【前言】
本人非IT從業者,目前會的那些三腳貓網絡設置功夫都是通過各種爬樓野路子學來的 。所以我也只能夠分享我實際使用過,且目前一直在穩定使用的一些功能。之前的文章,有不少值友反饋説,家庭局域網完全沒有必要使用虛擬局域網VLAN。這話本沒錯 ,畢竟家庭局域網能有多少台設備上網?出現網絡風暴的幾率微乎其微。但是VLAN難道只有防止網絡風暴這一個功能嗎?VLAN説白了其實就是切蛋糕, 把一整個家庭局域網切成幾個。
為什麼要這麼幹?其中一個理由是增加網絡安全。樓豬非常喜歡智能家居設備帶來的便利,但是又對智能家居設備的網絡安全感到非常擔憂。目前做智能設備的廠商多如牛毛,但是仔細看一下他們的廣告,基本沒有一家會提到自己設備的安全性。可以這麼説,在智能設備行業,設備的安全性是被忽視的。智能設備普遍售價都比非智能的高,就是因為他更”智能“,而非更”安全“。試想,作為消費者,同樣的兩款設備放在你面前,功能都一樣,其中一個安全等級更高,但是要貴50%,你會選擇它嗎?試想,作為智能設備廠商,當你把設備的信息安全等級和產品的成本、外觀設計、遠程控制、設備間聯動、跨平台聯動等放在一起,你會把你手上那一丁點錢投向哪裏?目前主流智能廠商,特別是初創企業的研發重點,樓豬敢説絕不會落在設備的網絡安全上。所以,既然有所顧慮,那就把它關到籠子裏。
最簡單粗暴的方法是用訪客網絡
這個絕對是隔離的最徹底的,訪客網絡和家庭局域網之間通信隔離,訪客網絡內的設備也兩兩隔離。設備只能和外網通信,如果你所有設備都是隻和雲端聯絡的,不需要和本地其他設備交換數據的話,訪客網絡就可以滿足你,就別整什麼VLAN間路由了。但是,這種方式的缺點是嚴重依賴外部網絡,如果斷網,所有智能設備全部秒變智障設備 。
另一種方式是使用VLAN間路由
VLAN的設置就靈活多了,你可以讓VLAN內部的設備相互隔離,也可以讓這些設備相互通信。你可以讓不同的VLAN雙向通信,單向通信,甚至不通信。你可以讓VLAN訪問外網,也可以不讓他們上網。
只要設置VLAN內客户端不隔離,VLAN內部的設備就可以相互通信。比如你家有一台NAS做硬盤錄像機,配合局域網中OVNIF協議攝像機使用,這個時候就需要VLAN了。而且即使斷了外網,攝像機還是可以訪問局域網中的NAS,不影響保存錄像。
如果需要對這個VLAN進行隔離,就需要藉助防火牆實現雙向或者單向的隔離。雙向隔離就是老死不相往來,這個VLAN裏的數據出不來,別的VLAN裏的數據也進不去。單向隔離就是允許一個方向的訪問,比如只允許你的電腦訪問監控但不允許監控訪問你的設備。甚至你可以讓這個隔離的VLAN不能訪問互聯網。
英文好的可以去Unifi官方網站爬樓,網頁我已經幫你找好了,拿走不謝 。
https://help.ui.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing#option%202
但是一定要去英文網站,中文的Unifi網站本土化做得太差了! 很多資料都查不到,但是英文的網站做的就非常完善(畢竟是美國土生土長的企業,時間長,用户基礎大)。只要英文夠好,常見的坑基本都能找到解決方案。阿油歐楷??? 實在不行,還可以去Unifi的英文官方社區發帖求助,會有國外的工程師介入告訴你到底能不能解決,可以解決的話,方案是啥。國內的中文論壇麼,嘖嘖嘖!
我就代勞作一回搬運工:
原文
Inter-VLAN routing is enabled by default between all Corporate LAN networks. In this article, blocking LAN to VLAN2 will be demonstrated, as well as some other techniques to fine-tune your inter-VLAN communication on corporate networks. This article was written using a USG, but same configuration can be made for the UDM models.
樓豬渣翻譯
企業局域網之間的VLAN間路由是默認開啓的。在這篇文章中演示阻斷從局域網(LAN)到虛擬局域網(VLAN2)的鏈路,以及一些其他的技巧在企業網絡上來微調你的VLAN間通信。這篇文章是基於一台Unifi安全網關(USG)寫的,但同樣的設置可以在Unifi夢想機(UDM)上實現。
嗯,翻譯課就到此為止吧。樓豬直接結果導向只説咋實現單向隔離,就不全文翻譯了。後面,我就用我自己的Unifi網絡來説。
先説總目標,大方向LAN可以訪問智能設備所在的VLAN20
VLAN20裏的設備不能訪問LAN
一、 進入防火牆設置的方法是:1. 點擊左下角設置Setting(齒輪圖標);2. 選擇路由與防火牆Routing&Firewall;菜單;3. 選擇防火牆Firewall標籤頁;4. 選擇IPv4規則子標籤頁;5. 選擇 LAN IN 孫標籤頁
二、 新建一條規則
官方文檔還額外註釋説:
LAN IN是過濾所有LAN/VLAN通信的地方,所以只要設置LAN IN就可以了。因為無論對那個網絡來説,IN都是進入防火牆的起始點。OUT規則僅僅在一些非常罕見的情況下才會被使用。
如果選擇Drop(丟棄)將完全丟棄數據包,結果是在客户端顯示”請求超時“的信息;如果選擇Reject(拒絕)將會發送一條拒絕連接的數據包給客户端。
測試前先交代一下測試辦法,樓豬的局域網上有一台PC,一台MAC。
其中iMac在IoT的這個VLAN,IP地址為192.168.20.208。
PC在LAN,IP地址為192.168.2.54。
如果PC能夠Ping通iMac,説明LAN到IoT的單向鏈路連通。如果PC不能ping通iMac,説明LAN到IoT的單向鏈路不通。
首先從iMac ping PC,結果顯示ping不通。
再從PC ping iMac,結果顯示也ping不通。
因此可以得出結論:VLAN和LAN之間的雙向鏈路完全被防火牆隔離了。達成了一個小目標!撒花。。。
第二步、在第一步建立的規則前面新建一條規則
這條規則大概的意思是但凡沒説不能幹,就是能幹。因為這條規則前面沒有規則,所以實際效果就是啥數據都放行。
那這兩步的規則組合在一起會是什麼樣的效果?防火牆優先執行第一條規則,確保任意方向的VLAN間訪問都是可以的。再執行到第二條規則,不允許IoT往VLAN20方向的訪問。所以這麼兩條規則一組合起來就是除了IoT往VLAN20方向的訪問不行以外,其他方向的訪問都可以。
設置完看一下效果
從iMac ping PC,結果顯示不通。
從PC ping iMac,結果顯示連通。
得出結論:IoT往LAN方向的鏈路不通,但LAN往IoT方向的鏈路連通。目標達成!
方法就是這麼兩條防火牆規則,剩下的就交給大家自己發揮了,多嘗試幾次就行。
以上。