नेटवर्क संसाधन अभिगम नियंत्रण (शायद VLANs का उपयोग कर?)

0

मैं एक नेटवर्क स्थापित करने की कोशिश कर रहा हूं जिसमें अलग-अलग एक्सेस अधिकारों के साथ विभिन्न डिवाइस समूहों के एक जोड़े हैं। शारीरिक रूप से, डिवाइस नेटवर्क से दीवार-बंदरगाहों या कई उपलब्ध वाईफाई नेटवर्क में से एक के माध्यम से जुड़े हुए हैं। मैं जिस हार्डवेयर का उपयोग कर रहा हूं, वह सिस्को SG200-08 के स्मार्ट स्विच, UniFi WiFi APs का एक सेट और एक EdgeRouter Lite है, जो कि व्यट्टा-लिनक्स का एक कांटा चलाता है, जिसे एजोस कहा जाता है।

चूंकि कनेक्टेड डिवाइसों में काफी कुछ फ्लक्स है, इसलिए मैं एक्सेस राइट्स को मैनेज करने के लिए मैक एड्रेस लिस्ट मेंटेन नहीं करना चाहूंगा, बल्कि उन डिवाइस को एक ग्रुप को असाइन करना चाहिए, जो सिर्फ वॉल-पोर्ट या वाईफाई नेटवर्क के आधार पर कनेक्ट करते हैं। सेवा।

मेरे वर्तमान ने सोचा कि यह कैसे करना है:

  • विभिन्न डिवाइस समूहों के लिए अलग-अलग वीएलएएन को परिभाषित करें (सादगी के लिए, चलो पूर्ण पहुंच वाले विश्वसनीय सिस्टम के लिए वीएलएएन 10 और मेहमानों के लिए वीएलएएन 20 जो केवल कुछ संसाधनों तक पहुंचने की अनुमति है)।
  • फिर स्मार्ट स्विच अलग दीवार-बंदरगाहों पर वीएलएएन आईडी को स्वचालित रूप से असाइन कर सकते हैं।
  • UniFi APs अलग-अलग एक्सेस क्रेडेंशियल के साथ एक साथ 4 WiFi नेटवर्क तक प्रसारित कर सकते हैं और फिर VLAN ID के साथ ट्रैफ़िक को टैग कर सकते हैं, जिसके आधार पर यह WiFi नेटवर्क से आया है।
  • अंत में, एज राउटर अलग-अलग वीएलएएन के लिए एक्सेस राइट्स का प्रबंधन करके इसे एक साथ जोड़ता है।

मेरे पास समस्या यह है कि कुछ डिवाइस जो मैंने अपने एक्सेस सॉफ्टवेयर (यूपीएनपी, विंडोज नेटवर्क शेयर, मालिकाना प्रोटोकॉल, ...) द्वारा पाया जाने वाले ऑटो-डिस्कवरी के विभिन्न तरीकों का उपयोग किया है। मैं उन उपकरणों के लिए चाहूंगा जो सभी के लिए सुलभ हों (वीएलएएन 10 और 20 से) भी सभी के द्वारा खोजे जा सकते हैं (यानी दोनों वीएलएएन से)। इस प्रकार, मुझे प्रसारणों को सही ढंग से आगे बढ़ाने का एक तरीका खोजने की जरूरत है और हो सकता है कि कुछ और चीजें भी करें ...

यहां बताया गया है कि वर्तमान में मैं अपने विचारों के साथ हूं कि कैसे करें:

  • एक DHCP सर्वर सेट करें जो 192.168 में मान प्रदान करता है। 10 .0 / 24 से वीएलएएन 10
  • एक दूसरा DHCP सर्वर सेट करें जो 192.168 में मान प्रदान करता है। 20 .0 / 24 से वीएलएएन 20
  • क्या डीएचसीपी सर्वर अपने ग्राहकों को बताते हैं कि सबनेट मास्क 255.255 है। 0 .0 (उम्मीद उन दोनों को पता श्रेणी में उपकरणों की खोज करने की कोशिश करने का संकेत करने के लिए)
  • वीएलएएन के बीच एआरपी प्रॉक्सिमिंग और प्रसारण पैकेट सेट करें (यह सुनिश्चित करने के लिए अभी तक नहीं कि यह कैसे प्राप्त करें? शायद सिर्फ 2 वीएलएएन को पुल करें?)
  • फ़ायरवॉल नियम जोड़ें जो सभी क्रॉस-वीएलएएन-पैकेट को गिराते हैं, केवल प्रसारण-पैकेट या पैकेट को छोड़कर जिनके वीएलएएन-10-आईपी एक डिवाइस से मेल खाते हैं जो मेहमानों द्वारा भी सुलभ होना चाहिए।

तो, यहाँ मेरे सवाल हैं:

  1. क्या सेटअप ने जिस तरह से ऊपर वर्णित किया है, वह बिल्कुल भी समझ में आता है, या एक्सेस कंट्रोल हासिल करने का एक बिल्कुल अलग, बेहतर तरीका है? (मैं निश्चित रूप से अलग-अलग पहुंच समूहों को कंप्यूटरों को अलग-अलग असाइन करने की सुविधा प्रदान करना चाहूंगा, बस उन्हें कई उपलब्ध वाईफाई नेटवर्क में से एक से जोड़कर या उन्हें विशिष्ट दीवार-पोर्ट में प्लग कर सकता हूं।)

  2. क्या मैंने जो सेटअप वर्णित किया है, वह वास्तव में वीएलएएन (UPNP-) डिवाइस की खोज की अनुमति देता है? विंडोज कंप्यूटर और उनके नेटवर्क के शेयरों के बारे में कैसे?

