dowolnym planie zgodnym z wymogami prawnymi, zanim zaczniesz go wdrażać. W zależności od konkretnych wymagań prawnych może być tak, że będziesz musiał zapewnić fizycznie oddzielne sieci bez wspólnego punktu zaufania.
To powiedziawszy, myślę, że w zasadzie masz trzy opcje: sieci VLAN 802.1Q (lepsze) i wiele warstw NAT (gorsze) i fizycznie oddzielne sieci (najbezpieczniejsze, ale także skomplikowane i prawdopodobnie najdroższe ze względu na fizyczne ponowne podłączenie) .
Zakładam, że wszystko, co jest już podłączone, to Ethernet. Jedną częścią ogólnego standardu Ethernet jest tak zwana IEEE 802.1Q , która opisuje, jak ustanowić odrębne sieci LAN warstwy łącza na tym samym łączu fizycznym. Jest to znane jako VLAN lub wirtualne sieci LAN (uwaga: WLAN jest całkowicie niezwiązana iw tym kontekście zwykle oznacza bezprzewodową sieć LAN i bardzo często odnosi się do jednego z wariantów IEEE 802.11 ). Następnie możesz użyć wyższej klasy przełącznika (tanie rzeczy, które można kupić do użytku domowego, na ogół nie mają tej funkcji; chcesz poszukać przełącznika zarządzanego , najlepiej takiego, który reklamuje wsparcie 802.1Q, choć bądź przygotowany na zapłacenie premii za tę funkcję) skonfigurowanej do segregacji każdej sieci VLAN do zestawu (prawdopodobnie tylko jednego) portu (portów). Na każdej sieci VLAN można następnie użyć zwykłych przełączników konsumenckich (lub bram NAT z portem w górę Ethernet, jeśli jest to pożądane), aby dalej rozdzielić ruch w obrębie jednostki biurowej.
Zaletą sieci VLAN w porównaniu z wieloma warstwami NAT jest to, że jest ona całkowicie niezależna od rodzaju ruchu na przewodach. W przypadku NAT utkniesz w IPv4 i być może IPv6, jeśli masz szczęście, a także musisz zmagać się ze wszystkimi tradycyjnymi problemami z NAT, ponieważ NAT przerywa łączność end-to-end (prosty fakt, że możesz uzyskać listę katalogów z Serwer FTP za pośrednictwem NAT jest świadectwem pomysłowości niektórych ludzi, którzy pracują z takimi rzeczami, ale nawet te obejścia zwykle zakładają, że istnieje tylko jeden NAT na trasie połączenia); z VLAN-ami, ponieważ wykorzystuje dodatek do ramki Ethernet , dosłownie wszystkoktóre można przesyłać przez Ethernet można przesyłać przez VLAN Ethernet, a łączność między końcami jest zachowana, więc jeśli chodzi o IP, nic się nie zmieniło oprócz zestawu węzłów, które są osiągalne w segmencie sieci lokalnej. Standard pozwala na maksymalnie 4 094 (2 ^ 12 - 2) sieci VLAN na jednym łączu fizycznym, ale określone urządzenia mogą mieć niższe limity.
Stąd moja sugestia:
- Sprawdź, czy urządzenie główne (co znajduje się w tym dużym stojaku przełączników w pomieszczeniu sieciowym) obsługuje standard 802.1Q. Jeśli tak, dowiedz się, jak go skonfigurować i poprawnie skonfigurować. Polecam zacząć od przywrócenia ustawień fabrycznych, ale upewnij się, że nie stracisz żadnej ważnej konfiguracji. Upewnij się, że właściwie doradzasz każdemu, kto polega na tej łączności, że wystąpią zakłócenia w świadczeniu usług.
- Jeśli urządzenie główne nie obsługuje standardu 802.1Q, znajdź takie, które spełniają twoje potrzeby pod względem liczby sieci VLAN, liczby portów itd., I kup je. Następnie dowiedz się, jak go skonfigurować i poprawnie skonfigurować. Ma to tę zaletę, że można go zachować osobno podczas konfigurowania, skracając przestoje dla wszystkich istniejących użytkowników (najpierw skonfigurujesz, a następnie usuniesz stary sprzęt i podłączysz nowy, więc przestój byłby ograniczony do długo trzeba odłączyć i ponownie podłączyć wszystko).
- Niech każda jednostka biurowa używa przełącznika lub „routera” dla domu lub małego biznesu (brama NAT) z portem Ethernet uplink, aby dalej rozdzielić łączność sieciową między ich własne systemy.
Podczas konfigurowania przełączników należy bezwzględnie ograniczyć każdy VLAN do własnego zestawu portów i upewnić się, że wszystkie te porty są podłączone tylko do jednej jednostki biurowej. W przeciwnym razie sieci VLAN będą niczym więcej niż znakami „nie przeszkadzać”.
Ponieważ jedynym ruchem docierającym do gniazd Ethernet każdego urządzenia byłby ich własny (dzięki skonfigurowaniu oddzielnych, posegregowanych sieci VLAN), powinno to zapewnić odpowiednią separację bez konieczności ponownego okablowania wszystkich sieci jako naprawdę fizycznie oddzielnych.
Ponadto, zwłaszcza jeśli wdrażasz sieci VLAN lub kończysz ponowną instalację wszystkiego, skorzystaj z okazji, aby poprawnie oznaczyć wszystkie kable numerami urządzeń i portów! Zajmie to trochę więcej czasu, ale będzie bardziej niż warte kontynuowania, szczególnie jeśli w przyszłości pojawi się jakikolwiek problem z siecią. Sprawdź, czy odziedziczyłem gniazdo okablowania szczura. Co teraz? na awarię serwera, aby uzyskać przydatne wskazówki.