网络可能是任何系统中最脆弱的环节之一。虚拟机网络需要的保护丝毫不应少于物理网络。使用 VLAN 可以提高您的环境的网络安全性。
VLAN 是一种 IEEE 标准的网络方案,通过特定的标记方法将数据包的传送限制在 VLAN 中的端口内。若配置正确,VLAN 将是您保护一组虚拟机免遭意外或恶意侵袭的可靠方法。
VLAN 可让您对物理网络进行分段,以便只有属于相同 VLAN 的网络中的两个虚拟机才能相互传输数据包。例如,会计记录和会计帐务是一家公司最敏感的内部信息。如果公司的销售、货运和会计员工均使用同一物理网络中的虚拟机,可设置 VLAN 以保护会计部门的虚拟机。
在此配置中,会计部门的所有员工均使用 VLAN A 中的虚拟机,销售部门的员工使用 VLAN B 中的虚拟机。
路由器将包含会计数据的数据包转发至交换机。这些数据包将被标记为仅分发至 VLAN A。因此,数据将被局限在广播域 A 内,无法传送到广播域 B,除非对路由器进行此配置。
该 VLAN 配置可防止销售人员截取传至会计部门的数据包。还可防止会计部门接收传至销售组的数据包。一个虚拟交换机可为不同 VLAN 中的虚拟机服务。
VLAN 安全注意事项
如何设置 VLAN 以确保网络组件安全取决于客户机操作系统以及网络设备的配置方式。
ESXi 配备完整的符合 IEEE 802.1q 的 VLAN 实施。VMware 不能对如何设置 VLAN 提出具体建议,但当您使用 VLAN 部署作为安全执行策略一部分时,应考虑以下因素。
确保 VLAN 安全
管理员可使用几个选项确保其 vSphere 环境中 VLAN 的安全。