Homepage > Блог > Обеспечение безопасности сети при использовании сотрудниками личных устройств с помощью Omada SDN путём разделения сети

Обеспечение безопасности сети при использовании сотрудниками личных устройств с помощью Omada SDN путём разделения сети

Alex Shin

Вступление

С каждым днём растёт число компаний, разрешающих, а то и вовсе поощряющих использование сотрудниками личных цифровых устройств в рабочих целях. Концепция BYOD (Bring Your Own Device — Используй собственное цифровое устройство) несомненно способна оживить мир бизнеса, однако её применение в полной мере без риска нарушения стандартов безопасности очень непросто. Чем больше личных девайсов сотрудники используют в офисе, тем выше угроза безопасности — особенно, если говорить о больших компаниях с множеством отделов. Omada SDN позволяет решить эти проблемы за счёт использования мульти-SSID и гибких правил ACL.

Подробнее об Omada SDN

Сценарий применения

Рассмотрим конкретную ситуацию. Два отдела компании находятся в одном здании: отдел R&D и отдел маркетинга. У каждого отдела своя подсеть и сеть VLAN. Отдел R&D использует сеть VLAN 10 и сегмент подсети 172.31.10.0/24, а отдел маркетинга — сеть VLAN 20 и сегмент подсети 172.31.20.0/24. В таком случае сотрудники смогут работать, использовать собственные устройства с Wi-Fi и подключаться к сети своего отдела, но в целях безопасности к сети другого отдела они подключаться не смогут.

Сеть можно построить из продуктов Omada SDN (например, из маршрутизатора ER605, коммутатора TL‑SG3428MP и точек доступа EAP610). Мониторинг всех устройств можно осуществлять с аппаратного контроллера OC300, доступ к которому возможен через веб-интерфейс на компьютере.

Ниже перечислены шаги по разделению сети и обеспечению безопасности через веб-интерфейс OC300 при использовании сотрудниками собственных девайсов.

Шаг 1. Настройка сети WAN.

Шаг 2. Настройка сетей LAN и VLAN.

Шаг 3. Настройка Wi-Fi сети.

Шаг 4. Настройка ACL.

Шаг 1. Настройка сети WAN

Настроим на роутере подключение WAN (подключение к интернету).

1. Перейдите в раздел Settings > Wired Networks > Internet. Выберите тип подключения и настройте параметры согласно указаниям своего интернет-провайдера. Нажмите Apply для завершения настройки. Если у вас динамический IP-адрес, выберите Dynamic IP.

Если у вас статический IP-адрес, выберите Static IP и введите IP-адрес, маску подсети, шлюз по умолчанию и сервер DNS, все данные уточните у интернет-провайдера.

Шаг 2. Настройка сетей LAN и VLAN

Сначала проверьте настройки сети LAN по умолчанию.

1. Для просмотра параметров сети LAN по умолчанию перейдите в раздел Settings > Wired Networks > LAN.

2. Нажмите на . Параметры сети LAN указаны в таблице ниже. Для LAN (VLAN 1) можно оставить параметры по умолчанию.

Параметр

Значение

Name

LAN

Purpose

Interface

Interface

All the ports

VLAN

1

Gateway/Subnet

192.168.0.1/24

DHCP Server

Enable

DHCP Range

192.168.0.1 – 192.168.0.254

Разделите локальную сеть ещё на две сети VLAN и два IP-сегмента для разных отделов.

3. Чтобы создать сеть VLAN 10, нажмите + Create New LAN. Используйте значения, указанные в приведённой ниже таблице. Нажмите Save.

Параметр

Значение

Name

R&D

Purpose

Interface

Interface

All the ports

VLAN

10

Gateway/Subnet

172.31.10.1/24

DHCP Server

Enable

DHCP Range

172.31.10.1 - 172.31.10.254

3. Чтобы создать сеть VLAN 20, нажмите + Create New LAN. Используйте значения, указанные в приведённой ниже таблице. Нажмите Save.

