web-dev-qa-db-fra.com

Catégorie de périphérique entre routeur et pare-feu (sous-réseau mais rien de plus)

Dans notre bâtiment de bureau, nous sommes huit petits bureaux indépendants. À l'avenir, nous aimerions partager une connexion Internet. Afin de s'assurer que nous n'accédions pas au réseau de chacun d'autres, nous recherchons un appareil pouvant créer huit sous-réseaux/segments LAN.

Bien sûr, cette tâche peut être faite avec chaque pare-feu. Le problème est que nous ne voulons pas dépenser 2000 dollars pour un appareil pouvant utiliser notre accès Internet 1Gbit/s. En fait, nous n'utiliserions pas 90% des caractéristiques d'un pare-feu. En fait, nous aimerions simplement avoir un routeur qui crée un sous-réseau individuel pour chaque port. Y a-t-il une catégorie spéciale de dispositifs que je peux rechercher?

networkingrouterfirewallsubnet
1
marco birchler

Si vous trouvez un mini-PC abordable avec suffisamment de ports réseau (ou suffisamment de logements PCI-E pour des cartes d'extension supplémentaires), vous pouvez l'utiliser comme routeur L3. Utilisez le pare-feu intégré de Linux pour empêcher le transfert entre les sous-réseaux. Un exemple iptables Configuration serait:

*filter
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
-A FORWARD -i lan+ -o lan+ -j REJECT --reject-with icmp-net-unreachable
COMMIT

La configuration de pare-feu ci-dessus suppose que les ports se connectant à vos autorisations sont nommés lan0 à lan7 ou similaire (le + à la fin correspond à toute interface démarrage avec le nom), et le WAN Port est nommé autre chose (wan0 va bien).

Vous pouvez utiliser Arch Linux pour vous assurer de toujours obtenir le dernier noyau et plus intriguant, pour votre cas d'utilisation, l'hôte n'a même pas besoin d'un gigaoctet de RAM.

3
iBug

C'est un peu un problème xy: ce que vous voulez vraiment, c'est l'isolement, mais vous pensez que vous avez besoin de sous-réseaux pour la mettre en œuvre - pas vraiment!

Toute commutation de couche de couche 2 compétente peut rendre certains ports être "isolés", c'est-à-dire qu'ils ne peuvent échanger de trafic avec des ports non isolés. Le routeur (je suppose à partir du fournisseur de services Internet) serait branché sur un port non isolé et chaque commutateur de bureau se brancherait dans le port configuré comme isolé. Cela fera la partie isolation, mais cela ne fournira pas de sous-réseaux: mais vous n'avez pas vraiment besoin de sous-réseaux. Tous les nœuds seront sur le même sous-réseau, mais les nœuds de n'importe quel bureau ne pourront échanger de trafic avec des nœuds dans les autres bureaux.

Vous pouvez maintenant envisager de déléguer une autorité administrative à chaque bureau - c'est-à-dire que chaque bureau affecte des adresses IP statiques, sans se soucier des conflits. Si vous irez modernes et que tous les nœuds internes fonctionnent uniquement IPv6, ce n'est pas un problème: il n'y aura pas de conflit d'adresse IP si vous attribuez correctement les adresses statiques (c'est-à-dire que la partie anti-préfixe doit être aléatoire) . Pas de "sous-réseau" nécessaire.

Si vous souhaitez prendre en charge IPv4, vous pouvez agir "comme si" existait des "sous-réseaux" pour les machines avec des adresses statiques. Premièrement, disons que le routeur sera configuré pour que le sous-réseau LAN soit 10.0.0.0/16. Vous pouvez alors d'accord que chaque bureau attribue uniquement des adresses IP statiques dans certains blocs de 10,0.x/24 fixes - mais cela serait destiné à une allocation d'adresse uniquement, le sous-réseau ne changerait pas. Ce serait un moyen pratique de déléguer l'autorité d'attribution de l'adresse statique aux bureaux. Par exemple. Les bureaux 1-8 seraient autorisés à attribuer statiquement des adresses de la forme 10.0.Office.n, où bureau = 1..8. Le serveur DHCP sur le routeur serait bien sûr configuré pour attribuer des adresses en dehors de la plage fixe, par exemple. Cela pourrait attribuer du 10.0.16.1 au 10.0.23.254. Tant que la plage d'adresses attribuée de manière dynamique ne chevauche pas les gammes d'adresses attribuées statiquement attribuées, tout est bon. L'isolation du port est traitée par le plus rudimentaire des commutateurs gérés, de sorte que tout cela est facile à configurer et une solution viable.

