跨 VLAN 可视性

跨 VLAN 可视性

我正在努力寻找如何让一个 VLAN(我们将其命名为 A)看到另一个 VLAN(假设这个是 B),并且我希望 B VLAN 无法看到 A VLAN。

我提到这一点是因为我想要 Windows 服务器的这种配置。

答案1

VLAN 的工作方式与两个普通的独立网络相同:它们不要默认情况下,两个 VLAN 之间“互相可见”,并且只能通过路由器进行通信(路由器已配置两个 VLAN,可能配置为“带标签”的接口)。因此,如果您想阻止某些类型的通信,您可以在路由器的防火墙规则中执行此操作。

一般来说,你需要一个支持 VLAN 配置的交换机。(Windows 本身也只能在充当 Hyper-V VM 的交换机时才能做到这一点。)直接在终端主机上配置 VLAN 可能不是一个好主意 - 如果没有任何东西来强制执行它们,那么它就不是很安全。

(此外,不计算 Hyper-V“虚拟交换机”模式,Windows 本身实际上没有本机 VLAN 配置。有些驱动程序提供它;有些驱动程序不提供;有些驱动程序接受全部数据包忽略任何 VLAN 标签...Linux 和 BSD 在这方面更加灵活。)



例如(不确定这是否真的好,但从​​技术上讲它是有效的):

  • 转变:

    • 端口 1(标记 VLAN 10、20)→路由器
    • 端口 2(未标记的 VLAN 10)→服务器
    • 端口 3(未标记的 VLAN 20)→台式电脑
  • 路由器(Linux 示例):

    • 接口“eth0”(未标记)- 无(可能是管理 IP?不知道)
    • 接口“eth0.10”(VLAN 10)– 地址192.168.10.1/24
    • 接口“eth0.20”(VLAN 20)– 地址192.168.20.1/24
    • 防火墙配置为允许来自 的新连接192.168.10.0/24,但仅允许来自其他所有设备的预期回复。(在 Linux 上,这将是带有“FORWARD”链和“-m state”的 iptables。)
  • 服务器:

    • 接口“以太网” – 地址192.168.10.3/24
  • 桌上型电脑:

    • 接口“以太网” – 地址192.168.20.7/24

相关内容