Офисный маршрутизатор и сегментация
Термины и чек-листы без привязки к моделям оборудования. Схемы VLAN и пароли хранятся в защищённом хранилище заказчика.
VLAN: краткий глоссарий
- VID — идентификатор VLAN на кадре 802.1Q.
- Trunk — порт, передающий несколько VLAN с тегами.
- Access — порт в одном VLAN без тега для конечного устройства.
NAT и доступ в Интернет
Исходящий NAT обычно на граничном маршрутизаторе. Внутренние подсети не анонсируются наружу. При смене провайдера обновить публичные DNS и записи SPF при необходимости.
Проброс портов (port forwarding)
- Зафиксировать бизнес-обоснование и срок действия правила.
- Ограничить источник по IP, если возможно; не открывать шире, чем нужно.
- Назначить внутренний хост по статическому DHCP или резервации.
- Проверить доступность с внешней стороны и залогировать тикет.
Любые изменения на границе сети согласуйте с администратором организации и политикой ИБ.
Диагностика с рабочей станции
ping шлюз_подсети
tracert -d целевой_хост
nslookup имя_записи