好的,我们有HP ProCurve Switch 2824,Zyxel路由器和一些2012 R2服务器。 我们目前在我们的networking中有3个VLAN:10(公共),20(私有)和30(pipe理),但是我们希望在这些VLAN中有更多的隔离。 我一直在search互联网几个星期的方式隔离主机在同一个VLAN,但我只发现端口隔离,只适用于端口,而不是VLAN。
交换机的所有24个端口都被标记为VLAN 10,20和30。
我问的是,是否有可能阻止同一个VLAN中的主机相互通话,并强制所有的stream量通过我们拥有的路由器或类似的东西? 出于安全原因,我不能允许虚拟机在没有防火墙的情况下彼此交谈。
我很欣赏你可能有的一切线索。
编辑:思科有东西,我相信会适合我的需要,但可悲的是我的设备是惠普(之前有人select了设备,我坚持下去)。
http://www.cisco.com/c/en/us/support/docs/lan-switching/private-vlans-pvlans-promiscuous-isolated-community/40781-194.html
通过路由器强制stream量的唯一方法是制作一堆/ 30个子网(通常每个子网都有自己的vlan),并在每个子网上放置一台PC和一个路由器接口。
你也可以去802.1QinQ,但通常用于都会区networking,并有自己的一套复杂性,然后你仍然必须设置/ 30的路由器接口。 但至less你仍然只有三个“顶级”VLAN。
否则,您需要在每台主机上执行非常严格的防火墙规则 – 您可以使用GPO集中控制这些规则,从而拒绝所有stream量进出,除非您希望他们与之通话。 除非你基本上完全切断它们,并且通过GPO改变防火墙并不是瞬间的。