Коротко и по шагам.
1) Разделение узлов по VLAN
- VLAN $10$: рабочие станции/серверы группы A (подсеть $10.10.10.0/24$).
- VLAN $20$: рабочие станции/серверы группы B (подсеть $10.10.20.0/24$).
(маршрутизаторы: $R1$, $R2$, $R3$ — см. архитектуру ниже)
2) Логика сегментации и где ставить маршрутизацию
- На уровне доступа — порты коммутатора в режиме access, привязанные к VLAN $10$ или $20$.
- Транки 802.1Q между коммутаторами и между коммутатором и маршрутизатором(ами) — теги VLAN обязательны. native‑VLAN не использовать или назначить неиспользуемую VLAN.
- Межвлановая маршрутизация выполняется либо на L3‑коммутаторе (SVI для VLAN $10$/$20$), либо на маршрутизаторе (router‑on‑a‑stick: subinterfaces с dot1Q). Один из маршрутизаторов выполняет роль гейта в интернет/DMZ (граница).
3) Пример IP/интерфейсов (практическая конфигурация)
- SVI/подинтерфейсы:
- VLAN $10$: адрес шлюза $10.10.10.1/24$
- VLAN $20$: адрес шлюза $10.10.20.1/24$
- На граничном маршрутизаторе/Firewall — маршруты к $10.10.10.0/24$ и $10.10.20.0/24$ или динамический протокол (OSPF/IS-IS/BGP) между внутренними роутерами.
4) Минимизация широковещательного трафика
- Использовать VLAN для ограничения broadcast-домена. Убедиться, что каждая подсеть максимально компактна (если мало хостов — уменьшить маску).
- Включить on‑switch функции: storm‑control, IGMP snooping (для мультикаст), BPDU guard/Root guard, port‑security.
- На коммутаторах: отключить ненужные широковещательные сервисы, ограничить ARP‑шторм через rate‑limit/ARP inspection.
5) Предотвращение межвлановых утечек
- По умолчанию запрещить межвлановый трафик, затем явно разрешать нужные сервисы: на маршрутизаторе/межсетевом экране установить политику deny by default.
- Пример правила: запретить весь IP-трафик между подсетями, разрешить только нужные порты (SSH/HTTP/DB) — «разреши только то, что требуется».
- Псевдо: запретить трафик из $10.10.20.0/24$ в $10.10.10.0/24$, затем разрешить порты приложений по необходимости.
- Использовать VLAN ACLs (VACL) или контролируемые SVI‑ACL для фильтрации L2/L3 внутри коммутатора (чтобы трафик не уходил на маршрутизатор, если нежелателен).
- Для сильной логической изоляции применять PVLAN (private VLAN) или VRF для полного разделения таблиц маршрутизации.
6) Защита транков и управление VLAN
- Отключить DTP, вручную настроить trunking, ограничить разрешённые VLAN на транках (allowed VLANs).
- Назначить ненулевую native VLAN и применить tag‑all, или использовать unused VLAN как native, чтобы избежать утечек.
- Разрешать на транке только VLAN $10$ и $20$.
7) Резервирование и маршрутизация между роутерами
- Если три маршрутизатора — один может быть границей (интернет/DMZ), два других — обслуживают внутренние сегменты или выполняют балансировку/резервирование.
- Для обмена маршрутами использовать статические маршруты или внутренний IGP (например, OSPF area $0$) — объявьте сети $10.10.10.0/24$ и $10.10.20.0/24$.
- Включить stateful firewall/NAT на граничном маршрутизаторе, чтобы не разрешать входящие сессии между VLAN без правила.
8) Дополнительно (безопасность и отладка)
- DHCP snooping + Dynamic ARP Inspection (DAI) для предотвращения подмены шлюза/ARP‑спуфинга.
- Логирование и мониторинг: NetFlow/sFlow, SNMP, регулярные проверки ACL/VLAN.
- Тестирование: проверка изоляции (ping/трейс) между VLAN до и после установки ACL, проверка native VLAN на каждом транке.
Краткий итог: выделите для каждой VLAN отдельную подсеть ($10.10.10.0/24$, $10.10.20.0/24$); делайте межвлановую маршрутизацию централизованно (L3 switch или router‑on‑a‑stick); на транках — только tag‑VLANs, отключить DTP; применяйте «deny‑by‑default» ACL/файрвол между VLAN и разрешайте только необходимые сервисы; включите DHCP snooping/DAI, storm‑control и IGMP snooping для снижения широковещательного трафика.