Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Как изолировать трафик сервера с помощью VLAN при ограниченных возможностях маршрутизатора?

На чтение 4 мин Опубликовано

Вопрос или проблема

Я новичок в сетевых технологиях, и в настоящее время у меня следующая настройка сети:

Основной маршрутизатор: Huawei Optixstar с только 1 VLAN для доступа в интернет (нет возможности создать новые VLAN). Он обрабатывает доступ по LAN и Wi-Fi.

DSL маршрутизатор: Xiaomi, настроенный как мост для управления LAN и Wi-Fi. Он подключен к основному маршрутизатору через LAN.

Активный коммутатор: TP-Link TL-SG105E (коммутация уровня 2). Подключен к основному маршрутизатору через LAN.

2x Wi-Fi ретранслятора: устройства Xiaomi. Подключены к основному маршрутизатору через Wi-Fi.

Конечные устройства: различные устройства, подключенные по Wi-Fi к основному маршрутизатору, точкам доступа или DSL маршрутизатору.

Описание проблемы:

У меня есть сервер, подключенный к коммутатору, на который настроено переадресация портов на маршрутизаторе для HTTP и HTTPS трафика. Я хочу изолировать трафик сервера в отдельный VLAN, чтобы внешний доступ через эти открытые порты не позволял нежелательный доступ к другим устройствам в сети через сервер.

Текущая проблема:

Я не могу создать новый VLAN на основном маршрутизаторе.

Предлагаемое решение:

Я планирую рассматривать основной маршрутизатор как точку доступа к интернету. Вот шаги, которые я намерен выполнить:

  1. Отключить Wi-Fi на основном маршрутизаторе.
  2. Подключить только одно устройство (маршрутизатор с поддержкой VLAN) непосредственно к основному маршрутизатору.
  3. Включить Wi-Fi на новом маршрутизаторе и создать два VLAN: один для сервера и другой для остальных устройств, подключенных к коммутатору. Управлять ими на коммутаторе, чтобы направлять трафик от отдельных VLAN на сервер и остальные устройства.
  4. Убедиться, что другие устройства, подключенные к новому маршрутизатору, работают на VLAN основного маршрутизатора. Подключены через LAN (DSL маршрутизатор) и Wi-Fi (ретрансляторы и конечные устройства).

Вопрос

Как только я настрою маршрутизацию для VLAN на новом маршрутизаторе, чтобы направлять все VLAN к 1 VLAN основного маршрутизатора, будет ли изоляция работать как задумано для доступа в интернет?

Ответ или решение

Конечно! Давайте разберем ваш сценарий более подробно и ответим на ваши вопросы об изоляции трафика сервера с использованием VLAN.

1. Описание текущей конфигурации и проблемы:

У вас есть основной маршрутизатор Huawei Optixstar, который предоставляет доступ в интернет, но не поддерживает создание дополнительных VLAN. У вас также есть DSL маршрутизатор Xiaomi в режиме моста и коммутатор TP-Link TL-SG105E, который поддерживает управление VLAN. Ваш сервер подключен к коммутатору, и вы хотите изолировать его трафик для повышения безопасности.

2. Предлагаемое решение:

Вы на правильном пути с планом, который вы описали. Основные шаги, которые вам нужно выполнить:

  • Отключить Wi-Fi на основном маршрутизаторе: Это позволит вам использовать только проводные подключения для ваших потребностей, что упростит управление трафиком.

  • Подключить новый маршрутизатор, поддерживающий VLAN, к основному маршрутизатору: Это будет ваша основная точка маршрутизации и управления VLAN в сети. Убедитесь, что новый маршрутизатор может создавать и идентифицировать VLAN.

  • Создание VLAN на новом маршрутизаторе: Настройте по меньшей мере две VLAN: одну для вашего сервера (например, VLAN 10) и другую для остальных устройств (например, VLAN 20). Обязательно настройте правила маршрутизации, чтобы удостовериться, что сервер может получать доступ в интернет, но устройства в VLAN 20 не могут взаимодействовать с сервером в VLAN 10.

  • Настройка коммутатора: Убедитесь, что ваш TP-Link TL-SG105E настроен так, чтобы правильно обрабатывать VLAN-трафик. Вам нужно будет определить, какие порты будут принадлежать каждому VLAN.

  • Подключение устройств: Настройте другие устройства (включая DSL маршрутизатор и повторители) для работы с нужной VLAN, чтобы они могли получать доступ к интернету без воздействия на серверный VLAN.

3. Проверка изоляции:

После того как вы сконфигурируете новый маршрутизатор и коммутатор, изоляция должна работать следующим образом:

  • Все устройства, относящиеся к VLAN 20, не должны иметь доступа к серверу в VLAN 10.
  • Сервер должен иметь возможность отправлять и получать трафик в интернет через основной маршрутизатор.
  • Проверьте настройки безопасности вашего нового маршрутизатора, чтобы убедиться, что они соответствуют вашим требованиям, особенно в части NAT и правил брандмауэра.

4. Тестирование:

После настройки протестируйте изоляцию, выполнив проверки соединения:

  • Попробуйте пинговать сервер из устройств в VLAN 20.
  • Проверьте, работает ли доступ в интернет на обоих VLAN.
  • Убедитесь, что внешний доступ к серверу выполняется корректно и не влияет на другие устройства.

Таким образом, ваша схема позволит обеспечивать безопасность и стабильность сетевого трафика, а также изоляцию вашего сервера от остальных устройств.

Если у вас возникнут дополнительные вопросы во время настройки, не стесняйтесь обращаться за помощью!

router routing switch vlan webserver
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности