KompЯ хотел бы обеспечить некоторое разделение устройств в моей домашней сети с помощью управляемого коммутатора. Я читал другие связанные вопросы / ответы, но у них есть другие требования, которые попадают в маршрутизаторы VLAN или другое оборудование, потому что они хотят, чтобы разные VLAN говорили друг с другом. Я просто хочу разойтись, и я хочу знать, могу ли я сделать все с помощью одного управляемого переключателя.
мои цели:
1) изолируйте сервер Интернета доступный от остатка сети для предотвращения скомпрометированный сервер от атак внутренних узлов.
2) изолируйте компьютер, используемый для конфиденциальных данных, от остальной сети.
3) разрешить всем устройствам доступ в интернет.
4) ограничьте управление коммутатором одним портом.
моя планируемая конфигурация коммутатора:
VLAN 10: порты 1-47 (доступ в интернет)
VLAN 20: порты 1 и 2 (сервер)
VLAN 30: порты 1 и 3-46 (домашние устройства)
ВИРТУАЛЬНАЯ ЛОКАЛЬНАЯ СЕТЬ 40: порты 1 и 47 (конфиденциальные данные)
VLAN 50: порт 48 (управление коммутатором)
порт 1: без меток, pvid=10, подключен к интернет-маршрутизатору
порт 2: без меток, pvid=20, подключен к серверу
порты 3-46: без меток, pvid=30, подключены к домашним машинам
порт 47: без меток, pvid=40, подключен к машине конфиденциальных данных
порт 48: без меток, pvid=50, подключен к управлению коммутатором машина
кроме того, маршрутизатор настроен на перенаправление порта 80 на сервер, имеющий статический IP-адрес. Маршрутизатор использует DHCP для назначения IP-адресов остальным машинам.
когда я установил коммутатор таким образом, кажется, что все работает, в том смысле, что я могу получить доступ к интернету с машин на портах 2-47, я могу получить доступ к серверу (через внешний IP-адрес маршрутизатора) из других VLAN, и я не могу получить доступ к любому другие машины через VLAN. Тем не менее, я прочитал некоторые рекомендации, такие как:
1) каждая VLAN является другой IP-подсетью
2) порты доступа (например, 2-47) должны быть членами одной VLAN
3) Используйте маршрутизатор с поддержкой тегов для фильтрации трафика через VLAN
в моей настройке я использую одну IP-подсеть. У меня есть только около 20 устройств, поэтому нет проблем с размером, но мне любопытно, есть ли другие проблемы. Например, может разные устройства в разных VLAN получают один и тот же IP-адрес, и если да, то это будет проблемой? Я понимаю, что это нормально, потому что они не могут получить доступ друг к другу, но если они оба отправляют интернет-запросы, могут ли ответы перепутаться?
в моей настройке я также использую VLAN 10 почти во всех портах как способ разрешить доступ в интернет. Является ли это проблемой? Похоже, что кто-то может использовать эту VLAN для перехода VLAN (например, скомпрометированный сервер для доступа к домашним машинам или домой машины для доступа к конфиденциальным данным машины). Предотвращает ли сочетание "без меток" и "Pvid=X" такое поведение? Был бы тег VLAN 10 отклонен от порта, отличного от порта 1 с этой настройкой?
мой маршрутизатор является стандартным маршрутизатором Verizon, и я не знаю, как он обрабатывает теги VLAN (вероятно, вообще нет?). Есть ли какая-либо проблема, если она действительно обрабатывает теги (например, небезопасные значения по умолчанию) или если это не так (например, позволяет маршрутизировать между VLAN из-за отсутствия знаний о них)?
является ли это подходящей конфигурацией для моих целей, или мне нужно изменить вещи или ввести больше оборудования для правильной изоляции и защиты сети?
3456
