Pregunta Conmutadores, VLAN y redes


Esto es lo que intento hacer. Creo que el profesor cree que sabemos más de lo que hacemos

La Dirección de Oficiales Diplomáticos acordó recientemente una nueva infraestructura de red para conectar sus 3 oficinas internacionales en Roma, Cambridge y Chicago.
  Su tarea es completar el diseño y producir una configuración prototipo funcional para demostrar que la implementación funcionará. .

Las oficinas en Cambridge, Chicago y Roma estarán interconectadas a través de una resistente red de malla T1. Las tarifas de reloj son proporcionadas por Cambridge y Roma.

Se anticipa que habrá requisitos para alrededor de 2300 hosts en la oficina de Chicago y un potencial de 1093 hosts en las oficinas de Roma y Cambridge.
  Habrá 12 oficinas más en Europa en los próximos 2 años cada una con un mínimo de 550 hosts cada una.

La oficina de Cambridge se usa para alojar una conexión a Internet a través de una conexión Ethernet administrada (Fast Ethernet) con una dirección asignada de 209.123.234.5/30.

Como la organización no se ha conectado previamente a Internet, no se les ha asignado un bloque de direcciones para usar que no sea el enlace de Internet dedicado.
  El nuevo diseño de red debe usar una configuración para reflejar esta falta de direcciones y utilizar un direccionamiento apropiado mediante el uso de direcciones RFC1918.

La organización necesita implementar una política de seguridad en un enrutador adecuado para

• Asegúrese de que solo los usuarios de sus 3 oficinas principales puedan conectarse al centro de datos corporativo al 199.199.199.199.
  • Solo los usuarios de Chicago en la VLAN de administración pueden acceder al servidor de finanzas hospedado en una ASP en la dirección 200.200.200.200, utilizando una aplicación en el puerto 1234 usando TCP.   • Solo los usuarios de Roma y Cambridge pueden acceder a una base de datos de investigación de la UE utilizando http, https y ftp (recuerde que ftp usa dos puertos) en la dirección 194.123.88.99   • Todos los usuarios deben acceder a un servidor de correo electrónico externo que ejecute IMAP / POP3 / SMTP en las direcciones apropiadas en la dirección 180.145.22.33.   • Bloquee el acceso a una gama de redes de intercambio de archivos utilizando el IRC, donde los empleados desmotivados están descargando material protegido por derechos de autor utilizando las redes 206.206.83.0, 206.207.82.0, 206.207.83.0, 206.207.84.0 y 206.207.85.0.   • solo las conexiones iniciadas internas tienen acceso a Internet.

Todas las violaciones de seguridad se deben registrar en un servidor syslog apropiado.

Tengo la configuración de topología junto con el esquema de direccionamiento. El problema que estoy tratando de hacer es que los vlans hablen con el resto de las redes.

E.G: Tengo el 10.0.16.254 como puerta de entrada. Configuré los servidores en las VLAN usando el interruptor. Yo digo que la VLAN 10 es la base de datos de investigación con una IP de 194.123.88.99. No puedo lograr que esto salga en cualquiera de las otras oficinas ya que la puerta de enlace está en una red diferente.

Me preguntaba cómo superar esto para que todo converja.

Gracias por adelantado


1


origen


Tienes que ser mucho más específico (máscaras de red, objetivo, topología (hardware disponible), ...). De lo contrario, la única respuesta correcta es "depende". @william lo dijo: con las máscaras de red correctas, todas están en la misma subred. De lo contrario, necesitar un enrutador Asi que tú saber si necesitas un enrutador :) - scherand
Juniper: Fundamentos de red es un buen recurso para aprender sobre redes - scherand
Vaya ... creo que no se supone que uses VLAN para el control de acceso (esa no es la idea de las VLAN después de todo), sino que escribes una ACL para "tu" enrutador que solo permite Roma y Cambridge (léase: las redes que asignaste a Roma y Cambridge, pero no eg Chicago) para conectarse al DB de investigación (194.123.88.99) que está alojado fuera de su red (es decir, los usuarios necesitan usar la conexión a Internet para llegar a ella). - scherand
La cosa con la VLAN probablemente debería indicar que necesita dividir el rango asignado a Chicaco en dos (al menos): una administración y un rango "regular". Luego puede usar una VLAN en su enrutador para acomodar la red de administración, aunque actualmente no veo por qué querría hacer eso (es decir, no creo que necesite una VLAN para esto). La tarea no es muy clara para mí ... - scherand


Respuestas:


Realmente depende de lo que intenta lograr ... Con la máscara de subred correcta, si todas estas máquinas están en el mismo interruptor local, podría tener comunicaciones directas.

Si tienen subredes diferentes que no se superponen de todos modos, estarán tan bien como aisladas y la VLAN simplemente dará un paso más para la seguridad ...

... sin embargo, no puedo decir si es apropiado sin saber realmente lo que estás tratando de lograr, ya que es una configuración realmente extraña.


1



Hola William, es una configuración realmente extraña. Es para una clase que estoy tomando. Necesito implementar ACL en consecuencia. Me preguntaba si debería ponerlos en VLAN o simplemente utilizar direcciones de loopbacks para representar el acceso. Probablemente no sea lo suficientemente claro y me disculpo por esto. Me pregunto si las VLAN serían más apropiadas que solo los bucles - Chris
Si no los necesita para tener acceso a otra cosa / no hay pasarelas involucradas, ¿por qué no simplemente deshabilitar la tarjeta de red todos juntos? ¡No puede ser más seguro que no estar conectado! ... Pero, de nuevo, realmente necesito saber más sobre lo que está tratando de lograr - William Hilsum
Esto es lo que se intenta lograr. Es para un laboratorio que el profesor nos ha dado para probar. La Dirección de Oficiales Diplomáticos ha acordado recientemente una nueva infraestructura de red para conectar sus 3 oficinas internacionales en Roma, Cambridge y Chicago. Las oficinas en Cambridge, Chicago y Roma estarán interconectadas a través de una resistente red de malla T1. Las tarifas de reloj son proporcionadas por Cambridge y Roma. requisitos para alrededor de 2300 anfitriones Chicago, 1093 anfitriones oficinas de Roma y Cambridge. Habrá 12 oficinas más en Europa en los próximos 2 años cada una con un mínimo de 550 hosts cada una. - Chris
La oficina de Cambridge se usa para alojar una conexión a Internet a través de una conexión Ethernet administrada (Fast Ethernet) con una dirección asignada de 209.123.234.5/30. Como la organización no se ha conectado previamente a Internet, no se les ha asignado un bloque de direcciones para usar que no sea el enlace de Internet dedicado. El nuevo diseño de red debe usar una configuración para reflejar esta falta de direcciones y utilizar el direccionamiento adecuado mediante el uso de direcciones RFC1918. La organización necesita implementar una política de seguridad en un enrutador adecuado para - Chris
Asegúrese de que solo los usuarios de sus 3 oficinas principales puedan conectarse al centro de datos corporativo al 199.199.199.199. • Solo los usuarios de Chicago en la VLAN de administración pueden acceder al servidor de finanzas hospedado en una ASP en la dirección 200.200.200.200, utilizando una aplicación en el puerto 1234 usando TCP. • Solo los usuarios de Roma y Cambridge pueden acceder a una base de datos de investigación de la UE usando http, https y ftp (recuerde que ftp usa dos puertos) en la dirección 194.123.88.99 • Todos los usuarios necesitan acceder a un servidor de correo electrónico externo ejecutando IMAP / POP3 / SMTP en las direcciones apropiadas en la dirección 180.145.22.33. - Chris