VLAN 設定は可能ですか?

tag-icon tag-icon networking home-networking vlan
VLAN 設定は可能ですか?

VLAN を使用して次のことが可能かどうかを確認したいと思います。

以下の機器を所有しています:

  • ユビキティ エッジルーター ライト
  • TP-LINK TL-SG1016PE スイッチ
  • ホームサーバー
  • IP カメラ 4 台

1 つのスイッチだけで、次の構成で VLAN を設定することは可能ですか?

  • たとえば、通常のホーム ネットワーク (つまり、すべてのホーム コンピューター、モバイルなど) を VLAN1 上に配置します。

  • ホーム サーバーを VLAN 2 に配置します。

  • IP カメラを VLAN 3 に配置します。

次に、次の機能を実現します。VLAN 1 は VLAN 2 と通信します。VLAN 3 は VLAN 2 と通信します。VLAN 3 から VLAN 1 への接続は許可されませんが、VLAN 1 から VLAN 3 への接続は許可されます。

基本的には、通常のホーム ネットワークからカメラを分離して、誰もイーサネット ポートに接続してネットワークにアクセスできないようにしますが、同時に、カメラとホーム ネットワークの両方から NVR として機能しているホーム サーバーにアクセスできるようにします。

答え1

VLAN設定については簡単に説明します。参考までにTP-Link Smart Switchを使用しています。Easy Smart Switchシリーズは少し異なりますが、ほぼ同じ方法で実行できるはずです。第6.3章と第6.4章マニュアルに記載されています。

  1. より基本的な「ポートベース」の VLAN ではなく、802.1Q VLAN を構成する必要があります。
  2. 設定したいVLAN IDを入力します(例:1)
  3. を選択タグ付きポートこれは、このVLANに属するフレームが送信されるポートを意味します。VLANタグ付きルーターや他の管理対象スイッチなど、他の VLAN 対応デバイスにつながるポートにこれを使用します。
  4. を選択タグなしポートVLAN に属するフレームもこれらのポートに送信されますが、送信時に VLAN タグが削除されます。ホスト (コンピューター、サーバー、カメラなど) につながるポートにこれを使用します。
  5. タグなしポートの着信フレームにデフォルトのタグが付けられるように PVID を設定します。

この場合、VLAN 1 はルーター ポートでタグ付けされ、コンピューターが接続するすべてのポートではタグなしになります (同じポートで PVID 1 を使用)。VLAN 2 はルーター ポートでタグ付けされ、サーバー ポートではタグなしになります (そのポートで PVID 2 を使用)。VLAN 3 はルーター ポートでタグ付けされ、カメラ ポートではタグなしになります (そのポートで PVID 3 を使用)。

EdgeOS も設定する必要があります。

  1. VLAN インターフェイスを追加し、それぞれに独自の IP アドレスとサブネットを割り当てます (ここでは192.168.1.1/24、簡単にするために、192.168.2.1/24とを想定します192.168.3.1/24。つまり、ルータはVLAN 3 インターフェイスのサブネット192.168.3.1内のアドレスを使用しています192.168.3.0/24)。
  2. 各 VLAN にサービスを提供する DHCP サーバーを追加し、それぞれに独自のサブネットを割り当てます。
  3. DHCP サーバーを構成して、ゲートウェイ (「ルーター」) を EdgeOS デバイスに設定します。これは、#1 で指定した IP アドレスと一致する必要があります。
  4. ルーターのキャッシュ DNS サーバーにアクセスできるようにするには、VLAN を DNS リッスン インターフェイスとして追加します。

現在、デフォルトでは、EdgeOS はすべてのインターフェース間でパケットをルーティングします。特定のシナリオでこれをブロックしたい場合は、EdgeOS ファイアウォールを使用して実行できます。

  1. 最初に行うことは、VLAN (2 と 3?) がルーターの管理インターフェイスにアクセスするのをブロックするルールセットを追加することです。次のようになります。

    1. デフォルトのアクション: ドロップ
    2. ルールセットを編集し、インターフェイスに適用するように設定します => 方向に VLAN インターフェイスを追加しますlocal。ルーターを管理する VLAN にまだアクセス権があることを確認してください。
    3. DNSを許可するには、ポート53でTCPとUDPを受け入れるルールを追加します。
    4. EstablishedTCP と UDP を州で受け入れるルールを追加するRelated(詳細タブ)

  2. 一方向 1 => 3、デフォルトの新しいルールセットを作成しますAccept。必ず編集して、VLAN 1 および 3 インターフェイスにのみ適用してください。次に、ルールを順番に追加する必要があります。次のことをお勧めします。

    1. AcceptからSource 192.168.1.0/24へのルールを追加しますDestination 192.168.3.0/24。これにより、1 => 3 が開始する接続。
    2. 状態またはでAcceptからへのルールを追加します。これにより、TCP および UDP に対して 3 => 1 の応答 (ネットワークは双方向です!) が可能になります。Source 192.168.3.0/24Destination 192.168.1.0/24EstablishedRelated
    3. DropからSource 192.168.3.0/24にルールを追加しますDestination 192.168.1.0/24。これは、ルール #2 で許可されていないものを拒否するフォールバックです。つまり、3 => 1 は新しい接続を開始できません。
  3. また、VLAN 3 がインターネットにアクセスできないようにするファイアウォール ルールを追加することもできます。

ここで少し議論があります:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

何もブロックしない場合は、1 <=> 2 と 2 <=> 3 は最初から機能しているはずです。ただし、2 に脆弱性がある場合、攻撃者が 3 => 2 => 1 と進んでルーターのファイアウォールをバイパスする可能性があることに留意してください。

また、この例の設定は、実際には 3 => 1 を明示的にブロックしてデフォルトで許可していますが、3 は今後設定するすべての VLAN にアクセスできることに注意してください。より安全な (ただし少し複雑な) 設定は、デフォルトでブロックし (192.168.0.0/16ルールセットの最後のルールとしてブロック)、1 <=> 2、2 <=> 3、および 1 => 3 を明示的に許可することです。これは同じ一般原則に従います。2 を明示的に許可し、残りをブロックするルールを追加するだけです。

関連情報