ก่อนปิด: หากคุณอยู่ภายใต้ข้อผูกพันทางกฎหมายในการแยกการรับส่งข้อมูลให้ผู้ที่มีอำนาจทำเช่นนั้นให้ลงชื่อออกในแผนใด ๆ เช่นเดียวกับข้อกำหนดทางกฎหมายก่อนที่จะเริ่มดำเนินการ ทั้งนี้ขึ้นอยู่กับข้อกำหนดทางกฎหมายเฉพาะอาจเป็นไปได้ว่าคุณจะต้องจัดหาเครือข่ายที่แยกจากกันโดยไม่มีจุดเชื่อถือร่วมกัน
ที่กล่าวว่าผมคิดว่าคุณโดยทั่วไปมีสามตัวเลือก: 802.1Q VLANs (ดีกว่า)และหลายชั้นของ NAT (แย่ลง)และเครือข่ายที่แยกทางร่างกาย (ที่เชื่อถือได้มากที่สุด แต่ยังมีความซับซ้อนและมีแนวโน้มมากที่สุดที่มีราคาแพงเนื่องจากการเดินสายกายภาพ)
ฉันสมมติว่าที่นี่ทุกสิ่งที่มีสายอยู่แล้วอีเธอร์เน็ต ส่วนหนึ่งของมาตรฐานอีเธอร์เน็ตโดยรวมคือสิ่งที่รู้จักกันในชื่อIEEE 802.1Qซึ่งจะอธิบายวิธีสร้าง LAN เลเยอร์ลิงก์ที่แตกต่างกันบนฟิสิคัลลิงก์เดียวกัน สิ่งนี้เรียกว่า VLAN หรือLAN เสมือน (หมายเหตุ: WLAN ไม่เกี่ยวข้องอย่างสมบูรณ์และในบริบทนี้หมายถึงLAN แบบไร้สายและบ่อยครั้งอ้างถึงหนึ่งในIEEE 802.11รุ่นต่างๆ) จากนั้นคุณสามารถใช้สวิตช์ระดับสูงกว่า (สิ่งที่ราคาถูกที่คุณสามารถซื้อเพื่อใช้ในบ้านโดยทั่วไปไม่มีคุณสมบัตินี้คุณต้องการค้นหาสวิตช์ที่มีการจัดการซึ่งเป็นแนวคิดที่สนับสนุน 802.1Q เป็นพิเศษแม้ว่าจะเตรียมจ่ายเบี้ยประกันภัยสำหรับฟีเจอร์) ที่ตั้งค่าให้แยก VLAN แต่ละตัวเป็นชุดพอร์ต (อาจเป็นเพียงพอร์ตเดียว) ในแต่ละ VLAN นั้นสวิตช์ผู้บริโภคทั่วไป (หรือ NAT เกตเวย์ที่มีพอร์ตอัปลิงค์อีเธอร์เน็ตหากต้องการ) สามารถใช้เพื่อกระจายการรับส่งข้อมูลภายในหน่วยสำนักงานได้
ส่วนต่าง ๆ ของ VLANs เมื่อเปรียบเทียบกับ NAT หลายเลเยอร์คือว่ามันขึ้นอยู่กับประเภทของการจราจรบนสายไฟ ด้วย NAT คุณจะติดอยู่กับ IPv4 และอาจ IPv6ถ้าคุณโชคดีและยังต้องขับเคี่ยวกับทุกอาการปวดหัวแบบดั้งเดิมของ NATเพราะแบ่ง NAT แบบ end-to-end เชื่อมต่อ (ความจริงง่ายๆที่คุณจะได้รับรายการไดเรกทอรีจาก เซิร์ฟเวอร์ FTP ผ่าน NAT เป็นเครื่องยืนยันถึงความเฉลียวฉลาดของบางคนที่ทำงานกับสิ่งนั้น แต่แม้กระทั่งวิธีแก้ปัญหาเหล่านั้นมักจะคิดว่ามีNAT เพียงตัวเดียวตามเส้นทางการเชื่อมต่อ) กับ VLANs เพราะมันใช้นอกจากเฟรม Ethernet ที่แท้จริงอะไรที่สามารถถ่ายโอนผ่านอีเธอร์เน็ตสามารถถ่ายโอนผ่าน VLAN อีเธอร์เน็ตและการเชื่อมต่อแบบ end-to-end ได้รับการเก็บรักษาไว้เท่าที่ IP มีความกังวลไม่มีอะไรเปลี่ยนแปลงยกเว้นชุดของโหนดที่สามารถเข้าถึงได้ในส่วนเครือข่ายท้องถิ่น มาตรฐานอนุญาตให้ VLAN สูงถึง 4,094 (2 ^ 12 - 2) บนลิงก์ฟิสิคัลเดียว แต่อุปกรณ์เฉพาะอาจมีขีด จำกัด ต่ำกว่า
