¿Es posible la configuración de VLAN?

tag-icon tag-icon networking home-networking vlan
¿Es posible la configuración de VLAN?

Quiero ver si lo siguiente es posible usando VLAN:

Tengo el siguiente equipo:

  • Ubiquiti EdgeRouter Lite
  • Conmutador TP-LINK TL-SG1016PE
  • Servidor doméstico
  • 4 cámaras IP

¿Es posible configurar VLAN en la siguiente configuración con un solo conmutador?

  • Tenga la red doméstica normal (es decir, todas las computadoras domésticas, móviles, etc.) en, digamos, VLAN1.

  • Tener el servidor doméstico en VLAN 2.

  • Tener las Cámaras IP en VLAN 3.

Luego tendrá la capacidad de: VLAN 1 para comunicarse con VLAN 2. VLAN 3 para comunicarse con VLAN 2. No permitir la conexión de VLAN 3 nuevamente a VLAN 1, pero sí permitir la conexión de VLAN 1 a VLAN 3.

Básicamente, separar las cámaras de la red doméstica normal para que nadie pueda conectarse a sus puertos Ethernet y acceder a la red, pero al mismo tiempo pueda acceder al servidor doméstico que actúa como NVR tanto para las cámaras como para el hogar. red.

Respuesta1

Pasaré por alto brevemente la configuración de VLAN. Estoy usando un TP-Link Smart Switch como referencia: la gama Easy Smart Switch es un poco diferente, pero esto debería ser más o menos factible de la misma manera. Referirse aCapítulos 6.3 y 6.4en el manual.

  1. Desea configurar VLAN 802.1Q, no las más básicas "basadas en puertos".
  2. Ingrese el ID de VLAN que desea configurar (por ejemplo, 1)
  3. Selecciona elpuertos etiquetados. Esto significa que los puertos a través de los cuales se enviarán las tramas pertenecientes a esta VLAN,con la etiqueta VLAN. Úselo para puertos que conducen a otros dispositivos compatibles con VLAN, como su enrutador u otros conmutadores administrados.
  4. Selecciona elpuertos sin etiquetar. Las tramas que pertenecen a la VLAN también se enviarán a estos puertos, pero la etiqueta VLAN se eliminará al salir. Úselo para los puertos que conducen a los hosts (incluidas sus computadoras, servidores y cámaras).
  5. Configure sus PVID para que las tramas entrantes en puertos sin etiquetar obtengan una etiqueta predeterminada.

En su caso, la VLAN 1 se etiquetaría en el puerto del enrutador y se desetiquetaría en cualquier puerto al que se conecten sus computadoras (con PVID 1 en esos mismos puertos). La VLAN 2 se etiquetaría en el puerto del enrutador y se desetiquetaría en el puerto del servidor (con PVID 2 en ese puerto). La VLAN 3 se etiquetaría en el puerto del enrutador y se desetiquetaría en los puertos de la cámara (con PVID 3 en esos puertos).

También necesitarás configurar EdgeOS:

  1. Agregue las interfaces VLAN, dándoles a cada una su propia dirección IP y subred (asumiré 192.168.1.1/24, 192.168.2.1/24y 192.168.3.1/24para simplificar. Esto significa que el enrutador está usando la dirección 192.168.3.1en la 192.168.3.0/24subred en su interfaz VLAN 3).
  2. Agregue servidores DHCP que sirvan a cada VLAN, dándoles su propia subred.
  3. Configure los servidores DHCP para configurar la puerta de enlace ("enrutador") al dispositivo EdgeOS. Esto debe coincidir con las direcciones IP que especificó en el punto 1.
  4. Agregue las VLAN como interfaces de escucha DNS si desea que tengan acceso al servidor DNS de caché del enrutador.

Ahora, de forma predeterminada, EdgeOS enrutará paquetes entre todas sus interfaces. Desea bloquear esto en escenarios específicos, lo que se puede hacer usando el firewall de EdgeOS.

  1. Lo primero que querrá hacer es agregar un conjunto de reglas que bloquee el acceso de las VLAN (¿2 y 3?) a la interfaz de administración del enrutador. Debería verse algo como:

    1. Acción predeterminada: Soltar
    2. Edite el conjunto de reglas y configúrelo para que se aplique a Interfaces => agregue sus interfaces VLAN en dirección local. ¡Asegúrese de que la VLAN desde la que desea administrar el enrutador aún tenga acceso!
    3. Agregue una regla para aceptar TCP y UDP en el puerto 53 para permitir DNS
    4. Agregar regla para aceptar TCP y UDP en estados Establishedy Related(pestaña avanzada)

  2. Cree un nuevo conjunto de reglas para unidireccional 1 => 3, predeterminado Accept. Asegúrese de editarlo y aplicarlo solo a las interfaces VLAN 1 y 3. Ahora necesitas agregar tus reglas en orden. Yo sugeriría:

    1. Agregue una regla Acceptdesde Source 192.168.1.0/24hasta Destination 192.168.3.0/24. Esto permite que 1 => 3iniciadoconexiones.
    2. Agregue una regla Acceptdesde Source 192.168.3.0/24hasta Destination 192.168.1.0/24en estado Establishedo Related. Esto permite 3 => 1 respuestas (¡la red es bidireccional!) para TCP y UDP.
    3. Agregue una regla Dropdesde Source 192.168.3.0/24hasta Destination 192.168.1.0/24. Esta es la alternativa que rechaza todo lo que no está permitido por la regla n.° 2, lo que significa que 3 => 1 no puede iniciar nuevas conexiones.
  3. Es posible que también desee agregar reglas de firewall que impidan que la VLAN 3 acceda a Internet.

Hay un poco de discusión aquí:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Si no haces nada para bloquearlo, 1 <=> 2 y 2 <=> 3 deberían haber funcionado desde el principio. Tenga en cuenta que esto abre la posibilidad de que un atacante evite el firewall de su enrutador yendo a 3 => 2 => 1 si algo es vulnerable en 2.

También tenga en cuenta que esta configuración de ejemplo está permitida de forma predeterminada con un bloqueo explícito de 3 => 1, pero 3 aún puede acceder a cualquier VLAN futura que configure. Una configuración más segura (pero un poco más compleja) es bloquear de forma predeterminada (bloquear 192.168.0.0/16como última regla en un conjunto de reglas) y permitir explícitamente 1 <=> 2, 2 <=> 3 y 1 => 3. Sigue los mismos principios generales. ; solo necesitarás agregar reglas que permitan explícitamente 2 y bloqueen el resto.

información relacionada