Configurazione di VLAN / rete IP per sicurezza e prestazioni


0

Il mio livello di comprensione della rete è ancora alle prime armi, quindi abbi pazienza con me.

Ho diversi prodotti Ubiquiti - USG (router), USW (interruttore) e UAP-AC (wap) installati a casa mia. Voglio creare più reti (gestione, client, archiviazione, VoIP e guest).

Ho due server che forniranno servizi DHCP e DNS.

Ho scritto quanto segue:

VLAN  0 (10.0.0.0/24)  - unmanaged
VLAN 10 (10.0.10.0/24) - client
VLAN 20 (10.0.20.0/24) - guest
VLAN 30 (10.0.30.0/24) - storage
VLAN 40 (10.0.40.0/24) - management
VLAN 50 (10.0.50.0/24) - VoIP 

La VLAN 20 non può comunicare con altre VLAN.

VLAN 30 è per la mia rete iSCSI dai miei array di archiviazione a una porta ethernet dedicata su ciascun host del server. In questo modo nessun client può vedere direttamente il mio array di archiviazione. Accederanno ai file attraverso la condivisione dei file sull'host che acquisisce i dati dall'array di archiviazione.

Ecco le mie domande:

Metto il mio router sulla rete non gestita? cioè 10.0.0.1 A quale sottorete appartiene il mio router? cioè 255.255.255.0

Quale sottorete (s) utilizza ciascuna VLAN (10-50)?

Ogni VLAN, eccetto la memorizzazione, necessita di accesso a Internet per scaricare aggiornamenti / patch. Come posso assicurarmi che possano raggiungere Internet?

A quale IP / subnet appartengono i miei server DNS / DHCP? 10.0.0.0/24 o 10.0.10.0/24? Il servizio DHCP lancerà gli indirizzi per VLAN 10 e VLAN 20.

Risposte:


1

Metto il mio router sulla rete non gestita? cioè 10.0.0.1

AFAIK, utilizzando una VLAN "di gestione" dedicata è una misura di sicurezza comune.

A quale sottorete appartiene il mio router? cioè 255.255.255.0

Quale sottorete (s) utilizza ciascuna VLAN (10-50)?

... non è vero? appena scrivi te stesso che ogni VLAN ha un /24 sottorete?

Quindi VLAN 40 userebbe il 10.0.40.0/24 aka 10.0.40.0/255.255.255.0 sottorete proprio come hai scritto nella domanda, e così via.

Ogni VLAN, eccetto la memorizzazione, necessita di accesso a Internet per scaricare aggiornamenti / patch. Come posso assicurarmi che possano raggiungere Internet?

Il router deve appartenere a tutte le VLAN e può essere instradato tra WAN e lrarr; ciascuna VLAN come normalmente si posizionerebbe tra WAN e lrarr; LAN normale. Fondamentalmente vede le VLAN etichettate come singole interfacce Ethernet.

A quale IP / subnet appartengono i miei server DNS / DHCP? 10.0.0.0/24 o 10.0.10.0/24? Il servizio DHCP lancerà gli indirizzi per VLAN 10 e VLAN 20

Tutti e due. Deve essere membro di entrambe le VLAN.


Quindi un ospite su 10.0.20.0/24 non può parlare con 10.0.10.0/24? Inoltre, poiché il mio desktop sarà su 10.0.10 / 0/24 - Devo solo creare un'interfaccia virtuale e taggarla con la VLAN 40 in modo da poter accedere alla rete di gestione e alla rete client?
mavx71xx

@ mavx71xx: Tutti comunicano proprio come farebbero le LAN fisiche separate, passando attraverso il router in mezzo. Il firewall del router decide quali (V) LAN possono comunicare con quale.
grawity
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.