我正在学习 VLAN。文献中说,通过将物理网络划分为单独的“虚拟”网络,它们可以提高性能和安全性。
我理解性能部分……主要是减少流量。但我不明白安全部分。我很难想象第 2 层存在什么样的威胁。VLAN 禁止哪种数据访问?
答案1
VLAN 本质上可以将您的网络分成几个独立的网络。通过强制某些端口成为特定 VLAN 的一部分,可以实现安全性。
一个例子是会议室中为客人设立单独的 VLAN。他们可以访问互联网,但看不到公司的计算机和服务器。
另一种情况是数据中心有多个人的服务器。您希望他们能看到自己的服务器,但看不到彼此的服务器。而且这些服务器可能分布在多个机架上,这使得为它们提供自己的路由器和交换机并直接将它们连接到该交换机变得更加困难。vLAN 可以解决这个问题 - 您可以在每台机架上安装一个交换机,并将每台客户端服务器连接到第 2 层,而不会影响其他客户端。在这样的设置中,如果没有 VLAN,恶意服务器可能会尝试从其他用户的服务器窃取 IP 地址。
它为您提供了运行多个独立网络的几乎所有安全性,而无需单独管理它们的痛苦和费用。
答案2
您不希望在 VLAN 之间发生的任何通信。
假设您在端口 1 上接受信用卡信息进入交换机,端口 2 是接待员的 PC(一个非常人为的例子)。如果它们位于不同的 VLAN 上,接待 PC 将无法看到另一个 VLAN 上的任何流量。