Posted inHomeLab

VLAN cho HomeLab: Đừng để tủ lạnh thông minh “nói chuyện” với máy chủ của bạn

HomeLab tutorial - IT technology blog
HomeLab tutorial - IT technology blog

Thực trạng lộn xộn của mạng gia đình “phẳng”

Tôi vẫn nhớ buổi chiều khi thiết lập node Proxmox đầu tiên của mình. Tôi rất hào hứng chạy vài web server và database, tất cả đều cắm trực tiếp vào router của ISP. Mọi thứ hoạt động hoàn hảo cho đến khi tôi chạy quét bảo mật định kỳ. Tôi tá hỏa nhận ra chiếc ổ cắm thông minh giá 15 USD và các server thử nghiệm quan trọng của mình đều nằm chung dải IP 192.168.1.x.

Việc quét mạng đó giống như một hồi chuông cảnh tỉnh. Vì mọi thứ nằm trên một mạng “phẳng” (flat network), một máy ảo (VM) bị chiếm quyền điều khiển có thể trở thành cầu nối để truy cập vào các thư mục chia sẻ trên laptop cá nhân của tôi. Nếu hacker xâm nhập được vào một thử nghiệm trong lab, chúng sẽ có đường dẫn trực tiếp đến ảnh riêng tư và các phiên đăng nhập ngân hàng của gia đình tôi. Trong môi trường HomeLab, việc coi các server thử nghiệm ngang hàng với dữ liệu cá nhân là một sai lầm chết người.

Tại sao HomeLab của bạn lại là một rủi ro bảo mật

Lỗ hổng này tồn tại do cách vận hành của mạng gia đình tiêu chuẩn. Hầu hết các router dân dụng đều tạo ra một broadcast domain khổng lồ. Khi một thiết bị gửi gói tin broadcast—như yêu cầu ARP—mọi thiết bị khác trên đường dây đó đều nghe thấy. Hoàn toàn không có sự cô lập ở Layer 2.

Về mặt kỹ thuật, điều này có nghĩa là một thiết bị IoT bị nhiễm mã độc có thể nghe lén lưu lượng truy cập hoặc khai thác lỗ hổng trên bất kỳ máy nào khác trong nhà bạn. Ngoài vấn đề bảo mật, một hệ thống lab bận rộn có thể phá hỏng sự yên bình trong nhà. Một tác vụ backup dung lượng lớn hoặc hàng loạt gói tin khám phá mDNS từ bóng đèn thông minh có thể dễ dàng làm nghẽn Wi-Fi, gây lag cho mọi người. Nếu không có ranh giới, bạn hoàn toàn không thể kiểm soát luồng lưu lượng.

So sánh các cách cô lập mạng của bạn

Khi nhận ra mình cần khắc phục vấn đề này, tôi đã xem xét ba lựa chọn chính. Dưới đây là cách chúng so sánh trong thực tế:

  • Tách biệt vật lý: Bạn có thể mua thêm router và một bộ switch riêng biệt. Cách này hiệu quả nhưng là một cơn ác mộng về dây cáp. Nó cũng lãng phí điện và khiến điện thoại của bạn gần như không thể giao tiếp với media server khi bạn thực sự cần.
  • Chia Subnet không dùng VLAN: Bạn có thể gán các dải IP khác nhau (như 192.168.10.x và 192.168.20.x) trên cùng một switch. Đừng mắc bẫy này. Đó chỉ là “bảo mật bằng cách che giấu” (security by obscurity). Một người dùng am hiểu có thể dễ dàng thay đổi IP tĩnh để nhảy giữa các mạng vì chúng vẫn dùng chung một dây cáp vật lý.
  • VLAN (Virtual Local Area Networks): Đây là tiêu chuẩn công nghiệp. Sử dụng giao thức 802.1Q, bạn “gắn thẻ” (tag) lưu lượng để một sợi cáp vật lý có thể truyền tải nhiều mạng cô lập. Nó mang lại sự an toàn của việc tách biệt vật lý cùng với sự linh hoạt của quản lý bằng phần mềm.

Cách tốt hơn: Triển khai VLAN

Để nâng cấp từ người chơi nghiệp dư lên chuyên nghiệp, bạn cần từ bỏ mạng phẳng. VLAN cho phép bạn xây dựng vùng “Tin cậy” (Trusted) cho PC, vùng “Lab” cho máy chủ và vùng “IoT” để cách ly những bóng đèn thông minh không đáng tin. Đây là cách hiệu quả nhất để quản lý một hệ thống lab đang phát triển.

Bước 1: Lập kế hoạch Subnet

Trước khi cắm rút dây cáp, hãy lấy một cuốn sổ tay. Bạn cần gán một VLAN ID (số từ 2 đến 4094) và dải IP tương ứng. Đây là mẫu tôi sử dụng cho tủ rack của mình:

  • VLAN 10 (Management): 192.168.10.0/24 — Dành riêng cho switch, host Proxmox và TrueNAS.
  • VLAN 20 (Home): 192.168.20.0/24 — Cho laptop, iPad và điện thoại tin cậy.
  • VLAN 30 (Lab): 192.168.30.0/24 — Cho các VM thử nghiệm và Docker container.
  • VLAN 40 (IoT): 192.168.40.0/24 — Cho các thiết bị thông minh không cần giao tiếp với thứ gì khác.

