Progettazione PICCOLA RETE UFFICIO consiglio, help me!

[japigia]

Salve parlo volevo chiedervi da neofita un consiglio riguardo la progettazione di una piccola lan, la rete DEVE essere utilizzata tra 2 uffici (ognuno da 8 postazioni) che tra di loro NON devono poter comunicare, ma devono condividere solo la stessa stampante, server e abbonamento fibra.

Quali soluzioni ci sono?

io avevo pensato in questo modo: wan -> router multifunzione -> switch -> alla quale attacco i 16 pc + la stampante e il server.



come faccio a creare questi 2 gruppi di pc che possono comunicare solamente con i pc facente parti allo stesso gruppo? come faccio invece a far risultare la stampante e il server in condivisione con entrambi i gruppi?
riguardo il wifi invece?

VLAN? FIREWALL?



un grazie anticipato a chi saprà essermi d'aiuto.

[x_term]

Beh... un bel firewall con su pfSense/opnSense, fai una VLAN per collegare stampante e server, una per ogni ufficio e poi giù di regole di firewall per bloccare tutto tranne la comunicazione con la rete con dentro stampante e server. WiFi potresti prendere un AP serio che abbia la possibilità di definire due SSID e che vengono instradati su due VLAN separate così ogni ufficio ha la sua rete in comune cablata e wireless. AP tipo il Mikrotik cAP ac. Ovviamente lo switch dovrà essere managed, magari questo qua. Se il server è un Windows Server puoi anche lì avere la porta configurata come trunk VLAN ed avere le due reti separate logicamente (se devi far girare cose tipo DHCP/DNS/Active Directory).

[japigia]

Quote:

Originariamente inviato da x_term

Beh... un bel firewall con su pfSense/opnSense, fai una VLAN per collegare stampante e server, una per ogni ufficio e poi giù di regole di firewall per bloccare tutto tranne la comunicazione con la rete con dentro stampante e server. WiFi potresti prendere un AP serio che abbia la possibilità di definire due SSID e che vengono instradati su due VLAN separate così ogni ufficio ha la sua rete in comune cablata e wireless. AP tipo il Mikrotik cAP ac. Ovviamente lo switch dovrà essere managed, magari questo qua. Se il server è un Windows Server puoi anche lì avere la porta configurata come trunk VLAN ed avere le due reti separate logicamente (se devi far girare cose tipo DHCP/DNS/Active Directory).

perdona l'ignoranza, ma non si può fare qualcosa di più semplice?
pensavo di utilizzare un catalyst cisco 2960 come switch, creare 2 vlan, dove metterci gli 8 pc a testa in più mettere il server e la stampante in entrambe le VLAN (sarebbe possibile questa cosa?)

[x_term]

Quote:

Originariamente inviato da japigia

perdona l'ignoranza, ma non si può fare qualcosa di più semplice?
pensavo di utilizzare un catalyst cisco 2960 come switch, creare 2 vlan, dove metterci gli 8 pc a testa in più mettere il server e la stampante in entrambe le VLAN (sarebbe possibile questa cosa?)

Qualcosa di più semplice e Cisco nella stessa frase non stanno. Ti serve un router/firewall in mezzo perchè 1 non credo che la stampante possa stare in due reti diverse (dovrebbe essere una sua funzione) 2 non puoi avere routing su quello switch che tra l'altro è EOS
Inoltre come dovresti condividere il collegamento ad internet senza quello? Guarda che il router degli operatori non le fa queste cose, col binocolo. A meno che non prendi router a noleggio di altro livello, cosa di cui non ho idea.
Quello che hai descritto tu è la stessa cosa che ho detto io solo che vorresti fare un dual homing di server (possibile) e stampante (se non è di fascia alta da ufficio difficile).

