Separar a rede do escritorio da rede do dep. tecnico

civismo

civismo

Power Member
Boas!

Certamente muitos de vós (que são técnicos e reparam computadores) lidarão com este seguinte cenário:

A necessidade de isolar e proteger a rede dos vossos computadores internos / escritorio), da rede da parte tecnica.

Para além da questão da privacidade, ao longo dos anos já me deparei com várias situações de computadores a infectarem-se

entre si, uma vezque há virus que passam / propagam-se através da rede.

Lanço este tópico pois gostaria de saber se, e como é isto possivel .
Gostaria de ter duas redes separadas, a dos computadores internos / escritorios da empresa, e outra rede só para a zona

técnica.

Pegando no exemplo do esboço que fiz:

23404842.jpg



>O Router seria um Draytek 2700VG , com wireless integrado

>A rede interna seria a da esquerda (que tem as linhas a vermelho)
>Neste lado esquerdo temos uma NAS para backups, um servidor, impressora de rede e 7 postos ligados por Lan

>A rede do dep tecnico teria um switch, no qual ligariam os pc´s dos clientes (ethernet)
>Nesse switch ficariam ainda 4 computadores internos, de apoio à tecnica.
>E um access point.



****************************Pressupostos de funcionamento **********************************

Gostaria que na pratica isto funcionasse da seguinte forma :


>A rede interna seria uma rede básica, sem active directory.
>Será isolada da da tecnica , por forma a poder ter partilhas de pastas, e não haver o perigo de ser acedida por terceiros externos à rede, bem como evitar os virus que se propagam em rede.
>Se a rede interna puder aceder livremente à da tecnica (unidireccionalmente), tanto melhor, até porque dava jeito poder aceder à NAS que está ligada no switch da Tecnica

>Na rede da tecnica (a azul), era fixe que os 4 computadores de apoio tivessem permissoes especiais e assim pudessem aceder tambem à rede interna ... ou pelo menos poderem ser acedididos a partir da rede interna.
>Da mesma forma que alguns access points permitem o isolamento dos seus membros, seria fixe ter um sistema em que os vários pc´s a reparar não propagassem virus entre si , e pelas mesmas razões que também quero que os computadores do escritório estejam isolados desses que estão a reparar.
No fundo seria optimo se cada um dos computadores que estão a reparar só tivessem acesso à net, e a alguns caminhos da rede, por exemplo a uma NAS

****************************Wireless **********************************

Estava a pensar num sistema de multiple SSID , 3 SSID´s mais precisamente :

Rede1> Uma rede wireless com o nome "escritorio" , com as mesmas permissões de estar ligado na rede interna vermelha (escritorio)

Rede2> Uma rede chamada "tecnica", com as mesmas permissões de estar ligado por cabo na tecnica

Rede3> Uma rede aberta, com net grátis para quem se quiser ligar, ou para visitas / sala de espera.
Esta rede aberta seria limitada a uma velocidade baixa, por forma a consumir pouca largura de banda
Seria ainda totalmente isolada , tanto da Lan , como dos outros users wireless (AP Isolation)
Assim, por exemplo :

screenshot32407.jpg


No fim, gostaria que o segundo AP trabalhasse com as mesmas configurações que o primeiro, estilo repetidor, só para ter mais cobertura naquela zona


Agradeço desde já as vossas opiniões :)
 
Que tal usar um switch que permita criar duas VLANs. O NAS não tem duas placas de rede? Não poderia uma placa de rede pertencer à VLAN1, por exemplo, e a outra placa de rede pertencer à VLAN2?
 
news_js disse:
Que tal usar um switch que permita criar duas VLANs. O NAS não tem duas placas de rede? Não poderia uma placa de rede pertencer à VLAN1, por exemplo, e a outra placa de rede pertencer à VLAN2?
Clicar para expandir...

Tambem já me lembrei disso , de um switch com vlans ... mas confesso que sou um bocado ignorante nessa matéria...
Já vi a configurarem um HP Procurve que fazia isso, percebo o conceito.

Ainda não percebi bem o que significa Layer 2, Layer 3, Layer 4 ..tem a ver com as Vlans ?

Então se fizesse isto por Vlan´s como ficava ? Do Draytek ligava apenas um cabo ao Switch Principal , e seria desse que derivava tudo ?

Obrigado
 
civismo disse:
Tambem já me lembrei disso , de um switch com vlans ... mas confesso que sou um bocado ignorante nessa matéria...
Já vi a configurarem um HP Procurve que fazia isso, percebo o conceito.

Ainda não percebi bem o que significa Layer 2, Layer 3, Layer 4 ..tem a ver com as Vlans ?

Então se fizesse isto por Vlan´s como ficava ? Do Draytek ligava apenas um cabo ao Switch Principal , e seria desse que derivava tudo ?

Obrigado
Clicar para expandir...

