我的办公室内有 2 个子网:172.16.1.0/24 和 172.16.2.0/24。每个子网上的所有设备都独立连接到服务器机柜。以前,每个子网在机柜中都有自己的交换机来连接到该子网的服务器。我们正在用一台 Dell 2816 管理型交换机替换这 2 个交换机。
与让所有内容在非管理模式下通过交换机相比,设置具有 2 个 VLAN 的交换机有什么好处吗?
我唯一的安全顾虑是:一个子网可以访问互联网,而另一个子网则不能。设置 2 个 VLAN 是否有助于防止一个子网访问另一个子网,从而提供额外的安全性?换句话说,如果一台可以访问互联网的计算机被黑客入侵,那么它位于 VLAN 的一侧是否有助于防止黑客访问另一个子网?
答案1
如果不配置单独的 VLAN,则一个网络中的计算机将能够 a) 与另一个网络的计算机进行通信、攻击或 b) 拦截另一个网络的计算机的通信(包括通过路由器访问其他网络,如 Internet)。
攻击的基本原理很简单:
A)可以通过设置来自其他网络的 IP 地址或仅添加 IP 别名来轻松完成。
b)例如可以通过 ARP 毒化或填充交换机的转发表并将接口设置为混杂模式来完成。
从这个角度来看,为了保证安全,您必须配置单独的 VLAN,并在路由器上拥有良好的访问列表或在它们之间拥有更好的防火墙。
答案2
您的子网是否使用 DHCP?使用 VLAN 的一个好处是能够独立地为每个子网提供 DHCP,而不是只有一个 DHCP 服务器分配两个子网。如果我再多想一想,我相信我可以想出使用 VLAN 的其他好处,这些好处可以让您在这种情况下的生活更轻松……
理论上,使用两个独立的交换机保持两个子网完全物理隔离(气隙)绝对比其他任何组合都更安全。然而,在操作上,实际上在同一交换机上配置两个 VLAN 可以提供相同级别的实际安全性。