经过对金钱、办公桌空间和其他类似问题的反复考虑后,我尝试创建一台 Jekyll-&-Hyde 计算机(并因此学习一些基本的网络原理。)
这既可以用于个人用途,也可以用于小型企业的在家办公。他们没有 IT 部门,我是最接近的。我希望尽可能干净地区分这两个功能,因此我的计划是从不同的驱动器对工作站进行双启动,进入不同的操作系统。在个人模式下,机器将加入VLAN-20,在公司模式下,机器将加入VLAN-60。我想我可以通过在其中一次启动下使用欺骗性的 mac 地址或安装 pci-e 卡来在机器中提供一个或多个额外的网络接口来实现这种行为。在第二种情况下,我很难理解布线的安全隐患。
- 我是否可以将一根电缆从智能交换机的一个端口连接到工作站,在不同的启动之间交换我插入的工作站上的网络端口,并将端口交换机设置为同时处理
VLAN-20流量60?(不是吗?“访问端口..应该是单个 VLAN 的成员”是吗?“具有多个标签的端口..路由器需要知道如何删除标签..通常通过每个 VLAN 设置一个单独的 IP 地址来实现”) - 在公司模式下,工作站将处于开启状态,
VLAN-60但交换机仍会向其发送标记为“20”的数据包,即使工作站本身已分配了 IPVLAN-60? - 唯一安全的方法是工作站上的两个端口->两根电缆(或一根电缆在两端的端口之间移动)->管理型交换机上的两个端口?
我已经在网络上安装了一台 Truenas 机器,它遇到了类似的困境(我对 L2/L3 安全性的工作原理存在误解)。该机器有两个网络端口,但目前我只使用一个。在研究过程中,我发现连接第二个接口并通过它路由对管理控制台的访问可能是明智的做法。
- 如果这样做,某些机器可以访问 NAS,但不能访问它的控制台,这是否意味着我需要将 Truenas 盒中的每个端口连接到不同的 VLAN,还是让它们进入哑交换机并仅通过 ip 地址处理访问限制就足够了?
在尝试回答我自己的问题时,我已经做好了功课,但我担心那些只知道一点点的人会以为自己知道很多,并且我会建立我的网络,相信我是安全的,但其实我是错的。
我目前的断言/理解:如果我有一个路由器/防火墙(pfsense 盒),其中有 2 个 LAN/VLAN,一个包含一台机器,另一台包含两台。
VLAN 20
-> Machine A
-> Machine B
VLAN 60
-> Machine C
A可以进行通信B而不必通过路由器(连接它们的非托管交换机可以处理消息传递?)。(它们在同一个子网中?“一个 VLAN = 一个子网”) 所以,阻止 A 的 IP 与 B 的 IP 通信的规则并不能阻止它们之间的(任何/全部/部分?)流量?CVLAN-60没有路由器就无法与外界通信。‘路由’流量,(“LAN 间通信需要具有路由功能的 L3 设备。”),这样我们就可以制定关于C在 中可以做什么和不可以做什么的规则VLAN-20。- 允许
C访问 中的特定机器VLAN-20并不意味着开放所有机器的访问权限VLAN-20(因为目标 VLAN 中的目标 IP 可以是规则的一部分?)。我们可以说:C只能与 对话B,并且不会受到A的攻击,C除非代表B恶意转发。C
我距离知道自己在做什么还有多远?
我最初在 networkengineering.stackexchange 上问了这个问题,但因为与主题无关而被关闭了,但在我提出问题时,有人推荐了以下帖子。读完这些帖子后,我仍然一头雾水,但我已用引号编辑了我的问题,以反映我从中收集到的信息。
- https://networkengineering.stackexchange.com/questions/542/multiple-lan-interfaces-on-sonicwall
- https://networkengineering.stackexchange.com/questions/76094/router-interface-on-same-subnet
- https://networkengineering.stackexchange.com/questions/38042/vlan-trunk-between-single-port-machine-to-switch
- https://networkengineering.stackexchange.com/questions/32329/what-are-the-reasons-for-not-putting-multiple-subnets-on-the-same-vlan
- https://networkengineering.stackexchange.com/questions/45283/force-vlan-traffic-through-specified-interfaces
- https://networkengineering.stackexchange.com/questions/54531/two-ports-both-in-vlan-1-on-two-separate-switches-down-down
- Linux 上的多个接口连接到多个 VLAN
- 创建面向多个 VLAN 的多个接口
- 家庭网络的 VLAN 配置
答案1
我是否可以将一根电缆从智能交换机的一个端口连接到工作站,在不同的启动之间交换我插入的工作站上的网络端口,并将端口交换机设置为处理 VLAN-20 和 60 流量?
这可能如果您的交换机支持“基于 MAC 的 VLAN”,则可以工作(这是一个不常见的功能,尽管它确实存在)。
但是,标准 802.1Q VLAN 不是通过 MAC 地址来区分的,而是通过每个数据包的以太网报头后面的明确“VLAN ID”标记来区分的。(因此有“标记”和“未标记”这两个术语。)在同一端口上配置多个这样的 VLAN 仅在工作站本身实现 802.1Q VLAN 标记,以便让交换机知道它应该属于哪个 VLAN。
Linux 和 FreeBSD 允许在物理以太网接口之上创建 VLAN 标记接口 - 您已经在 pfSense 路由器中使用此功能。Windows 支持使用 Hyper-V vSwitch 处于“外部”模式(一次只有一个 VLAN)或使用某些企业级 NIC 驱动程序(例如某些 Intel NIC)中的自定义功能来实现此功能。
因此,如果您安装了两个 Windows,请在两个 Windows 上启用 Hyper-V,并使用您喜欢的 VLAN ID 配置连接到物理以太网接口的 vSwitch。(确保在两个都安装,无论它们是否使用 VLAN 标记 - 由于 Windows 中 NDIS6 的设计,当操作系统收到标记数据包时会发生奇怪的事情,而 Hyper-V vSwitch 会像它应该的那样将它们过滤掉。)
如果你安装了 Linux,请创建一个虚拟 VLAN 接口(通过 NetworkManager 或 networkd 或你的发行版使用的任何工具),但也要确保禁用原有物理接口上的所有IP配置。
某些交换机可能允许您在同一个端口上配置多个“未标记”VLAN,但这仅在一个方向上有效 - 主机将能够收到数据包来自两个 VLAN,但只发送到其中一个,即当前设置为交换机端口的 PVID/“本机 VLAN”的那个。主机要指定要与哪个 VLAN 通信,就必须使用标记 — 这正是它的用途。