我有一个简单的问题,就是我阅读的有关VLAN的问题越来越多。
到目前为止,我明白,他们是有用的networking划分为子部分,但如果你路由在一起这是不是没有消除任何安全利益?
例如,如果我在家庭networking上创build了一个VLAN,这个VLAN只是一台计算机,一台服务器和一台路由器。如果要在计算机和服务器之间划分networking,我可以将计算机放在VLAN 10上,将服务器放在VLAN 20上那么计算机将不再能够与服务器通信 – 除非我将静态路由添加到将两者连接在一起的路由器,基本上告诉VLAN 10 VLAN 20存在以及如何与其通信。
然后,VLAN将以类似的方式连接到没有VLAN的“扁平”networking。 因此,所有的安全利益当然都会丢失。
我错过了什么吗?
将routerreplace为firewall ,您将看到安全优势,因为您已经创build了一个点,其中所有的VLAN间stream量都必须转移, 而不需要物理上分散的基础架构。 然后,您可以过滤,logging,允许和拒绝您的内容。
将此与您的路由器,计算机和服务器都连接到一台交换机的情况进行比较。 假设您的服务器和家庭计算机位于不同的IP子网上。 没有什么会阻止我重新分配您的家用电脑的地址与您的服务器在相同的子网(反之亦然),然后发送恶果stream量。 如果我们根据你的问题configuration了VLAN,我仍然可以这样做(假设我已经是新的IP子网信息了),但是我不能直接到达你的服务器,而不必先通过路由器(而且它的路由器可能不会路由到那个stream量无论如何)。
这就是VLAN的主要优势:能够将多个“离散”的物理基础设施视为一个物理基础设施。 不要求物理分离,而是通过使用单独的VLAN来实现类似的function。 另一种方法是,您可以将一个二层广播域视为多个广播域(每个VLAN“映射”到一个相应的IP子网)。