HP ProCurve Vlan 隔離

好的，所以我們有一個 HP ProCurve Switch 2824、一個 Zyxel 路由器和一堆 2012 R2 伺服器。我們目前在我們的網路中有 3 個 VLAN：10（公共）、20（私有）和 30（管理），但我們希望在這些 VLAN 中有更多的隔離。幾週以來，我一直在網際網路上搜尋一種將主機隔離在同一個 VLAN 中的方法，但我只找到了埠隔離，它只適用於埠而不適用於 VLAN。

交換機的所有 24 個埠都標記為 VLAN 10、20 和 30。

我要問的是，是否可以防止同一 VLAN 中的主機相互通信並強制所有流量通過我們擁有的路由器或類似的東西？出於安全原因，我不能讓虛擬機在沒有防火牆之間的情況下相互交談。

我很感激你可能有的每一個小線索。

編輯：思科有一些我相信會滿足我需求的東西，但遺憾的是我擁有的設備是 HP（在我之前有人選擇了設備，但我堅持使用它）。

http://www.cisco.com/c/en/us/support/docs/lan-switching/private-vlans-pvlans-promiscuous-isolated-community/40781-194.html

強制流量通過路由器的唯一方法是創建一堆 /30 子網（通常每個子網都在自己的 vlan 上），並在每個子網上放置一台 PC 和一個路由器介面。

您也可以使用 802.1QinQ，但它通常用於城域網，並且具有其自身的複雜性，然後您仍然必須使用路由器介面設置 /30。但至少你仍然只有三個“頂級”VLAN。

否則，您將需要在每台主機上執行非常嚴格的防火牆規則 - 您可以使用 GPO 集中和細化地控制這一點 - 拒絕所有進出的流量，除非您希望它們與之交談。除此之外，您基本上完全切斷了它們，並且通過 GPO 更改防火牆並不是即時的。

引用自：https://serverfault.com/questions/663582