Tak mě dohnala síťařina. Díky tomu, že jsem již nějakým způsobem zapojil Loxone prvky v rozvaděči, nastal čas vyřešit také domácí síť. A aby kovářova kobyla nechodila bosa, je potřeba se také zamyslet na designem.

V naší domácí síti budu používat zařízení Mikrotik, která budou sloužit jako váchozí brána pro jednotlivé sítě, zároveň budou sloužit jako hraniční firewall, DHCP server a v neposlední řadě jako hlavní ruter a VPN koncentrátor. Ale to už předbíhám.

Návrh domácí sítě

Domácí síť jsem se rozhodl rozdělit do několika VLAN. A co VLANách říká Wikipedia?:

VLAN (zkratka pro Virtuální LAN) je logicky nezávislá síť v rámci jednoho nebo několika zařízení. Virtuální sítě lze definovat jako domény všesměrového vysílání (stejně jako LAN) s cílem učinit logickou organizaci sítě nezávislou na fyzické vrstvě, čímž lze usnadnit správu sítě, zvýšit její výkon a podpořit bezpečnost.

Síť jsem tedy rozdělil následovně do tří základních segmentů:

  1. Segment VPN (VLAN 1xx)
  2. Sezment drátové sítě (VLAN 2xx)
  3. Segmemt bezdrátové sítě (VLAN 3xx)

Zde je pro přehlednost IP plán napříč jednotlivými segmenty. Jednotlivé řádky vysvětlím v článku níže. Pokud by se někdo chtěl inspirovat mým designem, dosaďte si X=1 (nebo libovolné jiné číslo), já z důvodu paranoidní obavy o bezpečnost kompletní informace nevyzradím.

VLAN Účel Síť Maska Maska Host MIN Host MAX Hosts    
100 VPN – Internal systems 172.16.x.0 255.255.255.248 29 172.16.x.1 172.16.x.6 6 /27  
101 VPN – Internal users 172.16.x.8 255.255.255.248 29 172.16.x.9 172.16.x.14 6  
102 VPN – External users 172.16.x.16 255.255.255.248 29 172.16.x.17 172.16.x.22 6  
103 VPN – REZERVA 172.16.x.24 255.255.255.248 29 192.16.x.25 172.16.x.30 6  
                   
200 WIRE – Devices – (tiskarny, management, servery, TV) 10.x.0.0 255.255.255.0 24 10.x.0.1 10.x.0.254 254 /22 /21
210 WIRE – Home automation 10.x.1.0 255.255.255.0 24 10.x.1.1 10.x.1.254 254
220 WIRE – Security (kamery, zabezpecovacka) 10.x.2.0 255.255.255.0 24 10.x.2.1 10.x.2.254 254
230 WIRE – Users – privileged 10.x.3.0 255.255.255.0 24 10.x.3.1 10.x.3.254 254
240 WIRE – REZERVA             /22
250 WIRE – REZERVA            
260 WIRE – REZERVA            
270 WIRE – REZERVA            
                   
300 WIFI – Devices – privileged (printers, TV) 10.x.8.0 255.255.255.0 24 10.x.8.1 10.x.8.254 254 /22 /21
310 WIFI – Home automation 10.x.9.0 255.255.255.0 24 10.x.9.1 10.x.9.254 254
320 WIFI – Security 10.x.10.0 255.255.255.0 24 10.x.10.1 10.x.10.254 254
330 WIFI – Users – privileged 10.x.11.0 255.255.255.0 24 10.x.11.1 10.x.11.254 254
340 WIFI – Users – external 10.x.12.0 255.255.255.0 24 10.x.12.1 10.x.12.254 254 /22
350 WIFI – REZERVA            
360 WIFI – REZERVA            
370 WIFI – REZERVA            

Segment VPN

Tento segment obsahuje čtyři VLANy (100-103) a se celý schovává za maskou 255.255.255.224 ( nebo taky / 27). Co to znamená. Pokud budu chtít například na routeru nastavit pravidlo pro celý segment VPN, mohu použitím této masky jedním pravidlem obsloužit všechny 4 VLANy. Toto ovšem není vždy žádoucí. Segment VPN neobsahuje čtyři virtuální sítě čistě náhodou:

  1. Internal Systems (100) – síť určená pro interní systémy, které by potřebovaly komunikovat pomocí VPN do vnitřní sítě. Tohle si trochu protiřečí  proč by interní systém komunikoval „dovnitř“? Protože by se mohlo jednat například od systém v Cloudu (třeba Microsoft Azure), který by potřeboval komunikovat dovnitř. Proto vznikla VLANa, která toto umožní.
  2. Internal Users (200) – síť, VPN uživatelů; Vzhledem k tomu, že nechci řešit přístup do vnitřní sítě pomocí DST-NAT a vystrkování portů ven do internetu, každý uživatel bude mít vlastní VPN účet a s vnitřní sítí bude komunikovat pouze pomocí SSTP nebo L2TP VPN.
  3. External users (300) – občas je potřeba pustit do vnitřní sítě „cizí lidi“, například z důvodu vzdáleného servisu nějaké aplikace, nebo nějakého zařízení, k tomuto bude sloužit izolovaná VPN síť, která se bude povolovat jen pro určitý subjekt na určitou dobu, kde zárveň budu specifikovat, kam daný uživatel může (výchozí stav – nemůže nikam)
  4. VPN REZERVA (400) – tato síť mi zbyla. Vzhledem k tomu, že maska 27 pokryje čtyři sítě s maskou 29, tato síť je rezervní.

