我们从 Verizon 获得了一条光纤 PTP 电路,但在实际使用过程中遇到了麻烦。最后,通过与 Verizon 的电话会议,他们告诉我们将点 A 配置为 VLAN 29,将点 B 配置为 VLAN 45。这样做之后,我们就可以建立通信了。我们告诉他们删除 VLAN,因为我们在点对点连接上不需要它,这导致了需要一个月才能完成的变更单。我之所以问这个问题,是因为获得这个连接已经花了一年多的时间,而 Verizon 说是我们请求了 VLAN。他们还说它更安全。这是我不知道的某种行业标准吗?
答案1
Verizon 可能(但我怀疑)考虑过 VLAN 安全性的一个方面,即它们允许/导致您将网络划分为逻辑(虚拟)段。如果您的主机在 VLAN 29 上,而其他主机在 VLAN 45 上,那么这些网络无法在没有路由的情况下相互通信,因此流量将被本地化到该特定 VLAN。这可以被视为“更安全”(而不是“安全”),因为 VLAN 之间的流量可以通过防火墙等进行调节、控制和阻止。
我更倾向于认为,Verizon 的某些员工根本不知道他们在说什么,只是在重复他们在其他地方听到的东西,但这也是我与他们打交道的经历。在之前的工作中,我们与他们合作,在我公司的办公地点之间铺设暗光纤和其他连接,这就像向我的孩子解释量子力学一样。他们茫然地看着我,没有反应。
答案2
VLAN 允许您使用两个位置之间的单个物理以太网链路来承载多个逻辑上独立的以太网段的流量。
例如,假设在位置 A 有主机 A1 和 A2,在位置 B 有主机 B1 和 B2。两个位置之间有一条以太网电缆,A1 需要通过该电缆与 B1 通信,A2 需要通过该电缆与 B2 通信。不允许进行其他通信。
您可以在连接的每一端连接一台非托管交换机,并为 A1 和 B1 配置一个 IP 前缀,为 A2 和 B2 配置另一个 IP 前缀。但是,这样做的安全性并不高,因为所有主机仍然可以相互通信,前提是它们只能使用其他前缀的 IP 地址进行通信。
在这样的设置中,使用 VLAN 标记可以提高安全性。可以使用托管交换机代替两端的非托管交换机。可以将它们配置为在两个位置之间的链路上使用 VLAN 标记,这样就可以将流量分开。
那么 A1 将无法再与 B1 之外的任何主机进行通信等等。
由于问题中的细节有限,因此无法判断此类安全需求是否适用于您的情况。如果您不需要 VLAN 标记提供的隔离,那么启用 VLAN 标记不会带来任何安全性。