Как правильно организовать общественную сеть предприятия?
Добрый вечер! Начинаю строить локальную сеть с нуля на сравнительно небольшом объекте. Задача следующая, разграничить сети клиентов, сотрудников и видеонаблюдения. Это я реализую виланами.
Далее встал вопрос, как правильно/удобно организовать сеть для клиентов? Решил использовать DHCP, дабы люди не мучились с настройками и можно было оперативно подключать новых клиентов. Но как защититься, например от того, что кто-нибудь захочет прописать статику? Хотел использовать IP-MAC-Port binding, но ведь айпишник будет выдаваться DHCP. Вдруг клиент не будет подключаться к сети в течении долгого времени, тогда его айпишник займут другие, а после включения будет отрабатываться привязка.
Вопрос, как правильно/удобно организовать подключение 50-100 машин/роутеров учитывая что я не буду знать что там за люди, кто там админит и т.п. Т.е. нужна какая-то защита от дурака, но желательно чтобы адреса выдавались автоматически. Подскажите в сторону чего посмотреть. Использую коммутатор des-3200.
У меня на шлюзе (микротике), в гостевом влане, включен arp response only, а при выдаче dhcp добавляется arp запись, если клиент пропишет статику, то записи в арп таблице не появится и гейт не ответит. Ну и port-security и dhcp snooping включен.
Вы можете сделать следующим образом. По скольку под клиентскими подключениями подразумеваются сотрудники компании и арендаторы, то вы можете их всех также выделить в отдельные ВЛАНы. А арендаторам выдавать их по 30/31 маске, чтобы у них не было выбора, что прописывать и пропиши они что-то иное, у них ничего не будет работать, т.к. данный адрес будет принадлежать другой сети. В большинстве провайдеров так и делают. На каждый ВЛАН настраивается свой DHCP и всё. Делов на пару минут.
Но как альтернативу рассмотрите вариант Виктор Бельский Тоже очень дельно предложил.
Кстати, по поводу торрентов. Это вообще больной вопрос, но не в случае с ВЛАНами. Просто режем скорость для каждого ВЛАН согласно "тарифу" и всё. Но если делать именно так, то клиент, купивший максимальную скорость, согласно спецификации BitTorrent, сожрет всю скорость у остальных (тут Андрей Ермаченок прав). Это решается ограничением скорости для конкретного типа данных. Как это сделать на циске - подскажу. На микротике - нет. Там как-то с файерволлом надо мудрить, но я ни разу не делал. В любом случае, это было бы самым верным, хоть и сложным решением.
Единственный нюанс. Виктор Бельский предложил вариант, при котором в принципе возможна ARP атака. 0:25 - я не помню название) при которой возможны подмены MACов. Работает так. Сканится сеть на наличие хостов (роутер тут не требуется, уж извините), затем всем им рассылается инфа с MACом и IPом. После чего новый ПК имеет полноценные привелегии во внутренней сети, а если ПК с этим IPом уже был, то его больше нет. В смысле, обращаются к новому. А тут и перехват пакетов, и т.д. Но это из маловероятного. Если не хотите заморачиваться, то такой вариант подойдет.
Василий: интересное предложение с маской, спасибо! правда я никогда так не делал :)
т.е. я правильно понял, вы предлагаете сделать n-ное количество виланов, на каждый цепануть по dhcp и, в принципе, проблема решена? если в подсети один-два хоста клиенту некуда деться, кроме как выставить правильный адрес или установить dhcp.
Василий: mac spoofing отсекается port-security на порту коммутатора, с настройкой только одного мака (если пользователь хочет нескольких пользователей сети, то ставит роутер с wan портом), arp spoofing лечится ARP Protection (который берет инфу из таблицы DHCP snooping)
Виктор Бельский: Я с вами согласен. Вариантов защититься множество в принципе. Просто я не вижу смысла делать так, чтобы потом надо было дополнительные барьеры безопасности городить. Но бывает, что только так и можно, а значит, ваш вариант вполне верен. Александр Сергеевич Да, совершенно верно. Вы когда прописываете настройки от провайдера у себя дома обращали внимание, что маска в конце 248, 252, .... Это для таких же целей сделано. Безопасно и удобно в администрировании.
