Behöver assistans att tänka rätt kring nätverket!
Hej,
Skulle behöva lite hjälp kring att tänka rätt för att säkra upp och begränsa tillgång till internet för vissa maskiner här hemma.
Jag är väl helt rudis när det kommer till just nätverk, även om jag läst på en hel del på sistone. Learning by doing har varit mottot i min virtualiseringsmiljö och på denna länken kan ni se ett diagram över mitt nätverk.
---
Det jag vill göra är egentligen att segmentera nätverket och begränsa internetåtkomst till vissa delar (AD, ESXi, vCenter, Övervakning, FreeNAS och utvecklingsmiljön för webb-applikationer) och tillåta internetåtkomst för andra (produktionsmiljön för webb, media, nedladdning och OpenVPN). Jag skulle också vilja begränsa åtkomsten för olika maskiner att prata med varann som inte har ett behov av detta för att säkra upp även ur det perspektivet - samtidigt som jag vill ha tillgång till att administrera alla olika delar från mitt hemnätverk och kunna koppla in mig externt via openvpn för att även då kunna administrera mitt hemnätverk.
---
Det finns såklart en mängd olika sätt man kan göra detta på, dels kring att använda olika subnät men även att dela upp i olika VLAN. När jag själv tänker på hur detta ska se ut, blir jag bara yr, eftersom jag inte gjort något liknande tidigare.
Jag har tänkt mig att min AD som också huserar DHCP & DNS skall kunna dela ut adresser till samtliga enheter/nätverk.
Hårdvara som används:
Router: Edgerouter Lite
AP: UAP AC LITE
Switch: Zyxel GS1910-24HP (Smart/Managed L2)
För den nyfikne...
Server: Custom-bygge med Supermicro X8DTE-F, 2x Xeon L5630, 96GB PC10600 DDR3L ECC, IPMI, 2x1GBIT Intel Nic, 2x256GB SSD, 5x4TB WD Red
Kan vara värt att tilläggas att jag inväntar ett intel quad-port gigabit nic också...
---
Alla tankar, åsikter, idéer och förslag mottages tacksamt. Mitt mål med projektet är dels att lära mig så mycket som möjligt om verkliga scenarion (ur ett rent hobby-perspektiv/intresse) samtidigt som det ska vara fullgott för att täcka mina "privata" behov.
EDIT:
Är självklart öppen för att jag har gjort några fundamentala tankefel i min hittills obefintliga planering av nätverket, så fritt fram att kritisera så länge man är konstruktiv!