Nik*_*ren 1 security vlan isolated-network pvlan hp-procurve
好的,所以我们有一个 HP ProCurve Switch 2824、一个 Zyxel 路由器和一堆 2012 R2 服务器。目前,我们的网络中有 3 个 VLAN:10(公共)、20(专用)和 30(管理),但我们希望在这些 VLAN 中有更多的隔离。几周以来,我一直在 Internet 上搜索隔离同一 VLAN 中的主机的方法,但我只找到了端口隔离,并且仅适用于端口而不适用于 VLAN。
交换机的所有 24 个端口都标记为 VLAN 10、20 和 30。
我要问的是,是否可以阻止同一 VLAN 中的主机相互通信并强制所有流量通过我们拥有的路由器或类似的东西?出于安全原因,我不能让虚拟机在没有防火墙的情况下相互通信。
我很欣赏你可能有的每一个小线索。
编辑:思科有一些我认为可以满足我的需求的东西,但遗憾的是我拥有的设备是 HP(在我之前有人选择了设备,但我坚持使用它)。
http://www.cisco.com/c/en/us/support/docs/lan-switching/private-vlans-pvlans-promiscuous-isolated-community/40781-194.html
强制流量通过路由器的唯一方法是创建一堆 /30 子网(通常每个子网都在自己的 vlan 上)并在每个子网上放置一台 PC 和一个路由器接口。
您也可以使用 802.1QinQ,但它通常用于城域网,并且具有自己的一组复杂性,然后您仍然需要使用路由器接口设置 /30。但至少你仍然只有三个“顶级”VLAN。
否则,您将需要在每个主机上实施非常严格的防火墙规则 - 您可以使用 GPO 集中和精细地控制这一点 - 拒绝所有进出流量,除非您希望它们与之交谈。除此之外,您基本上完全切断了它们,并且通过 GPO 进行防火墙更改并不是即时的。
| 归档时间: |
|
| 查看次数: |
1070 次 |
| 最近记录: |