Вступление С каждым днём растёт число компаний, разрешающих, а то и вовсе поощряющих использование сотрудниками личных цифровых устройств в рабочих целях. Концепция BYOD (Bring Your Own Device — Используй собственное цифровое устройство) несомненно способна оживить мир бизнеса, однако её применение в полной мере без риска нарушения стандартов безопасности очень непросто. Чем больше личных девайсов сотрудники используют в офисе, тем выше угроза безопасности — особенно, если говорить о больших компаниях с множеством отделов. Omada SDN позволяет решить эти проблемы за счёт использования мульти-SSID и гибких правил ACL. Подробнее об Omada SDN Сценарий применения Рассмотрим конкретную ситуацию. Два отдела компании находятся в одном здании: отдел R&D и отдел маркетинга. У каждого отдела своя подсеть и сеть VLAN. Отдел R&D использует сеть VLAN 10 и сегмент подсети 172.31.10.0/24, а отдел маркетинга — сеть VLAN 20 и сегмент подсети 172.31.20.0/24. В таком случае сотрудники смогут работать, использовать собственные устройства с Wi-Fi и подключаться к сети своего отдела, но в целях безопасности к сети другого отдела они подключаться не смогут. Сеть можно построить из продуктов Omada SDN (например, из маршрутизатора ER605, коммутатора TL‑SG3428MP и точек доступа EAP610). Мониторинг всех устройств можно осуществлять с аппаратного контроллера OC300, доступ к которому возможен через веб-интерфейс на компьютере. Ниже перечислены шаги по разделению сети и обеспечению безопасности через веб-интерфейс OC300 при использовании сотрудниками собственных девайсов. Шаг 1. Настройка сети WAN. Шаг 2. Настройка сетей LAN и VLAN. Шаг 3. Настройка Wi-Fi сети. Шаг 4. Настройка ACL. Шаг 1. Настройка сети WAN Настроим на роутере подключение WAN (подключение к интернету). 1. Перейдите в раздел Settings > Wired Networks > Internet. Выберите тип подключения и настройте параметры согласно указаниям своего интернет-провайдера. Нажмите Apply для завершения настройки. Если у вас динамический IP-адрес, выберите Dynamic IP. Если у вас статический IP-адрес, выберите Static IP и введите IP-адрес, маску подсети, шлюз по умолчанию и сервер DNS, все данные уточните у интернет-провайдера. Шаг 2. Настройка сетей LAN и VLAN Сначала проверьте настройки сети LAN по умолчанию. 1. Для просмотра параметров сети LAN по умолчанию перейдите в раздел Settings > Wired Networks > LAN. 2. Нажмите на . Параметры сети LAN указаны в таблице ниже. Для LAN (VLAN 1) можно оставить параметры по умолчанию. Параметр Значение Name LAN Purpose Interface Interface All the ports VLAN 1 Gateway/Subnet 192.168.0.1/24 DHCP Server Enable DHCP Range 192.168.0.1 – 192.168.0.254 Разделите локальную сеть ещё на две сети VLAN и два IP-сегмента для разных отделов. 3. Чтобы создать сеть VLAN 10, нажмите + Create New LAN. Используйте значения, указанные в приведённой ниже таблице. Нажмите Save. Параметр Значение Name R&D Purpose Interface Interface All the ports VLAN 10 Gateway/Subnet 172.31.10.1/24 DHCP Server Enable DHCP Range 172.31.10.1 - 172.31.10.254 3. Чтобы создать сеть VLAN 20, нажмите + Create New LAN. Используйте значения, указанные в приведённой ниже таблице. Нажмите Save. Параметр Значение Name Marketing Purpose Interface Interface All the ports VLAN 20 Gateway/Subnet 172.31.20.1/24 DHCP Server Enable DHCP Range 172.31.20.1 - 172.31.20.254 Чтобы сети VLAN заработали, необходимо настроить профили портов и назначить их на соответствующие порты коммутатора. Нужные профили портов указаны в таблице ниже. 4. Перейдите в раздел Profile. Контроллер должен автоматически создать все нужные профили в соответствии с настройками сетей VLAN, включая All, LAN, R&D и Marketing. Профили портов нужно назначить на порты следующим образом: 5. Перейдите в раздел Switch Settings. В списке будет коммутатор. Нажмите . Если нужно назначить профиль R&D на порты 4 и 6, выберите эти два порта в списке портов и нажмите Edit Selected. Затем установите в качестве профиля R&D и нажмите Apply. Так можно назначать профили на порты коммутатора. Шаг 3. Настройка Wi-Fi сети В этом примере необходимо создать несколько SSID для разных отделов с разными сетями VLAN, а именно: R&D Staff в сети VLAN 10 и Marketing Staff в сети VLAN 20. По умолчанию Wi-Fi сеть каждого отдела покрывает весь офис и к ней можно подключиться через любую точку доступа EAP. Нам нужно создать разные SSID и пароли, чтобы каждый отдел подключался к своей сети VLAN. 1. Чтобы создать SSID для R&D Staff в сети VLAN 10, перейдите в раздел Wireless Networks и нажмите + Create New Wireless Network. Настройте параметры в соответствии с таблицей ниже и нажмите Save. Параметр Значение Network Name (SSID) R&D Staff Band 2.4GHz, 5GHz Security WPA-Personal Security Key Customize the password for the wireless network. SSID Broadcast Enable VLAN Enable VLAN and set the VLAN ID as 10. 2. Чтобы создать SSID для Marketing Staff в сети VLAN 20, перейдите в раздел Wireless Networks и нажмите + Create New Wireless Network. Настройте параметры в соответствии с таблицей ниже и нажмите Save. Параметр Значение Network Name (SSID) Marketing Staff Band 2.4GHz, 5GHz Security WPA-Personal Security Key Customize the password for the wireless network. SSID Broadcast Enable VLAN Enable VLAN and set the VLAN ID as 20. 3. По умолчанию параметры Wi-Fi применяются ко всем точкам доступа EAP. Чтобы убедиться в этом, перейдите в раздел Devices и выберите точку доступа EAP. Затем перейдите во вкладку Config и нажмите WLAN. В этом разделе можно проверить, применены ли параметры Wi-Fi к точке доступа EAP. Шаг 4. Настройка ACL Для разграничения сетей VLAN (и отделов) друг от друга необходимо создать правило ACL. В противном случае у находящихся в разных сетях VLAN клиентов по-прежнему будет доступ друг к другу через интерфейсы VLAN. Перейдите в раздел Network Security > Switch ACL и нажмите + Create New Rule. Настройте параметры в соответствии с таблицей ниже и нажмите Apply. Параметр Значение Name R&D and Marketing Status Enable Policy Deny Protocols All Bi-Directional Enable Source Select Network as the type and choose R&D as the source. Destination Select Network as the type and choose Marketing as the destination. Binding Type Ports Ports All Ports Настройка сети завершена, при этом выполнены все требования: 1. У каждого отдела есть проводная и беспроводная сеть. 2. Посредством VLAN локальная сеть разделена — у каждого отдела своя сеть, у обоих отделов есть доступ в интернет. 3. Обеспечена безопасность при использовании сотрудниками личных устройств. Wi-Fi сеть каждого отдела покрывает весь офис и к ней можно подключиться через любую точку доступа EAP. Сотрудникам обоих отделов будет предоставлен свой SSID и пароль для подключения к соответствующей сети VLAN.