在基于 HP Procurve 2824 交换机构建的多 VLAN 设置中整合 DMZ

在基于 HP Procurve 2824 交换机构建的多 VLAN 设置中整合 DMZ

我是网络新手,我需要帮助来弄清楚设置拓扑所需的步骤。我有以下要求:

(1)安全的 VPN这将是我的主要 LAN 网络,其中所有出站流量都通过 OpenVPN 加密,并通过伪装我的位置的 AirVPN 端点出站到互联网。

(2)非军事区- 用于为需要远程访问的服务器和其他设备提供不受限制的区域。我希望在 DMZ 后面的 Debian 上运行 Nextcloud(也可以通过安全 VPN 访问),并且认为从 Let's Encrypt 获取免费 SSL/TLS 证书并强制执行 MFA 就足够了,而不是将其放在 VPN 后面并强迫用户在获得访问权限之前启动他们的 VPN 客户端。

(3)访客网络- 实际上,这将暴露我本地未加密、不安全的 ISP 线路及其 DNS 服务器。我希望主要向需要互联网访问的访问者授予访问权限,但如果 AirVPN 因任何原因中断,它也会充当备份。其主要目的是阻止访问我的所有本地资源,例如文件服务器等。

我有以下硬件/服务:• 来自 ISP 的静态 IP 地址和支持 VLAN 的交换机(HP Procurve 2824)。(我已经重置了它,但意识到我买了错误的控制台电缆。我正在等待正确的电缆到货)。• 我的 ISP 提供的华为 ONT WIFI 调制解调器/路由器• 我希望仅用于内部网络的 ASUS ADSL WIFI 路由器。• 用于托管 Nextcloud 和其他建议的 NUC8i5BEK 迷你电脑

我很感激大家对我所尝试的可行性和明智性提出建议。我发现许多其他网络配置也包括管理 VLAN。我是否可以认为这是过度操作,因为有权访问安全 VLAN 的个人很可能也会对这些服务器进行物理访问?

我认为在 Procurve 交换机上设置 VLAN 是最困难的部分,因此,我将非常感激任何提示或关键步骤。

我认为 Nextcloud 的设置很简单,但所有其他与网络相关的技术(如 AirVPN 和 Open VPN)都是我通过搜索得出的结论,它们适合我的需求,但这并不意味着我有能力配置它们。因此,我欢迎所有建议、提示和避免陷阱。

答案1

我将非常感激大家对我所尝试的事情的可行性和明智性提出建议。

你可以做到。真正的智慧就在我们自己心中;我们需要做的就是审视内心,寻找它。

我发现许多其他网络配置也包括管理 VLAN。

很可能你不需要。只要你不需要保护您的管理基础设施,您不必将其分离。

在 Procurve 交换机上设置 VLAN 是我觉得最困难的部分

您将被交换机 CLI 的简单性和效率所启发。SSH 将是实现这一点的一个很好的工具。让 shell 联机,将您的上下文更改为,enable然后只需输入您的愿望即可。

命名接口(从configure上下文出发)

interface 1
    name "Server1"
    exit
 interface 2
    name "Server2"
    exit

创建 VLAN并添加一些端口(从上下文开始configure

vlan 3
   name "VPN-LAN"
   untagged 10-20
   tagged 1
   exit
vlan 4
   name "DMZ"
   tagged 1
   untagged 20-24
   exit

咒语untagged会将这些端口上的设备相互连接 - 根据需要将交换机切成多个。

一个端口上的多个 VLAN 需要tagged配置。能够使用 VLAN 语言的连接设备将能够与它们通信。

一个端口可以untagged位于一个 VLAN 中(没有 VLAN ID 的数据包将通过这种方式获得一个 VLAN),也可以tagged位于多个 VLAN 中(只有已经标记的数据包才会传递流量)。

我认为 Nextcloud 的设置很简单 [...]

情况可能如此,但您需要一台路由器 - 或者像大多数情况下网络大师所暗示的那样 - 一台防火墙。这样的设备应该能够通过标记自己的流量来连接(并且很可能是 L3 分离)您的网络王国。

我们祝愿您能够踏上一段激动人心的旅程,掌握网络拓扑管理和设计的更深层次的秘密。

相关内容