我正在尝试对公司的网络进行分段。我的主要目标是拥有许多小型广播域,而不是一个巨大的广播域,所以我想到为每个部门分配一个 VLAN。
但是,我们有许多打印机和一个集中文件服务器,公司内的任何设备都应该可以访问它们。因此,我认为这些服务应该属于一个单独的 VLAN,而这个 VLAN 又可以通过 L3 寻址与部门 VLAN 进行通信。
由于我们拥有一台 L3 Cisco 交换机,因此 VLAN 间路由似乎是一种有效的方法。但在我进行实验时,我注意到我必须为每个 VLAN 接口分配一个 IP 地址(从而将每个部门分配到自己的子网中),并且只要我ip routing在 L3 交换机上允许,设备不仅可以 ping 打印机或文件服务器,还可以 ping 任何其他部门的任何其他设备。
我知道一个子网与另一个子网之间的广播域并不相同,但我认为如果这些 VLAN 不能相互通信的话,在某种程度上会更安全。
话虽如此,我对这个问题有以下疑问:
1)为了安全起见,最好以某种方式隔离这些部门 VLAN,使得它们只能看到打印机/文件 VLAN(而彼此看不到)吗?
2)如果是这样,最好的方法是什么?我能想到的唯一可行方法是使用 ACL,但它们似乎不太实用,因为我需要处理大量条目。
答案1
1) 取决于您的安全要求。如果您的要求是用户 PC 只能与服务器/打印机通信,而不能在 PC 之间通信,那么是的,您应该在接口 VLAN 上设置 ACL 以根据需要阻止流量。什么是最安全的 - 好吧,阻止一切,但真正需要的才是最安全的。
2) 为此,您只需实施 ACL 并将 ACL 应用于接口 VLAN。由于您要尝试允许 PC 访问服务器/打印机,因此您的 ACL 应该很简单……大致如下:
假设您的子网都是 10.0.0.0 并且您的服务器/打印机位于 10.1.1.0/24:
permit ip 10.0.0.0 0.255.255.255 10.1.1.0 0.0.0.255
deny ip any any log
这显然是一个简单的版本,您需要在此基础上进行调整才能获得所需的确切结果。通过此示例,您可以将其应用于所有 PC VLAN 接口,因为它以通用方式编写,适用于所有 VLAN。
您可以在我上周回答的另一个问题中找到另一个例子:保持路由器接口隔离
答案2
这是一种非常常见的情况,不幸的是,最初的反应不应该是技术性的。如果适用于您的公司,则 Vlan 间路由是可以的。是的,可能存在安全和性能问题,但是如果您锁定系统,您是否有员工来管理这些要求?
只要您正确设计了网络,您就应该能够保护 VLAN 间路由并限制事后必要的更改。正如您所说,通过保护 VLAN,您可以降低安全风险、提高性能,并使您能够实施控制来跟踪 IP 和设备。