|
|
楼主 |
发表于 2023-7-25 00:06
|
显示全部楼层
本帖最后由 ryoma1836 于 2023-7-25 00:14 编辑
2.3. 网络规划
说到这里,又不得不说一些事情。之前我的上一篇文章中有些坛友会说,家用环境使用 VLAN 做什么?人家之前不用 VLAN 也用得好好的,为什么画蛇添足?那么我就举几个实际应用场景来跟各位说一说,各位不妨看看有没有道理。
- 我相信现在很多坛友家里也会使用 OpenWRT 进行一些 XX 上网的操作,不少人也是使用旁路网关的操作,在主路由的 DHCP 服务器上将客户端的网关指向 OpenWRT。但是你我都明白,这种情况下,一旦 OpenWRT 出故障,或者意外断电(无论是物理机亦或是虚拟机),那么所有客户端都将无法上网。如果自己家里用,出问题能自己排障当然无可厚非。但是给朋友家安排的时候,万一出问题,如何能通过外行人几句话描述就能远程、快速排查问题就是一个很大的麻烦。这就好像医生给你看病,不给你做系统的检查,直接微信问你哪里痛一样。所以,最好是将正常上网和 XX 上网的客户端分配在不同的 VLAN 网段,这样出问题时,至少能很容易通过切换 WiFi SSID 来发现故障点究竟是主路由器还是 OpenWRT。
- 下面说说 IoT 设备。相信最近有一则新闻《用户发帖称爱奇艺 TV 客户端 “白嫖”电视机引热议,后台满速上传》,应该不少坛友也有看到了。爱奇艺客户端将服务端压力转移到客户端的举动,将用户终端作为爱奇艺的 PCDN 服务器,因此会在后台持续执行上传任务。我只想说,这年头,流氓软件防不胜防,如何用最简单的方式对付流氓呢?通过专门给 IoT 设备划分单独的 VLAN,一样可以解决问题。由于 IoT 设备流量使用并不多,所以可以对 IoT 网段下载/上传流量进行适当限速,这样就能防止一些流氓软件持续白嫖你家的带宽。同时我们也应该设置相应的防火墙阻断策略,阻止 IoT 设备对内网其他客户端进行一些无谓的扫描行为,避免个人隐私被无良厂商用于数据分析和广告推送,甚至隐私泄露。详细风险点可以参考这篇文章《如何增强智能家居设备的安全性》。
- 至于访客网络,其实也是刚需。问题主要还是出在一些流氓软件上,比如曾经风靡一时的 WiFi 钥匙类的软件,如果不知道 WiFi 钥匙是什么的可以看这里《曾有8亿用户,现在被骂流氓软件,WiFi万能钥匙冤不冤?》。如果到访你家里的人,使用手机连接过你家的 WiFi,而他手机里依然有这类流氓软件,那么你家的 WiFi 设置的密码,对于使用这类流氓软件来说,无异于皇帝的新衣。如果有人不怀好意,利用这类流氓软件进行蹭网,并主动或者被动(系统中毒变成肉鸡)进行违法行为,那对你造成的后果不堪设想。所以,访客网络使用 Portal 认证,设置会话有效时间,搭配跟 IoT 网络相仿的限速、防火墙阻断策略,可以有效规避这类风险的发生。
2.3.1. Unifi VLAN & MikroTik VLAN
下面我来说说我在 MikroTik 设备上进行 VLAN 划分与之前 Unifi 全家桶时候的区别。用过 Unifi 的坛友都知道,他家设备默认会有个 Default 网络,这个网络按照 UI 团队在 UI 官方论坛对于网友的解答如下:
说明
The default LAN subnet is VLAN 1, which I think you may already be aware of (by the way I'm reading this). The default port setting of All would untag VLAN 1 and tag the rest (based on what I see in your Network settings).
The UniFi switch is managed over the untagged network, so the port/device it is connected to needs to have VLAN 1 untagged/set as native or PVID (as you want to manage it over 1). The UniFi switch will pick up an IP from whatever the untagged/native VLAN is.
If the switch is adopted, you can click on it from Devices and then go to Configuration>Networks/VLANs. In there you can create new port profiles. So, you can define the native VLAN, and the tagged VLANs. You can actually tag VLAN 1 within this area, if you need to.
