这是一段机器翻译的文本,可能包含错误!
想象一下一个学校网络,学生、教师、管理人员和物联网设备(打印机、智能屏幕、摄像头)都共享同一个网络。理论上,所有人都可以看到彼此。这既不安全也不高效。解决方案是*分段*。
为什么进行分段?
分段是指将网络划分为更小的部分。每个部分与其他部分隔离,以便流量不能在它们之间自由流动。
| 优势 | 说明 |
|---|---|
| 安全性 | 一个被攻破的物联网摄像头无法访问服务器 |
| 性能 | 每个分段的广播流量更少 |
| 控制 | 对不同的用户组应用不同的规则 |
| 故障排除 | 更容易将问题隔离到特定分段 |
一个实际案例
在一所学校中,网络结构可能如下所示:
- VLAN 10: 管理层 - 薪资、人力资源、管理层。访问权限受到严格限制。
- VLAN 20: 教职工 - 教师及其他员工。可访问共享文件夹和打印机。
- VLAN 30: 学生 - 仅限互联网访问和学习平台。
- VLAN 40: IoT - 打印机、智能屏幕、摄像头。无互联网访问权限(或受到极严格的限制)。
- VLAN 50: 服务器 - 内部服务器,无法从其他 VLAN 直接访问。
什么是 VLAN?
VLAN 代表 Virtual Local Area Network(虚拟局域网)。这是一种在同一物理交换机上创建多个逻辑网络的方式。与其为每个网络购买一个单独的交换机,不如配置交换机将不同的端口(或流量)视为独立的网络。
每个 VLAN 都有自己的地址范围(子网):
| VLAN | 名称 | 子网 | 网关 |
|---|---|---|---|
| 10 | 管理 | 10.0.10.0/24 | 10.0.10.1 |
| 20 | 员工 | 10.0.20.0/24 | 10.0.20.1 |
| 30 | 学生 | 10.0.30.0/24 | 10.0.30.1 |
| 40 | 物联网 | 10.0.40.0/24 | 10.0.40.1 |
| 50 | 服务器 | 10.0.50.0/24 | 10.0.50.1 |
子网划分简述
/24 表示地址的前 24 位是网络部分。在实践中,这意味着每个 VLAN 中有 254 个可用地址(.1 到 .254)。
10.0.10.0/24提供从10.0.10.1到10.0.10.254的地址- 网关通常是第一个地址 (
.1)
标记流量与未标记流量
为了使 VLAN 在多个交换机之间工作(或在交换机和路由器之间),使用 标记:
| 类型 | 说明 | 用途 |
|---|---|---|
| 未标记 (access) | 端口属于一个 VLAN。设备不知道 VLAN。 | 电脑、打印机、电话 |
| 标记 (trunk) | 端口承载来自多个 VLAN 的流量,并带有 VLAN ID 标记。 | 交换机之间,面向路由器 |
像电脑和打印机这样的设备不需要知道它们位于哪个 VLAN。它们连接到分配了正确 VLAN 的“access”端口。两个交换机或交换机和路由器之间的连接使用“trunk”端口,承载所有 VLAN。
任务 1 - 实际 VLAN 示例
如果您可以访问学校的 Unifi 或其他网络管理平台:
- 查看配置了哪些 VLAN
- 哪些端口设置为接入端口,哪些设置为中继端口?
- 尝试找出您的电脑连接到哪个 VLAN(提示:检查您的 IP 地址并与子网表进行比较)
VLAN 之间的防火墙规则
创建 VLAN 只是完成工作的一半。如果没有防火墙规则,流量仍然可以通过路由器/网关在它们之间流动。您必须明确定义允许的内容:
| 从(源) | 到(目标) | 允许? | 理由 |
|---|---|---|---|
| 学生 | 互联网 | ✅ 是 | 教学需要 |
| 学生 | 服务器 | ❌ 否 | 学生不需要访问服务器 |
| 员工 | 服务器 | ✅ 是 | 文件存储和内部系统 |
| 物联网 | 互联网 | ❌ 否(或受限) | 物联网设备很少需要互联网 |
| 物联网 | 学生/员工 | ❌ 否 | 物联网应该被隔离 |
| 服务器 | 所有 | ✅ 是(出站) | 服务器可以响应请求 |
Standard: blokker alt, tillat det du trenger
一种好的防火墙策略是从阻止 VLAN 之间的所有流量开始,然后仅打开需要的流量。这比从完全开放开始,然后尝试阻止不需要的流量要安全得多。
子网划分
每个 VLAN 需要自己的 子网。 子网定义了网络的地址范围:
| 子网 | 网络掩码 | 地址数量 | 典型用途 |
|---|---|---|---|
/24 | 255.255.255.0 | 254 | 大多数 VLAN |
/25 | 255.255.255.128 | 126 | 较小段 |
/16 | 255.255.0.0 | 65 534 | 大型网络 |
任务 2 - 计算子网
使用在线子网计算器,例如 subnet-calculator.com:
- 输入
192.168.1.0和掩码/24。 你会得到多少个地址? - 如果你改为
/25会发生什么? 或者/23? - 对于一个有 30 名学生的教室,你会选择什么?
DHCP per VLAN
每个VLAN需要自己的DHCP配置,以便设备获得其网段的正确IP地址。这可以在路由器或专用DHCP服务器上配置。
Elev-VLAN的示例:
| 设置 | 值 |
|---|---|
| 子网 | 10.0.30.0/24 |
| 网关 | 10.0.30.1 |
| DHCP范围 | 10.0.30.100 - 10.0.30.250 |
| DNS | 1.1.1.1 / 8.8.8.8 |
摘要
- 分段 将网络划分为隔离的部分,以提高安全性和控制力
- VLAN 是同一物理交换机上的虚拟网络
- 接入端口 将设备连接到单个 VLAN,中继端口 承载多个 VLAN
- 防火墙规则 决定了 VLAN 之间的允许内容
- 每个 VLAN 需要自己的 子网 和 DHCP 配置
- 起点:阻止所有内容,仅允许所需内容