我想使用托管交换机在我的家庭网络中提供一些设备分离。我读过其他相关问题/答案,但它们对 VLAN 路由器或其他设备有不同的要求,因为它们希望不同的 VLAN 相互通信。我只想要分离,我想知道我是否可以使用单个托管交换机完成所有事情。
- 我的目标:
- 将可访问互联网的服务器与网络的其余部分隔离,以防止受感染的服务器攻击内部节点。
- 将用于敏感数据的计算机与网络的其余部分隔离。
- 允许所有设备访问互联网。
- 将交换机管理限制到单个端口。
- 将可访问互联网的服务器与网络的其余部分隔离,以防止受感染的服务器攻击内部节点。
- 我计划的交换机配置:
- VLAN:
- 10:端口 1 - 47(互联网访问)
- 20:端口 1 和 2(服务器)
- 30:端口 1 和 3 - 46(家庭设备)
- 40:端口1和47(敏感数据机)
- 50:端口 48(交换机管理)
- 港口:
- 1: 未标记,
pvid=10
(连接到互联网路由器) - 2: 未标记,
pvid=20
(已连接到服务器) - 3-46: 未标记,
pvid=30
(连接到家用机器) - 47: 未标记,
pvid=40
(连接到敏感数据机) - 48: 未标记,
pvid=50
(连接交换机管理机)
- 1: 未标记,
- VLAN:
此外,路由器配置为将端口 80 转发到具有静态 IP 地址的服务器。路由器使用 DHCP 为其余机器分配 IP 地址。
当我以这种方式设置交换机时,一切似乎都正常,我可以从端口 2-47 上的计算机访问互联网,我可以从其他 VLAN 访问服务器(通过路由器的外部 IP 地址),而且我似乎无法跨 VLAN 访问任何其他计算机。但是,我读过一些最佳实践,例如:
- 每个 VLAN 都是不同的 IP 子网
- 访问端口(例如 2-47)应属于单个 VLAN
- 使用标记感知路由器过滤跨 VLAN 的流量
在我的设置中,我使用单个 IP 子网。我只有大约 20 台设备,因此大小没有问题,但我很好奇是否还有其他问题。例如,不同 VLAN 上的不同设备是否可以获得相同的 IP 地址,如果可以,这会是个问题吗?我的理解是,这是可以的,因为它们无法相互访问,但如果它们都发送 Internet 请求,响应是否会混淆?
在我的设置中,我还在几乎所有端口上使用 VLAN 10 来允许 Internet 访问。这有问题吗?似乎有人可以使用此 VLAN 来跳转 VLAN(例如,受感染的服务器访问家用机器,或家用机器访问敏感数据机器)。未标记并pvid=X
防止此类行为?在这种设置下,VLAN 标签 10 是否会被端口 1 以外的其他端口拒绝?
我的路由器是标准的 Verizon 路由器,我不知道它如何处理 VLAN 标记(可能根本不知道?)。如果它确实处理标记(例如,不安全的默认值),或者不处理标记(例如,由于缺乏对 VLAN 的了解而允许在 VLAN 之间路由),会有什么问题吗?
这是适合我的目标的配置吗,还是我需要改变一些东西或引入更多的设备来正确隔离和保护网络?
答案1
如果没有支持 VLAN 的路由器/防火墙,您就无法做到这一点。造成这种情况的原因有很多,其中之一是您的服务器需要互联网访问,但不能直接供其他需要互联网访问的设备访问,这意味着需要路由器/防火墙来连接这两种类型的设备。
如果您将每个 VLAN 视为一个虚拟的非管理型交换机,那么您将很容易理解这个问题 - 要么端口已连接并且可以自由地相互传输,要么端口未连接并且无法相互看到 - 没有折衷的措施。
您确实需要子网和路由 - 如果您将机器放在同一子网中的不同 VLAN 上,它们将无法找到彼此或相互通信。因此,即使您有路由器,机器在尝试访问其他机器时也不会知道要与它通信,而且在大多数情况下确实无法看到它。
未标记端口可以视为带有“默认”标记的端口 - 当您拥有带有多个标记的端口时,它会在标记数据包内传输数据,因此路由器需要知道如何删除标记才能解释数据。这通常是通过在路由器上为每个 VLAN 设置一个单独的 IP 地址来实现的,每个地址都位于 VLAN 使用的关联子网中。
(我注意到我稍微简化了一些事情,专家在某些情况下可能会打破上述一些规则 - 但在做到这一点之前,你真的需要理解上述所有内容以及它们是如何结合在一起的 - 打破规则通常也不是好的设计。
同样,虽然在实践中 VLANS 确实提供了安全性,但使用 VLANS 作为安全措施对一些专家来说有点争议)
答案2
您将需要更多设备。如果路由器无法在您的内部网络上拥有多个 VLAN,那么所有 VLAN 都无法连接到互联网,只有其中一个 VLAN 可以连接到互联网(路由器所插入的那个 VLAN)。