1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Separar a rede do escritorio da rede do dep. tecnico

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por civismo, 25 de Janeiro de 2013. (Respostas: 24; Visualizações: 2855)

  1. civismo

    civismo Power Member

    Boas!

    Certamente muitos de vós (que são técnicos e reparam computadores) lidarão com este seguinte cenário:

    A necessidade de isolar e proteger a rede dos vossos computadores internos / escritorio), da rede da parte tecnica.

    Para além da questão da privacidade, ao longo dos anos já me deparei com várias situações de computadores a infectarem-se

    entre si, uma vezque há virus que passam / propagam-se através da rede.

    Lanço este tópico pois gostaria de saber se, e como é isto possivel .
    Gostaria de ter duas redes separadas, a dos computadores internos / escritorios da empresa, e outra rede só para a zona

    técnica.

    Pegando no exemplo do esboço que fiz:

    [​IMG]


    >O Router seria um Draytek 2700VG , com wireless integrado

    >A rede interna seria a da esquerda (que tem as linhas a vermelho)
    >Neste lado esquerdo temos uma NAS para backups, um servidor, impressora de rede e 7 postos ligados por Lan

    >A rede do dep tecnico teria um switch, no qual ligariam os pc´s dos clientes (ethernet)
    >Nesse switch ficariam ainda 4 computadores internos, de apoio à tecnica.
    >E um access point.



    ****************************Pressupostos de funcionamento **********************************

    Gostaria que na pratica isto funcionasse da seguinte forma :


    >A rede interna seria uma rede básica, sem active directory.
    >Será isolada da da tecnica , por forma a poder ter partilhas de pastas, e não haver o perigo de ser acedida por terceiros externos à rede, bem como evitar os virus que se propagam em rede.
    >Se a rede interna puder aceder livremente à da tecnica (unidireccionalmente), tanto melhor, até porque dava jeito poder aceder à NAS que está ligada no switch da Tecnica

    >Na rede da tecnica (a azul), era fixe que os 4 computadores de apoio tivessem permissoes especiais e assim pudessem aceder tambem à rede interna ... ou pelo menos poderem ser acedididos a partir da rede interna.
    >Da mesma forma que alguns access points permitem o isolamento dos seus membros, seria fixe ter um sistema em que os vários pc´s a reparar não propagassem virus entre si , e pelas mesmas razões que também quero que os computadores do escritório estejam isolados desses que estão a reparar.
    No fundo seria optimo se cada um dos computadores que estão a reparar só tivessem acesso à net, e a alguns caminhos da rede, por exemplo a uma NAS

    ****************************Wireless **********************************

    Estava a pensar num sistema de multiple SSID , 3 SSID´s mais precisamente :

    Rede1> Uma rede wireless com o nome "escritorio" , com as mesmas permissões de estar ligado na rede interna vermelha (escritorio)

    Rede2> Uma rede chamada "tecnica", com as mesmas permissões de estar ligado por cabo na tecnica

    Rede3> Uma rede aberta, com net grátis para quem se quiser ligar, ou para visitas / sala de espera.
    Esta rede aberta seria limitada a uma velocidade baixa, por forma a consumir pouca largura de banda
    Seria ainda totalmente isolada , tanto da Lan , como dos outros users wireless (AP Isolation)
    Assim, por exemplo :

    [​IMG]

    No fim, gostaria que o segundo AP trabalhasse com as mesmas configurações que o primeiro, estilo repetidor, só para ter mais cobertura naquela zona


    Agradeço desde já as vossas opiniões :)
     
  2. news_js

    news_js Power Member

    Que tal usar um switch que permita criar duas VLANs. O NAS não tem duas placas de rede? Não poderia uma placa de rede pertencer à VLAN1, por exemplo, e a outra placa de rede pertencer à VLAN2?
     
  3. civismo

    civismo Power Member

    Tambem já me lembrei disso , de um switch com vlans ... mas confesso que sou um bocado ignorante nessa matéria...
    Já vi a configurarem um HP Procurve que fazia isso, percebo o conceito.

    Ainda não percebi bem o que significa Layer 2, Layer 3, Layer 4 ..tem a ver com as Vlans ?

    Então se fizesse isto por Vlan´s como ficava ? Do Draytek ligava apenas um cabo ao Switch Principal , e seria desse que derivava tudo ?

    Obrigado
     
  4. news_js

    news_js Power Member

    Eu não sou técnico. Apenas sei que os técnicos costumam criar VLANs em switches com gestão para situações parecidas com essa.

    Quanto ao que significa Layer 2... aqui ficam um vídeos:

    The OSI Model Demystified
    http://www.youtube.com/watch?v=HEEnLZV2wGI&list=PLF360ED1082F6F2A5&index=5

    Understanding Switches
    http://www.youtube.com/watch?v=9yYqNqTNnqI&list=PLF360ED1082F6F2A5&index=6
     
  5. ptfuzi

    ptfuzi Power Member

    tens de criar vlans, um switch com suporte para vlans não e assim caro, e a alteração é fácil e rápida através do browser.
     
