VLAN 설정이 가능합니까?

tag-icon tag-icon networking home-networking vlan
VLAN 설정이 가능합니까?

VLAN을 사용하여 다음이 가능한지 확인하고 싶습니다.

나는 다음과 같은 장비를 가지고 있습니다 :

  • 유비쿼터스 EdgeRouter Lite
  • TP-LINK TL-SG1016PE 스위치
  • 홈 서버
  • IP 카메라 4대

하나의 스위치만으로 다음 구성으로 VLAN을 설정할 수 있습니까?

  • VLAN1에 일반 홈 네트워크(예: 모든 홈 컴퓨터, 모바일 등)가 있어야 합니다.

  • VLAN 2에 홈 서버를 두십시오.

  • VLAN 3에 IP 카메라를 설치하세요.

그런 다음 다음 기능을 갖습니다. VLAN 1은 VLAN 2와 통신합니다. VLAN 3은 VLAN 2와 통신합니다. VLAN 3에서 VLAN 1로의 연결은 허용하지 않지만 VLAN 1에서 VLAN 3으로의 연결은 허용합니다.

기본적으로 일반 홈 네트워크에서 카메라를 분리하여 누구도 이더넷 포트에 연결하여 네트워크에 액세스할 수 없지만 동시에 카메라와 홈 모두에서 NVR 역할을 하는 홈 서버에 액세스할 수 있도록 합니다. 회로망.

답변1

VLAN 구성에 대해 간단히 살펴보겠습니다. 참고용으로 TP-Link 스마트 스위치를 사용하고 있습니다. Easy Smart Switch 범위는 약간 다르지만 동일한 방식으로 어느 정도 실행 가능해야 합니다. 인용하다6.3장과 6.4장설명서에.

  1. 보다 기본적인 "포트 기반" VLAN이 아닌 802.1Q VLAN을 구성하려고 합니다.
  2. 구성하려는 VLAN ID를 입력하세요(예: 1).
  3. 선택태그가 지정된 포트. 이는 이 VLAN에 속한 프레임이 전송되는 포트를 의미합니다.VLAN 태그 포함. 라우터나 기타 관리되는 스위치와 같은 다른 VLAN 인식 장치로 연결되는 포트에 이 기능을 사용하십시오.
  4. 선택태그가 지정되지 않은 포트. VLAN에 속한 프레임도 이 포트로 전송되지만 VLAN 태그는 나가는 도중에 제거됩니다. 호스트(컴퓨터, 서버, 카메라 포함)로 연결되는 포트에 사용하세요.
  5. 태그가 지정되지 않은 포트의 수신 프레임이 기본 태그를 갖도록 PVID를 설정하십시오.

귀하의 경우 VLAN 1은 라우터 포트에 태그가 지정되고 컴퓨터가 연결되는 모든 포트에서는 태그가 지정되지 않습니다(동일한 포트에 PVID 1이 있음). VLAN 2는 라우터 포트에 태그가 지정되고 서버 포트에서는 태그가 지정되지 않습니다(해당 포트에 PVID 2 포함). VLAN 3은 라우터 포트에 태그가 지정되고 카메라 포트에서는 태그가 지정되지 않습니다(해당 포트에는 PVID 3이 있음).

EdgeOS도 구성해야 합니다.

  1. VLAN 인터페이스를 추가하여 각각 고유한 IP 주소와 서브넷을 제공합니다. 단순화 를 위해 이라고 192.168.1.1/24가정 하겠습니다 . 이는 라우터가 VLAN 3 인터페이스의 서브넷 주소 를 사용하고 있음을 의미합니다.192.168.2.1/24192.168.3.1/24192.168.3.1192.168.3.0/24
  2. 각 VLAN을 서비스하는 DHCP 서버를 추가하여 자체 서브넷을 제공합니다.
  3. EdgeOS 장치에 게이트웨이("라우터")를 설정하도록 DHCP 서버를 구성합니다. 이는 #1에서 지정한 IP 주소와 일치해야 합니다.
  4. 라우터의 캐싱 DNS 서버에 액세스할 수 있도록 하려면 VLAN을 DNS 수신 인터페이스로 추가하세요.

이제 기본적으로 EdgeOS는 모든 인터페이스 간에 패킷을 라우팅합니다. EdgeOS 방화벽을 사용하여 수행할 수 있는 특정 시나리오에서 이를 차단하려고 합니다.

  1. 가장 먼저 해야 할 일은 VLAN(2 및 3?)이 라우터의 관리 인터페이스에 액세스하지 못하도록 차단하는 규칙 세트를 추가하는 것입니다. 다음과 같아야 합니다.

    1. 기본 동작: 삭제
    2. 규칙 세트를 편집하고 인터페이스에 적용하도록 설정합니다. => VLAN 인터페이스를 방향에 추가합니다 local. 라우터를 관리하려는 VLAN에 여전히 액세스 권한이 있는지 확인하세요!
    3. DNS를 허용하려면 포트 53에서 TCP 및 UDP를 허용하는 규칙을 추가하세요.
    4. Established및 상태 에서 TCP 및 UDP를 허용하는 규칙 추가 Related(고급 탭)

  2. 단방향 1 => 3, 기본값에 대한 새 규칙 세트를 만듭니다 Accept. 이를 편집하여 VLAN 1 및 3 인터페이스에만 적용하십시오. 이제 규칙을 순서대로 추가해야 합니다. 내가 제안 할게:

    1. Accept에서 까지 Source 192.168.1.0/24에 규칙을 추가합니다 Destination 192.168.3.0/24. 이는 1 => 3을 허용합니다.시작하다사이.
    2. 상태 또는 에서 Accept까지 규칙을 추가하세요 . 이는 TCP 및 UDP에 대해 3 => 1 응답(네트워크는 양방향입니다!)을 허용합니다.Source 192.168.3.0/24Destination 192.168.1.0/24EstablishedRelated
    3. Drop에서 까지 Source 192.168.3.0/24에 규칙을 추가합니다 Destination 192.168.1.0/24. 이는 규칙 #2에서 허용되지 않는 모든 것을 거부하는 폴백입니다. 즉, 3 => 1은 새 연결을 시작할 수 없습니다.
  3. VLAN 3이 인터넷에 액세스하지 못하도록 차단하는 방화벽 규칙을 추가할 수도 있습니다.

여기에 약간의 논의가 있습니다.https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

차단하기 위해 아무 조치도 취하지 않으면 1 <=> 2 및 2 <=> 3이 처음부터 작동했어야 합니다. 이는 공격자가 2에 취약한 항목이 있는 경우 3 => 2 => 1로 이동하여 라우터 방화벽을 우회할 가능성을 열어준다는 점을 명심하십시오.

또한 이 예제 설정은 실제로 3 => 1의 명시적 블록을 사용하여 기본적으로 허용되지만 3은 여전히 ​​설정한 향후 VLAN에 액세스할 수 있습니다. 더 안전한(그러나 약간 더 복잡한) 구성은 기본적으로 차단하고( 192.168.0.0/16규칙 세트의 마지막 규칙으로 차단) 1 <=> 2, 2 <=> 3 및 1 => 3을 명시적으로 허용하는 것입니다. 이는 동일한 일반 원칙을 따릅니다. ; 2개를 명시적으로 허용하고 나머지는 차단하는 규칙을 추가하기만 하면 됩니다.

관련 정보