Я кратко остановлюсь на конфигурации VLAN. Для справки я использую интеллектуальный коммутатор TP-Link - диапазон Easy Smart Switch немного отличается, но это должно быть более или менее выполнимо таким же образом. Ссылаться на Главы 6.3 и 6.4 в руководстве.
- Вы хотите настроить сети VLAN 802.1Q, а не более базовые «на основе портов».
- Введите идентификатор VLAN, который вы хотите настроить (например, 1)
- Выберите помеченные порты , Это означает, что порты, через которые будут отправляться кадры, принадлежащие этой VLAN, с тегом VLAN , Используйте это для портов, ведущих к другим VLAN-совместимым устройствам, таким как маршрутизатор или другие управляемые коммутаторы
- Выберите нетегированные порты , Кадры, принадлежащие VLAN, также будут отправлены на эти порты, но тег VLAN удаляется при выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
- Настройте свои PVID так, чтобы входящие кадры на непомеченных портах получали тег по умолчанию.
В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порте сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).
Вам также необходимо настроить EdgeOS:
- Добавьте интерфейсы VLAN, предоставив каждому из них собственный IP-адрес и подсеть (я предполагаю,
192.168.1.1/24
, 192.168.2.1/24
а также 192.168.3.1/24
для простоты. Это означает, что маршрутизатор использует адрес 192.168.3.1
в 192.168.3.0/24
подсеть на его интерфейсе VLAN 3.)
- Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им собственную подсеть.
- Настройте DHCP-серверы для установки шлюза («маршрутизатора») на устройство EdgeOS. Это должно соответствовать IP-адресам, которые вы указали в # 1.
- Добавьте VLAN как интерфейсы прослушивания DNS, если вы хотите, чтобы они имели доступ к кеширующему DNS-серверу маршрутизатора.
Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.
Первое, что вам нужно сделать, это добавить набор правил, блокирующий VLAN (2 и 3?) От доступа к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:
- Действие по умолчанию: Drop
- Отредактируйте набор правил и установите его для применения к интерфейсам = & gt; добавить свои интерфейсы VLAN в направлении
local
, Убедитесь, что VLAN, с которой вы хотите управлять маршрутизатором, все еще имеет доступ!
- Добавьте правило для принятия TCP и UDP на порт 53, чтобы разрешить DNS
- Добавить правило для принятия TCP и UDP в
Established
а также Related
состояния (расширенная вкладка)
Создать новый набор правил для одностороннего 1 = & gt; 3, по умолчанию Accept
, Обязательно отредактируйте его и примените только к интерфейсам VLAN 1 и 3 Теперь вам нужно добавить свои правила в порядок. Я бы предложил:
- Добавить правило в
Accept
от Source
192.168.1.0/24
в Destination
192.168.3.0/24
, Это позволяет 1 = & gt; 3 к инициировать соединения.
- Добавить правило в
Accept
от Source
192.168.3.0/24
в Destination
192.168.1.0/24
в состоянии Established
или же Related
, Это позволяет 3 = & gt; 1 ответ (сеть двунаправленная!) Для TCP и UDP.
- Добавить правило в
Drop
от Source
192.168.3.0/24
в Destination
192.168.1.0/24
, Это запасной вариант, который отклоняет все, что не разрешено правилом № 2, что означает 3 = & gt; 1 не может инициировать новые соединения.
- Вы также можете добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.
Здесь есть небольшая дискуссия: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691
Если вы ничего не делаете, чтобы заблокировать это, 1 & lt; = & gt; 2 и 2 & lt; = & gt; 3 должно было сработать с самого начала. Помните, что это дает злоумышленнику возможность обойти брандмауэр вашего маршрутизатора, выполнив 3 = & gt; 2 = & gt; 1, если что-то уязвимо на 2.
Также имейте в виду, что этот пример настройки фактически разрешен по умолчанию с явным блоком из 3 = & gt; 1 - но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроили. Более безопасный (но немного более сложный) конфиг - блокировать по умолчанию (блокировать 192.168.0.0/16
как последнее правило в наборе правил) и явно разрешить 1 & lt; = & gt; 2, 2 & lt; = & gt; 3 и 1 = & gt; 3. Он следует тем же общим принципам; вам просто нужно добавить правила, явно разрешающие 2 и блокирующие остальные.