web-dev-qa-db-ja.com

VLANセットアップは可能ですか?

VLANを使用して次のことが可能かどうかを確認したいと思います。

私は次の機器を持っています:

  • Ubiquiti EdgeRouter Lite
  • TP-LINKTL-SG1016PEスイッチ
  • ホームサーバー
  • 4 xIPカメラ

1つのスイッチだけで次の構成でVLANを設定することは可能ですか?

  • たとえばVLAN1に通常のホームネットワーク(つまり、すべてのホームコンピューター、モバイルなど)を配置します。

  • ホームサーバーをVLAN 2。

  • IPカメラをVLAN 3に設定します。

次に、次の機能があります。VLAN 1と通信するVLAN 2. VLAN 3と通信するVLAN 2. VLAN 3からVLAN 1に戻る接続を許可しないが、VLAN 1からVLAN 3。

基本的に、カメラを通常のホームネットワークから分割して、誰もイーサネットポートに接続してネットワークにアクセスできないようにすると同時に、カメラとホームの両方でNVRとして機能しているホームサーバーにアクセスできるようにします。通信網。

networkinghome-networkingvlan
1
Tenatious

VLAN構成について簡単に説明します。参考のためにTP-Linkスマートスイッチを使用しています。EasySmartSwitchの範囲は少し異なりますが、これは多かれ少なかれ実行可能であるはずです。マニュアルの 6.3章と6.4章 を参照してください。

  1. より基本的な「ポートベース」のVLANではなく、802.1QVLANを構成する必要があります。
  2. 設定するVLAN ID(例:1))を入力します
  3. タグ付きポートを選択します。これは、このVLANが送信されるポート、、VLANタグ。これは、ルーターや他のマネージドスイッチなどの他のVLAN対応デバイスにつながるポートに使用します。
  4. タグなしポートを選択します。 VLANに属するフレームもこれらのポートに送信されますが、VLANタグは途中で削除されます。これをホストにつながるポートに使用します(コンピューター、サーバー、カメラを含む)。
  5. タグなしポートの着信フレームがデフォルトのタグを取得するようにPVIDを設定します。

あなたの場合、VLAN 1はルーターポートでタグ付けされ、コンピューターが接続するすべてのポートでタグ付けされません(同じポートにPVID 1があります)。VLAN = 2はルーターポートでタグ付けされ、サーバーポートでタグ付けされません(そのポートでPVID 2を使用)VLAN 3はルーターポートでタグ付けされ、カメラポートでタグ付けされません(それらのポートのPVID3)。

また、EdgeOSを構成する必要があります。

  1. VLANインターフェースを追加し、それぞれに独自のIPアドレスとサブネットを与えます(簡単にするために、192.168.1.1/24192.168.2.1/24、および192.168.3.1/24と仮定します。これは、ルーターは、そのVLAN 3インターフェイス)の192.168.3.1サブネットのアドレス192.168.3.0/24を使用しています。
  2. 各VLANにサービスを提供するDHCPサーバーを追加し、それらに独自のサブネットを与えます。
  3. ゲートウェイ(「ルーター」)をEdgeOSデバイスに設定するようにDHCPサーバーを構成します。これは、#1で指定したIPアドレスと一致する必要があります。
  4. VLANをルーターのキャッシングDNSサーバーにアクセスできるようにする場合は、VLANをDNSリッスンインターフェイスとして追加します。

現在、デフォルトでは、EdgeOSはすべてのインターフェイス間でパケットをルーティングします。 EdgeOSファイアウォールを使用して実行できる特定のシナリオでこれをブロックする必要があります。

  1. 最初に実行したいのは、VLAN(2と3?)がルーターの管理インターフェイスにアクセスするのをブロックするルールセットを追加することです。次のようになります。

    1. デフォルトのアクション:ドロップ
    2. ルールセットを編集し、インターフェースに適用するように設定します=> VLANインターフェースをlocal方向に追加します。VLANアクセスできます!
    3. DNSを許可するためにポート53でTCPおよびUDPを受け入れるルールを追加します
    4. TCPおよびEstablishedおよびRelated状態のUDPを受け入れるルールを追加します(詳細タブ)

  2. 一方向1 => 3、デフォルトはAcceptの新しいルールセットを作成します。必ず編集して、VLAN 1および3インターフェイスにのみ適用してください。次に、ルールを順番に追加する必要があります。次のことをお勧めします。

    1. ルールをAcceptSource192.168.1.0/24からDestination192.168.3.0/24に追加します。これにより、1 => 3からinitiate接続が可能になります。
    2. 状態AcceptまたはSourceDestination192.168.3.0/24からEstablished192.168.1.0/24までのRelatedにルールを追加します。これにより、TCPおよびUDPに対して3 => 1の応答(ネットワークは双方向です!)が可能になります。
    3. ルールをDropSource192.168.3.0/24からDestination192.168.1.0/24に追加します。これは、ルール#2で許可されていないものをすべて拒否するフォールバックです。つまり、3 => 1は新しい接続を開始できません。
  3. VLAN 3がインターネットにアクセスするのをブロックするファイアウォールルールを追加することもできます。

ここで少し議論があります: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691

それをブロックするために何もしなければ、1 <=> 2と2 <=> 3は最初から機能しているはずです。これにより、攻撃者が2で脆弱な場合、3 => 2 => 1に移動して、ルーターファイアウォールをバイパスする可能性が開かれることに注意してください。

また、このセットアップ例は、実際には3 => 1からの明示的なブロックでデフォルトで許可されていますが、3はセットアップした将来のVLANに引き続きアクセスできることにも注意してください。より安全な(ただし少し複雑な)構成は、デフォルトでブロックし(ルールセットの最後のルールとして192.168.0.0/16をブロック)、1 <=> 2、2 <=> 3および1 => 3を明示的に許可することです。同じ一般原則に従います。 2を明示的に許可し、残りをブロックするルールを追加する必要があります。

3
Bob