Networking

在圍繞 HP Procurve 2824 交換機建構的多 VLAN 設置中加入 DMZ

  • May 6, 2021

我是網路的 n00b,我需要幫助來找出設置拓撲所需的步驟。我有以下要求:

(1)一個安全 VPN,它將成為我的主要 LAN 網路,其中所有流出的流量都通過 OpenVPN 加密,並通過偽裝我的位置的 AirVPN 端點流出到網際網路。

(2) DMZ - 用於為需要遠端訪問的伺服器和其他設備提供一個不受限制的區域。我希望在我的 DMZ 後面的 Debian 上執行 Nextcloud(也可以通過安全 VPN 訪問),並認為從 Let’s Encrypt 獲得免費的 SSL/TLS 證書並強制執行 MFA 就足夠了,而不是將其放在 VPN 後面並強迫使用者開火- 在獲得訪問權限之前升級他們的 VPN 客戶端。

(3)訪客網路- 這將有效地暴露我的本地未加密不安全 ISP 線路及其 DNS 伺服器。我想主要向需要網際網路訪問的訪問者授予訪問權限,但如果 AirVPN 出於任何原因出現故障,也可以將其作為備份。它的主要目的是防止訪問我的所有本地資源,例如文件伺服器等。

我有以下硬體/服務: • 來自我的 ISP 的靜態 IP 地址和支持 VLAN 的交換機 (HP Procurve 2824)。(我盡可能地重置它,但意識到我買錯了控制台電纜。我正在等待正確的到貨)。• 我的 ISP 提供的華為 ONT WIFI 調製解調器/路由器 • 一個華碩 ADSL WIFI 路由器,我希望純粹用於我的內部網路。• NUC8i5BEK 迷你電腦,用於託管 Nextcloud 和其他任何建議

對於我正在嘗試的可行和智慧的建議,我將不勝感激。我看到許多其他網路配置也包括管理 VLAN。我是否可以將其視為矯枉過正,因為有權訪問安全 VLAN 的個人很可能也可以物理訪問這些伺服器?

在 Procurve 交換機上設置 VLAN 是我發現最令人生畏的部分,因此我應該確保的任何提示或關鍵步驟將不勝感激。

我認為 Nextcloud 設置很簡單,但所有其他與網路相關的技術(例如 AirVPN 和 Open VPN)都是我通過搜尋假設適合我的需求的,不應被視為表明我可以遠端配置他們。因此,我歡迎所有要避免的建議、提示和陷阱。

對於我正在嘗試的可行和智慧的建議,我將不勝感激。

你可以這樣做。真正的智慧在於我們自己;我們需要做的就是向內一瞥並尋找它。

我看到許多其他網路配置也包括管理 VLAN。

最有可能的是,您不需要一個。只要您不必保護您的管理基礎架構,您就不必將其分離。

在 Procurve 交換機上設置 VLAN 是我覺得最令人生畏的部分

您將被交換機 CLI 的簡單性和效率所啟發。SSH 將是一個很好的工具。線上獲取 shell,將您的上下文更改為enable並輸入您的願望。

命名你的介面(從configure上下文開始)

interface 1
   name "Server1"
   exit
interface 2
   name "Server2"
   exit

創建您的 VLAN並添加一些埠(從configure上下文開始)

vlan 3
  name "VPN-LAN"
  untagged 10-20
  tagged 1
  exit
vlan 4
  name "DMZ"
  tagged 1
  untagged 20-24
  exit

ness的咒語untagged將這些埠上的設備相互連接 - 將交換機切割成多個,隨意。

一個埠上的多個 VLAN 需要進行tagged配置。能夠說 VLAN 語言的連接設備將能夠與它們交談。

一個埠可以untagged在一個 VLAN 中(沒有 vlan ID 的數據包將通過這種方式獲得一個)和tagged多個 VLAN(只有在已經標記的情況下才會通過流量)。

我認為 Nextcloud 設置很簡單

$$ … $$

可能是這種情況,但您將需要一個路由器 - 或者在大多數情況下,網路的主人會暗示使用 - 防火牆。這樣的設備應該能夠通過標記自己的流量來連接(並且很可能是 L3-Separate)您的網路王國。

我們希望您在掌握網路拓撲管理和設計的更深奧秘方面有一段激動人心的旅程。

引用自:https://serverfault.com/questions/1061770