公共網路內的私人員工網路
我是一家小型公共圖書館的系統管理員。自從幾年前來到這里以來,我一直在嘗試以一種安全且簡單的方式設置網路。
安全性有點棘手;出於安全原因,工作人員和顧客網路需要分開。即使我進一步隔離公共無線,我仍然寧願不相信我們公共電腦的安全性。但是,兩個網路也需要通信;即使我設置了足夠多的虛擬機以使它們不共享任何伺服器,它們至少也需要使用相同的兩台列印機。
目前,我正在使用一些雜亂無章的商品設備來解決這個問題。顧客網路通過交換機連接在一起,有一個 Windows 伺服器連接到它,用於 DNS 和 DHCP,還有一個用於網關的 DSL 調製解調器。Linksys 路由器的 WAN 端也在讚助網路上。該路由器是員工網路的“頂部”,並且在不同的埠上連接了相同的 Windows 伺服器,提供 DNS 和 DHCP,以及另一個更快的 DSL 調製解調器(單獨的連接非常有用,尤其是當我們嚴重依賴某些雲時託管軟體)。兩個網路都有無線網路(當然,工作人員使用 WPA 保護)。
tl;dr:我們有一個公共網路,其中有一個 NATed 員工網路。
我的問題是;這真的是最好的方法嗎?合適的設備可能會讓我的工作更輕鬆,但是任何超過四個埠甚至是基本管理的東西都會很快成為我們預算的沉重打擊。
(我最初的問題是關於一個令人沮喪的 DHCP 路由問題,但我想我會問我的網路是否壞了,而不是詢問 DHCP 問題並被告知我的網路壞了。)
對我來說,使用 VLAN 分隔相關網路,然後在伺服器中使用可以區分 VLAN 流量並做出相應響應的網卡似乎是一件簡單的事情。當然,交換機需要支持 VLAN,如果還沒有的話,可能會比你能承受的貴一些。ProCurve 以低於 400 美元的價格製造出優質的 24 埠 10/100 交換機,如果這不是太高的話。
就 VLAN 而言,最頂層的 LinkSys 可能有點問題。我知道 LinkSys 的一些高端產品(如果存在這樣的東西)可以與 VLAN 一起使用,但我從不喜歡它們。您可能想看看您的 LinkSys 是否可以安裝 dd-wrt,它可以處理 VLAN,並且就它可以在其他方面為您做的事情而言,它可能更強大。
或者,您可以使用其中一台伺服器作為網關/防火牆。將 IPCop 放在可靠的設備上,LinkSys 將永遠完成。