Я хотел бы обеспечить некоторое разделение устройств в моей домашней сети с помощью управляемого коммутатора. Я читал другие связанные вопросы / ответы, но у них разные требования, предъявляемые к маршрутизаторам VLAN или другому оборудованию, потому что они хотят, чтобы разные VLAN общались друг с другом. Я просто хочу разделения, и я хочу знать, могу ли я сделать все с помощью одного управляемого коммутатора.

Мои цели:
1) Изолировать доступный через Интернет сервер от остальной сети, чтобы скомпрометированный сервер не атаковал внутренние узлы.
2) Изолировать компьютер, используемый для конфиденциальных данных из остальной сети.
3) Разрешить всем устройствам доступ в интернет.
4) Ограничить управление коммутатором одним портом.

Моя запланированная конфигурация коммутатора:
VLAN 10: порты 1-47 (доступ в Интернет)
VLAN 20: порты 1 и 2 (сервер)
VLAN 30: порты 1 и 3-46 (домашние устройства)
VLAN 40: порты 1 и 47 (машина с конфиденциальными данными)
VLAN 50: порт 48 (управление коммутатором)

порт 1: без тегов, pvid = 10, подключен к интернет-маршрутизатору
порт 2: без тегов, pvid = 20, подключен к серверу
порты 3-46: без тегов, pvid = 30, подключены к домашним машинам
порт 47: без тегов, pvid = 40, подключен к машине с конфиденциальными данными
порт 48: без тегов, pvid = 50, подключен к машине управления коммутатором

Кроме того, маршрутизатор настроен для переадресации порта 80 на сервер, на котором установлен статический IP-адрес. Маршрутизатор использует DHCP для назначения IP-адресов остальным машинам.

Когда я настраиваю коммутатор таким образом, кажется, что все работает, в том смысле, что я могу получить доступ к Интернету с компьютеров на портах 2-47, я могу получить доступ к серверу (через внешний IP-адрес маршрутизатора) из других VLAN, и я не могу получить доступ к любым другим машинам через VLAN. Тем не менее, я прочитал некоторые лучшие практики, такие как следующие:

1) Каждая VLAN - это отдельная IP-подсеть.
2) Порты доступа (например, 2-47) должны быть членами одной VLAN
3) Используйте маркирующий маршрутизатор для фильтрации трафика через VLAN

В моей настройке я использую одну IP-подсеть. У меня всего около 20 устройств, поэтому с размером проблем не возникает, но мне любопытно, есть ли другие проблемы. Например, могут ли разные устройства в разных VLAN получать один и тот же IP-адрес, и если это так, будет ли это проблемой? Насколько я понимаю, это нормально, потому что они не могут получить доступ друг к другу, но если они оба отправляют интернет-запросы, могут ли ответы быть перепутаны?

В моей настройке я также использую VLAN 10 практически на всех портах, чтобы разрешить доступ в Интернет. Это проблема? Похоже, что кто-то может использовать эту VLAN для переключения VLAN (например, скомпрометированный сервер для доступа к домашним компьютерам или домашним компьютерам для доступа к конфиденциальным данным). Предотвращает ли такое поведение комбинация "untagged" и «Pvid = X»? Будет ли тег VLAN 10 отклоняться от порта, отличного от порта 1, при такой настройке?

Мой маршрутизатор является стандартным маршрутизатором Verizon, и я не знаю, как он обрабатывает теги VLAN (возможно, совсем нет?). Есть ли проблема, если он действительно обрабатывает теги (например, небезопасные значения по умолчанию) или нет (например, разрешает маршрутизацию между VLAN из-за недостатка знаний о них)?

Это подходящая конфигурация для моих целей, или мне нужно что-то изменить или добавить больше оборудования для надлежащей изоляции и защиты сети?

|источник

2 ответа2

3

Вы не можете сделать это без VLAN-совместимого маршрутизатора / брандмауэра. Для этого есть несколько причин, одна из которых заключается в том, что вашему серверу необходим доступ к Интернету, в то время как он не доступен напрямую для других устройств, которым также необходим доступ в Интернет, что означает, что для взаимодействия двух типов устройств необходим маршрутизатор / межсетевой экран.

Если вы рассматриваете каждую VLAN как виртуальный неуправляемый коммутатор, вы будете на пути к пониманию проблемы - либо порты подключены и могут свободно передавать данные друг другу, либо они не подключены и не могут видеть друг друга - нет полумер.

Вы действительно нуждаетесь в подсетях и маршрутизации - если вы разместите машины в разных виртуальных сетях в одной подсети, они не смогут найти или поговорить друг с другом. Таким образом, даже если у вас есть маршрутизатор, машины не будут знать, что с ним разговаривать при попытке связаться с другими машинами, и в действительности не смогут увидеть его в большинстве случаев.

Нетегированный порт можно рассматривать как порт с тегом "по умолчанию" - когда у вас есть порт с несколькими тегами, он переносит данные внутри тегированных пакетов, поэтому маршрутизатору необходимо знать, как удалить теги для данных, которые должны интерпретироваться. Обычно это делается с помощью отдельного IP-адреса для каждой VLAN на маршрутизаторе, причем каждый адрес в соответствующей подсети используется VLAN.

(Я отмечаю, что я немного упростила вещи, и в некоторых случаях эксперт может нарушить некоторые правила выше - но вам действительно нужно понять все вышеперечисленное и то, как они сочетаются друг с другом, прежде чем вы сможете это сделать - и нарушить правила вообще не очень хороший дизайн.

Точно так же, хотя на практике VLANS действительно обеспечивает безопасность, использование VLANS в качестве меры безопасности несколько противоречиво для некоторых экспертов)

|источник
1

Вам понадобится больше оборудования. Если маршрутизатор не может иметь более одной VLAN во внутренней сети, то невозможно, чтобы все VLAN могли подключиться к Интернету, только один из них сможет подключиться к Интернету (один VLAN, к которой подключен маршрутизатор).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .