【前言】
本人非IT从业者,目前会的那些三脚猫网络设置功夫都是通过各种爬楼野路子学来的。所以我也只能够分享我实际使用过,且目前一直在稳定使用的一些功能。之前的文章,有不少值友反馈说,家庭局域网完全没有必要使用虚拟局域网VLAN。这话本没错,毕竟家庭局域网能有多少台设备上网?出现网络风暴的几率微乎其微。但是VLAN难道只有防止网络风暴这一个功能吗?VLAN说白了其实就是切蛋糕,把一整个家庭局域网切成几个。
为什么要这么干?其中一个理由是增加网络安全。楼猪非常喜欢智能家居设备带来的便利,但是又对智能家居设备的网络安全感到非常担忧。目前做智能设备的厂商多如牛毛,但是仔细看一下他们的广告,基本没有一家会提到自己设备的安全性。可以这么说,在智能设备行业,设备的安全性是被忽视的。智能设备普遍售价都比非智能的高,就是因为他更”智能“,而非更”安全“。试想,作为消费者,同样的两款设备放在你面前,功能都一样,其中一个安全等级更高,但是要贵50%,你会选择它吗?试想,作为智能设备厂商,当你把设备的信息安全等级和产品的成本、外观设计、远程控制、设备间联动、跨平台联动等放在一起,你会把你手上那一丁点钱投向哪里?目前主流智能厂商,特别是初创企业的研发重点,楼猪敢说绝不会落在设备的网络安全上。所以,既然有所顾虑,那就把它关到笼子里。
最简单粗暴的方法是用访客网络
这个绝对是隔离的最彻底的,访客网络和家庭局域网之间通信隔离,访客网络内的设备也两两隔离。设备只能和外网通信,如果你所有设备都是只和云端联络的,不需要和本地其他设备交换数据的话,访客网络就可以满足你,就别整什么VLAN间路由了。但是,这种方式的缺点是严重依赖外部网络,如果断网,所有智能设备全部秒变智障设备。
另一种方式是使用VLAN间路由
VLAN的设置就灵活多了,你可以让VLAN内部的设备相互隔离,也可以让这些设备相互通信。你可以让不同的VLAN双向通信,单向通信,甚至不通信。你可以让VLAN访问外网,也可以不让他们上网。
只要设置VLAN内客户端不隔离,VLAN内部的设备就可以相互通信。比如你家有一台NAS做硬盘录像机,配合局域网中OVNIF协议摄像机使用,这个时候就需要VLAN了。而且即使断了外网,摄像机还是可以访问局域网中的NAS,不影响保存录像。
如果需要对这个VLAN进行隔离,就需要借助防火墙实现双向或者单向的隔离。双向隔离就是老死不相往来,这个VLAN里的数据出不来,别的VLAN里的数据也进不去。单向隔离就是允许一个方向的访问,比如只允许你的电脑访问监控但不允许监控访问你的设备。甚至你可以让这个隔离的VLAN不能访问互联网。
回到正题,Unifi全家桶里,怎么通过防火墙的设置实现VLAN间单向隔离
英文好的可以去Unifi官方网站爬楼,网页我已经帮你找好了,拿走不谢。
https://help.ui.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing#option%202
但是一定要去英文网站,中文的Unifi网站本土化做得太差了!很多资料都查不到,但是英文的网站做的就非常完善(毕竟是美国土生土长的企业,时间长,用户基础大)。只要英文够好,常见的坑基本都能找到解决方案。阿油欧楷???实在不行,还可以去Unifi的英文官方社区发帖求助,会有国外的工程师介入告诉你到底能不能解决,可以解决的话,方案是啥。国内的中文论坛么,啧啧啧!
我就代劳作一回搬运工:
原文
Inter-VLAN routing is enabled by default between all Corporate LAN networks. In this article, blocking LAN to VLAN2 will be demonstrated, as well as some other techniques to fine-tune your
inter-VLAN communication on corporate networks. This article was written using a USG, but same configuration can be made for the UDM models.
楼猪渣翻译
企业局域网之间的VLAN间路由是默认开启的。在这篇文章中演示阻断从局域网(LAN)到虚拟局域网(VLAN2)的链路,以及一些其他的技巧在企业网络上来微调你的VLAN间通信。这篇文章是基于一台Unifi安全网关(USG)写的,但同样的设置可以在Unifi梦想机(UDM)上实现。
嗯,翻译课就到此为止吧。楼猪直接结果导向只说咋实现单向隔离,就不全文翻译了。后面,我就用我自己的Unifi网络来说。
先说总目标,大方向
LAN可以访问智能设备所在的VLAN20
VLAN20里的设备不能访问LAN
第一步,阻断LAN和VLAN20之间的VLAN间路由
一、 进入防火墙设置的方法是:1. 点击左下角设置Setting(齿轮图标);2. 选择路由与防火墙Routing&Firewall菜单;3. 选择防火墙Firewall标签页;4. 选择IPv4规则子标签页;5. 选择 LAN IN 孙标签页
二、 新建一条规则
官方文档还额外注释说:
LAN IN是过滤所有LAN/VLAN通信的地方,所以只要设置LAN IN就可以了。因为无论对那个网络来说,IN都是进入防火墙的起始点。OUT规则仅仅在一些非常罕见的情况下才会被使用。
如果选择Drop(丢弃)将完全丢弃数据包,结果是在客户端显示”请求超时“的信息;如果选择Reject(拒绝)将会发送一条拒绝连接的数据包给客户端。
设置完简单测试一下
测试前先交代一下测试办法,楼猪的局域网上有一台PC,一台MAC。
其中iMac在IoT的这个VLAN,IP地址为192.168.20.208。
PC在LAN,IP地址为192.168.2.54。
如果PC能够Ping通iMac,说明LAN到IoT的单向链路连通。如果PC不能ping通iMac,说明LAN到IoT的单向链路不通。
首先从iMac ping PC,结果显示ping不通。
再从PC ping iMac,结果显示也ping不通。
因此可以得出结论:VLAN和LAN之间的双向链路完全被防火墙隔离了。达成了一个小目标!撒花。。。
第二步、在第一步建立的规则前面新建一条规则
这条规则大概的意思是但凡没说不能干,就是能干。因为这条规则前面没有规则,所以实际效果就是啥数据都放行。
那这两步的规则组合在一起会是什么样的效果?防火墙优先执行第一条规则,确保任意方向的VLAN间访问都是可以的。再执行到第二条规则,不允许IoT往VLAN20方向的访问。所以这么两条规则一组合起来就是除了IoT往VLAN20方向的访问不行以外,其他方向的访问都可以。
设置完看一下效果
从iMac ping PC,结果显示不通。
从PC ping iMac,结果显示连通。
得出结论:IoT往LAN方向的链路不通,但LAN往IoT方向的链路连通。目标达成!
方法就是这么两条防火墙规则,剩下的就交给大家自己发挥了,多尝试几次就行。
以上。
如若转载,请注明出处:https://www.ozabc.com/keji/61429.html