Jak je asi z výše uvedeného patrné, každá VPN síť je maskována maskou 255.255.255.248 (nebo taky / 29). To znamená, že každá síť mi umožní adresovat 6 hostů + číslo sítě + broadcast (tedy 8 adres). Pokud tedy budu vytváře pravidla nebo routy na konkrétní VPN síť, budu používat masku 255.255.255.248, pokud bych ale potřeboval pracovat s celým segmentem, použiji pravidlo s maskou 255.255.255.224 a obsloužím tak všechny čtyři segmenty.

Ti bystřejší čtenáři by si mohli říct, proč tak malé sítě? Jen 6 hostů na síť? A není to málo? Podle mě to málo není. Interních systémů nepředpokládám víc než jeden či dva (jestli vůbec nějaký bude). VPN zařízení by teoreticky mohlo být 8 až naše dvě děti budou mít každé notebook a mobil, nicméně nepředpokládám, že by toto nastalo dříve než za 10 let a navíc nepředpokládám, že by všech 8 zařízení bylo připojeno současně. Čím menší síť, tím méně záškodníků se do ní vejde.

Segment drátové sítě

Tento segment je určen pro všechna zařízení v domě, která budou připojena (ethernetovým) kabelem. Segment je rozdělen do čtyř produkčních VLAN (200, 210, 220, 230) a čtyř rezervních (240, 250, 260, 270). Mám tedy k dispozici 8 sítí, přičemž každá síť mi dává 256 adres (254 hostů + adresa sítě + broadcast) a to díky masace 255.255.255.0 ( / 24). Tuto masku zná většina lidí a možná ani neví, co to vlastně znamená.

Celý segment osmi sítí se jednduše schová pod masku 255.255.248.0 ( / 21). Důvod, proč maskovat všech 8 sítí už popisovat nebudu, princip je stejný, jako u VPN, pouze masky a rozsahy adres jsou jiné. Jen pro zajímavost, pokud bych chtěl maskovat jen první 4 sítě (nebo druhé čtyři), použil bych masku 255.255.252.0 ( /22).

Obecně tedy platí: Čím vyšší maska, tím méně adres je v dané síti k dispozici.

Možná si někteří čtšnáři všimli, že zatím co u VPN segmentu jsou čísla VLAN po sobě jdoucí, u drátových sítí je rozestup vždy po 10. Není to náhoda, důvod je takový, že pokud by bylo potřeba přidat další síť, například pro interní uživatele (230) a byly by vyčerpané rezervy, mohu vzít adresy z některého z vyšších segmentů a vytvořit VLAN 231 s tím, že budu vědět že tyto dvě VLANy patří organizačně k sobě.

Dalším důvodem je přehlednost. Předposlední octet dané sítě vždy odpovídá čísli VLANy. Příklady:

10.x.1.0 – VLAN 210
10.x.2.0 – VLAN 220

A k čemu právě 4 drátové segmenty?

  • Devices (200) – síť určená pro jakákoliv zařízení v domácnosti, které nespadají do ostatních segmentů. Patří sem zejména managed rozhraní switchů, tiskárny, televize, servery, NAS apod.
  • Home automation (210) – určeno výhradně pro zařízení, která ovládají dům, zejména tedy Loxone Miniserver, Papouch Quido, různé Raspberry, Wemos, Arduino nadstavby a gatewaye
  • Security (220) – zařízení, která se starají o bezpečnost domu, například EZS, ACS, IP kamery
  • Users (230) – uživatelská síť. Jediná drátová síť, ve které běží DHCP a slouží pro připojení uživatelů v domácnosti. Obecně ale předpokládám, že bude využívána spíše pro pevně instalované stanice, protože více se bude využívat Wi-Fi síť. Ještě zvažuji nasazení 802.1x pro zabezpečeí přístupu do sítě.

Segment bezdrátové sítě

Zde už není potřeba se jakkoliv rozepisovat, protože každá drátová VLANa 2×0 má své zrcadlo 3×0 v bezdrátové síti. Filozofie obou segmentů je naprosto identická a to pouze s tím rozdílem, že bude kladen vyšší důraz na bezpečnost a zařízení přidávaná do bezdrátové sítě budou muset projít autrizací a zadáním do systému, aby se nestalo, že nám v síti bude komunikovat zařízení, které neznáme.

Wi-Fi segment má oproti drátové síti jednu VLAN navíc, jedná se o síť pro externí uživatele (VLAN 340). Tato vlan bude návštěvníkům našeho domu poskytovat pouze čistý internet bez možnosti jakkoliv komunikovat do dalších sítí. Vize je taková, že heslo do této hostovské sítě by se každý týden změnilo a uložilo na domácí portál s tím, že by se toto heslo mohlo vždy zobrazit na televizi, přijít mejlem, být k dispozici na mobilu a dalo by se tak návštěvě jednoduše nadiktovat. Ale tak daleko dnes ještě nejsme.

Návrh sítě pro chytrý dům
Štítky:                                

2 komentáře u „Návrh sítě pro chytrý dům

Napsat komentář

Vaše emailová adresa nebude zveřejněna.

This site uses Akismet to reduce spam. Learn how your comment data is processed.