我有几个主机想要直接连接到我的 WAN 子网,例如 1.1.1.1/29(Web、邮件和 LAN 路由器)。
我有一个网络管理交换机(DGS-1210-24),并且想知道为此目的创建未标记的 VLAN 是否存在任何安全问题。
答案1
我们将 vLAN 用于一切。每台设备都直接连接到接入交换机、电缆调制解调器、路由器、服务器等。vLAN 是唯一将 WAN 和 LAN 分开的东西。
确保将不受信任的流量(基本上应该是所有流量)放入 vLAN 中以防止跳跃。否则,只有“正常”的安全问题。
答案2
对 DMZ 区域使用未标记的 VLAN 并没有什么问题(您似乎就是这么说的...)。标记的 VLAN 和未标记的 VLAN 之间没有真正的区别。
但一定要确保您的交换机没有使用默认的未标记 VLAN(通常为 1 或 0)进行任何操作。(通常是管理接口。)
如果您创建多个未标记 VLAN,这些 VLAN 实际上是同一个 VLAN。
有些交换机甚至不会让您创建多个未标记 VLAN,就因为这一点。(或者您可以创建多个,但只能启用其中一个。)
我不明白的是,你为什么要这样做?
只要保持标记即可。交换机无论如何都会删除访问端口上传出的流量的标记(并在到达访问端口时标记传入流量)。在交换机
内部传输时,没有必要保持流量未加标记。事实上,保持标记可以避免很多潜在的错误和配置复杂性。