Si vous voulez aller dans la route "sous-réseau par bureau", vous avez aussi des choix:

  1. Si le routeur fourni par l'ISP gère des VLAN, vous pouvez également aller le classique "Un sous-réseau par VLAN". Du côté du routeur, vous affectiez un VLAN à chaque sous-réseau. Ensuite, sur le commutateur de couche 2, configurez le port de chaque bureau de sorte qu'il considère que VLAN comme "natif", c'est-à-dire que la trafic VLAN obtient la balise VLAN dépouillée en laissant le port, et Le trafic non étiqueté obtient la balise VLAN ajoutée à la saisie du port. Vous pouvez également interdire/déposer tout le trafic étiqueté sur les ports de bureau, de sorte qu'il n'y aura vraiment aucun moyen pour un bureau dans le "mauvais" segment. Le routeur ne verra que le trafic tagué VLAN, les ports de bureau verront une circulation non étiquette et étiquetez-le automatiquement, et tout va bien.

  2. Si le routeur fourni par le fournisseur de services Internet ne gère pas les VLAN, il doit au moins prendre en charge plusieurs adresses IP (et donc sous-réseaux) pour le port LAN, puis une configuration de serveur DHCP individuelle pour chaque sous-réseau. L'isolement de port sur un commutateur de couche 2 serait tout ce qui est nécessaire alors. Si le routeur est "semi compétent" et fournit plusieurs adresses IP par port LAN, mais ne gère pas plusieurs sous-réticules DHCP, alors parfois le commutateur "Layer 2/3" peut vous permettre de configurer un serveur DHCP pour chaque sous-réseau.

  3. Si le routeur fourni par les poignées ISP, ni VLAN ni plusieurs adresses IP sur le port LAN, le routeur doit être configuré avec le "Big Subnet" 10.0/16 et une seule adresse IP. L'interrupteur aurait alors besoin d'offrir une fonctionnalité pour amener les paquets du routeur dans l'individu VLAN basé sur l'adresse MAC ou IP (VLAN serait totalement virtuel et dans l'interrupteur uniquement). Divers commutateurs de "couche 2/3" ou "de couche 3" sont manipulés différemment. Il n'ya probablement aucun moyen de savoir à l'avance sans lire la documentation détaillée d'un commutateur particulier. Par exemple. Les commutateurs Aruba/HPE (je connais bien la famille 5400) ne font généralement pas de réécriture de paquets, mais leur filtre de paquets peut faire la catégorisation de paquets, de sorte qu'un paquet dans une catégorie donnée peut être envoyé à un port donné, laissant les paquets destinés à un paquet. au routeur "Escape" leur VLAN et aller au port du routeur).

Si le routeur fourni par le fournisseur de services Internet est trop mutile ou trop buggy pour faire ce qu'il faut, l'autre option consiste à configurer le routeur en mode pont et à ployer une boîte de routeur dédiée entre cela et les bureaux. Il existe divers routeurs de "petites entreprises" abordables mais propriétaires qui auraient le nombre nécessaire de ports et de bande passante pour gérer ce travail facilement. Si vous voulez une solution non exclusive, une "boîte" PFSense le ferait - alors c'est à vous de décider à quel point vous voulez que le matériel soit bon marché. Il y a des matériels compatibles PFSeSense sur mesure dans des cases "de type routeur", essentiellement une boîte à linux spécialisée (avec un processeur Intel ou ARM. Ou vous pouvez simplement acheter n'importe quel ordinateur hors tension avec un minimum de deux emplacements PCI-E et coller deux cartes Gigabit à 4 ports dans les emplacements. Le port en amont serait celui sur la carte mère. Vous constaterez qu'un certain nombre de solutions "concurrentes" finiront par coûter à peu près la même chose s'ils se trouvaient dans la même performance Ballpark, donc il n'y a donc pas "voici le seul moyen de le faire" de la recommandation possible.

