Назад | Перейти на главную страницу

Требуется ли управляемый коммутатор с поддержкой VLAN?

Мне интересно, нужно ли мне покупать управляемый коммутатор (поддержка VLAN) для моей конфигурации, или будет работать более дешевый неуправляемый коммутатор?

У меня есть сервера с двумя NICS на каждом. Первый сетевой адаптер является общедоступным, а второй - частным. Маршрутизатор подключится к порту коммутатора 1, скажем (общедоступному). Затем общедоступный сервер 1 подключается к порту 2 на коммутаторе, а частные разъемы 1 отключаются к порту 3 на коммутаторе. Открытый интерфейс: 192.168.X.X / 255.255.0.0, а частный интерфейс - 10.0.X.X / 255.255.0.0.

Так выглядит:

 ** SWITCH **
 Port           Device                Network  
 1              Router/Firewall       192.168.X.X
 2              Server 1 Public       192.168.X.X
 3              Server 1 Private      10.0.X.X
 4              Server 2 Public       192.168.X.X
 5              Server 2 Private      10.0.X.X
 6              Server 3 Public       192.168.X.X
 7              Server 3 Private      10.0.X.X

Спасибо.

Размещение общедоступных и частных сетей в 1 VLAN - это проблема безопасности. Вероятно, это сработает, но это стоит небольших вложений в полууправляемый коммутатор.

Или вы можете просто купить два неуправляемых концентратора / коммутатора, один для общедоступного и один для частного. Это немного безопаснее, поскольку нет возможности ошибочной конфигурации, смешанной с ними.

Управляемые коммутаторы хороши, если вы собираетесь ими управлять. Например, вы можете получить статистику посещаемости.

ИМХО, VLAN немного перегружены.

Переключатель - это OSI устройство уровня 2. Таким образом, он не заботится об IP-протоколе и адресах.

Без настройки VLAN коммутатор и сети должны работать правильно.

тем не мение

  • Все серверы / устройства, использующие коммутатор, получат широковещательную информацию.
  • Эта информация обычно сбрасывается незаинтересованными хостами, но машина может настроить карту для прослушивания в беспорядочном режиме для сбора данных из сети, частью которой она не является.
  • Любая машина имеет доступ к любой другой машине (путем добавления IP-адреса, например, к ее собственной карте, принадлежащей сети, частью которой она не является).

В зависимости от разницы в цене и того, насколько важны безопасность и конфиденциальность, я бы посоветовал переключаться между VLAN. Другая причина заключается в том, что обычно эти устройства имеют лучшую сборку и более надежную внутреннюю прошивку.

В зависимости от вашего приложения программный брандмауэр внутри ОС может быть достаточно хорош, но сетевая карта не является частной только потому, что вы помечаете ее частной. Сетевые адаптеры находятся в том же широковещательном домене, и любой сетевой адаптер в этом широковещательном домене может взаимодействовать с любым другим сетевым адаптером в этом широковещательном домене. Если вы хотите, чтобы этого не произошло, вам потребуется физическое или логическое разделение сети.