  3. क्या लिनक्स में डीएचसीपी सर्वर को एक सबनेट (जैसे 192.168.10.0/24) में पते देना संभव है, लेकिन अपने ग्राहकों को एक अलग सबनेट मास्क प्रदान करता है (उदाहरण 255.255.0.0)?

    अतिरिक्त श्रेय: क्या मैं किसी भी तरह अपने एज-राउटर पर एजोस GUI से ऐसा कर सकता हूं, या क्या मुझे इसे कमांड लाइन से सेट करने की आवश्यकता है?

  4. क्या मैं अभी VLANs और "अवैध" पैकेटों के बीच एक सामान्य पुल स्थापित करता हूं, या डिवाइस की खोज और उपयोग की अनुमति देने के लिए दो नेटवर्क को जोड़ने के लिए एक बेहतर तरीका (सुरक्षित, बेहतर प्रदर्शन, ...) है?

  5. क्या केवल दो पूरी तरह से स्वतंत्र वीएलएएन (कोई ब्रिजिंग नहीं) बनाना संभव है और केवल राउटर "मैप" को अन्य नेटवर्क में एक डिवाइस है? Ie "फर्जी" वीएलएन 20 में आईपी पते 192.168.20.5 के साथ एक प्रणाली और केवल वीएलएएन 10 में 192.168.10.5 पर वास्तविक प्रणाली के लिए अपने सभी यातायात को आगे बढ़ाएं? क्या ऐसा किया जा सकता है ताकि मैप किए गए वर्चुअल सिस्टम बनाम उस सिस्टम के बीच कोई अंतर न हो जो वास्तव में संबंधित अन्य आईपी के तहत नेटवर्क से जुड़ा हो?

एक और बात ध्यान देने योग्य है: सभी डिवाइस जिन्हें मुझे नेटवर्क चलाने के लिए लिनक्स चलाने की जरूरत नहीं है। इसलिए मैं जा नहीं सकता और डिवाइसों को eth0.10 और eth0.20 जैसे वर्चुअल इंटरफेस के माध्यम से दोनों वीएलएएन को "कनेक्ट" कर सकता हूं।

पुनश्च: मैंने पढ़ा है कि वीएलएएन एक्सेस एक्सेस प्रदान करने का सबसे सुरक्षित तरीका नहीं है क्योंकि उन्हें (डबल-टैगिंग, आदि) हैक करने के कई आसान तरीके हैं। लेकिन यह देशी आईडी और ट्रंक पोर्ट से बचने के लिए थोड़ी देखभाल के साथ लग रहा था, इन्हें आसानी से रोका जा सकता है। क्या इस उद्देश्य के लिए वीएलएएन का उपयोग करने के लिए अन्य, अधिक मूलभूत कारण नहीं हैं? यदि हां, तो एक विकल्प क्या होगा?

routing  dhcp  vlan  access-control  network-discovery 
मार्कस ए।
स्रोत
यदि आप VLAN30 में पूरी तरह से उपलब्ध उपकरणों को स्थापित करते हैं, और VLAN10 और 20 से किसी भी यातायात की अनुमति देते हैं, तो उनके बीच नहीं?
निकडब्ल्यू
मैं कुछ इस तरह से सोच रहा था: केवल वीएलएएन -10 पर सीमित संसाधनों और वीएलएएन -30 पर सार्वजनिक संसाधनों के लिए और फिर 10 और 30 के बीच और 20 से 30 के बीच यातायात की अनुमति दें, लेकिन 10 और 20 के बीच नहीं। मैं सिर्फ डॉन ' अभी तक नहीं पता है कि मैं उस मामले में वीएलएएन में ऑटो-डिस्कवरी का काम कैसे करूंगा। इसके अलावा, अगर मैं बस दो पुलों का निर्माण करता हूं: 10-30 और 20-30, तो क्या यह भी 10 और 20 पुल होगा?
मार्कस ए।
यह उन्हें स्पष्ट रूप से पुल नहीं करना चाहिए, लेकिन आप शायद नेटवर्क के बीच यातायात को नकारने वाले कुछ प्रकार के नियम चाहते हैं (आईपी द्वारा काम करना चाहिए)। BTW, दोनों विंडो और लिनक्स कई NIC या कई IP पते को संभाल सकते हैं .. या आप 10 <-> 30 और 20 <-> 30 के बीच केवल दो NAT सत्र कर सकते हैं ताकि आप स्थानीय IP पते के साथ दोनों में साझा संसाधनों को प्रस्तुत कर सकें।
निकडब्ल्यू
क्या आप NAT के पार ऑटो-डिस्कवरी कर सकते हैं, हालाँकि?
मार्कस ए।
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.