在与金钱、桌面空间和其他类似考虑因素争论不休之后,我正在尝试创建一台 Jekyll-&-Hyde 计算机(并因此学习一些基本的网络原理。)
这既可用于个人用途,也可用于小型企业在家工作。他们没有 IT 部门,我是最接近它的人。我希望尽可能地在这两个功能之间实现彻底的中断,因此我的计划是将工作站从单独的驱动器双引导到不同的操作系统中。在个人模式下机器会加入VLAN-20,在公司模式下机器会加入VLAN-60。我认为我可以使用其中一个引导下的欺骗 MAC 地址或通过安装 pci-e 卡以在机器中提供一个或多个附加网络接口来实现此行为。在第二种情况下,我很难理解布线的安全含义。
- 我可以将一根电缆从智能交换机的单个端口连接到工作站,在不同引导之间交换我插入的工作站上的网络端口,并将端口开关设置为同时处理
VLAN-20和处理60流量吗?(不?“访问端口..应该是单个 VLAN 的成员”是的?“具有多个标签的端口..路由器需要知道如何删除标签..通常通过每个 VLAN 有一个单独的 IP 地址来完成”) - 在公司模式下,工作站将打开,
VLAN-60但交换机仍会向其发送标记为“20”的数据包,即使工作站本身已被分配了一个 ip onVLAN-60? - 唯一安全的方法是工作站上的两个端口-> 两条电缆(或在两端端口之间移动的一根电缆)-> 托管交换机上的两个端口?
我已经在网络上有一台 Truenas 机器,它呈现出类似的困境(我对 L2/L3 安全性的工作方式有误解)。那台机器有两个网络端口,但目前我只使用一个。在研究时,我发现连接第二个接口并通过它路由访问管理控制台可能是谨慎的。
- 如果这样做是为了让一些机器可以访问 NAS,但不能访问控制台,这是否意味着我需要 Truenas 盒子中的每个端口进入不同的 VLAN,或者让它们进入一个哑交换机就足够了并仅通过 IP 地址处理访问限制?
在试图回答我自己的问题时,我已经完成了我的功课,但我担心知道一点的人认为他知道很多,我会建立我的网络,相信我是安全的,而我却犯了很大的错误。
我目前的断言/理解:如果我有一个带有 2 个 LAN/VLAN 的路由器/防火墙(pfsense 盒),其中一个包含一台机器,另一台包含两台机器。
VLAN 20
-> Machine A
-> Machine B
VLAN 60
-> Machine C
AB无需通过路由器就可以交谈(连接它们的非托管交换机可以处理消息传递?)。(它们在同一个子网中?“一个 VLAN = 一个子网”)因此,阻止 A 的 ip 与 B 的 ip 的规则不会阻止(任何/全部/一些?)它们之间的流量?C不能在VLAN-60没有路由器的情况下与任何东西进行通信。“路由”流量,(“局域网间通信需要具有路由功能的 L3 设备。”)所以我们可以设置关于什么C可以做什么和不可以做什么的规则VLAN-20。- 允许
C访问特定机器VLAN-20并不会打开对所有的访问VLAN-20(因为目标 VLAN 中的目标 ip 可以是规则的一部分?)。我们可以说:C可能只与它交谈,除非代表它恶意转发它,否则它B不会A受到攻击。CBC
我离知道我在做什么还有多远??
我最初在 networkengineering.stackexchange 上问了这个问题,它被关闭为题外话,但在发布我的问题时建议使用以下帖子。阅读它们后,我仍然卡住了,但我用引号编辑了我的问题,以反映我从他们那里收集到的信息。
- https://networkengineering.stackexchange.com/questions/542/multiple-lan-interfaces-on-sonicwall
- https://networkengineering.stackexchange.com/questions/76094/router-interface-on-same-subnet
- https://networkengineering.stackexchange.com/questions/38042/vlan-trunk-between-single-port-machine-to-switch
- https://networkengineering.stackexchange.com/questions/32329/what-are-the-reasons-for-not-putting-multiple-subnets-on-the-same-vlan
- https://networkengineering.stackexchange.com/questions/45283/force-vlan-traffic-through-specified-interfaces
- https://networkengineering.stackexchange.com/questions/54531/two-ports-both-in-vlan-1-on-two-separate-switches-down-down
- Linux上的多个接口连接到多个vlan
- 创建面向多个 VLAN 的多个接口
- 家庭网络的 VLAN 配置
如果您的交换机支持“基于 MAC 的 VLAN”(这是一个不常见的功能,尽管它确实存在),这可能会起作用。
但是,标准 802.1Q VLAN 的区别不是 MAC 地址,而是每个数据包的以太网报头后面的显式“VLAN ID”标签。(因此,术语“标记”和“未标记”。)在同一端口上配置多个此类 VLAN 仅在工作站本身实施 802.1Q VLAN 标记时才有效,以让交换机知道它应该属于哪个 VLAN。
Linux 和 FreeBSD 允许在物理以太网接口之上创建带有 VLAN 标记的接口——您已经在 pfSense 路由器中使用了此功能。Windows 使用“外部”模式下的 Hyper-V vSwitch(一次仅一个 VLAN)或使用某些企业级 NIC 驱动程序(例如某些 Intel NIC)中的自定义功能来支持这一点。
因此,如果您有两个 Windows 安装,请在它们上启用 Hyper-V 并配置一个 vSwitch,该 vSwitch 使用您喜欢的任何 VLAN ID 连接到物理以太网接口。(确保在两个安装上都设置一个 vSwitch,无论它们是否使用 VLAN 标记 - 由于 Windows 中 NDIS6 的设计,当操作系统接收到标记的数据包时会发生奇怪的事情,而 Hyper-V vSwitch 会像过滤掉它们一样它应该。)
如果您安装了 Linux,请创建一个虚拟 VLAN 接口(通过 NetworkManager 或 networkd 或您的发行版使用的任何工具),但还要确保禁用原始物理接口上的所有 IP 配置。
一些交换机可能允许您在同一个端口上配置多个“未标记”VLAN,但这只能在一个方向上起作用——主机将能够接收来自两个 VLAN 的数据包,但只能发送到其中一个,以设置为准目前作为交换机端口的 PVID/“native vlan”。为了让主机指定它想在哪个 VLAN 上进行通信,它必须使用标记——这实际上就是它的用途。