网络可能是任何系统中最脆弱的环节之一。虚拟机网络需要的保护丝毫不应少于物理网络。使用 VLAN 可以提高您的环境的网络安全性。

VLAN 是一种 IEEE 标准的网络方案,通过特定的标记方法将数据包的传送限制在 VLAN 中的端口内。若配置正确,VLAN 将是您保护一组虚拟机免遭意外或恶意侵袭的可靠方法。

VLAN 可让您对物理网络进行分段,以便只有属于相同 VLAN 的网络中的两个虚拟机才能相互传输数据包。例如,会计记录和会计帐务是一家公司最敏感的内部信息。如果公司的销售、货运和会计员工均使用同一物理网络中的虚拟机,可设置 VLAN 以保护会计部门的虚拟机。

图 1. VLAN 布局示例
VLAN 布局示例

在此配置中,会计部门的所有员工均使用 VLAN A 中的虚拟机,销售部门的员工使用 VLAN B 中的虚拟机。

路由器将包含会计数据的数据包转发至交换机。这些数据包将被标记为仅分发至 VLAN A。因此,数据将被局限在广播域 A 内,无法传送到广播域 B,除非对路由器进行此配置。

该 VLAN 配置可防止销售人员截取传至会计部门的数据包。还可防止会计部门接收传至销售组的数据包。一个虚拟交换机可为不同 VLAN 中的虚拟机服务。