Eu não sou técnico. Apenas sei que os técnicos costumam criar VLANs em switches com gestão para situações parecidas com essa.

Quanto ao que significa Layer 2... aqui ficam um vídeos:

The OSI Model Demystified
http://www.youtube.com/watch?v=HEEnLZV2wGI&list=PLF360ED1082F6F2A5&index=5

Understanding Switches
http://www.youtube.com/watch?v=9yYqNqTNnqI&list=PLF360ED1082F6F2A5&index=6
 
Boas!

Ainda não percebi uma coisa: O facto de um switch possibilitar a criação de Vlans, significa isto que é um switch de Layer, ou não tem nada a ver ?
Ou há switchs de Layer que não possibilitam criar Vlan´s, e switches que permitem criar Vlan´s mas não são de Layer ?

Agradeço que ajudem a desmistificar esta duvida que carrego há muito :)

Se a solução passar por um switch, adquiro um switch com essas capacidades!!!
Ja tive um Procurve 1410-24G, igual a este, será que dá para isso ? :
[/IMG]http://images.novatech.co.uk/hewlett_packard-j9561a_extra1.jpg[/IMG]

Edit: Em principio não dá, certo ?
http://h10010.www1.hp.com/wwpc/pt/p...67-4172280-4172280-4220258-4220265.html?dnr=1
 
civismo disse:
Boas!

Ainda não percebi uma coisa: O facto de um switch possibilitar a criação de Vlans, significa isto que é um switch de Layer, ou não tem nada a ver ?
Ou há switchs de Layer que não possibilitam criar Vlan´s, e switches que permitem criar Vlan´s mas não são de Layer ?

Agradeço que ajudem a desmistificar esta duvida que carrego há muito :)

Se a solução passar por um switch, adquiro um switch com essas capacidades!!!
Ja tive um Procurve 1410-24G, igual a este, será que dá para isso ? :
[/IMG]http://images.novatech.co.uk/hewlett_packard-j9561a_extra1.jpg[/IMG]

Edit: Em principio não dá, certo ?
http://h10010.www1.hp.com/wwpc/pt/p...67-4172280-4172280-4220258-4220265.html?dnr=1
Clicar para expandir...

Esse switch é sem gestão. Creio que tens de comprar um switch layer 2 com gestão, mas espera por opiniões mais esclarecidas.

Diferença entre switches layer 2 e e layer 3:

http://wiki.answers.com/Q/What_is_the_difference_between_Layer_2_switch_and_Layer_3_switch
 
Última edição:
ptfuzi disse:
tem que ser layer 2.. layer 3 é ip
Clicar para expandir...

Sou totalmente ignorante ... quando diz que layer 3 é IP significa que são switches concebidos por ex para operadores de telecomunicações ?

E os switches não são comulativos, por ex, um que faça layer 3 só faz layer 3, ou normalmente consegue fazer tambem layer 2 ?
 
Será que o Draytek Vigour 2700 não me consegue fazer isso que estão a segurir que seja feito no switch ???

Eis os menus relacionados com a LAN

screenshot32410.jpg


screenshot32409.jpg
 
civismo disse:
Sou totalmente ignorante ... quando diz que layer 3 é IP significa que são switches concebidos por ex para operadores de telecomunicações ?

E os switches não são comulativos, por ex, um que faça layer 3 só faz layer 3, ou normalmente consegue fazer tambem layer 2 ?
Clicar para expandir...

Switch de Layer 2 tratam as VLAN ao nível físico, ou seja, uma porta assignada numa VLAN nunca comunica com outra porta. o isolamento das VLANs é feito a nível físico e não a nível lógico

Os Switchs layer 3 são ao nível de protocolo IP, onde podes ter uma porta com uma ou mais VLANS definidas.

Conseffo que um switch layer 3 é mais fácil e inteligente para criar e gerir VLANS, interligações, etc..

Por exemplo, no teu modelo eu sugeria a seguinte tipologia:

VLAN1 - Apenas servidores e equipamentos activos de rede
VLAN2 - Equipa técnica apenas
VLAN3 - Equipamento WiFi onde possas definir regras específicas para acesso apenas a determinados IP's das outras VLAN
VLAN4 - Rede normal com ligação via RJ45

Com este modelo e desde que utilizes scopes de IP's dentro da mesma subnet, qualquer equipamento ligado a uma porta onde tenha todas as VLANS assignadas, consegues aceder a toda a rede, se tiveres 1 ou duas VLANS assignadas, apenas terás acesso aos equipamentos nessa respectiva rede, etc...

Com Switch Layer 2 isso não é (facilmente conseguido).
 
civismo, tu não tens apenas 4 equipamentos ligados à rede, certo? Para teres as VLANS em Layer 3 precisas de ter todos os equipamentos de Switching com essa capacidade dentro da rede e tudo bem configurado.
 
