web-dev-qa-db-ja.com

ホームネットワークの分離|ガイドラインと例

まず、ここで私の質問をすることができてありがとう。私はすぐに自分の最初の4つの壁に移動することに興奮しており、ネットワークのセキュリティと分離に取り組むのに適切な時期だと感じました。いつものように、最初からそれを行うのがおそらく最善で最も簡単です。

これまでに確認したリソース:

他にもリソースがあります。たとえば、オンラインコースを確認しましたが、すぐに要約できる結果は得られませんでした。

セットアップと問題:

私のアパートにはいくつかのIoTデバイスがあります-PhilipsHue電球、Raspberry Pi [おそらくイーサネット接続]、スマートアウトレット、Amazon Fire TVスティックなど[これらはすべてワイヤレスで接続されます]、および2つのラップトップ[またワイヤレス]、そして将来のある時点で、分析中の写真、映画、またはビッグデータ[可能であればイーサネット]を保存するホームサーバーになるかもしれません。

私がやりたいのは、ラップトップをそれぞれ別のVLANに、IoTデバイスを別のVLANに、サーバーをさらに別のVLANに、そしておそらくRaspberryPiを4番目のVLANに配置することです。これはトラフィックを苦しめるために使用されます。
セキュリティ上の懸念から、特にIoTデバイスに対してそうしたいと思います。したがって、ファイアウォールを正しく構成する必要があります。特にその上のリソースは高く評価されています。

この質問で私が探しているもの

私は2つのことを探しています:
-ルーター、スイッチ、モデム(およびワイヤレスアクセスポイント)を1つのデバイス(使用するルーター)に入れたいのですが。 VLANをワイヤレスでセットアップできる(手頃な価格のデバイス)はありますか?最近のほとんどのルーターは一般的にこれをサポートしていますか?
-デバイスがこれを実行できるかどうかを製品仕様から読み取るにはどうすればよいですか?どの規格をサポートする必要がありますか? 802.1Q?

追加の質問

  • 私の知る限り、ほとんどのIoTデバイスはローカルで通信します-それは本当ですか?つまり、スマートコンセントをオフにする場合は、同じネットワーク上にいる必要がありますか(自分で試してみますが、これらのデバイスはまだありません...)
  • ファイアウォールには単純なルールがあります。 IotDevice.VLAN-アウトバウンド接続の開始は許可されていません。
    ただし、VLANによってはそうすることができれば完璧です。たとえば、privateLaptop.VLANは、storageServer.VLANおよびraspberryPi.VLANに接続できる必要があります。このコンテキストでは、VLANの概念を単に破棄し、実装するファイアウォールルールを考えることをお勧めしますか?または、VLANとファイアウォールルールを組み合わせた方がよいでしょうか。

これらの目標を達成するのに役立つ場合は、ルーターにカスタムファームウェアをインストールします。
このトピックについて読むために使用できる他のリソースも高く評価されています。

ありがとう!

追伸:これは私がネットワークを想像しているものです: I added an image of how I imagine my setup to be, to further understanding in case anything was unclear

networkingwireless-networkingrouterfirewallvlan
4
fußballball

自宅でこのようなセットアップを行うための一般的なハードウェアオプションについて説明します。特に、選択するハードウェアによって異なるため、詳細な構成に入るのは、より具体的な質問やチャットに任せることをお勧めします。

速度に関する注意事項

また、全体的なネットワークスループットも無視しています。通常、1つのVLAN内でフルスイッチ速度を達成する必要があります。 VLAN全体で、ルーターによって制限されます(ルーターのCPUとハードウェアのオフロードによって異なります)。インターネットでは、ルーターによって再び制限されます(CPUとオフロード、今回はNAT)を含む)。100ドル未満のルーターでは、約100〜300Mbpsの制限が見られることも珍しくありません。 NATからインターネットへ。より高速なインターネット接続がある場合は、より強力なハードウェアが必要になります。

製品タイプ

  • VLANは、ビジネス/エンタープライズネットワーク機器の間でかなり標準的です。これらは通常、すべてが1つのボックスに入っているわけではなく、個別のデバイスとして提供されますが、通常は必要な処理を実行します。最善の策は、仕様表を確認するだけでなく、使用可能な構成オプションについてマニュアルを確認することです。
  • 民生機器用のカスタムファームウェアもVLANをサポートすることがよくありますが、通常は再フラッシュするハードウェアによっては不足している可能性があります。もちろん、サポートがなく、カスタムファームウェアが不安定になる可能性があるという通常の警告があります。フラッシュする適切なハードウェアを見つけるには、開発ノートやフォーラムトピックを読んで、かなりの調査を行う必要があります。
    • フラッシュするファームウェアによっては設定が難しい場合もありますが、通常は純粋なソフトウェアルーティングが機能します。
    • ハードウェアに応じて、スイッチが機能する場合と機能しない場合があります。一部のコンシューマールーターは、各ポートを個別にソフトウェアに公開し(したがって、ソフトウェアでeth0からeth4が表示されます)、ポートベースのVLANタグを適用できます。他のルーターはハードウェアスイッチを使用します(したがって、 WANポートおよびすべてのLANポートの集約eth1)についてはeth0を参照してください。これは、カスタムソフトウェアのポートを区別できず、タグを適用するために別個の(管理された)スイッチが必要になることを意味します。ルーターに到達する前に。
    • ワイヤレス機能もハードウェアによって異なり、不安定なものから安定したものまでさまざまですが、仮想APはサポートされていませんが、仮想AP(およびVLANタグ付け)がサポートされている場合は安定しています。
    • 組み込みのモデム機能は動作しない可能性があります。これは、別のモデムがないことを前提としています。
  • 在庫ファームウェアのVLANをサポートするコンシューマールーターについてはほとんど忘れることができます。それを行う少数の人はあなたの人生を地獄にし、あなたが想像している高度なセットアップをサポートしない可能性があります(私が見た中で最高のものは、ポートをVLANに「グループ化」できる10億台のデバイスです)。
  • 1つの(かなり複雑な)オプションは、独自のボックスを作成することです。複数のNICを備えたx86またはARMミニサーバー(NUCに類似)を購入して、ルーターOSをロードすることができます(例:pfSense;プレーンLinuxでもこれを行うことができます)標準のATX PC、WLANカードの追加など)に複数のNICをインストールすることもできます。これは最も柔軟なオプションですが、多くの作業と調査が必要です。どちらかが安いです。 このコーディングホラーのブログ投稿は、開始するのに適した場所です。

