我有一个简单的问题,我读的有关 VLAN 的内容越多,这个问题就越困扰我。
到目前为止,我理解它们对于将网络划分为子部分很有用,但是如果将它们路由到一起,是否不会消除任何安全优势?
举例来说,如果我在家庭网络上创建了一个 VLAN,其中只有一台计算机、一台服务器和一台路由器。如果我想将网络划分为计算机和服务器,我可以将计算机放在 VLAN 10 上,将服务器放在 VLAN 20 上。这样一来,计算机将无法再与服务器通信 - 除非我为连接两者的路由器添加一条静态路由,基本上就是告诉 VLAN 10 VLAN 20 存在以及如何与其通信。
然后,VLAN 的连接方式将类似于没有 VLAN 的“平面”网络。因此,所有安全优势无疑都将丧失。
我是否遗漏了什么?
答案1
router用替换该词firewall,您将看到安全性优势,因为您已经创建了一个所有 VLAN 间流量必须传输的单点没有需要物理上分离的基础设施。然后,您可以随心所欲地过滤、记录、允许和拒绝。
将此情况与您拥有一台交换机并连接路由器、计算机和服务器的情况进行比较。假设您的服务器和家用计算机位于不同的 IP 子网中。没有什么可以阻止我将家用计算机的地址重新分配到与您的服务器相同的子网中(反之亦然),然后向其发送恶意流量。如果我们按照您的问题配置了 VLAN,我仍然可以这样做(假设我已经知道 IP 子网划分信息),但我无法直接访问您的服务器,除非先通过路由器(路由器可能会不是无论如何,这都是该交通的路线)。
VLAN 的主要优势就在于此:能够将一个物理基础设施视为多个“离散”物理基础设施。无需物理分离,只需使用单独的 VLAN 即可实现类似的效果。换句话说,您可以采用单个第 2 层广播域并将其视为多个广播域(每个 VLAN 都将其“映射”到相应的 IP 子网)。