VLAN設定可以嗎？

我將簡要介紹一下 VLAN 配置。我使用 TP-Link 智慧交換器作為參考 - Easy Smart Switch 系列有點不同，但這應該或多或少可以以相同的方式實現。參考第 6.3 和 6.4 章在手冊中。

1. 您想要設定 802.1Q VLAN，而不是更基本的「基於連接埠」的 VLAN。
2. 輸入您要設定的 VLAN ID（例如 1）
3. 選擇標記連接埠。這意味著屬於該 VLAN 的訊框將透過哪些連接埠發送，帶有 VLAN 標記。將此連接埠用於通往其他 VLAN 感知設備（例如路由器或其他託管交換器）的連接埠。
4. 選擇未標記的連接埠。屬於該 VLAN 的訊框也將被傳送到這些端口，但 VLAN 標記在出去時被剝離。將此連接埠用於通往主機（包括您的電腦、伺服器和攝影機）的連接埠。
5. 設定 PVID，以便未標記連接埠上的傳入幀獲得預設標記。

在您的情況下，VLAN 1 將在路由器連接埠上標記，並在您的電腦連接到的任何連接埠上取消標記（在這些相同連接埠上使用 PVID 1）。 VLAN 2 將在路由器連接埠上標記，並在伺服器連接埠上取消標記（該連接埠上有 PVID 2）。 VLAN 3 將在路由器連接埠上標記，並在攝影機連接埠上取消標記（這些連接埠上有 PVID 3）。

您還需要設定 EdgeOS：

1. 新增 VLAN 接口，為每個介面提供自己的 IP 位址和子網路（為了簡單起見，我將假設192.168.1.1/24、192.168.2.1/24和192.168.3.1/24。這意味著路由器在其 VLAN 3 介面上使用子網路192.168.3.1中的位址192.168.3.0/24。）
2. 新增為每個 VLAN 提供服務的 DHCP 伺服器，為它們提供自己的子網路。
3. 設定 DHCP 伺服器以設定 EdgeOS 設備的網關（「路由器」）。這應該與您在 #1 中指定的 IP 位址相符。
4. 如果您希望 VLAN 能夠存取路由器的快取 DNS 伺服器，請將 VLAN 新增為 DNS 偵聽介面。

---

現在，預設情況下，EdgeOS 將在其所有介面之間路由資料包。您想要在特定情況下封鎖此行為，可以使用 EdgeOS 防火牆來完成。

1. 您要做的第一件事是新增一個規則集，阻止 VLAN（2 和 3？）存取路由器的管理介面。它應該看起來像：

   1. 預設操作：丟棄
   2. 編輯規則集並將其設定為套用於介面 => 按方向新增 VLAN 介面local。確保您想要管理路由器的 VLAN 仍然可以存取！
   3. 新增規則以接受連接埠 53 上的 TCP 和 UDP 以允許 DNS
   4. Established新增規則以接受和狀態中的 TCP 和 UDP Related（高級選項卡）

2. 為單向 1 => 3, default 建立一個新規則集Accept。確保對其進行編輯並將其僅應用於 VLAN 1 和 3 介面。現在您需要按順序新增規則。我會建議：

   1. 將規則加入Acceptfrom Source 192.168.1.0/24to Destination 192.168.3.0/24。這允許 1 => 3發起連接。
   2. 在狀態或中新增一條規則到AcceptfromSource 192.168.3.0/24到。這允許 TCP 和 UDP 3 => 1 個回應（網路是雙向的！）。Destination 192.168.1.0/24EstablishedRelated
   3. 將規則加入Dropfrom Source 192.168.3.0/24to Destination 192.168.1.0/24。這是回退，拒絕規則 #2 不允許的任何內容，這表示 3 => 1 無法發起新連線。
3. 您可能還需要新增防火牆規則來阻止 VLAN 3 存取網際網路。

這裡有一些討論：https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

如果您不採取任何措施來阻止它，則 1 <=> 2 和 2 <=> 3 應該從一開始就有效。請記住，如果 2 上有漏洞，攻擊者確實有可能透過 3 => 2 => 1 來繞過路由器防火牆。

另請記住，預設情況下，此範例設定實際上是允許的，並明確阻止 3 => 1 ——但 3 仍然可以存取您將來設定的任何 VLAN。更安全（但稍微複雜）的配置是預設阻止（192.168.0.0/16作為規則集中的最後一條規則阻止）並明確允許 1 <=> 2、2 <=> 3 和 1 => 3。您只需要新增明確允許 2 並阻止其餘的規則。