Возможна ли настройка VLAN?

Question

Я кратко расскажу о конфигурации VLAN. Я использую TP-Link Smart Switch для справки — линейка Easy Smart Switch немного отличается, но это должно быть более или менее осуществимо тем же способом. См.Главы 6.3 и 6.4в руководстве.

Вам необходимо настроить VLAN 802.1Q, а не более простые «на основе портов».
Введите идентификатор VLAN, который вы хотите настроить (например, 1)
Выберитепомеченные порты. Это означает, что порты, через которые будут отправляться кадры, принадлежащие этой VLAN,с тегом VLAN. Используйте это для портов, ведущих к другим устройствам с поддержкой VLAN, таким как маршрутизатор или другие управляемые коммутаторы.
Выберитенемаркированные порты. Кадры, принадлежащие VLAN, также будут отправлены на эти порты, но тег VLAN будет удален на выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
Настройте PVID так, чтобы входящие кадры на нетегированных портах получали тег по умолчанию.

В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порту сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).

Вам также потребуется настроить EdgeOS:

Добавьте интерфейсы VLAN, присвоив каждому из них собственный IP-адрес и подсеть (я предположу 192.168.1.1/24, 192.168.2.1/24что 192.168.3.1/24для простоты это означает, что маршрутизатор использует адрес 192.168.3.1в 192.168.3.0/24подсети на своем интерфейсе VLAN 3.)
Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им собственную подсеть.
Настройте DHCP-серверы для установки шлюза («маршрутизатора») на устройство EdgeOS. Это должно соответствовать IP-адресам, указанным вами в #1.
Добавьте VLAN в качестве интерфейсов прослушивания DNS, если вы хотите, чтобы они имели доступ к кэширующему DNS-серверу маршрутизатора.

Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.

Первое, что вам нужно сделать, это добавить набор правил, блокирующий доступ VLAN (2 и 3?) к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:
1. Действие по умолчанию: Отбросить
2. Отредактируйте набор правил и настройте его для применения к Интерфейсам => добавьте ваши интерфейсы VLAN в направлении local. Убедитесь, что VLAN, из которой вы хотите управлять маршрутизатором, все еще имеет доступ!
3. Добавьте правило для приема TCP и UDP на порту 53, чтобы разрешить DNS
4. Добавить правило для приема TCP и UDP в состояниях Establishedи Related(вкладка «Дополнительно»)
Создайте новый набор правил для одностороннего 1 => 3, default Accept. Убедитесь, что вы его редактируете и применяете только к интерфейсам VLAN 1 и 3. Теперь вам нужно добавить свои правила по порядку. Я бы предложил:
1. Добавьте правило Acceptот Source 192.168.1.0/24до Destination 192.168.3.0/24. Это позволяет 1 => 3 доинициироватьсвязи.
2. Добавьте правило Acceptиз Source 192.168.3.0/24в Destination 192.168.1.0/24состояние Establishedили Related. Это позволяет 3 => 1 ответов (сеть двунаправленная!) для TCP и UDP.
3. Добавьте правило Dropиз Source 192.168.3.0/24в Destination 192.168.1.0/24. Это резервный вариант, который отклоняет все, что не разрешено правилом № 2, то есть 3 => 1 не может инициировать новые соединения.
Возможно, вы также захотите добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.

Здесь есть небольшое обсуждение:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Если вы ничего не делаете для его блокировки, 1 <=> 2 и 2 <=> 3 должны были работать с самого начала. Помните, что это открывает злоумышленнику возможность обойти брандмауэр вашего маршрутизатора, перейдя по пути 3 => 2 => 1, если на 2 есть уязвимость.

Также имейте в виду, что этот пример настройки фактически разрешает по умолчанию с явным блоком от 3 => 1 -- но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроите. Более безопасная (но немного более сложная) конфигурация - это блокировка по умолчанию (блокировка 192.168.0.0/16как последнее правило в наборе правил) и явное разрешение 1 <=> 2, 2 <=> 3 и 1 => 3. Она следует тем же общим принципам; вам просто нужно будет добавить правила, явно разрешающие 2 и блокирующие остальные.

