我试图分割我们公司的networking。 我的主要目标是有许多小的广播域,而不是一个巨大的,所以我想每个部门分配一个VLAN。
但是,我们有许多打印机和一个集中的文件服务器,应该可供公司内的任何设备访问。 所以,我想这些服务应该属于一个单独的VLAN,而VLAN又可以通过L3寻址与部门VLAN进行通信。
由于我们拥有L3思科交换机,因此VLAN间路由似乎是一种有效的方式。 但是正如我正在试验的那样,我注意到我必须为每个VLAN接口分配一个IP地址(从而将每个部门分配到它自己的子网中),并且只要我在L3交换机上允许ip routing ,设备就可以ping通不仅是打印机或文件服务器,还有任何其他部门的其他设备。
我知道在一个子网和另一个子网之间的广播域是不一样的,但是我认为如果这些VLAN不能互相通信的话,它会更加安全。
这就是说,这是我对这个问题的怀疑:
1)为了安全起见,隔离这些部门的VLAN是否更好,只能看到打印机/文件VLAN(不能互相看到)?
2)如果是的话,做这件事的最好方法是什么? 我能想到的唯一可行的方法是使用ACL,但是它们似乎并不实际,因为我将要处理很多条目。
1)取决于您的安全要求。 如果您的要求是用户PC只能与服务器/打印机进行通信,而不是在PC之间进行通信,那么是的,您应该在接口VLAN上使用ACL来根据需要阻止通信。 什么是最安全的 – 很好地阻止了一切,但真正需要的是最安全的。
2)为此,您只需实施ACL并将ACL应用于接口VLAN。 由于您试图允许个人电脑服务器/打印机,您的ACL应该是简单的…沿线的东西:
假设您的子网都是10.0.0.0,而您的服务器/打印机在10.1.1.0/24中:
permit ip 10.0.0.0 0.255.255.255 10.1.1.0 0.0.0.255 deny ip any any log
这显然是一个简单的版本,你需要从那里调整,以获得所需的确切结果。 通过这个例子,你可以将它应用到你所有的PC VLAN接口,因为它是以一种通用的方式写入的,它将适用于所有的VLAN。
你可以在上周我回答的另一个问题中find另一个例子: 保持路由器接口的隔离
这是一个非常普遍的情况,不幸的是,最初的回应不应该是技术性的。 如果它适用于您的公司,则Inter-Vlan路由很好。 是的,可能存在安全和性能问题,但是如果您locking系统,是否有人员来pipe理要求?
只要你正确地devise了你的networking,你应该能够保证互联网的路由select并且限制事后必要的改变。 就像你说的那样,通过保护你的vlan,你可以降低你的安全风险,提高性能,并使你能够控制IP地址和设备。