Назад | Перейти на главную страницу

Используете VLAN, маршрутизируемые вместе?

У меня есть быстрый вопрос, который беспокоит меня, чем больше я читаю о VLAN.

Пока я понимаю, что они полезны для разделения сети на подсекции, но если вы маршрутизируете их вместе, разве это не устраняет никаких преимуществ безопасности?

В качестве примера, если я создал VLAN в своей домашней сети, которая состояла бы просто из одного компьютера, одного сервера и одного маршрутизатора. Если я хотел разделить сеть между компьютерами и серверами, я мог бы поместить компьютер в VLAN 10, а сервер в VLAN 20. Тогда компьютер больше не сможет взаимодействовать с сервером - если я не добавлю статический маршрут к маршрутизатору, который соединяет их вместе, в основном сообщая VLAN 10, что VLAN 20 существует и как с ней взаимодействовать.

Тогда VLAN будут подключены аналогично «плоской» сети, в которой нет VLAN. Следовательно, теряются все преимущества безопасности.

Я что-то упускаю?

Замени слово router с участием firewall и вы увидите преимущества безопасности, потому что вы создали единую точку, в которой весь трафик между VLAN должен передаваться без требующие физически дискретной инфраструктуры. Затем вы можете фильтровать, регистрировать, разрешать и отклонять, сколько душе угодно.

Сравните это с ситуацией, когда у вас есть один коммутатор, к которому подключены ваш маршрутизатор, компьютер и сервер. Предположим, что ваш сервер и домашний компьютер находятся в разных IP-подсетях. Ничто не помешает мне переназначить адрес вашего домашнего компьютера в той же подсети, что и ваш сервер (или наоборот), а затем посылать на него вредоносный трафик. Если бы у нас были настроены VLAN в соответствии с вашим вопросом, я все равно мог бы это сделать (предполагая, что я уже получил новую информацию о IP-подсетях), но я не мог напрямую связаться с вашим сервером без предварительного транзита маршрутизатора (и, вероятно, маршрутизатор не маршрут для этого трафика в любом случае).

В этом заключается основное преимущество VLAN: возможность рассматривать одну физическую инфраструктуру как несколько «дискретных» физических инфраструктур. Вместо того чтобы требовать физического разделения, вы можете добиться чего-то подобного, используя отдельные сети VLAN. Другими словами, вы можете взять один широковещательный домен уровня 2 и рассматривать его как несколько широковещательных доменов (которые каждая VLAN «привязана» к соответствующей IP-подсети).