Multiple lan, uprawnienia, cisco small business? rozwiązanie?

Witam! Poszukuje rozwiązania jak programowego jak i urządzenia (1 lub więcej), więc zapraszam do dyskusji.

Opisze problem:

Mam sieć na kilkanaście komputerów, chcieli byśmy zrobić małą zmianę.

  1. Podzielić sieć na grupy o różnych opcjach dostępu - np.:

a) rejestracja - grupa, która ma dostęp do wybranych stron www i sieci wewnętrznej firmy (ograniczony internet, sieć firmowa)

  1. poczekalnia - sieć w tym wypadku Wi-Fi, w której to chciał bym postawić urządzenie z otwartym wi-fi ograniczonym np do 10% prędkości łącza, jednak bez bez dostępu do sieci wewnętrznej (pełny dostęp do www, niedostępna sieć firmowa)

c) wewnętrzna - brak dostępu do internetu, pełen dostęp do zasobów sieciowych

d) pełna - pełen dostęp do internetu, dostęp do sieci wewnętrznej również przez Wi-Fi

Czy jest możliwość wybrania porządnego routera (np cisco  i dzielenie na więcej sieci lan i wan? Jak ograniczać dostęp?

proszę również o podpowiedzi czego szukać? Każda wypowiedź może okazać się przydatna :wink:

Może np jakieś urządzenie z serii Cisco, smal business?

Z góry dziękuje za pomoc, pozdrawiam;)

W zasadzie to wystarczy Ci dowolny router z obsługą extended ACL + switch Cisco (zapewne innej firmy też), patrz tylko żeby wymaganą przepustowość łącza obsługiwał. Ustawiasz sobie vlany na switchu, tyle ile chcesz mieć opcji dostępu (łatwiej później zarządzać) + konfiguracja vlanów na routerze (osobny vlan dla serwerów i do zarządzania sprzętem). Punkt Wifi koniecznie dual, może być z OpenWrt np. (sprawdź czy jest opcja przycięcia łącza). 

 

Co do ograniczenia dostępu masz też klika opcji (najlepiej połączyć):

  1. Wykorzystując tylko router, ustawić sobie ACLki które będą dawały dostęp do konkretnych, wymaganych przez Ciebie zasobów. Przy kilkunastu komputerach sprawa jest bardzo łatwa do skonfigurowania. Ustawiasz sobie ACLkę na dany VLAN (przy późniejszym dodawaniu komputerów do danej grupy nie musisz już nic konfigurować)

    • Używasz np. squida linuxowego (proxy), dzięki któremu będziesz mógł dokładnie ograniczyć zasoby jak Ci się będzie podobać (dostęp tylko do konkretnych adresów www + pełna kontrola użytkowników, można internet na hasło zrobić czy co tam się chce)
  2. Router Wifi musi obsługiwać dwie sieci (jedna dla ludzi z zewnątrz + druga dla pracowników). Oczywiście ta dla pracowników zabezpieczona hasłem - możesz użyć WPA2 Enterprise i ustawić hasło dla każdego użytkownika lub standardowa sieć z jednym hasłem (zależy jakiego poziomu zabezpieczeń oczekujesz).

Tu zamiast routera lepiej użyć przełącznika zarządzalnego i na nim tworzysz VLANy. Do routingu między VLANami możesz użyć albo routera albo przełącznika warstwy trzeciej. Szczegółowo opisał Ci już kolega wyżej. Do routingu nie musi to być nawet router Cisco, wystarczy nawet zwykły PC z kilkoma kartami sieciowymi i Vyatta, RouterOS od Mikrotika jeśli chcesz systemu na router lub możesz postawić router na dowolnej dystrybucji Linuksa od podstaw. PC bądź stary serwer jako router możesz użyć, jeśli zależy Wam na jak najtańszym rozwiązaniu. Zamiast routera Cisco można użyć np. jakiś Routerboard Mikrotika.

Znam gościa co ma sieć zbudowaną na przełącznikach Cisco i wszystkie routery na Mikrotikach.

biorąc pod uwagę, że mam do dyspozycji Switch SLM2048PT-EU, i jak dodam do tego 2 routery:

  1. Do otwartego WI-Fi

  2. do prywatnego i nadający adresy ip w sieci, jak sądzicie czy to będzie dobre rozwiązanie?

Nie potrzebne Ci są dwa router, po to masz właśnie VLANy. Oczywiście zakładam, że nie masz na myśli jakichś domowych TP Linków. Tu możesz utworzyć połączenie typu router on a stick. Na przełączniku tworzysz VLANy. Pomiędzy przełącznikiem, a routerem tworzysz połączenie trunkingowe, na routerze tworzysz podinterfejsy i enkapsulację (standard) 802.1q. Potem tworzysz ACLki z ograniczeniami jakie Cię interesują i tyle. Vyatta bez problemu obsługuje VLANy, RouterOS raczej też nie powinien mieć z tym problemów. Router nie musi być koniecznie od Cisco, ale wystarczy Ci jeden.

Chodzi mi bardziej o zasięg.

