Drardollan schreef op maandag 31 augustus 2020 @ 13:03:
[...]
Bedrijfsdata thuis opslaan....
Heb je thuis een goede toegangscontrole, temperatuurbeheer en noodstroom? Is er 24/7 een beveiligingsdienst die zicht houdt op je server thuis? Heb je thuis professionele netwerkapparatuur om hackers buiten de deur te houden? Heb je thuis ook netwerksegmentatie? Is de backup encrypted?
Data zou nooit bij iemand thuis moeten staan, ook niet als het je eigen bedrijf is. Huur gewoon een kwart rack in een willekeurig datacenter en plant daar een server+firewall neer en maak een VPN met je kantoor. Beperk de toegang tot de server in het DC op de de firewalls van kantoor en datacenter.
Vervolgens, waarom zit je complexiteit toe te voegen met zoveel VLAN's in zo'n klein netwerk? Dat betekent dat je aan alle kanten performance gaat inleveren, tenzij je echt serieuze firewalls en routers gaat neerzetten. Zeker intern wil je zo min mogelijk blokkerende onderdelen hebben als je voor de 10Gbit apparatuur gaat. Natuurlijk is de scheiding met gast, VOIP en alarm logisch en zeer verstandig. Maar die hebben geen performance nodig.
Ook maak ik mij zorgen over switches die je aanschaft. Ik zie een 24 poort switch om 3x PC en 3x printer aan te sluiten? Waarom? Je weet dat je op 1 switch ook diverse VLAN's kan ondersteunen en dus die 24 poorten efficiënter kunt gebruiken? Zeker omdat je zegt dat alles in 1 rack zit?
Als laatste, je hebt een Synology NAS voor fileopslag. In je oude plaatje zit die aan een soort core switch gekoppeld, in het nieuwe plaatje zit er nog een switch tussen. In een klein netwerk als dit kan je beter zoveel mogelijk op de core zien te krijgen mijn inziens, dit versnelt de opslag (minder bottlenecks, minder apparatuur).
Zelf zou ik denk ik liever meerdere grote switches plaatsen en alles dubbel aansluiten, zoals je zelf later ook tekent. VLAN's op die switches regelen. Ook zou ik een aparte VOIP switch achterwege laten, dat kan je prima regelen je normale switches middels VLAN tagging en werkplekken kan je vaak via die de VOIP toestellen aansluiten, scheelt je kabels en netwerkcomponenten.
Toegangscontrolle thuis heet een voordeur.
Daar komt echt niemand binnen die er niet hoort te zijn.
Serverrack zelf zit ook nog op slot.
Uiteraard achter een goede UPS.
Switches ook van Unifi.
Router is Untangle Home-Pro en uiteraard met segmentatie.
Backup heeft vanuit Veeam een encryptie er op.
Op dit moment staan de servers en de clients in hetzelfde netwerk.
Segmentatie is dus:
* Servers + Clients
* Gasten + mobieltjes van personeel
* Camera's
* VOIP telefoons
* Alarmsysteem
Er werd mij door meerderen aangeraden om de servers en clients te scheiden omdat het niet echt veilig is zoals het nu is (met ransomware oa).
Dus daarom komt er 1, misch 2 VLAN's bij.
* Servers
* Clients
of
* Servers
* File-servers
* Clients
En nu is jouw advies, doe servers en clients gewoon in 1 netwerk?
want dat zou idd qua performance van de firewall enorm schelen.
Qua switches:
Op 1 48-ports switch zitten 29 clients op 1Gbit, 1 switch en 1 server op SFP+ en de router en een switch op SFP.
Op de andere 48-ports zitten 14 devices op 1 Gbit, de andere switch en 1 server op SFP+ en een switch op SFP. (klopt, deze zit nog lang niet vol)
Je opmerking over VLAN gebruiken om de poorten efficienter te gebruiken snap ik niet echt.
Als 1 port gebruikt wordt door de printer, kan ik toch niet diezelfde port op een ander vlan gebruiken voor een PC.
Die PC zit niet aan de printer vast.....
Enige wat zou kunnen is de PC in de RJ45 op de telefoon aansluiten. Dan gebruikt de Telefoon én de PC samen maar 1 aansluiting op de switch (PoE+ switch dan).
Dan zou een 48-ports kunnen vervallen... maar, dan kom ik SFP+ porten te kort
De nieuwe geplande layout ziet er onderhand wel anders uit, nl:
:strip_exif()/f/image/XJxJw4tGHYKWuDS7bNha3TUX.jpg?f=fotoalbum_large)
2x een 48-ports PoE+ switchs stacked.
2 servers en NAS via MLAG naar beide switches.
FortiGate met zo veel als mogelijk aansluitingen in LAG naar de switches.
PC's Wifi, Camera, enz. ieder z'n eigen aansluiting. Mocht ik later ooit te kort komen, dan kan ik de systemen nog via de VOIP telefoons doorlussen.
Mogelijk de CAD stations nog via MLAG voorzien van 2x 1Gbit ipv 1Gbit.
:strip_icc():strip_exif()/u/215244/crop5fe47915ce321_cropped.jpeg?f=community)
:strip_exif()/f/image/8IxqmPRjWOBntEBzpaLezXPg.jpg?f=fotoalbum_large)
:strip_exif()/f/image/JzglDWtp57DmrP6A5h3FBse3.jpg?f=fotoalbum_large)
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/8IxqmPRjWOBntEBzpaLezXPg.jpg?f=user_large)
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/JzglDWtp57DmrP6A5h3FBse3.jpg?f=user_large)
/u/2820/crop60efd54698630_cropped.png?f=community)
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
:strip_icc():strip_exif()/u/265617/crop58581ca3c2d3b_cropped.jpeg?f=community)
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
:strip_icc():strip_exif()/u/27556/crop5f00f58980587.jpeg?f=community)
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/023KN3HpH4DfQEMy7WT5v4um.jpg?f=user_large)
:strip_exif()/u/108168/koebjieste21.gif?f=community)
:strip_icc():strip_exif()/u/13413/brain.jpg?f=community)
:strip_exif()/u/216514/sgisurf.gif?f=community)
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/XJxJw4tGHYKWuDS7bNha3TUX.jpg?f=user_large)
:fill(white):strip_exif()/f/image/XUTxAkg020NZ4gzK4SNnT554.png?f=user_large)
:fill(white):strip_exif()/f/image/PYLK82A832YvkMjBCZ7Q8KpL.png?f=user_large)
