我不是网络专家,但我熟悉 TCP 堆栈,并多次使用 Wireshark 和 tcpdump 的帮助。现在,我的公司被要求通过 VPN 授予其他人访问我们 DMZ 中几台机器的权限。
为了最大程度地保护我们的基础设施,我的想法是只允许访问所需的机器,而不是整个网段。为此,我们也许可以使用 VLAN。但是,我对此并不熟练。
我的问题是:除了所需的路由器功能(我明天会检查)之外,是否可以建立一个 VLAN,让机器位于同一子网中,但 IP 地址不连续,而不会干扰机器在其自身网段中的原始访问?如果可以,理论上是否可以通过 VLAN 访问其中一台机器,然后使用该机器(可能使用 RDP)访问不在 VLAN 中的其他机器,因为这些机器仍然应该能够与其网段中的所有机器(而不仅仅是 VLAN 中的机器)进行互操作?
我真的希望我已经把我的问题表达清楚了。
如果无法实现上述访问限制,我们将通过针对每台可访问机器的特定防火墙规则来实现。
答案1
“是否可以构建一个 VLAN,其中机器位于同一子网中,但 IP 地址不连续”
是的,VLAN 是第 2 层的东西,它们根本不关心与 IP 相关的任何事情,但是如果您没有正确规划,可能会使事情变得过于复杂。
“理论上是否可以通过 VLAN 访问其中一台机器,然后使用这台机器(可能使用 RDP)访问不在 VLAN 中的其他机器”
是的,如果您的路由设置正确。
所以是的,你可以这样做,但这可能不是最好的方法,主要是从安全角度来看。VLAN 边界能在某些情况下,在中继线上被黑客入侵,将一个网络暴露给另一个网络,这足以阻止人们仅将 VLAN 用作可行的安全方法。就我个人而言,我更倾向于将 VLAN 中继到防火墙,然后让路由器/L3 交换机从那里将流量分成 VLAN。
答案2
(好家伙....)
您的问题有点难以理解,但我猜您想将服务器从 VLAN 1 移至 VLAN 2,并保留 IP 地址。这是不可能的,除非您使用两个不同路由器的 NAT。这是您真正不想要的,因为您必须在子网之间设置端口转发。太丑了。
您正在寻找的是具有两个以上接口的防火墙,这样您就可以控制谁可以去哪里。恐怕无论如何您都必须更改其中一个 VLAN 上的网络子网。