Boas, eu faria isso com

Switch L2 com gestão
1 Pc com N placas de rede 1 por cada vlan + 1 para net
Ubuntu server + iptables

ou seja fazes as vlans, este pc será o teu router :D
 
Um bom switch, não é full managed, é o que na gama procurve chamam de "smart managed" ou "web-managed"
http://h10010.www1.hp.com/wwpc/uk/e...67-4172281-4172281-3963985-3963987.html?dnr=1.
O preço não é muito diferente daquele que apresentaste no teu post.
Há outras marcas mas a HP dá lifetime warranty, e advance exchange no dia útil seguinte em praticamente todos os switchs o que me deixa bastante descansado. Em largas dezenas de swithc's hp que já instalei só tive duas avarias, um deles o switch morreu por completo, noutra foram duas portas, e no dia seguinte tinha um switch novo no escritório. Num dos casos já estava descontinuado mandaram-me um modelo mais recente e superior ao que tinha.
 
Este guru de draytek costuma ter boas sugestões: http://www.draytek.co.uk/support/kb_vigor_vlan.html

draytek_logo_3d_white.gif


mikey1.jpg

Using VLAN Authentication

Selective Switching on Ethernet


By default, any PC or onward LAN segment connected to one of the Vigor's four Ethernet switch sockets will be able to communicate with any other or device on any of the other three ports.
VLAN (Virtual LAN) is available on some Vigor routers and enables you to segment each of the Ethernet ports to create separate groups of users, so that they can or can't communicate with users in other segments, as required.

Example 1

Imagine two separate companies within the same building want to share the same broadband connection, but want to be secure from each other (so that they the two companies cannot access each of their LANs). To to this on the Vigor, you would create two VLAN groups. One contains exclusively P1 (Ethernet Port 1 on the back of the Vigor which will connect to Company A's network) and the other VLAN group contains exclusively P2 (which will connect to Company B's network). Both companies then have access to the Internet, but not to each other.

vlan_example1.gif


Example 2

Take the same scenario as above, but this time there is a local server which both companies want access to, but still, not to have access to each other. We can connect the common/shared server to port P3 this time, and include P3 in both VLAN Group 1 (which will also include Company A) and to VLAN Group 2 (which will also include Company B).

vlan_example2.gif


The VLAN facility allows up to four VLAN groups to be defined which can include or exclude any combination of the router's four Ethernet port (P1/P2/P3/P4).
 
Aqui tambem se fala do mesmo: http://www.visus.pt/draytek/faqs/faq_geral_vlans.htm

Mas acho que isto de atribuir uma gama de IP´s a cada porta nao é possivel com o Draytek 2700

O Router divide fisicamente as 4 portas de LAN do Switch incorporado em várias redes distintas (até 4 redes).
No seguinte exemplo, iremos usar um Router DrayTek Vigor2830 onde vamos segmentar a rede em 3 grupos, onde cada grupo terá um segmento de rede próprio. :


faq_port-based-vlan_scenario.jpg
[/SIZE][/FONT]

Grupo 0 (VLAN0) - HR Dept. - Porta de LAN #1 = segmento de rede 192.168.1.0/24
Grupo 1 (VLAN1) - Finance Dept. - Porta de LAN #2 = segmento de rede 192.168.3.0/24
Grupo 2 (VLAN2) - Sales Dept. - Porta de LAN #3 = segmento de rede 192.168.5.0/24
 
Tenho aqui um Linksys WRT150N que me deram hoje, e vou flasha-lo com DD-WRT

So nao percebo é porque é que ha tantas versoes do firware para ele :

Linksys WRT150N 1.0/1.1

Router details
Additional information
ChipsetBroadcom4704
RAM16 MB
FLASH4 MB
Supported by
DescriptionFilenameDateSize
Micro Genericdd-wrt.v24_micro_generic.bin2010-08-091,69 MB
Micro_OLSRD Genericdd-wrt.v24_micro_olsrd_generic.bin2010-08-091,66 MB
Mini Genericdd-wrt.v24_mini_generic.bin2010-08-092,89 MB
Standard Genericdd-wrt.v24_std_generic.bin2010-08-093,58 MB
VPN Genericdd-wrt.v24_vpn_generic.bin2010-08-093,63 MB
VoIP Genericdd-wrt.v24_voip_generic.bin2010-08-093,61 MB


Possivelmente devem ter funcionalidades diferentes ...

Seja como for, voi seguir este guia e flashar com este: Newd_Mini file. ftp://dd-wrt.com/others/eko/V24_TNG/svn12548/dd-wrt.v24-12548_NEWD_mini.bin.

http://www.dd-wrt.com/wiki/index.php/Linksys_WRT150N_&_WRT160N


EDIT: Afinal ha aqui umas tabelas que explicam as diferenças! http://www.dd-wrt.com/wiki/index.php/What_is_DD-WRT?#File_Versions

No meu caso a Mini Chega bem !
 
Última edição:
Inicie sessão ou registe-se para poder participar.
Back
Topo