  6. civismo

    civismo Power Member

    Boas!

    Ainda não percebi uma coisa: O facto de um switch possibilitar a criação de Vlans, significa isto que é um switch de Layer, ou não tem nada a ver ?
    Ou há switchs de Layer que não possibilitam criar Vlan´s, e switches que permitem criar Vlan´s mas não são de Layer ?

    Agradeço que ajudem a desmistificar esta duvida que carrego há muito :)

    Se a solução passar por um switch, adquiro um switch com essas capacidades!!!
    Ja tive um Procurve 1410-24G, igual a este, será que dá para isso ? :
    [/IMG]http://images.novatech.co.uk/hewlett_packard-j9561a_extra1.jpg[/IMG]

    Edit: Em principio não dá, certo ?
    http://h10010.www1.hp.com/wwpc/pt/p...67-4172280-4172280-4220258-4220265.html?dnr=1
     
  7. news_js

    news_js Power Member

    Esse switch é sem gestão. Creio que tens de comprar um switch layer 2 com gestão, mas espera por opiniões mais esclarecidas.

    Diferença entre switches layer 2 e e layer 3:

    http://wiki.answers.com/Q/What_is_the_difference_between_Layer_2_switch_and_Layer_3_switch
     
    Última edição: 25 de Janeiro de 2013
  8. ptfuzi

    ptfuzi Power Member

    tem que ser layer 2.. layer 3 é ip
     
  9. civismo

    civismo Power Member

    Sou totalmente ignorante ... quando diz que layer 3 é IP significa que são switches concebidos por ex para operadores de telecomunicações ?

    E os switches não são comulativos, por ex, um que faça layer 3 só faz layer 3, ou normalmente consegue fazer tambem layer 2 ?
     
  10. civismo

    civismo Power Member

    Será que o Draytek Vigour 2700 não me consegue fazer isso que estão a segurir que seja feito no switch ???

    Eis os menus relacionados com a LAN

    [​IMG]

    [​IMG]
     
  11. ptfuzi

    ptfuzi Power Member

    também tens aí o separador vlan, já abriste a ver quais as opções?
     
  12. Seavoices

    Seavoices Power Member

    Switch de Layer 2 tratam as VLAN ao nível físico, ou seja, uma porta assignada numa VLAN nunca comunica com outra porta. o isolamento das VLANs é feito a nível físico e não a nível lógico

    Os Switchs layer 3 são ao nível de protocolo IP, onde podes ter uma porta com uma ou mais VLANS definidas.

    Conseffo que um switch layer 3 é mais fácil e inteligente para criar e gerir VLANS, interligações, etc..

    Por exemplo, no teu modelo eu sugeria a seguinte tipologia:

    VLAN1 - Apenas servidores e equipamentos activos de rede
    VLAN2 - Equipa técnica apenas
    VLAN3 - Equipamento WiFi onde possas definir regras específicas para acesso apenas a determinados IP's das outras VLAN
    VLAN4 - Rede normal com ligação via RJ45

    Com este modelo e desde que utilizes scopes de IP's dentro da mesma subnet, qualquer equipamento ligado a uma porta onde tenha todas as VLANS assignadas, consegues aceder a toda a rede, se tiveres 1 ou duas VLANS assignadas, apenas terás acesso aos equipamentos nessa respectiva rede, etc...

    Com Switch Layer 2 isso não é (facilmente conseguido).
     
  13. Seavoices

    Seavoices Power Member

    civismo, tu não tens apenas 4 equipamentos ligados à rede, certo? Para teres as VLANS em Layer 3 precisas de ter todos os equipamentos de Switching com essa capacidade dentro da rede e tudo bem configurado.
     
  14. kasmafan

    kasmafan Power Member

    Boas, eu faria isso com

    Switch L2 com gestão
    1 Pc com N placas de rede 1 por cada vlan + 1 para net
    Ubuntu server + iptables

    ou seja fazes as vlans, este pc será o teu router :D
     
  15. news_js

    news_js Power Member

    Se não é pedir muito, depois partilha aqui com a malta a solução encontrada para que possamos aprender.
     
  16. kasmafan

    kasmafan Power Member

    Um bom switch, não é full managed, é o que na gama procurve chamam de "smart managed" ou "web-managed"
    http://h10010.www1.hp.com/wwpc/uk/e...67-4172281-4172281-3963985-3963987.html?dnr=1.
    O preço não é muito diferente daquele que apresentaste no teu post.
    Há outras marcas mas a HP dá lifetime warranty, e advance exchange no dia útil seguinte em praticamente todos os switchs o que me deixa bastante descansado. Em largas dezenas de swithc's hp que já instalei só tive duas avarias, um deles o switch morreu por completo, noutra foram duas portas, e no dia seguinte tinha um switch novo no escritório. Num dos casos já estava descontinuado mandaram-me um modelo mais recente e superior ao que tinha.
     
