技巧 | 隔離很重要，這些隔離設(shè)置和應(yīng)用你還不會嗎？

新用戶0118F7lQ 2022-06-23 發(fā)布于福建

展開全文

在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，隔離的思想代表著如何正確的進(jìn)行網(wǎng)絡(luò)規(guī)劃和管理。對于常見的中小型網(wǎng)絡(luò)，如餐廳、酒店、企業(yè)、工廠等，如果只是建設(shè)成一個互聯(lián)互通的大型局域網(wǎng)，那么這個網(wǎng)絡(luò)系統(tǒng)在后續(xù)的應(yīng)用和管理維護(hù)過程中，出現(xiàn)故障的概率非常高。

而一個大型局域網(wǎng)內(nèi)數(shù)十及數(shù)百終端之間完全不做規(guī)劃和隔離，極易出現(xiàn)ARP欺騙、IP地址沖突、網(wǎng)關(guān)沖突、大面積中毒等技術(shù)問題，引發(fā)網(wǎng)絡(luò)掉線、全網(wǎng)癱瘓和安全風(fēng)險（如機(jī)密文件泄漏等）。

綜上所述，忽視網(wǎng)絡(luò)規(guī)劃和管理往往會導(dǎo)致網(wǎng)絡(luò)故障和網(wǎng)絡(luò)安全問題發(fā)生。TP小商這就為大家講解一下哪些情況下需要進(jìn)行網(wǎng)絡(luò)隔離，應(yīng)該怎么配置？

一起來學(xué)習(xí)吧~

常見的隔離方式

端口隔離：在管理型交換機(jī)中設(shè)置端口隔離，實現(xiàn)每個端口可以訪問的目的端口；在非管理型交換機(jī)中，模式開關(guān)撥到“VLAN隔離”，實現(xiàn)每個端口只能訪問上聯(lián)端口。

VLAN隔離：通過設(shè)置VLAN，可以將網(wǎng)絡(luò)劃分為幾個小型網(wǎng)絡(luò)；可以將交換機(jī)、AC、AP等設(shè)備劃分到管理VLAN，終端劃分到業(yè)務(wù)VLAN，進(jìn)行管理與業(yè)務(wù)隔離。

無線內(nèi)部隔離：TP-LINK路由器和AC均支持設(shè)置無線網(wǎng)絡(luò)內(nèi)部隔離功能。啟用后，終端之間將無法互訪，確保無線終端互不影響。

SSID間隔離：針對員工網(wǎng)絡(luò)、訪客網(wǎng)絡(luò)等分別設(shè)置SSID，綁定不同的VLAN，設(shè)置不同的上網(wǎng)權(quán)限和內(nèi)部網(wǎng)絡(luò)訪問權(quán)限，保障內(nèi)網(wǎng)安全。

應(yīng)用場景

場景1

交換機(jī)下設(shè)備僅能與上聯(lián)服務(wù)器通信，彼此之間不允許訪問

為了保證網(wǎng)絡(luò)主機(jī)彼此上網(wǎng)互不影響，僅允許和上聯(lián)網(wǎng)關(guān)及服務(wù)器進(jìn)行通信。針對此需求，可通過以下兩種方式實現(xiàn)。

配置交換機(jī)端口隔離

網(wǎng)管交換機(jī)上進(jìn)行配置，上聯(lián)口連接服務(wù)器和網(wǎng)關(guān)，其它端口均能訪問該端口；非網(wǎng)管交換機(jī)撥碼到“VLAN模式”，服務(wù)器和網(wǎng)關(guān)連接Uplink接口，實現(xiàn)每個端口只能訪問上聯(lián)端口。

配置網(wǎng)管交換機(jī)VLAN隔離

對交換機(jī)端口進(jìn)行規(guī)劃，上聯(lián)口透傳所有業(yè)務(wù)VLAN連接服務(wù)器和網(wǎng)關(guān)，下聯(lián)口分別規(guī)劃不同的VLAN連接用戶主機(jī)，實現(xiàn)下聯(lián)口僅能與上聯(lián)口互訪的需求。