複雑さが増す順に、いくつかのケースを見ていきます。

個別のネットワークデバイスを備えた有線ネットワーク

VLANネットワーキングが進む限り、これはかなり簡単です。

必要なもの:

  • ルーター。コンシューマーゲートウェイだけでなく、適切なルーター。あなたはビジネス/エンタープライズ機器またはカスタムファームウェアのいずれかを見ています。 VLAN、VLAN間のルーティング、およびオープンインターネットへのNATゲートウェイ)をサポートする必要があります。
  • VLAN(タグ)ポートを割り当てることができるマネージドスイッチ。802.1Qサポートは必要ですが、must管理インターフェイスがあります! " スマートスイッチ "に注意してください-ほとんどは機能しますが、たとえばTP-Linkの簡単スマートスイッチの範囲にはWeb UIであり、それらを制御するにはWindowsプログラムが必要です。

これはかなり簡単です。フレームがスイッチに入るときにフレームにタグを付けます。これにより、VLANが相互に直接通信できなくなります。次に、VLAN間をルーティングできます(VLANが完全に別個のネットワークであるかのように、ルーターはおそらくそれらを別個の(仮想)インターフェイスとして表示します)。ルーターによっては、ファイアウォールルールを設定して、特定のVLANのみがインターネットにアクセスできるようにし、1つのVLANのみが別のVLANへの接続を開始できるようにする(つまり、一方向))ことができます。

余談ですが、VLANがネットワーク機器の管理インターフェイスにアクセスしないようにすることを忘れないでください。

個別のネットワークデバイスを備えたワイヤレスネットワーク

有線ネットワークをワイヤレスにするために何を追加しますか?ワイヤレスアクセスポイント!残念ながら、これは家庭での使用には少しあいまいな要件であるため、ビジネス機器に固執するか、マニュアルやフォーラムの投稿を参照する必要があります。カスタムファームウェア could ここでも機能します。

また、スイッチの異なるポートに接続するだけで物理的に分離されたAPを使用し、スイッチにタグ付けを処理させるという貧乏人の解決策もあります。

VLANタグ付けをサポートするAPの場合、最も簡単な方法はネットワーク(SSID)によるタグ付けです。1つのAPに複数のワイヤレスネットワークを配置する機能は、仮想アクセスポイントと呼ばれることもあります。

単一のネットワークデバイス内の有線ネットワーク

(ブリッジングを介して)疑似スイッチとして機能できる複数のポートを備えたビジネス/エンタープライズルーターがいくつかあります。カスタムファームウェアも機能しますが、上記の注意事項があります(ハードウェアは、ポートを独立したNICとしてソフトウェアに公開する必要があります)。有線デバイスが多数ある場合は、マネージドスイッチを追加する必要がある場合もあります。

単一のデバイスでのワイヤレスネットワーク

アクセスポイントも統合しているビジネス/エンタープライズルーターを私は知らないので、あなたは消費者向けハードウェアで立ち往生しています。このようなセットアップは、カスタムファームウェアで可能かもしれません。 every機能のカスタムファームウェアで動作するハードウェアを一度に見つけるのは難しいかもしれません。

簡単な推奨事項

マルチデバイスのUbiquitiUnifiの範囲を調べて、セットアップが比較的簡単で信頼性の高いものを探すことをお勧めします。もちろん、これは最も安価なオプションではありません。ただし、1つの中央の場所から複数のデバイスを管理することはできます。

それができない場合は、手動のマルチデバイスセットアップを検討できます。たとえば、Ubiquiti ER-X(非Unifi)ルーター、TP-Linkマネージドスイッチ(「SmartSwitch」、not "Easy Smart Switch)を(信頼性の高い/安価な中間点として)実行しています。 ")およびUnifi AP、すべて独立して管理されます。安価ですが、やや複雑です。

最も安価なオプションは、民生用機器を使用してカスタムファームウェアでフラッシュすることです。 dd-wrtとOpenWrtはどちらもオプションであり、これはdoes単一デバイスの目標を実現することを可能にしますが、最も厄介で、おそらく最も失敗しやすい方法でもあります。繰り返しになりますが、独立したNIC要件、およびポートが不足している場合は追加のスイッチの可能性があることに注意してください。

4
Bob