Параметр

Значение

Name

Marketing

Purpose

Interface

Interface

All the ports

VLAN

20

Gateway/Subnet

172.31.20.1/24

DHCP Server

Enable

DHCP Range

172.31.20.1 - 172.31.20.254

Чтобы сети VLAN заработали, необходимо настроить профили портов и назначить их на соответствующие порты коммутатора. Нужные профили портов указаны в таблице ниже.

4. Перейдите в раздел Profile. Контроллер должен автоматически создать все нужные профили в соответствии с настройками сетей VLAN, включая All, LAN, R&D и Marketing.

Профили портов нужно назначить на порты следующим образом:

5. Перейдите в раздел Switch Settings. В списке будет коммутатор. Нажмите . Если нужно назначить профиль R&D на порты 4 и 6, выберите эти два порта в списке портов и нажмите Edit Selected. Затем установите в качестве профиля R&D и нажмите Apply. Так можно назначать профили на порты коммутатора.

   

Шаг 3. Настройка Wi-Fi сети

В этом примере необходимо создать несколько SSID для разных отделов с разными сетями VLAN, а именно: R&D Staff в сети VLAN 10 и Marketing Staff в сети VLAN 20. По умолчанию Wi-Fi сеть каждого отдела покрывает весь офис и к ней можно подключиться через любую точку доступа EAP. Нам нужно создать разные SSID и пароли, чтобы каждый отдел подключался к своей сети VLAN.

1. Чтобы создать SSID для R&D Staff в сети VLAN 10, перейдите в раздел Wireless Networks и нажмите + Create New Wireless Network. Настройте параметры в соответствии с таблицей ниже и нажмите Save.

Параметр

Значение

Network Name (SSID)

R&D Staff

Band

2.4GHz, 5GHz

Security

WPA-Personal

Security Key

Customize the password for the wireless network.

SSID Broadcast

Enable

VLAN

Enable VLAN and set the VLAN ID as 10.

2. Чтобы создать SSID для Marketing Staff в сети VLAN 20, перейдите в раздел Wireless Networks и нажмите + Create New Wireless Network. Настройте параметры в соответствии с таблицей ниже и нажмите Save.

Параметр

Значение

Network Name (SSID)

Marketing Staff

Band

2.4GHz, 5GHz

Security

WPA-Personal

Security Key

Customize the password for the wireless network.

SSID Broadcast

Enable

VLAN

Enable VLAN and set the VLAN ID as 20.

3. По умолчанию параметры Wi-Fi применяются ко всем точкам доступа EAP. Чтобы убедиться в этом, перейдите в раздел Devices и выберите точку доступа EAP. Затем перейдите во вкладку Config и нажмите WLAN. В этом разделе можно проверить, применены ли параметры Wi-Fi к точке доступа EAP.

Шаг 4. Настройка ACL

Для разграничения сетей VLAN (и отделов) друг от друга необходимо создать правило ACL. В противном случае у находящихся в разных сетях VLAN клиентов по-прежнему будет доступ друг к другу через интерфейсы VLAN.

Перейдите в раздел Network Security > Switch ACL и нажмите + Create New Rule. Настройте параметры в соответствии с таблицей ниже и нажмите Apply.

Параметр

Значение

Name

R&D and Marketing

Status

Enable

Policy

Deny

Protocols

All

Bi-Directional

Enable

Source

Select Network as the type and choose R&D as the source.

Destination

Select Network as the type and choose Marketing as the destination.

Binding Type

Ports

Ports

All Ports

Настройка сети завершена, при этом выполнены все требования:

1. У каждого отдела есть проводная и беспроводная сеть.

2. Посредством VLAN локальная сеть разделена — у каждого отдела своя сеть, у обоих отделов есть доступ в интернет.

3. Обеспечена безопасность при использовании сотрудниками личных устройств. Wi-Fi сеть каждого отдела покрывает весь офис и к ней можно подключиться через любую точку доступа EAP. Сотрудникам обоих отделов будет предоставлен свой SSID и пароль для подключения к соответствующей сети VLAN.

Alex Shin

Рекомендуемая статья