我想知道我是否需要购买一个适合我的配置的托管型交换机(支持 VLAN),或者更便宜的非托管型交换机是否可以用?
我有两台服务器,每台都有两个网卡。第一个网卡是公用的,第二个网卡是私有的。路由器将插入交换机端口 1(假设是公用的)。然后服务器 1 公用端口插入交换机上的端口 2,服务器 1 私有端口插入交换机上的端口 3。公用接口为:192.168.XX / 255.255.0.0,私有接口为 10.0.XX / 255.255.0.0。
看起来像:
** SWITCH **
Port Device Network
1 Router/Firewall 192.168.X.X
2 Server 1 Public 192.168.X.X
3 Server 1 Private 10.0.X.X
4 Server 2 Public 192.168.X.X
5 Server 2 Private 10.0.X.X
6 Server 3 Public 192.168.X.X
7 Server 3 Private 10.0.X.X
谢谢。
答案1
将公用网络和专用网络放在 1 个 VLAN 上是安全方面的禁忌。这也许可行,但对于半管理型交换机来说,这笔小投资是值得的。
答案2
或者您可以购买两个非托管集线器/交换机,一个用于公共,一个用于私人。这样更安全一些,因为不存在将两者混淆而导致配置错误的可能性。
如果您要管理交换机,托管交换机是个不错的选择。例如,您可以获取流量统计数据。
在我看来,VLAN 有点被过度使用了。
答案3
开关开放系统互连第 2 层设备。因此它不关心 IP 协议和地址。
无需配置 VLAN,交换机和网络就应该正常运行。
然而
- 共享交换机的所有服务器/设备都将接收广播信息。
- 这些信息通常会被不感兴趣的主机丢弃,但机器可能会将卡配置为以混杂模式监听,以从不属于其的网络收集数据。
- 任何机器都可以访问任何其他机器(例如,通过向她自己所属网络的卡添加 IP 地址)。
根据价格差异以及安全和隐私问题,我建议 VLAN 可以切换。另一个原因是,这些设备通常受益于更好的构造和更强大的内部固件。
答案4
根据您的应用程序,操作系统内部的软件防火墙可能足够好,但 NIC 并非仅仅因为您将其标记为私有而私有。NIC 位于同一广播域中,并且该广播域上的任何 NIC 都可以与该广播域上的任何其他 NIC 通信。如果您希望情况并非如此,则需要物理或逻辑网络分离。