出于安全原因使用 VLAN 进行 LAN 隔离

Question

我被要求隔离我们网络中的测试环境以提高我们的安全性。

我们的结构包括：

• 1 台交换机 Dell Power Connect 3448
• 1 台交换机 Dell Power Connect 2748
• 几个 5 端口 Star Tech 交换机（解决我们的布线结构问题）
• 1 ISA Server 2006 防火墙

为了完成这项任务，我计划执行以下操作：

• 为测试环境创建一个 VLAN 并在该 VLAN 上包含必要的端口
• 让默认 VLAN 1 中的所有其他端口（保持数据包未标记），除了插入 ISA 服务器的端口
• 将 ISA Server 插入的端口配置为 Trunk
• 在 ISA Server 网卡上配置一个虚拟接口，允许它与 VLAN 通信
• 在 ISA 服务器上配置防火墙规则以仅允许 LAN、Internet 和 VPN 客户端之间的所需流量。

我的计划是按照我的要求去做的最佳方式吗？

Answer 1

你计划的方法会很好用。我建议您首先研究的一项是，您使用了 5 年的 ISA 服务器中的网卡是否可以支持 VLAN 标记。如果不能，另一种方法是在服务器中安装第二块网卡并将其插入测试环境 VLAN 上的访问端口。

需要考虑的另一点是，如果您计划将 ISA 服务器和所有新 VLAN 端口分布在多个交换机上，则交换机之间的链接也应配置为中继。如果 Star Tech 交换机不支持 VLAN 标记，您可以将通向其中一台 Star Tech 交换机的端口设置为新 VLAN 上的接入端口，因此插入该 Star Tech 的每个设备都将位于测试 VLAN 上，或者您需要确保测试实验室端口都进入戴尔交换机。

希望这可以帮助！