Александр Сергеевич: Да, ну и соответственно, арендатор ставит свой роутер, настраивает его на ваш "внешний" IP и дальше за NAT`ом строит свою сеть, как ему хочется.
Василий: Да, согласен, vlan per client закрывает все проблемы (а если еще и DHCP option 82 использовать, то управление этим сводится к паре телодвижений), но иногда нужно чтобы была связь м/у разными хостами, а когда они в разных вланах, приходится нагружать свой роутер, т.к. нужно маршрутизировать трафик, либо включать arp-proxy и выдавать в vlan адреса с более длинной маской
Виктор Бельский: Всё довольно просто. Берём trunk-порт... ТС, не парься объемом умных слов. В процессе изучения вопроса (если ещё не изучил) они Все всплывут.
Василий, Виктор Бельский: спасибо за помощь! Что касается реальных атак, их скорее всего не будет, раньше всё работало по схеме Андрея :) т.е. куча кабелей, куча тупых свитчей один роутер под одну задачу, другой - под другую, в общем админить это было нереально! Но работало. Раз у меня сейчас появилась возможность всё сделать по уму, под себя, то конечно ей надо пользоваться, заодно скилл прокачать и практика отличная.
Основные беды, которые жду от клиентов - это воткнутый wan в lan, петли, забитый руками статический адрес, в общем всё то, что человек может сделать тупо по не знанию, или с мыслями "я все знаю, чего тут делать-то" :)
Александр Сергеевич: Да не за что! А чтобы не возникало вопросов, лучше сами приходите и настраивайте. Потратите немного времени, но головной боли будет гораздо меньше. Также очень помогает фраза: "Если работу по первоначальной настройке выполняет не наш специалист, мы не можем гарантировать качество работы". И дополнение: "В случае возникновения проблем с настройкой, произведенной не нашим специалистом, перенастройка платная". Но это уже по согласованию с руководством )))
Добрый вечер! Начинаю строить локальную сеть с нуля на сравнительно небольшом объекте. Задача следующая, разграничить сети клиентов, сотрудников и видеонаблюдения. Это я реализую виланами.
Зачем? Физически разделите, чтобы не думать. В чем проблема то? С нуля же строится.
Вопрос, как правильно/удобно организовать подключение 50-100 машин/роутеров учитывая что я не буду знать что там за люди, кто там админит и т.п.
Ничего не понятно, что за "сети клиентов, сотрудников" и кто вы, если будут не пойми кто это всё потом админить?
Зачем делить физически, если есть виланы??? А вдруг мне понадобится доп. айпи камера на этаже x, я ж не буду от своего коммутатора туда тянуть кабель отдельно.
Сеть клиентов - это грубо говоря арендаторы помещений, которым будет предоставляться доступ к интернету. Сотрудники - это свои сотрудники, обслуживающий персонал и т.п.
Так вот клиенты будут подключаться к вилану X, сотрудники в вилане Y и т.п. Как и кто у клиентов будет настраивать железяки - неизвестно, но по опыту знаю, что проще организовать DHCP, чтобы было меньше звонков в тех. поддержку. А вот как следить за порядком в этом вилане с DHCP я и хочу узнать.
"Зачем делить физически, если есть виланы???"
Уверены, что видео, клиентский и ваш трафик в канал не влезут? Прокиньте пока не поздно 3, а лучше 4 кабеля между основной серверной и кроссовыми на этажах. Потом - как найдете.
"Сеть клиентов - это грубо говоря арендаторы помещений, которым будет предоставляться доступ к интернету. " А как они Интернет делить будут? Включит один клиент Торренты - все остальные курят.
