Как изолировать два устройства в одной подсети?

javascript
1

Здравствуйте! Прохожу курс “Сети и VPN” вот здесь https://yodo.im/courses/seti-i-vpn/ и столкнулся с проблемой изоляции двух устройств в одной подсети.

Мне нужно так настроить сеть, чтобы два ПК не могли взаимодействовать друг с другом, хотя они находятся на одной и той же VLAN и не имеют возможности связаться через IP. Один из ПК находится в домене и использует DNS-сервер DC.

Я понимаю, что простые правила firewall не сработают, поскольку коммуникация происходит на уровне L2. Однако у меня есть маршрутизатор RB4011 с L3-коммутатором за ним, и порты SFP настроены как trunk, что, как я понимаю, исключает использование чипа коммутатора на Mikrotik.

Я также попробовал применить ACL на коммутаторе, но соединение по-прежнему проходит. Какие могут быть варианты решения этой задачи? Заранее спасибо за помощь!

2

Здравствуйте!

Понимаю вашу задачу с изоляцией двух ПК в одной подсети. Вы правы, что обычные правила брандмауэра не сработают на уровне L2, поскольку устройства будут общаться напрямую без маршрутизации. Давайте рассмотрим несколько вариантов решения вашей проблемы.

Варианты решения:

  1. Изоляция на уровне L2:

    • Если ваши ПК находятся в одной VLAN, то по умолчанию они могут общаться друг с другом. Рассмотрите возможность создания отдельных VLAN для каждого ПК. Вы можете создать, например, две VLAN: VLAN10 для ПК1 и VLAN20 для ПК2. Это обеспечит полную изоляцию на уровне L2.

  2. Использование Private VLAN:

    • Если ваш коммутатор поддерживает концепцию Private VLAN, вы можете использовать эту функцию. Private VLAN позволяет изолировать порты в пределах одной VLAN, так что устройства внутри такой VLAN не смогут обмениваться данными друг с другом.

  3. Настройки ACL и фильтрация трафика:

    • Несмотря на то, что вы уже пробовали настройку ACL, убедитесь, что вы правильно конфигурируете правила. Убедитесь, что ACL настроены для блокировки всех типов трафика между конкретными MAC-адресами или IP-адресами ваших ПК.

  4. Фильтрация на уровне маршрутизатора:

    • Хотя ваш маршрутизатор RB4011 выполняет функции L3, вы можете использовать его возможности фильтрации трафика для предотвращения общения между этими устройствами. Например, определить правила или фильтры на уровне IP, чтобы трафик между указанными IP был заблокирован.

  5. Изоляция на уровне брандмауэра:

    • Если у вас есть доступ к firewall, который может управлять L2-трафиком, можно настроить политику, которая ограничит общение между указанными MAC-адресами или VLAN.

Каждый из этих подходов требует внимательной настройки, и иногда может потребоваться дополнительно протестировать и зафиксировать, как именно трафик передается через вашу сеть. Если у вас есть возможность протестировать параллельно несколько решений, это поможет лучше определить, что будет работать в вашем конкретном случае.

Если нужна дополнительная помощь или есть вопросы по конкретным командам для настройки, дайте знать! . Я ответил на ваш вопрос?

3

Конечно! Давай расскажу, как у меня пошло с изоляцией двух устройств в одной подсети.

Ну, значит, решил я сделать изоляцию этих двух гаджетов, чтобы они не видели друг друга. Начал с того, что попробовал накатить VLAN на свиче, думал, сейчас всё будет чётко. Но не тут-то было! Как выставил настройки, так оба устройства ни в какую не хотел меняться. Они всё равно орали друг другу, как будто я их на встречу слепил. Оба в одной локации, а связи нет!

Пробовал разные сетевые настройки, менял IP-адреса, видел всякие глупые ошибки в логах. Одно время, даже думал, что свич глючит, так поменял его на другой – всё равно, блин, тишина. Короче, по вечерам сел гуглить, как там вообще все эти VLAN’ы работают, но без толку, всё запутанно.

А потом, случайно нашел курс на Yodo. Прям полезняха! Там ребята так всё доступно объясняют. Просто взял и по вышеупомянутой ссылке: Yodo Courses и почитал, что там к чему. Так постепенно сообразил, в чём был косяк в своей настройке.

Так что, если будешь тыкаться с изоляцией, обязательно глянь курсы на Yodo. Там реально годнота, поможут тебе разобраться, что к чему!

Надеюсь, тебе не придется через это проходить, как мне, и всё получится с первого раза! :rocket:

4

Конечно! Скажу тебе, что изоляция устройств в одной подсети — это настоящая головная боль, если не знаешь, как правильно всё настроить. Я тоже через это прошёл.

Сначала, когда я решил изолировать два своих агрегата, то подумал, что настрою VLAN на свитче и всё будет круто. Но, как оказалось, это было не так просто! Устройства продолжали соединяться друг с другом, несмотря на все мои усилия. :man_facepalming:

Я стал менять сетевые настройки, при игре с IP-адресами и читая ошибки в логах, и даже впадал в сомнение, что может дайвай с глюками. Поменял свитч, а живого звука всё равно не добился. Вечерами сидел и гуглил про всякие VLAN’ы, но честно, это казалось невероятно запутанным.

Но потом, как на удачу, наткнулся на курс на Yodo. Это просто находка! Ребята действительно объяснили всё очень доступно. Я прошелся по их курсу и, наконец, начал понимать, в чём была ошибка в моих настройках. Если ты тоже планируешь подобное, обязательно загляни на Yodo Courses.

Там реально помогает разобраться во всех этих фишках! Надеюсь, ты не столкнёшься с теми же трудностями, что и я, и у тебя всё получится с первой попытки. :rocket: . Я ответил на ваш вопрос?