我有一个小型网络,有一个用于任务/IOT(VLAN 2)的单独网络和一个主 VLAN(VLAN 1)。
出于安全原因,我想限制两个 VLAN 之间的访问。
我当前的设置(如下所示)无法阻止这种情况。WIFI 接入点通过一根电缆连接到交换机。因此两个 VLAN 都存在于接入点上。
我已经在 VLAN 1 上测试了 ARP 欺骗,并从 VLAN 2 中获取了网络流量。VLAN 2 启用了设备隔离,这确实限制了它。但我认为这还不够。
我希望两个 VLAN 之间没有连接并防止 VLAN 跳跃。
我该怎么做?我在想也许管理型交换机可以在这里工作?
答案1
如果是出于安全原因,那么你必须使用托管交换机 – 这样您就可以告诉它哪些端口可以使用哪些 VLAN ID。这就是它被“托管”的原因之一。
(不过请注意,交换机被“管理”并不意味着意味着它将支持 VLAN – 你仍然需要专门寻找802.1Q VLAN在其规范中支持)
除非明确配置,否则交换机不知道哪些端口连接到了什么 - 它对“路由器”端口和“计算机”端口没有任何特殊处理,也不知道哪些端口应该接收 VLAN 2 标记的数据包,哪些端口不应该接收。如果您的某台 PC 决定生成带有 VLAN ID 2 标记的数据包,交换机将允许它们。
VLAN 2 已启用设备隔离,这确实对其进行了限制。
否,它仅启用了设备隔离一些网桥——但此类设置不会自动传播到整个网络,它们只在同一台设备上强制执行。您的 Wi-Fi 接入点可能会强制隔离它是“Wifi 2”客户端,但非管理型交换机没有。