跨 VLAN 可视性

Question

VLAN 的工作方式与两个普通的独立网络相同：它们不要默认情况下，两个 VLAN 之间“互相可见”，并且只能通过路由器进行通信（路由器已配置两个 VLAN，可能配置为“带标签”的接口）。因此，如果您想阻止某些类型的通信，您可以在路由器的防火墙规则中执行此操作。

一般来说，你做需要一个支持 VLAN 配置的交换机。（Windows 本身也只能在充当 Hyper-V VM 的交换机时才能做到这一点。）直接在终端主机上配置 VLAN 可能不是一个好主意 - 如果没有任何东西来强制执行它们，那么它就不是很安全。

（此外，不计算 Hyper-V“虚拟交换机”模式，Windows 本身实际上没有本机 VLAN 配置。有些驱动程序提供它；有些驱动程序不提供；有些驱动程序接受全部数据包忽略任何 VLAN 标签...Linux 和 BSD 在这方面更加灵活。）

例如（不确定这是否真的好，但从技术上讲它是有效的）：

转变：
- 端口 1（标记 VLAN 10、20）→路由器
- 端口 2（未标记的 VLAN 10）→服务器
- 端口 3（未标记的 VLAN 20）→台式电脑
路由器（Linux 示例）：
- 接口“eth0”（未标记）- 无（可能是管理 IP？不知道）
- 接口“eth0.10”（VLAN 10）– 地址192.168.10.1/24
- 接口“eth0.20”（VLAN 20）– 地址192.168.20.1/24
- 防火墙配置为允许来自的新连接192.168.10.0/24，但仅允许来自其他所有设备的预期回复。（在 Linux 上，这将是带有“FORWARD”链和“-m state”的 iptables。）
服务器：
- 接口“以太网” – 地址192.168.10.3/24
桌上型电脑：
- 接口“以太网” – 地址192.168.20.7/24

Answer 1

VLAN 的工作方式与两个普通的独立网络相同：它们不要默认情况下，两个 VLAN 之间“互相可见”，并且只能通过路由器进行通信（路由器已配置两个 VLAN，可能配置为“带标签”的接口）。因此，如果您想阻止某些类型的通信，您可以在路由器的防火墙规则中执行此操作。

一般来说，你做需要一个支持 VLAN 配置的交换机。（Windows 本身也只能在充当 Hyper-V VM 的交换机时才能做到这一点。）直接在终端主机上配置 VLAN 可能不是一个好主意 - 如果没有任何东西来强制执行它们，那么它就不是很安全。

（此外，不计算 Hyper-V“虚拟交换机”模式，Windows 本身实际上没有本机 VLAN 配置。有些驱动程序提供它；有些驱动程序不提供；有些驱动程序接受全部数据包忽略任何 VLAN 标签...Linux 和 BSD 在这方面更加灵活。）

例如（不确定这是否真的好，但从技术上讲它是有效的）：

转变：
- 端口 1（标记 VLAN 10、20）→路由器
- 端口 2（未标记的 VLAN 10）→服务器
- 端口 3（未标记的 VLAN 20）→台式电脑
路由器（Linux 示例）：
- 接口“eth0”（未标记）- 无（可能是管理 IP？不知道）
- 接口“eth0.10”（VLAN 10）– 地址192.168.10.1/24
- 接口“eth0.20”（VLAN 20）– 地址192.168.20.1/24
- 防火墙配置为允许来自的新连接192.168.10.0/24，但仅允许来自其他所有设备的预期回复。（在 Linux 上，这将是带有“FORWARD”链和“-m state”的 iptables。）
服务器：
- 接口“以太网” – 地址192.168.10.3/24
桌上型电脑：
- 接口“以太网” – 地址192.168.20.7/24

相关内容