Я хотел бы обеспечить некоторое разделение устройств в моей домашней сети с помощью управляемого коммутатора. Я читал другие связанные вопросы / ответы, но у них разные требования, предъявляемые к маршрутизаторам VLAN или другому оборудованию, потому что они хотят, чтобы разные VLAN общались друг с другом. Я просто хочу разделения, и я хочу знать, могу ли я сделать все с помощью одного управляемого коммутатора.
Мои цели:
1) Изолировать доступный через Интернет сервер от остальной сети, чтобы скомпрометированный сервер не атаковал внутренние узлы.
2) Изолировать компьютер, используемый для конфиденциальных данных из остальной сети.
3) Разрешить всем устройствам доступ в интернет.
4) Ограничить управление коммутатором одним портом.
Моя запланированная конфигурация коммутатора:
VLAN 10: порты 1-47 (доступ в Интернет)
VLAN 20: порты 1 и 2 (сервер)
VLAN 30: порты 1 и 3-46 (домашние устройства)
VLAN 40: порты 1 и 47 (машина с конфиденциальными данными)
VLAN 50: порт 48 (управление коммутатором)
порт 1: без тегов, pvid = 10, подключен к интернет-маршрутизатору
порт 2: без тегов, pvid = 20, подключен к серверу
порты 3-46: без тегов, pvid = 30, подключены к домашним машинам
порт 47: без тегов, pvid = 40, подключен к машине с конфиденциальными данными
порт 48: без тегов, pvid = 50, подключен к машине управления коммутатором
Кроме того, маршрутизатор настроен для переадресации порта 80 на сервер, на котором установлен статический IP-адрес. Маршрутизатор использует DHCP для назначения IP-адресов остальным машинам.
Когда я настраиваю коммутатор таким образом, кажется, что все работает, в том смысле, что я могу получить доступ к Интернету с компьютеров на портах 2-47, я могу получить доступ к серверу (через внешний IP-адрес маршрутизатора) из других VLAN, и я не могу получить доступ к любым другим машинам через VLAN. Тем не менее, я прочитал некоторые лучшие практики, такие как следующие:
1) Каждая VLAN - это отдельная IP-подсеть.
2) Порты доступа (например, 2-47) должны быть членами одной VLAN
3) Используйте маркирующий маршрутизатор для фильтрации трафика через VLAN
В моей настройке я использую одну IP-подсеть. У меня всего около 20 устройств, поэтому с размером проблем не возникает, но мне любопытно, есть ли другие проблемы. Например, могут ли разные устройства в разных VLAN получать один и тот же IP-адрес, и если это так, будет ли это проблемой? Насколько я понимаю, это нормально, потому что они не могут получить доступ друг к другу, но если они оба отправляют интернет-запросы, могут ли ответы быть перепутаны?
В моей настройке я также использую VLAN 10 практически на всех портах, чтобы разрешить доступ в Интернет. Это проблема? Похоже, что кто-то может использовать эту VLAN для переключения VLAN (например, скомпрометированный сервер для доступа к домашним компьютерам или домашним компьютерам для доступа к конфиденциальным данным). Предотвращает ли такое поведение комбинация "untagged" и «Pvid = X»? Будет ли тег VLAN 10 отклоняться от порта, отличного от порта 1, при такой настройке?
Мой маршрутизатор является стандартным маршрутизатором Verizon, и я не знаю, как он обрабатывает теги VLAN (возможно, совсем нет?). Есть ли проблема, если он действительно обрабатывает теги (например, небезопасные значения по умолчанию) или нет (например, разрешает маршрутизацию между VLAN из-за недостатка знаний о них)?
Это подходящая конфигурация для моих целей, или мне нужно что-то изменить или добавить больше оборудования для надлежащей изоляции и защиты сети?