Я кратко остановлюсь на конфигурации VLAN. Для справки я использую интеллектуальный коммутатор TP-Link - диапазон Easy Smart Switch немного отличается, но это должно быть более или менее выполнимо таким же образом. См. Главы 6.3 и 6.4 в руководстве.
- Вы хотите настроить сети VLAN 802.1Q, а не более базовые «на основе портов».
- Введите идентификатор VLAN, который вы хотите настроить (например, 1)
- Выберите помеченные порты . Это означает, что через порты, через которые будет передаваться фреймы, принадлежащие этой VLAN, будет тег VLAN . Используйте это для портов, ведущих к другим VLAN-совместимым устройствам, таким как ваш маршрутизатор или другие управляемые коммутаторы.
- Выберите непомеченные порты . Кадры, принадлежащие VLAN, также будут отправляться на эти порты, но метка VLAN удаляется при выходе. Используйте это для портов, ведущих к хостам (включая ваши компьютеры, серверы и камеры).
- Настройте свои PVID так, чтобы входящие кадры на непомеченных портах получали тег по умолчанию.
В вашем случае VLAN 1 будет помечен на порту маршрутизатора и не помечен на любом порту, к которому подключаются ваши компьютеры (с PVID 1 на тех же портах). VLAN 2 будет помечен на порту маршрутизатора и не помечен на порте сервера (с PVID 2 на этом порту). VLAN 3 будет помечен на порту маршрутизатора и не помечен на портах камеры (с PVID 3 на этих портах).
Вам также необходимо настроить EdgeOS:
- Добавьте интерфейсы VLAN, предоставив каждому из них собственный IP-адрес и подсеть (я предполагаю
192.168.1.1/24
,192.168.2.1/24
и192.168.3.1/24
для простоты. Это означает, что маршрутизатор использует адрес192.168.3.1
в192.168.3.0/24
подсети на своем интерфейсе VLAN 3.) - Добавьте DHCP-серверы, обслуживающие каждую VLAN, предоставив им свою собственную подсеть.
- Сконфигурируйте серверы DHCP, чтобы установить шлюз («маршрутизатор») для устройства EdgeOS. Это должно соответствовать IP-адресам, которые вы указали в # 1.
- Добавьте VLAN в качестве интерфейсов прослушивания DNS, если вы хотите, чтобы они имели доступ к кеширующему DNS-серверу маршрутизатора.
Теперь по умолчанию EdgeOS будет маршрутизировать пакеты между всеми своими интерфейсами. Вы хотите заблокировать это в определенных сценариях, что можно сделать с помощью брандмауэра EdgeOS.
Первое, что вам нужно сделать, это добавить набор правил, блокирующий VLAN (2 и 3?) От доступа к интерфейсу управления маршрутизатора. Это должно выглядеть примерно так:
- Действие по умолчанию: Drop
- Отредактируйте набор правил и установите его для применения к интерфейсам => добавьте свои интерфейсы VLAN в направлении
local
. Убедитесь, что VLAN, с которой вы хотите управлять маршрутизатором, все еще имеет доступ! - Добавьте правило для принятия TCP и UDP на порт 53, чтобы разрешить DNS
- Добавить правило для принятия TCP и UDP
Established
иRelated
состояний (вкладка «Дополнительно»)
Создайте новый набор правил для одностороннего 1 => 3, по умолчанию
Accept
. Обязательно отредактируйте его и примените только к интерфейсам VLAN 1 и 3. Теперь вам нужно добавить свои правила в порядок. Я бы предложил:- Добавить правило для
Accept
отSource
192.168.1.0/24
кDestination
192.168.3.0/24
. Это позволяет 1 => 3 инициировать соединения. - Добавить правило в
Accept
отSource
192.168.3.0/24
кDestination
192.168.1.0/24
в состоянииEstablished
илиRelated
. Это позволяет 3 => 1 ответов (сеть является двунаправленной!) Для TCP и UDP. - Добавить правило для
Drop
отSource
192.168.3.0/24
кDestination
192.168.1.0/24
. Это запасной вариант, который отклоняет все, что не разрешено правилом № 2, означающее, что 3 => 1 не может инициировать новые подключения.
- Добавить правило для
- Вы также можете добавить правила брандмауэра, блокирующие доступ VLAN 3 к Интернету.
Здесь есть небольшая дискуссия: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691
Если вы ничего не сделаете, чтобы заблокировать это, 1 <=> 2 и 2 <=> 3 должны были сработать с самого начала. Имейте в виду, что это дает злоумышленнику возможность обойти ваш межсетевой экран маршрутизатора, выполнив 3 => 2 => 1, если что-то уязвимо на 2.
Также имейте в виду, что этот пример настройки фактически разрешен по умолчанию с явным блоком от 3 => 1, но 3 все еще может получить доступ к любым будущим VLAN, которые вы настроили. Более безопасная (но немного более сложная) конфигурация состоит в том, чтобы блокировать по умолчанию (блокировать 192.168.0.0/16
как последнее правило в наборе правил) и явно разрешать 1 <=> 2, 2 <=> 3 и 1 => 3. Это следует тем же общим принципам ; вам просто нужно добавить правила, явно разрешающие 2 и блокирующие остальные.