我有几台主机要直接连接到我的WAN子网,例如1.1.1.1/29(networking,邮件和局域网路由器)。
我有一个networkingpipe理交换机(DGS-1210-24),并想知道是否有任何安全问题创build一个untagged VLAN用于此目的。
我们使用vLAN的一切。 每台设备都直接连接到接入交换机,电缆调制解调器,路由器,服务器等。唯一的办法就是保持广域网和局域网的独立。
一定要把不受信任的stream量(这应该基本上是所有的)在一个vLAN,以防止跳跃。 否则只有“正常”的安全问题。
使用DMZ区域的untagged vlan没有任何问题(这就是你所说的…)。 标记和未标记的vlans之间没有真正的区别。
但是要确保交换机不使用默认的未标记的VLAN(通常是1或0)。 (通常是pipe理界面)
如果您创build多个未标记的vlan,则这些vlan实际上是相同的vlan。
有些交换机甚至不会因为这个原因而让你创build多个untagged vlans。 (或者你可以做多个,但你只能启用其中的一个。)
我不明白为什么你想这样做呢?
只要保持标签。 无论如何,交换机将删除访问端口上出站stream量上的标签(并在到达访问端口时标记入站stream量)。
在交换机内部旅行时,没有实际的需要保持通信的无标记。 事实上,保持标签防止了很多潜在的错误和configuration复杂性。