50-100 роутеров клиентов - это с одной стороны правовой вопрос, имеете ли вы право доступ в Инет предоставлять? С другой - технический: ограничение трафика, шейпинг, авторизация клиентов, ...
По опыту прошлой работы, в офисном центре жили 2 провайдера, предоставляли доступ в Инет арендаторам. В кроссовою на этаже выведены провода из серверной и из помещений. Ставился там же роутер или роутер + свитч арендатора, подключались розетки в офисе и провод от провайдера.
Андрей Ермаченок: дело не в том, что влезет или нет, а в безопасности. Зачем мне париться по поводу моей локальной сети, кто там куда лазит, если я могу отделить виланами. Собственно в этом не вопрос топика.
По поводу торрентов и т.п. - ограничение скорости никто не отменял, опять же мы не провайдеры, клиентам будет даваться тупо доступ в интернет, без каких-либо обязательств. Авторизация не нужна, клиент будет подключаться в конкретный порт, который будет при необходимости погашен. Опять же, это не вопрос топика.
Давайте абстрагируемся от клиентов, сотрудников и т.п. Есть сеть, к которой разные люди будут подключаться. Как организовать систему, желательно с DHCP, чтобы на контролировать возможные косяки клиентов в плане установки статики и т.п.
Андрей Ермаченок: Ёпт, Андрей. Я отвечу за человека. Да, уверен, не влезут. Курите маны о том, что такое ВЛАН и по каким принципам он работает. Или вы из тех, кто NAT ломает снаружи?
Александр Сергеевич: Вы собираетесь предоставлять услугу "Инет арендатору без обязательств" или "Локальная сеть арендатора с Инетом"? Физический доступ к оборудованию у кого будет?
Если только Инет и доступ только у персонала центра - то выделить один порт на арендатора, DHCP и вообще не париться. Пусть ставят у себя свои роутеры и работают.
Если возникнут проблемы - сделать следующий шаг, как рекомендует Василий
Александр Сергеевич: Хвати - сейчас и только по расчету. Что будет через 4 года - ХЗ.
Да, управляемые свичи и ВЛАны, но между этажами проложите не один общий провод, а 3, воткнутые в соответствующие порты. Или хотя бы заложите сейчас эти провода, чтобы они были, а не вставать на уши потом, как жареный петух клюнет.
nexthop: Это понятно. Но кто делает ВЛАНы и вообще что угодно, сложнее ввода IPа в настройках на подобном оборудовании? Наличие поддержки BGP в роутерах за 2500 (микротик) не означает, что это надо делать.
Андрей Ермаченок: "выделить один порт на арендатора, DHCP и вообще не париться. Пусть ставят у себя свои роутеры и работают. Если возникнут проблемы - сделать следующий шаг"
Я считаю такой подход безответственным. В данный момент я так фактически и сделал, т.е. у меня вилан и DHCP. Но представьте когда арендаторов будет 50 организаций. Кто-нибудь захочет поставить себе статику на роутер, начнутся конфликты и т.п. Считаю вместо того, чтобы ждать проблем, которые я уверен 100% будут ибо сталкивался с подобным, лучше во время обкатки сделать всё по уму и потом уже не переживать, когда у кого-то вдруг что-то отвалится.
Что касается кабелей - это дело техники, понятно что нужен запас и резерв. В данный момент у меня оптика между роутером и коммутатором, на каждого клиента идёт отдельная линия. И да, гигабита хватит точно за глаза даже через 4 года, в этом я уверен :)
nexthop: Я в курсе, у меня сделано аналогично. По предприятию стоит 3 управляемых свитча, 4 ВЛАНа, соединены 1 проводом + второй резервный рядом проложен на случай, если основной мыши погрызут. Но нет видеонаблюдения, скорость Инета всего 10 Мбит, поэтому мне 1 провода в гигабитном порту более чем достаточно. Будем надеяться, что и на офисный центр хватит.