Итак, у нас есть HP ProCurve Switch 2824, маршрутизатор Zyxel и несколько серверов 2012 R2. В настоящее время в нашей сети есть 3 VLAN: 10 (общедоступные), 20 (частные) и 30 (управляющие), но мы хотели бы иметь больше изоляции в этих VLAN. В течение нескольких недель я искал в Интернете способ изолировать хосты в одной и той же VLAN, но я нашел только изоляцию портов, и это работает только для портов, а не для VLAN.
Все 24 порта коммутатора привязаны к VLAN 10, 20 и 30.
Я спрашиваю, можно ли запретить хостам в одной VLAN разговаривать друг с другом и заставить весь трафик проходить через маршрутизатор, который у нас есть, или что-то подобное? По соображениям безопасности я просто не могу позволить виртуальным машинам общаться друг с другом без брандмауэра между ними.
Я ценю каждую маленькую подсказку, которую вы можете иметь.
РЕДАКТИРОВАТЬ: У Cisco есть кое-что, что, я считаю, удовлетворит мои потребности, но, к сожалению, у меня есть оборудование HP (кто-то до меня выбрал оборудование, и я застрял с ним).
http://www.cisco.com/c/en/us/support/docs/lan-switching/private-vlans-pvlans-promiscuous-isolated-community/40781-194.html
Единственный способ сила трафик через маршрутизатор объединяется в группу из / 30 подсетей (обычно каждая имеет свой собственный vlan) и помещает один ПК и один интерфейс маршрутизатора на каждую из них.
Вы также можете использовать 802.1QinQ, но он обычно используется для городских сетей и имеет свой собственный набор сложностей, и вам все равно придется настроить / 30 с интерфейсами маршрутизатора. Но, по крайней мере, у вас останется только три VLAN «верхнего уровня».
В противном случае вам потребовалось бы иметь очень строго соблюдаемые правила брандмауэра на каждом хосте - вы можете контролировать это централизованно и детально с помощью объектов групповой политики, которые запрещают весь входящий и исходящий трафик, кроме тех, с которыми вы хотите, чтобы они разговаривали. За исключением того, что вы в основном полностью их отключаете, и изменение брандмауэра с помощью GPO не совсем мгновенное.