Ответ:
Пример настройки Management VLAN через Web-интерфейс (pdf)
Настройки коммутатора по умолчанию позволяют подключить рабочую станцию к любому порту Ethernet и получить доступ к интерфейсу управления коммутатором. Это связано с тем, что все порты Ethernet входят в VLAN 1 (default VLAN). При создании в локальной сети нескольких подсетей с использованием VLAN, управление коммутатором может осуществляться из любой VLAN. Это может создать опасность получения доступа к коммутатору неавторизованных пользователей. Для исключения подобных действий в коммутаторах D-Link реализована функция Management VLAN.
Management VLAN (VLAN управления) - это подсеть, которая используется только для управления сетевыми устройствами. Основное назначение Management VLAN - повышение сетевой безопасности. Когда весь трафик управления находится в отдельной VLAN, неавторизованным пользователям труднее отслеживать его и выполнять вредоносные действия в сети. Рабочая станция администратора, с которой выполняется управление коммутаторами, должна находиться в этой подсети. По умолчанию функция Management VLAN не активирована. При ее активации VLAN 1 (default VLAN) становится управляющей VLAN. Рекомендуется не использовать настройки по умолчанию и создать новую VLAN, которую сделать управляющей.
Примечание к настройке
Рассматриваемый пример настройки подходит для следующих серий коммутаторов: DES-1100, DGS-1100, DES-1210, DGS-1210/C1, DIS-200G.
Задача
Ограничить доступ к управлению коммутатором.
Для повышения безопасности сети требуется создать отдельную VLAN, которую настроить в качестве Management VLAN. Для VLAN управления рекомендуется использовать редко встречающийся идентификатор, например 83. Порт, к которому подключено рабочее место администратора, сделать членом этой VLAN.
Рассмотрим два примера настройки.
Пример 1
Рис. 1 Схема сети для примера 1
1. Подключитесь к Web-интерфейсу коммутатора.
| Примечание IP-адрес компьютера, с которого осуществляется вход в Web-интерфейс, должен принадлежать той же подсети, что и IP-адрес интерфейса управления коммутатором. По умолчанию IP-адрес управления коммутатором – 10.90.90.90/8. |
2. В поле Password введите пароль (по умолчанию – admin).
| Примечание Пароль чувствителен к регистру. |
3. Создайте VLAN v83, которая будет использоваться для управления коммутатором (порядок настройки VLAN 802.1Q можно узнать здесь). Добавьте порт 8 как немаркированный (untagged) в VLAN v83. Проверьте созданные VLAN.
4. Назначьте управляющую VLAN (Management VLAN). Для этого в меню слева выберите L2 Features –> VLAN –> Management VLAN. Активируйте функцию, нажав радиокнопку Enabled. Выберите в выпадающем списке VID значение 83. В поле VLAN Name отобразится имя VLAN v83. Нажмите Apply.
5. Сохраните настройки коммутатора, нажав в левом верхнем углу Save –> Save Configuration, а в рабочей области справа – Apply.
6. Проверьте возможность подключения к Web-интерфейсу коммутатора с любого компьютера из любой VLAN. При правильной настройке подключиться к Web-интерфейсу коммутатора можно только из VLAN v83.
Пример 2
Рассмотрим пример, когда управляемые коммутаторы соединены между собой через магистральные порты.
Рис.2 Схема сети для примера 2
1. Для подключения к Web-интерфейсу каждого коммутатора выполните действия, указанные в пп. 1 и 2 первого примера настройки.
2. Установите для каждого коммутатора свой уникальный IP-адрес из одной подсети. Например: 10.90.90.92/8, 10.90.90.93/8, 10.90.90.94/8.
Для этого в меню слева выберите System –> System Information Settings –> IPv4 Interface. Введите IP-адрес и маску подсети, затем нажмите – Apply.
3. Создайте VLAN v83 на каждом коммутаторе, которая будет использоваться для управления всеми коммутаторами. Все магистральные порты на каждом коммутаторе должны быть добавлены в VLAN v83 как маркированные (tagged). Порт коммутатора SW1, к которому подключена рабочая станция администратора, должен быть добавлен в VLAN v83 как немаркированный (untagged).
Настройки VLAN на коммутаторе SW1:
Настройки VLAN на коммутаторах SW2, SW3:
4. Назначьте VLAN v83 управляющей на всех коммутаторах, порядок действий аналогичен пункту 4 настроек для первого примера.
5. Сохраните настройки на всех коммутаторах
| Примечание Данное действие после выполнения пункта 4, возможно только с рабочего места администратора сети. |
6. Проверьте возможность подключения к Web-интерфейсу коммутаторов с любого компьютера из любой VLAN. При правильных настройках управление возможно только с рабочего места администратора, находящегося в VLAN v83.