ดังนั้นข้อเสนอแนะของฉัน:
- ตรวจสอบว่าอุปกรณ์หลัก (มีอะไรอยู่ในสวิตช์ขนาดใหญ่ในห้องเครือข่าย) รองรับ 802.1Q หากเป็นเช่นนั้นให้ค้นหาวิธีกำหนดค่าและตั้งค่าอย่างถูกต้อง ฉันขอแนะนำให้เริ่มต้นด้วยการรีเซ็ตเป็นค่าจากโรงงาน แต่ให้แน่ใจว่าคุณจะไม่สูญเสียการกำหนดค่าที่สำคัญโดยทำเช่นนั้น โปรดแน่ใจว่าได้ให้คำแนะนำอย่างถูกต้องกับทุกคนที่เชื่อมั่นในการเชื่อมต่อที่ว่าจะมีการหยุดชะงักของบริการในขณะที่คุณทำเช่นนี้
- หากอุปกรณ์หลักไม่รองรับ 802.1Q ให้ค้นหาอุปกรณ์ที่ตรงกับความต้องการของคุณในแง่ของจำนวน VLANs จำนวนพอร์ตและอื่น ๆ และซื้อ จากนั้นหาวิธีกำหนดค่าและตั้งค่าอย่างถูกต้อง สิ่งนี้มีโบนัสที่คุณสามารถแยกเก็บไว้ในขณะตั้งค่าต่างๆลดการหยุดทำงานสำหรับผู้ใช้ที่มีอยู่ (คุณต้องตั้งค่าก่อนจากนั้นนำอุปกรณ์เก่าออกแล้วเชื่อมต่อใหม่ดังนั้นการหยุดทำงานจะถูก จำกัด โดยทั่วไป นานคุณจะต้องถอดปลั๊กและเสียบปลั๊กใหม่ทุกอย่าง)
- ให้แต่ละหน่วยงานใช้สวิตช์หรือ "เราเตอร์" ที่บ้านหรือธุรกิจขนาดเล็ก (เกตเวย์ของ NAT) ด้วยพอร์ตอัปลิงค์อีเธอร์เน็ตเพื่อกระจายการเชื่อมต่อเครือข่ายระหว่างระบบของตนเอง
เมื่อคุณกำหนดค่าสวิตช์ตรวจสอบให้แน่ใจว่าได้ จำกัด VLAN แต่ละตัวไว้ที่ชุดพอร์ตของตัวเองและตรวจสอบให้แน่ใจว่าพอร์ตเหล่านั้นทั้งหมดไปยังหน่วยสำนักงานเดียวเท่านั้น มิฉะนั้น VLANs จะยิ่งใหญ่ไปกว่ามารยาท "ห้ามรบกวน" สัญญาณเล็กน้อย
เนื่องจากทราฟฟิกเดียวที่มาถึงช่องเสียบอีเทอร์เน็ตของแต่ละยูนิตจะเป็นของตัวเอง (ด้วยการกำหนดค่าแยก VLAN แยกของคุณ) สิ่งนี้ควรให้การแยกที่เพียงพอโดยไม่ต้องให้คุณทำการวนซ้ำทุกอย่างเป็นเครือข่ายแยกทางกายภาพอย่างแท้จริง
นอกจากนี้โดยเฉพาะอย่างยิ่งถ้าคุณใช้ VLANs หรือท้าย rewiring ทุกอย่างจะใช้โอกาสที่จะติดแท็กอย่างถูกต้องสายเคเบิลทั้งหมดที่มีตัวเลขหน่วยและพอร์ต! จะใช้เวลาเพิ่ม แต่จะคุ้มค่ากว่าที่จะไปข้างหน้าโดยเฉพาะหากมีปัญหาเครือข่ายใด ๆ ในอนาคต ลองดูฉันได้รับรังสายเคเบิลของหนู เกิดอะไรขึ้น บน Server Fault สำหรับคำแนะนำที่เป็นประโยชน์