Конфигурация VLAN для домашней сети

Я хотел бы обеспечить некоторое разделение устройств в моей домашней сети с помощью управляемого коммутатора. Я читал другие связанные вопросы / ответы, но у них есть другие требования, которые попадают в маршрутизаторы VLAN или другое оборудование, потому что они хотят, чтобы разные VLAN говорили друг с другом. Я просто хочу разойтись, и я хочу знать, могу ли я сделать все с помощью одного управляемого переключателя.

мои цели:

1) изолируйте сервер Интернета доступный от остатка сети для предотвращения скомпрометированный сервер от атак внутренних узлов.

2) изолируйте компьютер, используемый для конфиденциальных данных, от остальной сети.

3) разрешить всем устройствам доступ в интернет.

4) ограничьте управление коммутатором одним портом.

моя планируемая конфигурация коммутатора:

VLAN 10: порты 1-47 (доступ в интернет)

VLAN 20: порты 1 и 2 (сервер)

VLAN 30: порты 1 и 3-46 (домашние устройства)

ВИРТУАЛЬНАЯ ЛОКАЛЬНАЯ СЕТЬ 40: порты 1 и 47 (конфиденциальные данные)

VLAN 50: порт 48 (управление коммутатором)

порт 1: без меток, pvid=10, подключен к интернет-маршрутизатору

порт 2: без меток, pvid=20, подключен к серверу

порты 3-46: без меток, pvid=30, подключены к домашним машинам

порт 47: без меток, pvid=40, подключен к машине конфиденциальных данных

порт 48: без меток, pvid=50, подключен к управлению коммутатором машина

кроме того, маршрутизатор настроен на перенаправление порта 80 на сервер, имеющий статический IP-адрес. Маршрутизатор использует DHCP для назначения IP-адресов остальным машинам.

когда я установил коммутатор таким образом, кажется, что все работает, в том смысле, что я могу получить доступ к интернету с машин на портах 2-47, я могу получить доступ к серверу (через внешний IP-адрес маршрутизатора) из других VLAN, и я не могу получить доступ к любому другие машины через VLAN. Тем не менее, я прочитал некоторые рекомендации, такие как:

1) каждая VLAN является другой IP-подсетью

2) порты доступа (например, 2-47) должны быть членами одной VLAN

3) Используйте маршрутизатор с поддержкой тегов для фильтрации трафика через VLAN

в моей настройке я использую одну IP-подсеть. У меня есть только около 20 устройств, поэтому нет проблем с размером, но мне любопытно, есть ли другие проблемы. Например, может разные устройства в разных VLAN получают один и тот же IP-адрес, и если да, то это будет проблемой? Я понимаю, что это нормально, потому что они не могут получить доступ друг к другу, но если они оба отправляют интернет-запросы, могут ли ответы перепутаться?

в моей настройке я также использую VLAN 10 почти во всех портах как способ разрешить доступ в интернет. Является ли это проблемой? Похоже, что кто-то может использовать эту VLAN для перехода VLAN (например, скомпрометированный сервер для доступа к домашним машинам или домой машины для доступа к конфиденциальным данным машины). Предотвращает ли сочетание "без меток" и "Pvid=X" такое поведение? Был бы тег VLAN 10 отклонен от порта, отличного от порта 1 с этой настройкой?

мой маршрутизатор является стандартным маршрутизатором Verizon, и я не знаю, как он обрабатывает теги VLAN (вероятно, вообще нет?). Есть ли какая-либо проблема, если она действительно обрабатывает теги (например, небезопасные значения по умолчанию) или если это не так (например, позволяет маршрутизировать между VLAN из-за отсутствия знаний о них)?

является ли это подходящей конфигурацией для моих целей, или мне нужно изменить вещи или ввести больше оборудования для правильной изоляции и защиты сети?

0
задан juhraffe 2018-05-29 00:17:25
источник

2 ответов

вы не можете сделать это без маршрутизатора/брандмауэра с поддержкой VLAN . Есть несколько причин для этого, одна из которых заключается в том, что ваш сервер нуждается в доступе в интернет, не будучи непосредственно доступны для других устройств, которые также нуждаются в доступе в интернет, то есть маршрутизатор/брандмауэр необходим для интерфейса 2 типа устройств.

Если вы думаете о каждой VLAN как виртуальный неуправляемый коммутатор вы будете хорошо на вашем пути к пониманию проблемы-это либо порты подключены и могут свободно передавать друг другу, или они не подключены и не видят друг друга - нет полумер.

вам действительно нужны подсети и маршрутизация-если вы разместите машины в разных VLAN в одной подсети, они не смогут найти или поговорить друг с другом. Таким образом, даже если у вас есть маршрутизатор, машины не будут знать, чтобы говорить с ним при попытке достичь других машин, и действительно не сможет увидеть его в большинстве случаев.

немаркированный порт можно рассматривать как порт с тегом "default" - когда у вас есть порт с несколькими тегами, он несет данные внутри помеченных пакетов, поэтому маршрутизатор должен знать, как удалить теги для интерпретации данных. Это обычно делается путем наличия отдельного IP-адреса на VLAN на маршрутизаторе с каждым адресом в связанной подсети, используемой VLAN.

(Я отмечу, что я немного упростил вещи, и эксперт может в некоторых случаях нарушить некоторые правила выше , но вам действительно нужно понять все вышеизложенное и как это сочетается, прежде чем вы сможете это сделать, - и нарушение правил, как правило, не является хорошим дизайном.

аналогично, в то время как на практике VLAN действительно обеспечивают безопасность, использование VLAN в качестве меры безопасности немного contovertial для некоторых экспертов)

3
отвечен davidgo 2018-05-29 03:55:28
источник

вам понадобится больше оборудования. Если маршрутизатор не способен иметь больше чем одну VLAN в вашей внутренней сети, то нет никакого способа для всех VLAN быть в состоянии добраться до интернета, только один из них будет в состоянии добраться до Интернета (одна VLAN, куда маршрутизатор подключен).

1
отвечен Abu Zaid 2018-05-29 01:51:00
источник

Другие вопросы networking security vlan switch

X