既存のオフィスLAN内のセキュアLAN

まず最初に、これをServer Faultに投稿するつもりでしたが、正直なところ、私はネットワーク管理者ではありません。仕事を完了するために必要なものを学ばなければならないので、誰かを雇ってソートするために手元に現金がないのです。この質問「LAN内のLAN」は以前に尋ねられたことがあることも知っているので、既存の質問のどれも実際に私が持っている質問に答えていませんが、これを重複として自由にマークしてください。

したがって、問題。私たちが入居したオフィスは、以前は単一のビジネスで使用されていた大きな建物から、個々の部屋が貸し出される「ビジネスセンター」に変換されています。各部屋は複数のイーサネットポートで接続されており、スイッチでいっぱいのキャビネットを備えたネットワークルームに戻ってすべてを結び付けていますが、私が知る限りはどれも使用されていません。ネットワークを管理する人は冗長化され、現在はケーブル管理の欠如のほとんどが神社になっています。

部屋を占有している現在のビジネスはすべて、ホームルーター/モデムコンボを提供する「BT HomeHub」ISPが提供するwifiネットワークに依存しています。私たちは政府の規制を受けているので、ネットワークを共有するという考えは好きではありませんし、規制当局もそうだとは思いません。

だから、ここでのオプションは何ですか？ワイヤレスアクセス用にこれを共有している他の企業が複数あるため、ホームルーター/モデムについては何もできません。このモデムを介してインターネットにアクセスするのが理想ですが、実行しているネットワークが、ビジネスに属さないネットワーク上の他のデバイスから完全にアクセスできないことを確認する必要があります。シスコが提供するスモールビジネスルーターとワイヤレスアクセスポイント（ワイヤレスアクセスが最優先）の一部を参照しましたが、上記の1つで達成できるかどうかは不明で、注文する前に確認したいハードウェア。

建物に別の行を走らせるだけが最良の選択肢になると確信していますが、それは月額の追加費用とサービス契約を追加するので、今のところそれを避けたいと思っています。

この状況での最良の選択肢についての考えと、私はそれについてどうすればよいですか？

最初に：あなたが交通分離を提供する法的義務の下にある場合、それを実行する前に法的要件の範囲内で任意の計画にサインオフするためにそうする権限を持つ誰かを常に取得してください。特定の法的要件によっては、共通のトラストポイントのない物理的に別個のネットワークを提供する必要がある場合があります。

そうは言っても、基本的に3つのオプションがあると思います：802.1Q VLAN（より良い）およびNATの複数層（より悪い）および物理的に分離したネットワーク（最も安全ですが、物理的な再配線のために複雑でおそらく最も高価です）。

ここでは、すでに配線されているものはすべてイーサネットであると想定しています。全体的なイーサネット標準の一部は、IEEE 802.1Qと呼ばれるもので、同じ物理リンク上で異なるリンク層LANを確立する方法を説明しています。これはVLANまたは仮想LANと呼ばれます（注：WLANは完全に無関係であり、このコンテキストでは通常ワイヤレスLANを表し、IEEE 802.11バリアントの1つを指します）。その後、ハイエンドスイッチを使用できます（家庭用に購入できる安価なものには一般にこの機能はありません。管理されたスイッチ、理想的には802.1Qサポートをアドバタイズするものを探したいです。、ただし、機能に対してプレミアムを支払う準備ができています）各VLANを（おそらく1つだけの）ポートのセットに分離するように構成されています。各VLANで、一般的なコンシューマスイッチ（または必要に応じてイーサネットアップリンクポートを備えたNATゲートウェイ）を使用して、オフィスユニット内でトラフィックをさらに分散できます。

VLANの利点は、複数のNATレイヤーと比較して、ワイヤ上のトラフィックのタイプに完全に依存しないことです。NATを使用すると、運が良ければIPv4、おそらく IPv6に固執します。また、NATはエンドツーエンドの接続を切断するため、従来のNATのすべての問題に対処する必要があります（ディレクトリリストをNATを介したFTPサーバーは、そのようなものを扱う一部の人々の工夫の証です。しかし、それらの回避策でさえ、通常、接続ルートに沿ってNAT が1つしかないことを想定しています。VLANでは、イーサネットフレームへの追加を使用するため、文字通り何でもイーサネットを介して転送できるものは、VLANイーサネットを介して転送でき、エンドツーエンド接続は保持されます。したがって、IPに関する限り、ローカルネットワークセグメントで到達可能なノードのセット以外は何も変更されていません。この標準では、単一の物理リンク上で最大4,094（2 ^ 12-2）のVLANを使用できますが、特定の機器にはより低い制限がある場合があります。

したがって、私の提案：

• マスター機器（ネットワークルームのスイッチの大きなラックにあるもの）が802.1Qをサポートしているかどうかを確認します。存在する場合は、構成方法を確認し、正しくセットアップします。工場出荷時設定にリセットすることから始めることをお勧めしますが、そうすることで重要な構成を失わないようにしてください。この接続を使用している間は、サービスの中断が発生する可能性があることを、その接続に依存している人に適切にアドバイスしてください。
• マスター機器が802.1Qをサポートしていない場合、VLANの数、ポートの数などの点でニーズを満たし、ニーズを満たすものを見つけて購入します。次に、構成方法を確認し、正しくセットアップします。これには、設定中にそれを分離して既存のユーザーのダウンタイムを短縮できるというボーナスがあります（最初にセットアップしてから古い機器を取り外して新しい機器を接続するため、ダウンタイムは基本的にどのように制限されますすべてのプラグを抜き差しする必要があります）。
• 各オフィスユニットで、スイッチ、またはイーサネットアップリンクポートを備えたホームまたはスモールビジネス「ルーター」（NATゲートウェイ）を使用して、独自のシステム間でネットワーク接続をさらに分散させます。

スイッチを構成するときは、必ず各VLANを独自のポートセットに制限し、すべてのポートが単一のオフィスユニットにのみ接続されるようにしてください。それ以外の場合、VLANは「邪魔しないでください」という丁寧な標識にすぎません。

各ユニットのイーサネットアウトレットに到達するのはトラフィックのみであるため（個別の分離されたVLANを構成するため）、これにより、すべてを真に物理的に分離したネットワークとして再配線する必要なく、適切な分離が提供されます。

また、特に VLANを実装するか、すべてを再配線する場合は、すべてのケーブルにユニット番号とポート番号を正しくタグ付けしてください。少し時間がかかりますが、特に将来ネットワークの問題が発生した場合は特に価値があります。ネズミの巣のケーブルを引き継いだことを確認してください。今何？いくつかの役立つヒントについては、サーバー障害について。