Мы получаем волоконно-оптическую схему PTP от Verizon, и у нас возникли проблемы с ее использованием. Наконец, посредством конференц-связи с Verizon они говорят нам настроить точку A как VLAN 29, а точку B как VLAN 45. После этого мы можем установить связь. Мы сказали им удалить VLAN, потому что она нам не понадобится при двухточечном соединении, что привело к изменению порядка, выполнение которого займет месяц. Причина, по которой я спрашиваю, заключается в том, что получение этого соединения заняло больше года, а Verizon говорит, что мы запросили VLAN. Еще говорят, что это более безопасно. Это какой-то отраслевой стандарт, о котором я не знаю?
Один из аспектов безопасности виртуальных локальных сетей, о котором может думать (но я сомневаюсь), - это то, что они позволяют / заставляют вас разделять вашу сеть на логические (виртуальные) сегменты. Если у вас есть хосты в VLAN 29 и другие хосты в VLAN 45, то эти сети не могут общаться друг с другом без маршрутизации, поэтому трафик будет локализован в этой конкретной VLAN. Это можно считать «более безопасным» (не «безопасным»), поскольку трафик между VLAN можно регулировать, контролировать, останавливать с помощью брандмауэров и т. Д.
Я был бы более склонен думать, что какой-то человек из Verizon понятия не имеет, о чем он говорит, и просто извергает что-то, что они слышали где-то в другом месте, но это также мой опыт общения с ними. На предыдущей работе мы работали с ними, чтобы наладить темное волокно и другие соединения между офисами моей компании, и это было похоже на объяснение квантовой механики моему ребенку. Пустые взгляды и сверчки.
VLAN позволит вам использовать один физический канал Ethernet между двумя точками для передачи трафика нескольких логически отдельных сегментов Ethernet.
Например, предположим, что в местоположении A у вас есть хосты A1 и A2, а в местоположении B - хосты B1 и B2. У вас есть один кабель Ethernet между двумя точками, через который A1 нужно будет связаться с B1, а A2 - с B2. Никакое другое общение не допускается.
Вы можете подключить неуправляемый коммутатор к каждому концу соединения и настроить A1 и B1 с одним префиксом IP, а A2 и B2 с другим префиксом IP. Однако это не очень безопасно, так как все хосты все еще могут общаться друг с другом, если только они делают это, используя IP-адреса из другого префикса, чем они должны были.
В такой настройке использование тегов VLAN может повысить безопасность. Вместо неуправляемого коммутатора на каждом конце можно использовать управляемый коммутатор. Их можно настроить для использования тегов VLAN на канале между двумя местоположениями, чтобы трафик мог быть разделен.
Тогда A1 больше не сможет связываться с любым другим хостом, кроме B1 и т. Д.
Невозможно сказать, учитывая ограниченные детали в вашем вопросе, применимы ли такие требования безопасности к вашему сценарию. Если вам не нужна изоляция, обеспечиваемая тегированием VLAN, то включение тегирования VLAN не обеспечивает безопасности.