我正在考虑使用 VLAN 来分离一些流量,而无需为两三个设备购买一堆交换机。计划是使用未标记的端口作为专用局域网,并使用外部路由器连接任何需要连接的网络。
VLAN 是否仍然像 5 年前那样容易受到黑客攻击?我在搜索中发现的大多数文章都是 5 年以上的。所以我不知道人们是否放弃了 VLAN 而只使用物理交换机,或者现代交换机是否或多或少地解决了这些问题。
答案1
VLAN 本身并不容易受到黑客攻击。容易受到攻击的是交换机,或者更确切地说是交换机的配置。
访问端口(连接到主机的端口)需要得到保护。
- 在接入端口上使用标记 VLAN 允许 VLAN 跳跃。
- 在接入端口上保持动态 VLAN 协议(例如 MVRP 或 GVRP)开放,允许具有适当软件的客户端加入 VLAN。
- 将具有 VLAN 中继的交换机放置在物理上不受保护的地方可能会危及中继 VLAN。
VLAN 需要仔细规划和配置。然后它们才能成为安全架构的重要组成部分。