主页 / user-927543

John S.'s questions

Martin Hope
John S.
Asked: 2022-06-14 10:12:16 +0800 CST
  • 6

在与金钱、桌面空间和其他类似考虑因素争论不休之后,我正在尝试创建一台 Jekyll-&-Hyde 计算机(并因此学习一些基本的网络原理。)

这既可用于个人用途,也可用于小型企业在家工作。他们没有 IT 部门,我是最接近它的人。我希望尽可能地在这两个功能之间实现彻底的中断,因此我的计划是将工作站从单独的驱动器双引导到不同的操作系统中。在个人模式下机器会加入VLAN-20,在公司模式下机器会加入VLAN-60。我认为我可以使用其中一个引导下的欺骗 MAC 地址或通过安装 pci-e 卡以在机器中提供一个或多个附加网络接口来实现此行为。在第二种情况下,我很难理解布线的安全含义。

  • 我可以将一根电缆从智能交换机的单个端口连接到工作站,在不同引导之间交换我插入的工作站上的网络端口,并将端口开关设置为同时处理VLAN-20和处理60流量吗?(不?“访问端口..应该是单个 VLAN 的成员”是的?“具有多个标签的端口..路由器需要知道如何删除标签..通常通过每个 VLAN 有一个单独的 IP 地址来完成”
  • 在公司模式下,工作站将打开,VLAN-60但交换机仍会向其发送标记为“20”的数据包,即使工作站本身已被分配了一个 ip on VLAN-60
  • 唯一安全的方法是工作站上的两个端口-> 两条电缆(或在两端端口之间移动的一根电缆)-> 托管交换机上的两个端口?

我已经在网络上有一台 Truenas 机器,它呈现出类似的困境(我对 L2/L3 安全性的工作方式有误解)。那台机器有两个网络端口,但目前我只使用一个。在研究时,我发现连接第二个接口并通过它路由访问管理控制台可能是谨慎的。

  • 如果这样做是为了让一些机器可以访问 NAS,但不能访问控制台,这是否意味着我需要 Truenas 盒子中的每个端口进入不同的 VLAN,或者让它们进入一个哑交换机就足够了并仅通过 IP 地址处理访问限制?

在试图回答我自己的问题时,我已经完成了我的功课,但我担心知道一点的人认为他知道很多,我会建立我的网络,相信我是安全的,而我却犯了很大的错误。

我目前的断言/理解:如果我有一个带有 2 个 LAN/VLAN 的路由器/防火墙(pfsense 盒),其中一个包含一台机器,另一台包含两台机器。

VLAN 20
    -> Machine A
    -> Machine B
VLAN 60
    -> Machine C
  1. AB无需通过路由器就可以交谈(连接它们的非托管交换机可以处理消息传递?)。(它们在同一个子网中?“一个 VLAN = 一个子网”)因此,阻止 A 的 ip 与 B 的 ip 的规则不会阻止(任何/全部/一些?)它们之间的流量?
  2. C不能在VLAN-60没有路由器的情况下与任何东西进行通信。“路由”流量,(“局域网间通信需要具有路由功能的 L3 设备。”)所以我们可以设置关于什么C可以做什么和不可以做什么的规则VLAN-20
  3. 允许C访问特定机器VLAN-20并不会打开对所有的访问VLAN-20(因为目标 V​​LAN 中的目标 ip 可以是规则的一部分?)。我们可以说:C可能只与它交谈,除非代表它恶意转发它,否则它B不会A受到攻击。CBC

我离知道我在做什么还有多远??

我最初在 networkengineering.stackexchange 上问了这个问题,它被关闭为题外话,但在发布我的问题时建议使用以下帖子。阅读它们后,我仍然卡住了,但我用引号编辑了我的问题,以反映我从他们那里收集到的信息。

networking vlan