在涉及安全摄像头、访客访问和 VLAN 的基本网络设置方面需要帮助/建议

网络工程 VLAN 无线的 防火墙 树干 切入点
2021-07-26 11:25:57

在某些时候,我想从单一、扁平的网络转变为使用 VLAN 的更安全的网络。

我知道我想要什么,我只是不完全了解本地 VLAN、中继端口和无线网络上的访客的一些细节。我将详细说明我拥有什么和我想要什么,以及我“认为”设置的外观。我希望对我可能误解的部分提供一些反馈/建议或澄清。

我会使用的物品:

  • Netgear 电缆调制解调器
  • Ubiquiti EdgeRouter X
  • 网件GS108PE POE交换机
  • HP ProCurve 1800-24G (J9028B) 交换机
  • Ubiquiti UAP-AC-Lite 接入点
  • 2个网络摄像机
  • 用作网络摄像机 NVR 的计算机

理想情况下,我希望设置是这样的:

AP的两个SSID,一个给自己上网,可以访问任何网络硬件,一个给客人上网,但不能访问网络硬件。我认为要解决这个问题,我需要结合使用 VLAN 和防火墙规则,对吗?

我想它看起来像这样:

  • MGT_VLAN 10 - 10.0.10.0/24
  • CAM_VLAN 20 - 10.0.20.0/24
  • GST_VLAN 30 - 192.168.1.0/24 带有 DHCP 池 192.168.1.100-192.168.1.254

到目前为止,这一切都好吗?

我认为应该按如下方式设置路由器:路由器 - 10.0.10.1 和 10.0.20.1 和 192.168.1.1 的 vif/子接口

并且网络硬件应该是 MGT_VLAN 10 的一部分并设置为 Native VLAN?如:

  • SW1 - 10.0.10.2
  • SW2 - 10.0.10.3
  • AP - 10.0.10.4(不确定使用 DHCP 与静态是否更好)

网络摄像机和 NVR 设置为 CAM_VLAN 20:

  • NVRcomp - 10.0.20.2
  • IPcam1 - 10.0.20.3
  • IPcam2 - 10.0.20.4

如果我使用 10.0.10.X 静态 ip 连接到管理员 SSID,如果路由器和交换机设置正确以使用 vlan 间路由,我应该能够访问摄像机、NVR 或其他网络硬件,对吗?

如果用户连接到访客网络,他们应该会自动收到一个 192.168.1.X ip 并且能够上网而不影响任何硬件,如果防火墙规则设置正确,对吗?

AP 需要处理管理 SSID 的 VLAN 10 和访客 SSID 的 VLAN 30,需要连接到 Netgear 交换机上的中继端口,对吗?(不确定中继端口是否是正确的术语......在查找有关 Cisco 与其他制造商的信息时似乎有点混乱。)

我想这些都是我的问题。对不起,如果这篇文章不清楚。我希望这是有道理的,但如果没有,我可以尝试画一张图。

感谢大家的意见、建议和知识。

1个回答

你走在正确的轨道上。

VLAN的基础非常简单

  • 可以将交换机划分为单独的 VLAN
  • 现在我们要说每个端口连接到哪个VLAN这称为给定 VLAN 的“访问端口”
  • 到目前为止,这就像拥有单独的开关一样,但也许更方便。主机不知道任何的VLAN
  • 加入两个交换机的多个 VLAN,将端口标记为中继当交换机从中继端口发送帧时,它会在以太网标头中添加一个标记,说明它位于哪个 VLAN。接收交换机期望在其自己的中继端口上有标签,因此可以看到标签,了解它所在的 VLAN,并在可能的情况下适当地转发它。您可能会发现这很有帮助https://networkengineering.stackexchange.com/a/49424
  • 接入点视为一个多 VLAN 交换机,一侧具有有趣的电线(无线电),另一侧具有中继端口;每个 SSID 将连接到一个 VLAN
  • 请记住,交换机、接入点等管理 IP 地址与其所服务的网络没有直接关系。
  • 一个开关从未转发从一个VLAN到另一个(但是,所谓的“第 3 层交换机”在交换机盒中包含路由器功能,因此它的路由器部分可以。)
  • 路由器也做 VLAN,否则你会有几根以太网电缆从交换机到路由器
  • 服务器操作系统也支持 VLAN您最终会得到多个以太网接口,有效地插入不同的 VLAN。因此,服务器可以在多个网络上提供 HTTP,而仅在一个网络上提供 SSH,而无需多个以太网
  • 一个非管理型交换机不知道的VLAN,所以它插入到其上游的交换机上相同VLAN的接入端口。
  • VLAN 带来了好处(高度灵活,可通过软件进行配置,节省布线和员工成本)和风险(如果您无法进入配线架,您就无法重新连接到秘密区域。现在,VLAN 漏洞将使您陷入困境)任何地方。)

我的建议是不要太过分,不要仅仅因为它们有不同的目的就将所有东西都放在自己的 VLAN 中:而是专注于权限。只考虑两种:一种用于员工,一种用于客人,或者在必要时员工、客人、设备管理。

在第 3 层术语中,您的网络可能如下所示:

                                    inet
                                     |        
                                     R     
         VLAN a          AP* SW*    / \    VLAN b
                          |   |    /   \
 ssida...=+===+===+===+===+===+===+=   =+===+=.....ssidb
      .   |   |   |   |                     |   .
      PC  PC CAM CAM NVR                    G   G

   PC wired and wifi staff
   AP*, SW* management interfaces
   CAM, NVR CCTV devices
   G wired and wifi guests
   VLAN a, b probably numbered 10 staff, 20 guest
   ssid a, b matching SSIDs, perhaps OURCOWIFI-STAFF, OURCOWIFI-GUEST

在第 2 层术语中,这将匹配:

       modem
        |
        R
        |    
        |  .T...a...b.. Multiple SSIDs from Access Point
        |   |   .   .
        |   |   PC  G
        |   |   
       =T===T===a===a===a===a===a===b=== Smart switch
                |   |   |   |   |   |
                |   PC NVR  SW* AP* G 
                |
               =+==+==+== Unmanaged POE switch (all VLAN a)
                   |  |
                  CAM CAM

对于您的具体情况,只需确保您无法通过路由器提供的任何方式将数据包从员工发送到访客或返回。

注意“默认 VLAN”。如果一个帧到达中继端口,它应该有一个 VLAN 标记。如果不是,许多交换机会将其发送到默认 VLAN,通常为 1。如果这是您的管理/专用 VLAN,则可能会出现未经授权的主机将帧发送到您的专用 VLAN 的可能性。如果是公共 VLAN,配置错误可能会将私有 VLAN 信息泄漏到公共 VLAN。解决方案是设置确保您的所有工作 VLAN 都不是默认值。

其它你可能感兴趣的问题
上一篇Cisco/Meraki 交换机 SFP 兼容性和双链路 下一篇ARP 表项