1

Я хочу посмотреть, возможно ли следующее с помощью VLAN:

У меня есть следующее оборудование:

  • Ubiquiti EdgeRouter Lite
  • TP-LINK TL-SG1016PE Переключатель
  • Домашний сервер
  • 4 х IP-камеры

Можно ли настроить VLAN в следующей конфигурации только с одним коммутатором:

  • Иметь нормальную домашнюю сеть (т. Е. Все домашние компьютеры, мобильные телефоны и т.д.) На VLAN1.

  • Иметь домашний сервер в VLAN 2.

  • Имейте IP-камеры на VLAN 3.

Затем иметь возможность: VLAN 1 для связи с VLAN 2. VLAN 3 для связи с VLAN 2. Не разрешать подключение для VLAN 3 обратно к VLAN 1, но разрешать подключение от VLAN 1 к VLAN 3.

В основном, чтобы отделить камеры от обычной домашней сети, чтобы никто не мог подключиться к их портам Ethernet и получить доступ к сети, но в то же время иметь возможность доступа к домашнему серверу, который действует как NVR как камерами, так и домом. сеть.

1 ответ1

3

Я кратко остановлюсь на конфигурации VLAN. Для справки я использую интеллектуальный коммутатор TP-Link - диапазон Easy Smart Switch немного отличается, но это должно быть более или менее выполнимо таким же образом. См. Главы 6.3 и 6.4 в руководстве.

  1. Вы хотите настроить сети VLAN 802.1Q, а не более базовые «на основе портов».
  2. Введите идентификатор VLAN, который вы хотите настроить (например, 1)
  3. Выберите помеченные порты. Это означает, что через порты, через которые будет передаваться фреймы, принадлежащие этой VLAN, будет тег VLAN. Используйте это для портов, ведущих к другим VLAN-совместимым устройствам, таким как ваш маршрутизатор или другие управляемые коммутаторы.
  4. Выберите непомеченные порты. Кадры, принадлежащие VLAN, также будут отправляться на эти порты, но метка VLAN удаляется при выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
  5. Настройте свои PVID так, чтобы входящие кадры на непомеченных портах получали тег по умолчанию.

В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порте сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).

Вам также необходимо настроить EdgeOS:

  1. Добавьте интерфейсы VLAN, предоставив каждому из них собственный IP-адрес и подсеть (для простоты я буду считать 192.168.1.1/24 , 192.168.2.1/24 и 192.168.3.1/24 . Это означает, что маршрутизатор использует адрес 192.168.3.1 в подсети 192.168.3.0/24 на своем интерфейсе VLAN 3.)
  2. Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им свою собственную подсеть.
  3. Сконфигурируйте серверы DHCP, чтобы установить шлюз ("маршрутизатор") для устройства EdgeOS. Это должно соответствовать IP-адресам, которые вы указали в # 1.
  4. Добавьте VLAN в качестве интерфейсов прослушивания DNS, если вы хотите, чтобы они имели доступ к кеширующему DNS-серверу маршрутизатора.

Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.

  1. Первое, что вам нужно сделать, это добавить набор правил, блокирующий VLAN (2 и 3?) от доступа к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:

    1. Действие по умолчанию: Drop
    2. Отредактируйте набор правил и установите его для применения к интерфейсам => добавьте свои интерфейсы VLAN в направлении local . Убедитесь, что VLAN, с которой вы хотите управлять маршрутизатором, все еще имеет доступ!
    3. Добавьте правило для принятия TCP и UDP на порт 53, чтобы разрешить DNS
    4. Добавить правило для принятия TCP и UDP в Established и Related состояниях (дополнительная вкладка)
  2. Создайте новый набор правил для одностороннего 1 => 3, по умолчанию Accept . Обязательно отредактируйте его и примените только к интерфейсам VLAN 1 и 3. Теперь вам нужно добавить свои правила в порядок. Я бы предложил:

    1. Добавить правило Accept от Source до 192.168.1.0/24 Destination 192.168.3.0/24 Это позволяет 1 => 3 инициировать соединения.
    2. Добавить правило Accept от Source до 192.168.3.0/24 Destination 192.168.1.0/24 в состоянии Established или по Related Это позволяет 3 => 1 ответов (сеть является двунаправленной!) для TCP и UDP.
    3. Добавьте правило для Drop из Source 192.168.3.0/24 в Destination 192.168.1.0/24 . Это запасной вариант, который отклоняет все, что не разрешено правилом № 2, означающее, что 3 => 1 не может инициировать новые подключения.
  3. Вы также можете добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.

Здесь есть небольшая дискуссия: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Если вы ничего не сделаете, чтобы заблокировать это, 1 <=> 2 и 2 <=> 3 должны были сработать с самого начала. Имейте в виду, что это дает злоумышленнику возможность обойти брандмауэр маршрутизатора, выполнив 3 => 2 => 1, если что-то уязвимо на 2.

Также имейте в виду, что этот пример настройки фактически разрешен по умолчанию с явным блоком от 3 => 1, но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроили. Более безопасная (но немного более сложная) конфигурация состоит в том, чтобы блокировать по умолчанию (блок 192.168.0.0/16 как последнее правило в наборе правил) и явно разрешать 1 <=> 2, 2 <=> 3 и 1 => 3. Он следует тем же общим принципам; вам просто нужно добавить правила, явно разрешающие 2 и блокирующие остальные.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .