Pertama: Jika Anda berada di bawah kewajiban hukum untuk memberikan pemisahan lalu lintas, selalu mintalah seseorang yang berwenang untuk melakukannya untuk menandatangani rencana apa pun sesuai dengan persyaratan hukum sebelum Anda mulai menerapkannya. Bergantung pada persyaratan hukum tertentu, mungkin saja Anda harus menyediakan jaringan yang terpisah secara fisik tanpa titik kepercayaan bersama.
Yang mengatakan, saya pikir Anda pada dasarnya memiliki tiga pilihan: 802.1Q VLAN (lebih baik) dan beberapa lapisan NAT (lebih buruk) dan jaringan yang terpisah secara fisik (paling aman, tetapi juga rumit dan kemungkinan paling mahal karena pengerjaan ulang fisik) .
Saya berasumsi di sini bahwa semua yang sudah terhubung adalah Ethernet. Salah satu bagian dari keseluruhan standar Ethernet adalah apa yang dikenal sebagai IEEE 802.1Q , yang menjelaskan bagaimana cara membuat LAN lapisan-tautan yang berbeda pada tautan fisik yang sama. Ini dikenal sebagai VLAN atau LAN virtual (catatan: WLAN sama sekali tidak terkait dan dalam konteks ini biasanya merupakan singkatan dari LAN Nirkabel dan sangat sering merujuk ke salah satu varian IEEE 802.11 ). Anda kemudian dapat menggunakan sakelar kelas atas (barang murah yang bisa Anda beli untuk digunakan di rumah umumnya tidak memiliki fitur ini; Anda ingin mencari sakelar terkelola , idealnya sakelar yang secara khusus mengiklankan dukungan 802.1Q, meskipun bersiaplah untuk membayar premi untuk fitur) yang dikonfigurasi untuk memisahkan setiap VLAN ke satu set (mungkin hanya satu) port (s). Pada masing-masing VLAN, switch konsumen umum (atau gateway NAT dengan port uplink Ethernet, jika diinginkan) dapat digunakan untuk lebih jauh mendistribusikan lalu lintas di dalam unit kantor.
Kelebihan dari VLAN, dibandingkan dengan beberapa lapisan NAT, adalah bahwa itu sepenuhnya independen dari jenis lalu lintas pada kabel. Dengan NAT, Anda terjebak dengan IPv4 dan mungkin IPv6 jika Anda beruntung, dan juga harus bersaing dengan semua sakit kepala tradisional NAT karena NAT memecah konektivitas ujung-ke-ujung (fakta sederhana bahwa Anda bisa mendapatkan daftar direktori dari sebuah Server FTP melalui NAT adalah kesaksian tentang kecerdikan beberapa orang yang bekerja dengan hal-hal itu, tetapi bahkan pemecahan masalah tersebut biasanya mengasumsikan bahwa hanya ada satu NAT di sepanjang rute koneksi); dengan VLAN, karena menggunakan tambahan ke frame Ethernet , secara harfiah apa sajayang dapat ditransfer melalui Ethernet dapat ditransfer melalui VLAN Ethernet dan konektivitas end-to-end dipertahankan, sejauh menyangkut IP, tidak ada yang berubah kecuali set node yang dapat dijangkau pada segmen jaringan lokal. Standar ini memungkinkan hingga 4.094 (2 ^ 12 - 2) VLAN pada satu tautan fisik, tetapi peralatan tertentu mungkin memiliki batas yang lebih rendah.
Maka saran saya:
- Periksa untuk melihat apakah peralatan utama (apa yang ada di rak besar sakelar di ruang jaringan) mendukung 802.1Q. Jika ya, cari tahu cara mengonfigurasinya, dan atur dengan benar. Saya akan merekomendasikan memulai dengan melakukan reset pabrik, tetapi pastikan Anda tidak kehilangan konfigurasi penting dengan melakukannya. Pastikan untuk memberi nasihat dengan benar kepada siapa pun yang mengandalkan konektivitas yang akan ada gangguan layanan saat Anda melakukan ini.
- Jika peralatan utama tidak mendukung 802.1Q, temukan beberapa yang sesuai dan memenuhi kebutuhan Anda dalam hal jumlah VLAN, jumlah port, dan sebagainya, dan beli. Kemudian cari tahu cara mengkonfigurasinya, dan mengaturnya dengan benar. Ini memang memiliki bonus yang Anda bisa tetap terpisah saat mengatur segalanya, mengurangi downtime untuk setiap pengguna yang sudah ada (Anda akan mengaturnya terlebih dahulu, kemudian menghapus peralatan lama dan menghubungkan yang baru, sehingga pada dasarnya downtime akan terbatas pada dasarnya bagaimana lama Anda perlu mencabut dan pasang kembali semuanya).
- Mintalah setiap unit kantor menggunakan sakelar, atau "router" rumah atau usaha kecil (gateway NAT) dengan port uplink Ethernet, untuk lebih lanjut mendistribusikan konektivitas jaringan di antara sistem mereka sendiri.
Saat Anda mengonfigurasi sakelar, pastikan untuk membatasi setiap VLAN hanya untuk set portnya sendiri, dan pastikan semua port tersebut hanya untuk satu unit kantor. Jika tidak, VLAN akan lebih dari sekadar tanda "jangan ganggu".
Karena satu-satunya lalu lintas yang mencapai outlet Ethernet masing-masing unit akan menjadi milik mereka sendiri (berkat konfigurasi VLAN terpisah dan terpisah), ini harus menyediakan pemisahan yang memadai tanpa mengharuskan Anda memasang ulang semuanya sebagai jaringan yang benar-benar terpisah secara fisik.
Juga, terutama jika Anda menerapkan VLAN atau mengakhiri pemasangan ulang semuanya, gunakan peluang untuk menandai semua kabel dengan benar dengan nomor unit dan port! Ini akan membutuhkan waktu ekstra, tetapi akan lebih dari cukup untuk maju ke depan terutama jika ada masalah jaringan di masa depan. Lihat Saya sudah mewarisi sarang tikus kabel. Apa sekarang? pada Server Fault untuk beberapa petunjuk bermanfaat.