  17. civismo

    civismo Power Member

    Este guru de draytek costuma ter boas sugestões: http://www.draytek.co.uk/support/kb_vigor_vlan.html

    [​IMG]

    [​IMG]
    Using VLAN Authentication

    Selective Switching on Ethernet


    By default, any PC or onward LAN segment connected to one of the Vigor's four Ethernet switch sockets will be able to communicate with any other or device on any of the other three ports.
    VLAN (Virtual LAN) is available on some Vigor routers and enables you to segment each of the Ethernet ports to create separate groups of users, so that they can or can't communicate with users in other segments, as required.

    Example 1

    Imagine two separate companies within the same building want to share the same broadband connection, but want to be secure from each other (so that they the two companies cannot access each of their LANs). To to this on the Vigor, you would create two VLAN groups. One contains exclusively P1 (Ethernet Port 1 on the back of the Vigor which will connect to Company A's network) and the other VLAN group contains exclusively P2 (which will connect to Company B's network). Both companies then have access to the Internet, but not to each other.

    [​IMG]

    Example 2

    Take the same scenario as above, but this time there is a local server which both companies want access to, but still, not to have access to each other. We can connect the common/shared server to port P3 this time, and include P3 in both VLAN Group 1 (which will also include Company A) and to VLAN Group 2 (which will also include Company B).

    [​IMG]

    The VLAN facility allows up to four VLAN groups to be defined which can include or exclude any combination of the router's four Ethernet port (P1/P2/P3/P4).
     
  18. civismo

    civismo Power Member

    Aqui tambem se fala do mesmo: http://www.visus.pt/draytek/faqs/faq_geral_vlans.htm

    Mas acho que isto de atribuir uma gama de IP´s a cada porta nao é possivel com o Draytek 2700

    O Router divide fisicamente as 4 portas de LAN do Switch incorporado em várias redes distintas (até 4 redes).
    No seguinte exemplo, iremos usar um Router DrayTek Vigor2830 onde vamos segmentar a rede em 3 grupos, onde cada grupo terá um segmento de rede próprio. :


    [​IMG][/SIZE][/FONT]

    Grupo 0 (VLAN0) - HR Dept. - Porta de LAN #1 = segmento de rede 192.168.1.0/24
    Grupo 1 (VLAN1) - Finance Dept. - Porta de LAN #2 = segmento de rede 192.168.3.0/24
    Grupo 2 (VLAN2) - Sales Dept. - Porta de LAN #3 = segmento de rede 192.168.5.0/24
     
  19. kasmafan

    kasmafan Power Member

  20. civismo

    civismo Power Member

    Tenho aqui um Linksys WRT150N que me deram hoje, e vou flasha-lo com DD-WRT

    So nao percebo é porque é que ha tantas versoes do firware para ele :

    Linksys WRT150N 1.0/1.1

    [TH="width: 100"]Chipset[/TH] [TH]RAM[/TH] [TH]FLASH[/TH] [TH]Supported by[/TH]
    Router details Additional information
    Broadcom4704
    16 MB
    4 MB
    [TH="colspan: 2"]Description[/TH] [TH]Filename[/TH] [TH="width: 5%"]Date[/TH] [TH="width: 5%"]Size[/TH]
    Micro Generic dd-wrt.v24_micro_generic.bin 2010-08-09 1,69 MB
    Micro_OLSRD Generic dd-wrt.v24_micro_olsrd_generic.bin 2010-08-09 1,66 MB
    Mini Generic dd-wrt.v24_mini_generic.bin 2010-08-09 2,89 MB
    Standard Generic dd-wrt.v24_std_generic.bin 2010-08-09 3,58 MB
    VPN Generic dd-wrt.v24_vpn_generic.bin 2010-08-09 3,63 MB
    VoIP Generic dd-wrt.v24_voip_generic.bin 2010-08-09 3,61 MB



    Possivelmente devem ter funcionalidades diferentes ...

    Seja como for, voi seguir este guia e flashar com este: Newd_Mini file. ftp://dd-wrt.com/others/eko/V24_TNG/svn12548/dd-wrt.v24-12548_NEWD_mini.bin.

    http://www.dd-wrt.com/wiki/index.php/Linksys_WRT150N_&_WRT160N


    EDIT: Afinal ha aqui umas tabelas que explicam as diferenças! http://www.dd-wrt.com/wiki/index.php/What_is_DD-WRT?#File_Versions

    No meu caso a Mini Chega bem !
     
    Última edição: 25 de Abril de 2013

Partilhar esta Página