有没有办法根据主机的 MAC 地址将其虚拟移动到不同的网络?示例:假设防火墙具有 LAN(假设为 192.168.1.0/24)和 DMZ(例如 172.1.1.0/24)接口。假设有一台主机由于建筑物中的物理布线只能连接到 DMZ 网络,但应该位于 LAN 子网中(并已应用 LAN 安全策略)。类似于 DMZ 上的 VLAN,没有单独的子网,但相关主机无缝集成到外部(此处:LAN 网络)中?
答案1
是的,这是可能的。它由交换机处理,交换机根据 MAC 地址分配适当的 VLAN。您需要在所涉及的交换机上配置所有 VLAN。如何配置取决于您使用的硬件,因此您需要查看交换机的文档。
请注意,这实际上只是为了方便,因为 MAC 地址很容易被欺骗。
如果您想正确安全地将设备分配到 VLAN,请查看 802.1x,它使用客户端证书来分配 VLAN。当然,设置起来更复杂。