dan*_*mcc 2 networking network-design vlan
我有一个简单的问题困扰着我,因为我对 VLAN 的了解越多。
到目前为止,我知道它们对于将网络划分为子部分很有用,但是如果将它们路由在一起,是否不会消除任何安全优势?
例如,如果我在我的家庭网络上创建了一个 VLAN,它只是一台计算机、一台服务器和一台路由器。如果我想在计算机和服务器之间划分网络,我可以将计算机放在 VLAN 10 上,将服务器放在 VLAN 20 上那么电脑就不能再和服务器通信了——除非我在路由器上加了一条静态路由,把两者连接在一起,基本上告诉VLAN 10 VLAN 20存在,以及如何与之通信。
然后,VLAN 将以类似的方式连接到没有 VLAN 的“扁平”网络。因此,毫无疑问,所有安全优势都将丢失。
我错过了什么吗?
小智 5
将这个词替换为routerwith firewall,您将看到安全优势,因为您创建了一个点,所有 VLAN 间流量都必须在其中传输,而无需物理上离散的基础设施。然后,您可以过滤、记录、允许和拒绝您内心的内容。
将此与路由器、计算机和服务器都连接到一台交换机的情况进行比较。假设您的服务器和家用计算机位于不同的 IP 子网上。没有什么能阻止我将您的家用计算机的地址重新分配到与您的服务器位于同一子网中(反之亦然),然后向其发送恶意流量。如果我们按照您的问题配置了 VLAN,我仍然可以执行此操作(假设我已经更新了 IP 子网划分信息),但是如果不先通过路由器,我就无法直接访问您的服务器(并且路由器可能不会路由该流量反正)。
这就是 VLAN 的主要优势:能够将一个物理基础设施视为多个“离散”物理基础设施。您可以通过使用单独的 VLAN 来实现类似的目标,而不是需要物理分离。另一种说法是,您可以采用单个第 2 层广播域并将其视为多个广播域(每个 VLAN“映射”到相应的 IP 子网)。