Chcę w troszkę innym miejscu ustawić wi-fi niż szafa, więc postawię porządny router w szafie, który przydzieli ipki na sieć i 2gi, który rozdzieli ipki w podsieci wi-fi :wink:

Mogli byście mi jeszcze opisać,w jaki sposób konfigurować aclki do vlanów? :wink:

Mówiąc o routerze który obsługuje ACL nie myśleliśmy o punktach/routerach Wifi. Oczywiście router wifi jest Ci niezbędny, podpinasz go pod switcha i na nim konfigurujesz dwie sieci, jedną tylko z dostępem do sieci zewnętrznej, wycinasz całą swoją adresację prywatną - używasz do tego iptables (openwrt i ddwrt jest na linuxie), drugą sieć natomiast konfigurujesz z dostępem do wszystkich zasobów, jeżeli router wifi umożliwia tryb bridge na jednej z sieci to możesz go ustawić i wtedy nawet twój zewnętrzny serwer dhcp może adresy w tej sieci rozdzielać.

 

Ale tak po analizie twojego wcześniejszego postu wnioskuję że chciałeś zrobić na dwóch prostych tanich routerkach wifi, to może być ciężko wykonalne i będziesz miał bardzo ograniczone możliwości. Już lepiej tak jak Ci kolega napisał lepiej użyć Vyatty czy innego komputerka z kilkoma kartami sieciowymi i linuxem na pokładzie + drugi router wifi dual, lub ostatecznie + 2 zwykłe jednosieciowe routery wifi, jeden do sieci prywatnej + www, drugi tylko www dla gości.

 

Jeżeli chodzi o zasięg to Wifi możesz sobie postawić gdzie chcesz, żeby mieś dobry zasięg.

 

Jeżeli chciałbyś bardzo rzeźbić to tak jak piszesz mógłbyś to zrobić na zwykłych routerach wifi z ddwrt/openwrt i ustawiać na nich wszystkie reguły w iptables, ale to bardzo zawodne i nieprofesjonalne rozwiązanie dla środowiska produkcyjnego (tani sprzęt nie będzie miał dobrej wydajności + zwis takiego urządzenia to przestój w pracy), no i tu VLANów nie skonfigurujesz raczej i możesz zapomnieć o różnych podsieciach dla działów.

 

Jeżeli jesteś zainteresowany aCLkami to tu masz przykłady dla routerów CISCO. Generalnie wszystko znajdziesz w internecie, ciężko podać gotowe rozwiązanie dla specyficznego środowiska.

Ale chyba na twoim miejscu skupiłbym się na tych routerach linuxowych. Powiedz jakie masz możliwości finansowe. Ten Twój switch obsługuje zakładane technologie, co prawda tylko przez interfejs www, ale powinno dać się ładnie skonfigurować.

Wręcz przeciwnie, mi chodzi o dobrym rozwiązaniu, cena aż tak nie ma znaczenia. Jednak na sieć publiczną chcę wziąć jakiegoś tplinka i na Switchu ACL’ki, które pozwolą tylko na transfer wychodzący do internetów. 

Czyli można powiedzieć, że sieć publiczną ogarnę. 

Teraz pomysł na podzielenie na  grupy i dobranie odpowiedniego urządzenia pod router do szafy?

Na switchu swoim nie ustawisz żadnych ACLek, nie ma on aż takich możliwości i nie jest to switch 3 warstwy, take rzeczy to na routerze. Jeżeli Twój TP-Link nie będzie miał trasy do sieci wewnętrznych to spokojnie powinno to działać na domyślnej konfiguracji i goście nie będą mieli dostępu do sieci wewnętrznej.

 

Co do routera to używany Cisco z serii 2800 (może jakiś model 2811?) powinien Ci w zupełności wystarczyć. Można takie dostać za ok. 2tyś. Dobry router i dobra cena. Inna sprawa czy będziesz potrafił to skonfigurować?

Zamiast routerów WiFi można użyć AP, ewentualnie AP z routingiem. AP możesz postawić ile potrzebujesz, jeśli zależy Ci na zasięgu, rozglądaj się od razu za AP z funkcją roamingu (standard IEEE 802.11r). Działa to na takiej zasadzie, że klient poruszający się po terenie zakładu, np. z laptopem czy tabletem będzie automatycznie przełączny między APkami, czyli nie musi się martwić o to, że w innym pokoju straci połączenie spowodu niewystarczającego zasięgu.

Ogólnie możesz to zrobić tak. Masz punkt centralny, gdzie będą wszystkie urządzenia takie jak przełączni i router, modem itp. Do szafy możesz wstawić krosownicę i w odpowiednich miejscach porobić gniazdka sieciowe i kable pociągnąć do krosownicy. Do gniazdek będziesz mógł wpiąć kablem APki i poźniej na krosownicy spiąć to z przełącznikiem i routerem. Jak porobisz sobie jeszcze etykiety z opisem co jest do czego, to będziesz miał to ładnie uporządkowane i w przyszłości nie będziesz miał patrzeć w kable co jest od czego.