我是一个办公室的常驻 IT 人员,办公室里大约有 20 名员工,有 3 家独立的公司转租了这间办公室。
我们在办公室各处都布满了 24 个以太网端口,这些端口都连接到我办公室的配线架。它们通过 4 个非托管交换机连接到我们 ISP 提供的廉价路由器。(英国的互联网由 BT 提供的普通 ADSL2+ 提供)。
问题是,尽管我们是不同的公司,但我们都是一个网络,这是一个安全问题,所以我们想分离逻辑/虚拟网络(大概是 VLAN),但我们当前的基本路由器不支持基于端口的 VLAN。
我正在考虑两种隔离网络的选项,并且我希望得到可行的建议:
企业 4 端口路由器(可能是合勤 P660HN-51或者Draytek Vigor) 支持基于端口的 VLAN,并将我们现有的非管理型交换机插入其中:
(显然,我会限制为 3-4 个 VLAN,但这样没问题或者,大型 24 端口管理型交换机(如思科)支持允许我定义其众多端口中的哪些属于哪些 VLAN。
我知道这只能在“单根路由器”配置下工作。关键是我的网络柜太小,无法容纳典型的 24 端口交换机,它的深度只有大约 22 厘米。
答案1
只要公司只共享互联网连接,而不需要共享其他资源(如文件服务器),我显然会支持选项1。
如果您拥有独立的公司,并且偶然成为管理员,而不是每个公司的外部约束性决策,那么您最想要的东西之一就是干净、定义明确的接口/传输点。这是通过拥有一个通往具有自己子网(更好的是,拥有自己的公共 IPv4 地址/IPv6 子网)的路由器的单个上行链路端口来实现的。其他每个公司可以选择自己的交换机,更重要的是,为这个交换机选择自己的管理员。
如果您选择使用选项 2,那么最大的缺点就是您将永远是所有事情的联系人。即使任何一家公司都会聘请自己的管理员,在他们看来,很有可能总是您在妨碍事情、破坏事情或做错事情。即使是马桶冲水装置坏了,您也要负责。
答案2
选项 2 - 让您有机会购买比选项 1 功能更强大、容量更大、灵活性更强、弹性更强的 L3 交换机。整体性能可能会更高,如果您愿意,您可以选择为电话使用 PoE 端口,您还可以选择运行某种形式的网络管理工具,这样您就知道发生了什么事情以及发生在哪里。
选项 1 会让您很忙,但显然比选项 2 便宜。
答案3
我个人更倾向于选择 3:
- 安装合适的“大型管理交换机”,就像选项 2 中那样
- 将每个公司放入他们自己的 VLAN。
- 对于上行链路,您有几种选择:
- 像选项 1 一样,为每家公司在其 vLAN 内提供自己的上行链路(调制解调器等)。
- 安装一个合适的防火墙像 PFSense每个 vLAN 都有一个接口,并通过一个调制解调器传输所有流量(就像在选项 2 中一样)
- 安装一个合适的防火墙,在每个 vLAN 中都有一个接口,并制定一些巧妙的流量规则,以将一些用户分离到他们自己的上行链路上,并让其他所有人使用共享链路。
(一个好的防火墙还可以让您建立规则,以便公司可以根据需要访问彼此的资源,并使您能够运行可以查看所有网络的监控/管理软件)。
这无疑是一种昂贵的选择,但是如果你打算长期从事这份工作,那么它的灵活性是值得的。