Bước 2: Cấu hình Router (Gateway)

Router của bạn phải hỗ trợ VLAN (“VLAN-aware”). Nếu bạn đang dùng pfSense, OPNsense hoặc Ubiquiti Dream Machine, việc này rất đơn giản. Bạn tạo các “Giao diện ảo” (Virtual Interfaces) trên cổng LAN vật lý. Trên router chạy Linux, logic cấu hình sẽ như sau:

# Tạo giao diện VLAN cho mạng Lab trên eth1
ip link add link eth1 name eth1.30 type vlan id 30

# Gán IP gateway cho mạng Lab
ip addr add 192.168.30.1/24 dev eth1.30

# Kích hoạt giao diện
ip link set dev eth1.30 up

Trong giao diện GUI như pfSense, hãy vào Interfaces > Assignments > VLANs. Thêm một tag mới trên giao diện cha LAN và kích hoạt nó. Chỉ mất khoảng 30 giây.

Bước 3: Thiết lập Managed Switch

Managed switch là xương sống của thiết lập này. Bạn không thể làm điều này với một switch “ngu” (unmanaged) giá rẻ mua ở siêu thị. Bạn cần thiết bị như TP-Link Omada hoặc switch Cisco cũ. Bạn sẽ làm việc với hai loại cổng:

  1. Trunk Ports (Tagged): Đây là “đường ống” nối giữa router và switch. Nó truyền tải tất cả VLAN cùng lúc. Mỗi gói tin được dán một nhãn kỹ thuật số nhỏ (tag) để switch biết nó thuộc về đâu.
  2. Access Ports (Untagged): Dùng cho PC hoặc Raspberry Pi. Thiết bị sẽ không biết đến sự tồn tại của VLAN. Switch chỉ việc gỡ tag và ép cổng đó vào một mạng cụ thể.

Trên giao diện CLI của Cisco, cấu hình cổng truy cập cho Lab sẽ như sau:

interface GigabitEthernet0/1
 description Cong_Server_Lab
 switchport mode access
 switchport access vlan 30
 spanning-tree portfast

Bước 4: Viết quy tắc tường lửa (Quy tắc bảo mật thực thụ)

Việc tạo VLAN chỉ tách biệt lưu lượng ở Layer 2. Theo mặc định, router vẫn sẽ cố gắng định tuyến lưu lượng giữa chúng ở Layer 3. Để thực sự bảo mật lab, bạn cần các quy tắc tường lửa. Tôi sử dụng chiến lược “Chặn mặc định” (Default Deny) cho mạng Lab của mình:

  • Quy tắc 1: Cho phép Lab -> DNS (để server có thể phân giải tên miền).
  • Quy tắc 2: Cho phép Lab -> WAN (để bạn có thể chạy apt update).
  • Quy tắc 3: Chặn Lab -> Mạng gia đình (quy tắc quan trọng nhất).
  • Quy tắc 4: Chặn Lab -> WebGUI của Router (ngăn các VM bị tấn công truy cập vào cài đặt mạng của bạn).

Kiểm tra sự cô lập

Khi cấu hình xong, hãy luôn thực hiện kiểm tra bằng lệnh ping. Cắm laptop vào cổng thuộc VLAN 20 và thử ping gateway tại 192.168.20.1. Nó phải hoạt động. Bây giờ, thử ping một server trong mạng Lab tại 192.168.30.10. Nếu quy tắc tường lửa chuẩn, yêu cầu đó sẽ bị hết thời gian (timeout).

Nếu ping vẫn thông, hãy kiểm tra thứ tự quy tắc. Hầu hết tường lửa đọc từ trên xuống dưới. Nếu bạn có quy tắc “Cho phép tất cả” (Allow All) ở trên cùng, các quy tắc “Chặn” ở dưới sẽ bị bỏ qua. Hãy đưa các quy tắc chặn lên đầu.

Lời kết

Xây dựng một mạng phân đoạn cần chút thời gian lập kế hoạch, nhưng nó mang lại nền tảng chuyên nghiệp cho lab của bạn. Bạn có thể thoải mái thử nghiệm, test mã độc hoặc host các dịch vụ công khai mà không lo gia đình bị mất mạng.

Ngoài ra, hiểu về VLAN tagging và trunking là một lợi thế lớn nếu bạn có ý định làm việc với mạng doanh nghiệp hoặc môi trường đám mây như AWS VPC. Hãy vẽ sơ đồ ra giấy trước, thực hiện từng bước một, và mạng của bạn sẽ trở nên kiên cố hơn nhiều.

Share:
Tags: