Похожие вопросы

Как развернуть IPv6 в локальной сети с помощью маршрутизатора на основе Debian и делегирования префиксов?
Зачем нам нужны IP-адреса для связи внутри сегмента локальной сети?
Как я могу видеть 127.0.0.1 трафик на Windows с помощью Wireshark?
Сканирование документов непосредственно на сетевой ресурс Server 2012
Как превратить компьютер и беспроводной маршрутизатор в небольшую сеть без подключения к интернету?
DNS не настроен должным образом в Debian Linux?
Объединение двух входящих широкополосных линий для более быстрого доступа в интернет
Как устранить это сообщение от Vista при подключении к VPN: это подключение требует активного подключения к интернету
Попытка понять DHCP для моей конкретной ситуации
Как сказать Windows 7 игнорировать шлюз по умолчанию
Сервер на коммерческой VPN, желая избежать использования сторонней помощи для подключения
Любой способ сделать туннель SSH с одного IP и порта в частной сети на другой?
Является ли открытый порт 10243 на Windows 7 О чем-то беспокоиться?
Получение UDP пакетов от шлюза / hotspot
Как создать широковещательный шторм?

Конфигурация VLAN для домашней сети

Я хотел бы обеспечить некоторое разделение устройств в моей домашней сети с помощью управляемого коммутатора. Я читал другие связанные вопросы / ответы, но у них есть другие требования, которые попадают в маршрутизаторы VLAN или другое оборудование, потому что они хотят, чтобы разные VLAN говорили друг с другом. Я просто хочу разойтись, и я хочу знать, могу ли я сделать все с помощью одного управляемого переключателя.

мои цели:


1) изолируйте сервер Интернета доступный от остатка сети для предотвращения скомпрометированный сервер от атак внутренних узлов.


2) изолируйте компьютер, используемый для конфиденциальных данных, от остальной сети.


3) разрешить всем устройствам доступ в интернет.


4) ограничьте управление коммутатором одним портом.

моя планируемая конфигурация коммутатора:


VLAN 10: порты 1-47 (доступ в интернет)


VLAN 20: порты 1 и 2 (сервер)


VLAN 30: порты 1 и 3-46 (домашние устройства)


ВИРТУАЛЬНАЯ ЛОКАЛЬНАЯ СЕТЬ 40: порты 1 и 47 (конфиденциальные данные)


VLAN 50: порт 48 (управление коммутатором)

порт 1: без меток, pvid=10, подключен к интернет-маршрутизатору


порт 2: без меток, pvid=20, подключен к серверу


порты 3-46: без меток, pvid=30, подключены к домашним машинам


порт 47: без меток, pvid=40, подключен к машине конфиденциальных данных


порт 48: без меток, pvid=50, подключен к управлению коммутатором машина

кроме того, маршрутизатор настроен на перенаправление порта 80 на сервер, имеющий статический IP-адрес. Маршрутизатор использует DHCP для назначения IP-адресов остальным машинам.

когда я установил коммутатор таким образом, кажется, что все работает, в том смысле, что я могу получить доступ к интернету с машин на портах 2-47, я могу получить доступ к серверу (через внешний IP-адрес маршрутизатора) из других VLAN, и я не могу получить доступ к любому другие машины через VLAN. Тем не менее, я прочитал некоторые рекомендации, такие как:

1) каждая VLAN является другой IP-подсетью


2) порты доступа (например, 2-47) должны быть членами одной VLAN


3) Используйте маршрутизатор с поддержкой тегов для фильтрации трафика через VLAN

в моей настройке я использую одну IP-подсеть. У меня есть только около 20 устройств, поэтому нет проблем с размером, но мне любопытно, есть ли другие проблемы. Например, может разные устройства в разных VLAN получают один и тот же IP-адрес, и если да, то это будет проблемой? Я понимаю, что это нормально, потому что они не могут получить доступ друг к другу, но если они оба отправляют интернет-запросы, могут ли ответы перепутаться?

в моей настройке я также использую VLAN 10 почти во всех портах как способ разрешить доступ в интернет. Является ли это проблемой? Похоже, что кто-то может использовать эту VLAN для перехода VLAN (например, скомпрометированный сервер для доступа к домашним машинам или домой машины для доступа к конфиденциальным данным машины). Предотвращает ли сочетание "без меток" и "Pvid=X" такое поведение? Был бы тег VLAN 10 отклонен от порта, отличного от порта 1 с этой настройкой?

мой маршрутизатор является стандартным маршрутизатором Verizon, и я не знаю, как он обрабатывает теги VLAN (вероятно, вообще нет?). Есть ли какая-либо проблема, если она действительно обрабатывает теги (например, небезопасные значения по умолчанию) или если это не так (например, позволяет маршрутизировать между VLAN из-за отсутствия знаний о них)?

является ли это подходящей конфигурацией для моих целей, или мне нужно изменить вещи или ввести больше оборудования для правильной изоляции и защиты сети?

5
задан juhraffe
источник

2 ответов

вы не можете сделать это без маршрутизатора/брандмауэра с поддержкой VLAN . Есть несколько причин для этого, одна из которых заключается в том, что ваш сервер нуждается в доступе в интернет, не будучи непосредственно доступны для других устройств, которые также нуждаются в доступе в интернет, то есть маршрутизатор/брандмауэр необходим для интерфейса 2 типа устройств.

Если вы думаете о каждой VLAN как виртуальный неуправляемый коммутатор вы будете хорошо на вашем пути к пониманию проблемы-это либо порты подключены и могут свободно передавать друг другу, или они не подключены и не видят друг друга - нет полумер.

вам действительно нужны подсети и маршрутизация-если вы разместите машины в разных VLAN в одной подсети, они не смогут найти или поговорить друг с другом. Таким образом, даже если у вас есть маршрутизатор, машины не будут знать, чтобы говорить с ним при попытке достичь других машин, и действительно не сможет увидеть его в большинстве случаев.

немаркированный порт можно рассматривать как порт с тегом "default" - когда у вас есть порт с несколькими тегами, он несет данные внутри помеченных пакетов, поэтому маршрутизатор должен знать, как удалить теги для интерпретации данных. Это обычно делается путем наличия отдельного IP-адреса на VLAN на маршрутизаторе с каждым адресом в связанной подсети, используемой VLAN.

(Я отмечу, что я немного упростил вещи, и эксперт может в некоторых случаях нарушить некоторые правила выше , но вам действительно нужно понять все вышеизложенное и как это сочетается, прежде чем вы сможете это сделать, - и нарушение правил, как правило, не является хорошим дизайном.

аналогично, в то время как на практике VLAN действительно обеспечивают безопасность, использование VLAN в качестве меры безопасности немного contovertial для некоторых экспертов)

3
отвечен davidgo 2018-05-29 00:55:28
источник

вам понадобится больше оборудования. Если маршрутизатор не способен иметь больше чем одну VLAN в вашей внутренней сети, то нет никакого способа для всех VLAN быть в состоянии добраться до интернета, только один из них будет в состоянии добраться до Интернета (одна VLAN, куда маршрутизатор подключен).

1
отвечен Abu Zaid 2018-05-28 22:51:00
источник

Другие вопросы networking security switch vlan