Lý lịch
Tôi đang thiết kế một thiết lập máy chủ cho doanh nghiệp nhỏ nơi tôi làm việc. Chúng tôi muốn có thể lưu trữ máy chủ web của riêng mình và các dịch vụ khác trong tương lai tại địa điểm của chúng tôi.
Là anh chàng IT / anh chàng mạng / chuyên gia công nghệ nói chung, tôi đang học cách trở thành người nắm giữ tất cả các ngành nghề. Thật không may, tôi có ít kinh nghiệm với mạng, nhưng tôi đang học và điều đó thật thú vị.
Tôi đã đọc trên mạng và tôi tin rằng tôi có một sự hiểu biết khá vững chắc về những gì đang xảy ra với mạng của chúng tôi. Tôi hiểu các nguyên tắc chuyển tiếp cổng và ý tưởng rằng bộ định tuyến có thể được sử dụng như một cách để chặn các kết nối đến các dịch vụ. Tôi cũng đã có máy chủ web dựa trên Nginx của chúng tôi và chạy, mặc dù tôi chưa tìm ra cách kết nối nó với Internet.
Ngoài ra, chúng tôi thực sự không có ngân sách cho thiết bị mới, vì vậy tôi đang làm với một loạt các thiết bị mạng gia đình mà chúng tôi đã đặt xung quanh. Nếu điều này là hoàn toàn không đủ, hãy cho tôi biết, nhưng tôi cho rằng nó sẽ hoạt động.
Đây là bản vẽ nhanh của thiết lập hiện tại:
Bắt đầu từ trên cùng, đường màu đen dày (đại diện cho kết nối dữ liệu tòa nhà, Comcast) được chia thành internet tại modem. Không có ethernet trong tường được thiết lập ở đây - doanh nghiệp của chúng tôi sử dụng wi-fi làm phương thức sử dụng internet. Vì vậy, bộ định tuyến wi-fi được kết nối trực tiếp với modem, vì đây là thiết bị duy nhất ở cấp cao nhất. Bộ định tuyến wi-fi phục vụ internet để sử dụng hàng ngày.
Mô tả vấn đề
Bảo vệ
Tôi đang cố gắng để máy chủ web được tách biệt an toàn với phần còn lại của mạng. Nếu máy chủ bị xâm nhập, thì tôi không muốn nó ảnh hưởng đến các máy tính mà chúng ta sử dụng cho công việc hàng ngày.
Hiệu quả
Tôi không muốn làm cho mạng "hàng ngày" bị chậm quá nhiều bằng cách thêm máy chủ. Tôi cũng không muốn máy chủ chạy rất chậm vì cách bố trí mạng.
Thiết lập
Địa chỉ IP, mặt nạ mạng con và kết nối trông như thế nào cho mỗi bộ định tuyến?
Các giải pháp
Đây là giải pháp đầu tiên mà tôi nghĩ ra. Sử dụng một chuyển đổi nhóm làm việc, tôi muốn cung cấp cho cả hai vị trí cấp cao nhất của bộ định tuyến. Bộ định tuyến máy chủ sẽ chuyển tiếp cổng TCP 80 (http).
Nhược điểm:
- Tôi không thể đi làm. Tôi cho rằng điều này là do cả hai bộ định tuyến đang cố gắng nhận cùng một IP công cộng được gán Comcast từ modem. Bằng cách nào đó, bộ định tuyến mạng doanh nghiệp sẽ hoạt động tốt trong thiết lập này, nhưng bộ định tuyến khác sẽ không gia hạn / giải phóng địa chỉ IP hoặc cung cấp kết nối internet bên ngoài (vì lý do lỗi DNS). Mặc dù tôi đã thử cung cấp cho mỗi bộ định tuyến các địa chỉ IP khác nhau (một 192.168.1.1, một 192.168.2.1), nhưng nó không giải quyết được vấn đề.
Ưu điểm:
- An ninh tốt. Nếu máy chủ bị xâm nhập, nó không thể xâm nhập vào mạng doanh nghiệp. Tệ nhất, nó có thể đánh hơi lưu lượng truy cập từ bên ngoài, nhưng tôi không chắc liệu điều này có khả thi hay không.
- Hiệu quả tốt. Mỗi mạng chỉ bị chậm bởi chuyển đổi nhóm làm việc.
Đây là giải pháp tiếp theo tôi nghĩ ra. Đó là thiết lập theo kiểu DMZ cho phép máy chủ ở bên ngoài mạng doanh nghiệp nhưng vẫn phục vụ HTTP.
Nhược điểm:
- Trong Giải pháp A, tôi có thể làm rối bộ định tuyến máy chủ và sẽ không có hậu quả cho việc kinh doanh hàng ngày. Nhưng trong phương pháp này, nếu tôi làm hỏng cấu hình của bộ định tuyến máy chủ, điều đó có nghĩa là rắc rối cho mọi người.
- Hiệu quả kém. Mạng doanh nghiệp cần thông qua hai bộ định tuyến để truy cập Internet.
- Bảo mật máy chủ kém. Nếu một trong các máy tính kinh doanh bị xâm nhập, nó có thể làm hỏng máy chủ.
Ưu điểm:
- Kinh doanh an ninh mạng tốt. Máy chủ, nếu bị xâm nhập, không thể truy cập vào các máy tính khác.
- Xử lý IP công khai chính xác. Giải pháp này sử dụng bộ định tuyến làm mục cấp cao nhất, có nghĩa là nó có thể sử dụng DHCP để gán địa chỉ IP mà công tắc mạng thiếu.
Giải pháp này tương tự như giải pháp đầu tiên, nhưng bộ định tuyến được sử dụng thay vì công tắc để cung cấp xử lý IP thích hợp.
Nhược điểm:
- Hiệu quả kém. Cả hai mạng phải đi qua 2 bộ định tuyến để có internet.
Ưu điểm:
- An ninh tốt. Không mạng nào có thể trực tiếp đến mạng khác. Trong trường hợp xấu nhất, tôi cho rằng việc đánh hơi giao thông có thể xảy ra (không chắc chắn).
- Xử lý IP công khai chính xác. Giải pháp này có một thiết bị cấp cao nhất có thể sử dụng DHCP để sắp xếp địa chỉ IP.
Dòng dưới cùng
Tôi không chắc giải pháp nào hoạt động tốt nhất. Có giải pháp nào tốt hơn mà tôi chưa nghĩ ra?
Tôi cũng không chắc chắn về cách thiết lập giải pháp tốt nhất để nó phục vụ internet đúng cách và an toàn cho mỗi mạng. Tôi cần làm gì với địa chỉ IP, cổng mở và mặt nạ mạng con cho mỗi bộ định tuyến?
Chú thích: Tôi biết Server Fault có dung sai thấp cho các câu hỏi sử dụng phần cứng mạng gia đình. Đó thực sự là lý do duy nhất tôi đăng ở đây - Tôi muốn câu hỏi của mình được trả lời và tôi không muốn chơi chính trị. Nếu đây là trang web sai, tôi sẽ đánh giá cao nếu bạn có thể di chuyển nó đến đúng vị trí. Cảm ơn.