場景2

無線組網(wǎng)保證用戶終端之間互不影響，避免非法DHCP、ARP攻擊，優(yōu)化無線上網(wǎng)體驗

無線局域網(wǎng)中設(shè)備之間都能收到彼此的組播/廣播報文，可能會對無線體驗產(chǎn)生一定的影響。另外開放的無線網(wǎng)絡(luò)環(huán)境容易受到非法接入設(shè)備的影響，如接入了非法DHCP或惡意客戶端進(jìn)行ARP攻擊，導(dǎo)致其它合法終端上網(wǎng)異常。針對此場景，可通過以下方式解決。

配置AP無線內(nèi)部隔離

TP-LINK無線AC和路由器，均支持設(shè)置無線網(wǎng)絡(luò)內(nèi)部隔離功能。啟用無線網(wǎng)絡(luò)內(nèi)部隔離功能后，終端之間的互訪將會被禁止。終端A上存在的風(fēng)險比如自身是非法DHCP、病毒攜帶、ARP攻擊等只會影響到終端A自身，而不會影響終端B、C、D等。同時能排除無線終端間的影響，保證上網(wǎng)體驗。

配置SSID間隔離

針對不同的SSID業(yè)務(wù)網(wǎng)絡(luò)做VLAN劃分（如訪客、員工網(wǎng)絡(luò)屬于不同VLAN），設(shè)置不同的上網(wǎng)權(quán)限和內(nèi)部網(wǎng)絡(luò)訪問權(quán)限，非法設(shè)備接入某個VLAN時不會影響到其它業(yè)務(wù)VLAN正常運行，并能定位故障范圍，實現(xiàn)精確排障，保障內(nèi)網(wǎng)安全和上網(wǎng)體驗。

場景3

智能設(shè)備、監(jiān)控設(shè)備等接入網(wǎng)絡(luò)的場景，防止廣播/組播量過大消耗無線性能

由于無線通信帶寬共享，現(xiàn)網(wǎng)接入的智能家居、監(jiān)控設(shè)備等數(shù)量過多，可能由于設(shè)備自身機(jī)制會產(chǎn)生大量的廣播/組播，就會對信道資源占用時間長（信道繁忙），導(dǎo)致無線網(wǎng)絡(luò)性能急劇下降，上網(wǎng)體驗變差。而有線網(wǎng)絡(luò)中，任何端口都有獨享的百兆或千兆帶寬，所以一定量的廣播包對有線網(wǎng)絡(luò)影響不大。

針對此場景問題，需要配置端口隔離、VLAN隔離、無線內(nèi)部隔離、SSID隔離一套組合拳有效減小網(wǎng)絡(luò)中廣播/組播所帶來的影響。通過VLAN隔離、SSID隔離將網(wǎng)絡(luò)劃分多個子網(wǎng)，消除子網(wǎng)之間組播/廣播的相互影響。同一個子網(wǎng)內(nèi)部，可以通過交換機(jī)的端口隔離、無線AP的內(nèi)部網(wǎng)絡(luò)隔離等實現(xiàn)終端間的不可互訪，降低內(nèi)部互相影響的風(fēng)險。

場景4

中大型網(wǎng)絡(luò)不同部門之間業(yè)務(wù)隔離，實現(xiàn)不同部門互訪、數(shù)據(jù)安全交互

以一個典型的企業(yè)網(wǎng)絡(luò)拓?fù)鋪碚f，最根本的訪問需求是這樣的：

訪問需求：

所有人員都有一定的訪問互聯(lián)網(wǎng)需求；

內(nèi)部文件中轉(zhuǎn)、辦公系統(tǒng)等訪問公司的服務(wù)器；

打印文件，通過網(wǎng)絡(luò)訪問打印機(jī)遠(yuǎn)程打?。?/section>

部門與部門、個人與個人之間的交流通過微信，郵件等方式。

配置VLAN隔離、SSID隔離實現(xiàn)三層網(wǎng)絡(luò)

對于中大型網(wǎng)絡(luò)場景，需要選擇核心交換作為多接口網(wǎng)關(guān)，針對不同部門劃分不同的VLAN和對應(yīng)接口。通過802.1Q VLAN將AP管理流和終端上網(wǎng)的無線業(yè)務(wù)流分離，同一個AP可劃分不同SSID綁定不同VLAN，并可結(jié)合ACL規(guī)則允許/限制部門之間的互訪需求。