好的,我们有一台 HP ProCurve Switch 2824、一台 Zyxel 路由器和一堆 2012 R2 服务器。我们的网络中目前有 3 个 VLAN:10(公共)、20(专用)和 30(管理),但我们希望在这些 VLAN 中实现更多隔离。几周来我一直在互联网上搜索隔离同一 VLAN 中主机的方法,但我只找到了端口隔离,而且只适用于端口,不适用于 VLAN。
交换机的所有 24 个端口都标记为 VLAN 10、20 和 30。
我想问的是,是否可以防止同一 VLAN 中的主机相互通信,并强制所有流量通过我们已有的路由器或类似设备?出于安全原因,我不能允许虚拟机之间没有防火墙的情况下相互通信。
我感谢您提供的每个小线索。
编辑:我相信思科有一些东西可以满足我的需求,但遗憾的是我拥有的设备是 HP(在我之前有人选择了该设备,而我只能使用它)。
http://www.cisco.com/c/en/us/support/docs/lan-switching/private-vlans-pvlans-promiscuous-isolated-community/40781-194.html
答案1
唯一的办法是力量通过路由器的流量会形成一堆 /30 子网(通常每个子网都有自己的 VLAN),并在每个子网上放置一台 PC 和一个路由器接口。
您也可以使用 802.1QinQ,但这通常用于城域网,并且具有其自身的复杂性,然后您仍然必须设置带有路由器接口的 /30。但至少您仍然只有三个“顶级”VLAN。
否则,您需要在每台主机上严格执行防火墙规则 - 您可以使用 GPO 集中且精细地控制这些规则 - 拒绝所有进出流量,除了您希望它们与之通信的地方。但那时您基本上完全切断了它们,并且通过 GPO 进行防火墙更改并非完全即时。