Ich werde die VLAN-Konfiguration kurz erläutern. Ich verwende einen TP-Link Smart Switch als Referenz - der Easy Smart Switch-Bereich ist etwas anders, sollte aber auf dieselbe Weise mehr oder weniger machbar sein. Siehe Kapitel 6.3 und 6.4 im Handbuch.
- Sie möchten 802.1Q-VLANs konfigurieren, nicht die einfacheren "portbasierten".
- Geben Sie die VLAN-ID ein, die Sie konfigurieren möchten (z. B. 1).
- Wählen Sie die markierten Ports aus . Dies bedeutet, dass die Ports, zu denen Frames, die zu diesem VLAN gehören, mit dem VLAN-Tag gesendet werden . Verwenden Sie dies für Ports, die zu anderen VLAN-fähigen Geräten führen, z. B. Ihrem Router oder anderen verwalteten Switches.
- Wählen Sie die Ports ohne Tag aus . Frames, die zum VLAN gehören, werden ebenfalls an diese Ports gesendet, das VLAN-Tag wird jedoch auf dem Weg nach außen entfernt. Verwenden Sie dies für Ports, die zu Hosts führen (einschließlich Computer, Server und Kameras).
- Richten Sie Ihre PVIDs so ein, dass eingehende Frames auf nicht gekennzeichneten Ports ein Standard-Tag erhalten.
In Ihrem Fall würde VLAN 1 am Router-Port markiert und an jedem Port, an den sich Ihre Computer anschließen, mit einem Tag versehen (mit PVID 1 an denselben Ports). VLAN 2 würde am Router-Port und nicht am Server-Port (mit PVID 2 an diesem Port) markiert werden. VLAN 3 würde am Router-Port und nicht an den Kamera-Ports (mit PVID 3 an diesen Ports) markiert werden.
Sie müssen auch EdgeOS konfigurieren:
- Fügen Sie die VLAN - Schnittstellen, so dass sie jeweils eine eigene IP - Adresse und Subnet geben (Ich gehe davon aus
192.168.1.1/24
,192.168.2.1/24
und der192.168.3.1/24
Einfachheit halber. Dies bedeutet, dass der Router mit der Adresse192.168.3.1
im192.168.3.0/24
Subnetz auf seiner VLAN - 3 - Schnittstelle.) - Fügen Sie DHCP-Server hinzu, die jedes VLAN bedienen, und geben Sie ihnen ein eigenes Subnetz.
- Konfigurieren Sie die DHCP-Server, um das Gateway ("Router") für das EdgeOS-Gerät festzulegen. Dies sollte mit den in # 1 angegebenen IP-Adressen übereinstimmen.
- Fügen Sie die VLANs als DNS-Listenschnittstellen hinzu, wenn Sie Zugriff auf den Cache-DNS-Server des Routers erhalten sollen.
Standardmäßig leitet EdgeOS Pakete zwischen allen seinen Schnittstellen weiter. Sie möchten dies in bestimmten Szenarien blockieren, die mithilfe der EdgeOS-Firewall durchgeführt werden können.
Als erstes sollten Sie einen Regelsatz hinzufügen, der den Zugriff von VLANs (2 und 3?) Auf die Verwaltungsschnittstelle des Routers verhindert. Es sollte ungefähr so aussehen:
- Standardaktion: Ablegen
- Bearbeiten Sie den Regelsatz und legen Sie fest, dass er auf Schnittstellen angewendet wird => Fügen Sie Ihre VLAN-Schnittstellen in Richtung hinzu
local
. Stellen Sie sicher, dass das VLAN, von dem aus Sie den Router verwalten möchten, weiterhin Zugriff hat! - Fügen Sie eine Regel hinzu, um TCP und UDP an Port 53 anzunehmen, um DNS zuzulassen
- Regel hinzufügen, um TCP und UDP in
Established
undRelated
Zuständen zu akzeptieren (Registerkarte "Erweitert")
Erstellen Sie einen neuen Regelsatz für einseitige 1 => 3, Standard
Accept
. Stellen Sie sicher, dass Sie ihn bearbeiten und nur auf die VLAN 1- und 3-Schnittstellen anwenden. Jetzt müssen Sie Ihre Regeln in der richtigen Reihenfolge hinzufügen. Ich würde vorschlagen:- Fügen Sie eine Regel zu
Accept
vonSource
192.168.1.0/24
bis hinzuDestination
192.168.3.0/24
. Dadurch kann 1 => 3 Verbindungen initiieren . - Fügen Sie eine Regel zu
Accept
vonSource
192.168.3.0/24
inDestination
192.168.1.0/24
inEstablished
oder hinzuRelated
. Dies erlaubt 3 => 1 Antworten (Netzwerk ist bidirektional!) Für TCP und UDP. - Fügen Sie eine Regel zu
Drop
vonSource
192.168.3.0/24
bis hinzuDestination
192.168.1.0/24
. Dies ist der Fallback, der alles ablehnt, was in Regel Nr. 2 nicht zulässig ist, dh 3 => 1 kann keine neuen Verbindungen initiieren.
- Fügen Sie eine Regel zu
- Möglicherweise möchten Sie auch Firewall-Regeln hinzufügen, die den Zugriff von VLAN 3 auf das Internet verhindern.
Hier gibt es ein wenig Diskussion: https://community.ubnt.com/t5/EdgeRouter/One-way-firewall-rules/td-p/1505691
Wenn Sie nichts dagegen unternehmen, sollte es von Anfang an 1 <=> 2 und 2 <=> 3 funktionieren. Beachten Sie, dass dies die Möglichkeit für einen Angreifer eröffnet, die Firewall Ihres Routers zu umgehen, indem Sie 3 => 2 => 1 wählen, wenn auf 2 eine Sicherheitsanfälligkeit besteht.
Denken Sie auch daran, dass diese Beispielkonfiguration standardmäßig einen expliziten Block von 3 => 1 zulässt - 3 kann jedoch weiterhin auf zukünftige VLANs zugreifen, die Sie einrichten. Eine sicherere (aber etwas komplexere) Konfiguration ist standardmäßig zu blockieren ( 192.168.0.0/16
als letzte Regel in einem Regelsatz blockieren) und explizit 1 <=> 2, 2 <=> 3 und 1 => 3 zulassen. Sie folgt den gleichen allgemeinen Prinzipien ; Sie müssen lediglich Regeln hinzufügen, die explizit 2 zulassen und den Rest blockieren.