Answer 1

Я кратко расскажу о конфигурации VLAN. Я использую TP-Link Smart Switch для справки — линейка Easy Smart Switch немного отличается, но это должно быть более или менее осуществимо тем же способом. См.Главы 6.3 и 6.4в руководстве.

Вам необходимо настроить VLAN 802.1Q, а не более простые «на основе портов».
Введите идентификатор VLAN, который вы хотите настроить (например, 1)
Выберитепомеченные порты. Это означает, что порты, через которые будут отправляться кадры, принадлежащие этой VLAN,с тегом VLAN. Используйте это для портов, ведущих к другим устройствам с поддержкой VLAN, таким как маршрутизатор или другие управляемые коммутаторы.
Выберитенемаркированные порты. Кадры, принадлежащие VLAN, также будут отправлены на эти порты, но тег VLAN будет удален на выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
Настройте PVID так, чтобы входящие кадры на нетегированных портах получали тег по умолчанию.

В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порту сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).

Вам также потребуется настроить EdgeOS:

Добавьте интерфейсы VLAN, присвоив каждому из них собственный IP-адрес и подсеть (я предположу 192.168.1.1/24, 192.168.2.1/24что 192.168.3.1/24для простоты это означает, что маршрутизатор использует адрес 192.168.3.1в 192.168.3.0/24подсети на своем интерфейсе VLAN 3.)
Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им собственную подсеть.
Настройте DHCP-серверы для установки шлюза («маршрутизатора») на устройство EdgeOS. Это должно соответствовать IP-адресам, указанным вами в #1.
Добавьте VLAN в качестве интерфейсов прослушивания DNS, если вы хотите, чтобы они имели доступ к кэширующему DNS-серверу маршрутизатора.

Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.

Первое, что вам нужно сделать, это добавить набор правил, блокирующий доступ VLAN (2 и 3?) к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:
1. Действие по умолчанию: Отбросить
2. Отредактируйте набор правил и настройте его для применения к Интерфейсам => добавьте ваши интерфейсы VLAN в направлении local. Убедитесь, что VLAN, из которой вы хотите управлять маршрутизатором, все еще имеет доступ!
3. Добавьте правило для приема TCP и UDP на порту 53, чтобы разрешить DNS
4. Добавить правило для приема TCP и UDP в состояниях Establishedи Related(вкладка «Дополнительно»)
Создайте новый набор правил для одностороннего 1 => 3, default Accept. Убедитесь, что вы его редактируете и применяете только к интерфейсам VLAN 1 и 3. Теперь вам нужно добавить свои правила по порядку. Я бы предложил:
1. Добавьте правило Acceptот Source 192.168.1.0/24до Destination 192.168.3.0/24. Это позволяет 1 => 3 доинициироватьсвязи.
2. Добавьте правило Acceptиз Source 192.168.3.0/24в Destination 192.168.1.0/24состояние Establishedили Related. Это позволяет 3 => 1 ответов (сеть двунаправленная!) для TCP и UDP.
3. Добавьте правило Dropиз Source 192.168.3.0/24в Destination 192.168.1.0/24. Это резервный вариант, который отклоняет все, что не разрешено правилом № 2, то есть 3 => 1 не может инициировать новые соединения.
Возможно, вы также захотите добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.

Здесь есть небольшое обсуждение:https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

Если вы ничего не делаете для его блокировки, 1 <=> 2 и 2 <=> 3 должны были работать с самого начала. Помните, что это открывает злоумышленнику возможность обойти брандмауэр вашего маршрутизатора, перейдя по пути 3 => 2 => 1, если на 2 есть уязвимость.

Также имейте в виду, что этот пример настройки фактически разрешает по умолчанию с явным блоком от 3 => 1 -- но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроите. Более безопасная (но немного более сложная) конфигурация - это блокировка по умолчанию (блокировка 192.168.0.0/16как последнее правило в наборе правил) и явное разрешение 1 <=> 2, 2 <=> 3 и 1 => 3. Она следует тем же общим принципам; вам просто нужно будет добавить правила, явно разрешающие 2 и блокирующие остальные.

Возможна ли настройка VLAN?

решение1

Связанный контент