[japigia]

Quote:

Originariamente inviato da x_term

Qualcosa di più semplice e Cisco nella stessa frase non stanno. Ti serve un router/firewall in mezzo perchè 1 non credo che la stampante possa stare in due reti diverse (dovrebbe essere una sua funzione) 2 non puoi avere routing su quello switch che tra l'altro è EOS
Inoltre come dovresti condividere il collegamento ad internet senza quello? Guarda che il router degli operatori non le fa queste cose, col binocolo. A meno che non prendi router a noleggio di altro livello, cosa di cui non ho idea.
Quello che hai descritto tu è la stessa cosa che ho detto io solo che vorresti fare un dual homing di server (possibile) e stampante (se non è di fascia alta da ufficio difficile).

si ovvio, scusami, intendevo: wan -> router -> firewall -> switch
ma per definizione è possibile che un dispositivo faccia parte di due VLAN?

[Kaya]

Quote:

Originariamente inviato da japigia

ma per definizione è possibile che un dispositivo faccia parte di due VLAN?

Direi proprio di no.
L'opzione è quella che la porta verso la stampante esca in untagged e lo switch gestisca il routing verso di essa.

Ma secondo me ti stai complicando la vita.
Cosa significa che tra loro NON devono poter comunicare?
Se hai un solo server, come gestisci l'autenticazione?

Imho puoi tranquillamente mettere tutto sotto la stessa rete (e dominio M$?) e lavorare bene sulle policy di sicurezza.
Se io non ho le credenziali per accedere su un un gruppo di pc, qual'è il problema se condividono la stessa classe IP/VLAN?

[japigia]

Quote:

Originariamente inviato da Kaya

Direi proprio di no.
L'opzione è quella che la porta verso la stampante esca in untagged e lo switch gestisca il routing verso di essa.

Ma secondo me ti stai complicando la vita.
Cosa significa che tra loro NON devono poter comunicare?
Se hai un solo server, come gestisci l'autenticazione?

Imho puoi tranquillamente mettere tutto sotto la stessa rete (e dominio M$?) e lavorare bene sulle policy di sicurezza.
Se io non ho le credenziali per accedere su un un gruppo di pc, qual'è il problema se condividono la stessa classe IP/VLAN?

si, ecco perchè volevo che il server può comunicare con tutti e 2, verranno creati account a dominio, e sul server saranno presenti file che solo alcuni potranno accedere.
Avevo intenzione di creare le vlan perchè non voglio che i 2 gruppi di pc, possono trovarsi in rete tra loro etc...

[Kaya]

Capisco il discorso ma secondo me vai anche a complicare il lavoro.
In primis ti trovi con il dover gesitre il routing vlan perchè se il dominio è uno.... è uno. Come gestisci il discorso due reti separate ma non?

E poi definisci bene cosa significa: "Avevo intenzione di creare le vlan perchè non voglio che i 2 gruppi di pc, possono trovarsi in rete tra loro etc..."

Seriamente, prova a motivare quale può essere il problema se i pc fanno parte della stessa VLAN/Sottorete (considerato che comunque sarebbero tutti membri del dominio).

[japigia]

Quote:

Originariamente inviato da Kaya

Capisco il discorso ma secondo me vai anche a complicare il lavoro.
In primis ti trovi con il dover gesitre il routing vlan perchè se il dominio è uno.... è uno. Come gestisci il discorso due reti separate ma non?

E poi definisci bene cosa significa: "Avevo intenzione di creare le vlan perchè non voglio che i 2 gruppi di pc, possono trovarsi in rete tra loro etc..."

Seriamente, prova a motivare quale può essere il problema se i pc fanno parte della stessa VLAN/Sottorete (considerato che comunque sarebbero tutti membri del dominio).

come penso hai intuito non sono molto esperto al riguardo.
questi 2 gruppi sono 2 uffici differenti, che tra di loro non devono avere NULLA di condiviso tranne la stessa stampante, e lo stesso server la quale saranno presenti dei file alla quale potranno accedere soltanto l'ufficio 1 e altri alla quale potranno accedere soltanto i pc dell'ufficio 2.
la panoramica è questa.. cosa mi consigli? grazie ancora per l'aiuto

[Kaya]

Allora lascia perdere le VLAN che ti fai solo del male.
Gestisci soltato quali gruppi di utenti sono autorizzati ad accedere a quali gruppi di pc (e ovviamente anche le sicurezze sul file server).
Considerata la tua frase "come penso hai intuito non sono molto esperto al riguardo." ti suggerisco di appoggiarti a qualcuno che sa come fare.

ciao