Beaucoup dépend de la quantité d'effort administratif/de maintenance que vous êtes prêt à consacrer à tout cela. Une certaine panne des options:

  • Une solution "mains désactivée" et abordable avec un service de garantie "pendant la nuit" pour bon marché peut bien être tilisé HPE/Aruba Router ou L2/3 Switch qui est toujours sous prise en charge (c'est-à-dire que vous pouvez voir des téléchargements de microprogrammes relativement nouveaux Disponible pour celui-ci sur le site HPE), comme ceux-ci ont une garantie de vie assez généreuse (mais vérifient que bien sûr) et coûte beaucoup de temps lorsque de nouveaux pour couvrir le coût de cela - vous ne voulez probablement pas payer pour un contrat de support. Celles-ci n'ont besoin d'aucun entretien autre que des mises à niveau de micrologiciel occasionnelles si une solution de sécurité mérite cela. La plupart des autres fournisseurs d'entreprise n'offrent aucun soutien gratuit, par ex. Si vous achetez des équipements de Cisco non consommateurs usagés, vous devez payer un contrat de support pour obtenir des mises à jour du microprogramme (AFAIK).

  • Une solution "mains désactivées" avec "juste acheter un nouveau" qui est aussi bon marché serait également un nom de marque "petite entreprise" ou même "prosumer" - ceux qui sont fournis par de nombreux vendeurs, par exemple. ASUS, et tout produit actuel aura la vitesse de port et le débit dont vous avez besoin et devront prendre en charge l'isolation du port et le VLAN-PER-sous-réseau (mais bien sûr vérifier cela). Le niveau de leur dévouement au support du micrologiciel peut ne pas être aussi bon que celui des grandes marques d'entreprise, mais il y aura toujours des mises à jour relativement opportunes qui fixent des bugs de sécurité - c'est la plupart de ce que vous aimeriez quand même.

  • Une solution un peu moins "mains désactivée" peut être une sorte de boîte pfsense, bien que lorsque vous avez la bonne façon, celles-ci peuvent également être très faciles à améliorer et à continuer - peut-être encore plus faciles que l'équipement de classe d'entreprise - la clé est d'avoir La configuration prise en charge par les paquets de base, et ce sera certainement le cas pour ce que vous avez à l'esprit. Je suggérerais de ne pas être tenté d'ajouter des "cloches et sifflets", car celles-ci peuvent facilement introduire divers kinks qui nécessiteront un délai de dépannage/de configuration. Par exemple. Ne vous inquiétez pas d'un proxy DNS local, etc. Conservez la fonctionnalité limitée à ce que vous avez absolument besoin et résistez à l'envie de bricoler autre que de faire des améliorations logicielles nécessaires à des versions de PFSense stable.

En ce qui concerne quoi faire wifi-sage: j'utilise UniFi à la maison, mais ce n'est pas fin - tous, être tous. Les points d'accès UNIFI sont géniaux, mais leurs solutions de routage (machine de rêve unifi [PRO]) ne valent pas la peine: effectuez le routage/le pare-feu avec un dispositif dédié et utilisez une clé de cloud unifi (une génération de courant One) pour exécuter le contrôleur nécessaire pour exécuter le contrôleur nécessaire gérer les points d'accès. À la maison, je suis allé avec l'UNIFI Dream Machine Pro et c'est plutôt une configuration délicate - les prétendues avantages de "l'unification" sont bonnes sur papier, mais la caractéristique définie dans la pratique est de nombreux coins non diamples. OTOH, en utilisant une clé de cloud pour exécuter le contrôleur UNIFI pour gérer les points d'accès très bien dans mon expérience. Cela plus un routeur ASUS PROSUMER/GAMING ASUS est à peu près tout ce dont vous auriez besoin pour une configuration totalement fonctionnelle avec des liaisons câblées et sans fil. Les points d'accès prennent en charge la cartographie VLAN-TO-SSID. Il y aurait donc une itinérance sans soudure, chaque bureau utilisant son propre SSID, tout en conservant dans leur VLAN.

1
Kuba hasn't forgotten Monica