这代表什么呢?一般来说,使用 Unifi 全家桶的话,那么就使用 Default 网络来负责设备的管理网络即可,这样对于你的 Unifi Console、Unifi Switch 甚至于 Unifi IW 设备这种带有网口可以作为交换机使用的设备来说,他们的接口配置默认就是隶属于 Default 网络,当设备接上之后,就能从 Unifi Network 上发现并采用。
但是在 MikroTik 设备上,我一般不这么做,我的选择是将所有网络都打上 VLAN Tag,那么这就将会成为第一个难点了,我如何将 Unifi AP 的管理网络修改成为我需要的 VLAN ID 呢?那么就请继续往下看。
2.3.2. VLAN 规划
这里是安排 5 个网络:Default、Proxy、IoT、Guest、NFS
- Default Network:普通上网客户端、网络设备管理、软路由设备管理、NAS 设备管理
- Proxy Network:XX 上网客户端
- IoT Network:智能家居客户端
- Guest Network:访客上网客户端
- NFS Network:仅在 MikroTik CRS326-24G-2S+IN 上规划,纯二层网络,用于将 NFS 流量与管理流量分开,分摊网络流量负载
2.3.3. IP 地址规划
| VLAN | 用途 | 网络 | 网关 | DHCP 池
| | 1812 | Default Network | 172.18.12.0/24 | 172.18.12.254 | 172.18.12.101-172.18.12.200 | | 1813 | Proxy Network | 172.18.13.0/24 | 172.18.13.254 | 172.18.13.101-172.18.13.200 | | 1912 | IoT Network | 172.19.12.0/24 | 172.19.12.254 | 172.19.12.51-172.19.12.200 | | 1913 | Guest Network | 172.19.13.0/24 | 172.19.13.254 | 172.19.13.51-172.19.13.200 | | 3012 | NFS Network | 172.30.12.0/23 | None | None |
2.3.4. RB5009UG+S+IN 接口规划
重点
这里不熟悉 MikroTik 的坛友可能会问,Trunk Port 里面的 bridge 是什么?其实这是 MikroTik 配置 VLAN 的一个坑,对于不管是没有网络基础的朋友,还是经验老道的技术,都很容易被绕进去。其实简单来说,就是这个 VLAN 接口需要配置三层 IP 地址,那么就需要将 bridge 打 Tag,若不需要三层 IP 地址,则不需要将 bridge 打 Tag。当然,详细请阅读余松老师的《RouterOS bridge vlan与华为交换机vlan配置对照》
| VLAN | 用途 | Trunk 接口
| Access 接口
| | 1812 | Default Network | bridge,sfp-sfpplus1,bond_5-8 | ether2,ether3 | | 1813 | Proxy Network | bridge,sfp-sfpplus1,bond_5-8 | ether4 | | 1912 | IoT Network | bridge,sfp-sfpplus1,bond_5-8 | | | 1913 | Guest Network | bridge,sfp-sfpplus1,bond_5-8 | |
2.3.5. Lite 8 PoE 接口规划
这里我将 RB5009 的 5-8 接口做了链路聚合,同样的我在 Lite 8 PoE 的 5-8 接口也做了链路聚合,两台机器做 4 口互联,这样哪怕未来有接口损坏、网线损坏也不至于让 Lite 8 PoE 下连 AP 的带宽受到影响。
| VLAN | 用途 | Trunk 接口
| Access 接口
| | 1812 | Default Network | Port1,Port2,Port3,Port5-8 | Port4 | | 1813 | Proxy Network | Port1,Port2,Port3,Port5-8 |
| | 1912 | IoT Network | Port1,Port2,Port3,Port5-8 | | | 1913 | Guest Network | Port1,Port2,Port3,Port5-8 | |
2.3.6. AP 接口规划
| VLAN | 用途 | Trunk 接口
| Access 接口
| | 1812 | Default Network | Port1 |
| | 1813 | Proxy Network | Port1 |
| | 1912 | IoT Network | Port1 | | | 1913 | Guest Network | Port1 | |
2.3.7. CRS326-24G-2S+IN 接口规划
| VLAN | 用途 | Trunk 接口
| Access 接口
| | 1812 | Default Network | bridge,sfp-sfpplus1,sfp-sfpplus2,ether24,bond_5-6 | ether7,ether9,ether11,ether23,bond_1-2
| | 1813 | Proxy Network | sfp-sfpplus1,sfp-sfpplus2,ether24,bond_5-6 | ether8,ether10,ether12
| | 1912 | IoT Network | sfp-sfpplus1,sfp-sfpplus2,ether24,bond_5-6 | | | 1913 | Guest Network | sfp-sfpplus1,sfp-sfpplus2,ether24,bond_5-6 | | | 3012 | NFS Network | bond_5-6 | bond_3-4 |
2.3.8. 防火墙策略
| 源地址 | 目的地址 | 动作 | | 172.18.12.0/23 | 172.19.12.0/23
| 允许 | | 172.19.12.0/23 | 172.18.12.0/23 | 阻止 |
|
|
310112100042806
发表于 2023-7-25 00:06
