使用一起路由的 VLAN?
我有一個快速的問題,我對 VLAN 的了解越多,這個問題就越讓我煩惱。
到目前為止,我了解它們對於將網路劃分為子部分很有用,但是如果將它們路由在一起,這不會消除任何安全優勢嗎?
例如,如果我在我的家庭網路上創建了一個 VLAN,它只是一台電腦、一台伺服器和一台路由器。如果我想在電腦和伺服器之間劃分網路,我可以將電腦放在 VLAN 10 上,將伺服器放在 VLAN 20 上. 然後電腦將不再能夠與伺服器通信-除非我在將兩者連接在一起的路由器上添加靜態路由,基本上告訴VLAN 10 VLAN 20 存在以及如何與它通信。
然後,VLAN 將以類似的方式連接到沒有 VLAN 的“平面”網路。因此,毫無疑問,所有安全優勢都將失去。
我錯過了什麼嗎?
將這個詞替換為
router
,firewall
您將看到安全優勢,因為您創建了一個單點,所有 VLAN 間流量都必須在該點傳輸,而無需物理上離散的基礎設施。然後,您可以過濾、記錄、允許和拒絕您心中的內容。將此與您的路由器、電腦和伺服器都連接到一台交換機的情況進行比較。假設您的伺服器和家用電腦位於不同的 IP 子網上。沒有什麼能阻止我將您的家用電腦的地址重新分配到與您的伺服器相同的子網中(反之亦然),然後向它發送惡意流量。如果我們根據您的問題配置了 VLAN,我仍然可以這樣做(假設我已經新的 IP 子網資訊)但是如果不先通過路由器,我就無法直接到達您的伺服器(並且路由器可能不會路由該流量反正)。
這就是 VLAN 的主要優勢:能夠將一個物理基礎設施視為多個“離散”物理基礎設施。您可以通過使用單獨的 VLAN 來實現類似的效果,而不是要求物理分離。另一種說法是,您可以採用單個第 2 層廣播域並將其視為多個廣播域(每個 VLAN“映射”到相應的 IP 子網)。