Похожие вопросы

Почему мой сервер Ubuntu IPv6 ssh не работает?
Поток VLC udp останавливается после любого прерывания или изменения дорожки в локальной сети в mac os
Wi-Fi точки доступа без пароля?
Как получить неиспользуемый (на другом хосте) диапазон IP-адресов
FTP-клиент не работает внутри контейнера Docker
Citrix Receiver-чрезвычайно медленное подключение к удаленному рабочему столу для клиента Windows 7
не удается подключиться к localhost: 80 после установки nginx
Как получить доступ к сети OpenVPN с сайта, который блокирует большинство портов?
Обнаружение службы DNS с помощью Consul в Docker Swarm
Как отключить замыкания на себя устройство windows 10?
Ping не работает должным образом
Как сделать сеть между виртуальными машинами в VirtualBox?
wireshark говорит моему, что исходный ip-это мой IP-адрес маршрутизатора
Проводная сеть Ubuntu (ethernet не работает)
Есть ли способ отключить DHCP-клиент в Raspbian Linux на Rasperry Pi?

Конфигурация VLAN для домашней сети

Я хотел бы обеспечить некоторое разделение устройств в моей домашней сети с помощью управляемого коммутатора. Я читал другие связанные вопросы / ответы, но у них есть другие требования, которые попадают в маршрутизаторы VLAN или другое оборудование, потому что они хотят, чтобы разные VLAN говорили друг с другом. Я просто хочу разойтись, и я хочу знать, могу ли я сделать все с помощью одного управляемого переключателя.

мои цели:


1) изолируйте сервер Интернета доступный от остатка сети для предотвращения скомпрометированный сервер от атак внутренних узлов.


2) изолируйте компьютер, используемый для конфиденциальных данных, от остальной сети.


3) разрешить всем устройствам доступ в интернет.


4) ограничьте управление коммутатором одним портом.

моя планируемая конфигурация коммутатора:


VLAN 10: порты 1-47 (доступ в интернет)


VLAN 20: порты 1 и 2 (сервер)


VLAN 30: порты 1 и 3-46 (домашние устройства)


ВИРТУАЛЬНАЯ ЛОКАЛЬНАЯ СЕТЬ 40: порты 1 и 47 (конфиденциальные данные)


VLAN 50: порт 48 (управление коммутатором)

порт 1: без меток, pvid=10, подключен к интернет-маршрутизатору


порт 2: без меток, pvid=20, подключен к серверу


порты 3-46: без меток, pvid=30, подключены к домашним машинам


порт 47: без меток, pvid=40, подключен к машине конфиденциальных данных


порт 48: без меток, pvid=50, подключен к управлению коммутатором машина

кроме того, маршрутизатор настроен на перенаправление порта 80 на сервер, имеющий статический IP-адрес. Маршрутизатор использует DHCP для назначения IP-адресов остальным машинам.

когда я установил коммутатор таким образом, кажется, что все работает, в том смысле, что я могу получить доступ к интернету с машин на портах 2-47, я могу получить доступ к серверу (через внешний IP-адрес маршрутизатора) из других VLAN, и я не могу получить доступ к любому другие машины через VLAN. Тем не менее, я прочитал некоторые рекомендации, такие как:

1) каждая VLAN является другой IP-подсетью


2) порты доступа (например, 2-47) должны быть членами одной VLAN


3) Используйте маршрутизатор с поддержкой тегов для фильтрации трафика через VLAN

в моей настройке я использую одну IP-подсеть. У меня есть только около 20 устройств, поэтому нет проблем с размером, но мне любопытно, есть ли другие проблемы. Например, может разные устройства в разных VLAN получают один и тот же IP-адрес, и если да, то это будет проблемой? Я понимаю, что это нормально, потому что они не могут получить доступ друг к другу, но если они оба отправляют интернет-запросы, могут ли ответы перепутаться?

в моей настройке я также использую VLAN 10 почти во всех портах как способ разрешить доступ в интернет. Является ли это проблемой? Похоже, что кто-то может использовать эту VLAN для перехода VLAN (например, скомпрометированный сервер для доступа к домашним машинам или домой машины для доступа к конфиденциальным данным машины). Предотвращает ли сочетание "без меток" и "Pvid=X" такое поведение? Был бы тег VLAN 10 отклонен от порта, отличного от порта 1 с этой настройкой?

мой маршрутизатор является стандартным маршрутизатором Verizon, и я не знаю, как он обрабатывает теги VLAN (вероятно, вообще нет?). Есть ли какая-либо проблема, если она действительно обрабатывает теги (например, небезопасные значения по умолчанию) или если это не так (например, позволяет маршрутизировать между VLAN из-за отсутствия знаний о них)?

является ли это подходящей конфигурацией для моих целей, или мне нужно изменить вещи или ввести больше оборудования для правильной изоляции и защиты сети?

5
задан juhraffe
источник

2 ответов

вы не можете сделать это без маршрутизатора/брандмауэра с поддержкой VLAN . Есть несколько причин для этого, одна из которых заключается в том, что ваш сервер нуждается в доступе в интернет, не будучи непосредственно доступны для других устройств, которые также нуждаются в доступе в интернет, то есть маршрутизатор/брандмауэр необходим для интерфейса 2 типа устройств.

Если вы думаете о каждой VLAN как виртуальный неуправляемый коммутатор вы будете хорошо на вашем пути к пониманию проблемы-это либо порты подключены и могут свободно передавать друг другу, или они не подключены и не видят друг друга - нет полумер.

вам действительно нужны подсети и маршрутизация-если вы разместите машины в разных VLAN в одной подсети, они не смогут найти или поговорить друг с другом. Таким образом, даже если у вас есть маршрутизатор, машины не будут знать, чтобы говорить с ним при попытке достичь других машин, и действительно не сможет увидеть его в большинстве случаев.

немаркированный порт можно рассматривать как порт с тегом "default" - когда у вас есть порт с несколькими тегами, он несет данные внутри помеченных пакетов, поэтому маршрутизатор должен знать, как удалить теги для интерпретации данных. Это обычно делается путем наличия отдельного IP-адреса на VLAN на маршрутизаторе с каждым адресом в связанной подсети, используемой VLAN.

(Я отмечу, что я немного упростил вещи, и эксперт может в некоторых случаях нарушить некоторые правила выше , но вам действительно нужно понять все вышеизложенное и как это сочетается, прежде чем вы сможете это сделать, - и нарушение правил, как правило, не является хорошим дизайном.

аналогично, в то время как на практике VLAN действительно обеспечивают безопасность, использование VLAN в качестве меры безопасности немного contovertial для некоторых экспертов)

3
отвечен davidgo 2018-05-29 00:55:28
источник

вам понадобится больше оборудования. Если маршрутизатор не способен иметь больше чем одну VLAN в вашей внутренней сети, то нет никакого способа для всех VLAN быть в состоянии добраться до интернета, только один из них будет в состоянии добраться до Интернета (одна VLAN, куда маршрутизатор подключен).

1
отвечен Abu Zaid 2018-05-28 22:51:00
источник

Другие вопросы networking security switch vlan