网络可能是任何系统中最脆弱的环节之一。虚拟机网络需要的保护丝毫不应少于物理网络。使用 VLAN 可以提高您的环境的网络安全性。

VLAN 是一种 IEEE 标准的网络方案,通过特定的标记方法将数据包的传送限制在 VLAN 中的端口内。若配置正确,VLAN 将是您保护一组虚拟机免遭意外或恶意侵袭的可靠方法。

VLAN 可让您对物理网络进行分段,以便只有属于相同 VLAN 的网络中的两个虚拟机才能相互传输数据包。例如,会计记录和会计帐务是一家公司最敏感的内部信息。如果公司的销售、货运和会计员工均使用同一物理网络中的虚拟机,可设置 VLAN 以保护会计部门的虚拟机。

图 1. VLAN 布局示例
VLAN 布局示例

在此配置中,会计部门的所有员工均使用 VLAN A 中的虚拟机,销售部门的员工使用 VLAN B 中的虚拟机。

路由器将包含会计数据的数据包转发至交换机。这些数据包将被标记为仅分发至 VLAN A。因此,数据将被局限在广播域 A 内,无法传送到广播域 B,除非对路由器进行此配置。

该 VLAN 配置可防止销售人员截取传至会计部门的数据包。还可防止会计部门接收传至销售组的数据包。一个虚拟交换机可为不同 VLAN 中的虚拟机服务。

VLAN 安全注意事项

如何设置 VLAN 以确保网络组件安全取决于客户机操作系统以及网络设备的配置方式。

ESXi 配备完整的符合 IEEE 802.1q 的 VLAN 实施。VMware 不能对如何设置 VLAN 提出具体建议,但当您使用 VLAN 部署作为安全执行策略一部分时,应考虑以下因素。

确保 VLAN 安全

管理员可使用几个选项确保其 vSphere 环境中 VLAN 的安全。

过程

  1. 确保端口组未配置为上游物理交换机预留的 VLAN 值
    请勿使用为物理交换机预留的值设置 VLAN ID。
  2. 确保端口组未配置为 VLAN 4095,除非用于虚拟客户机标记 (VGT)。
    vSphere 中存在三种 VLAN 标记类型:
    • 外部交换机标记 (EST)
    • 虚拟交换机标记 (VST) - 虚拟交换机使用已配置的 VLAN ID 标记传入附加虚拟机的流量,并将 VLAN 标记从传出虚拟机的流量中移除。要设置 VST 模式,请分配 1 到 4094 之间的 VLAN ID。
    • 虚拟客户机标记 (VGT) - 虚拟机处理 VLAN 流量。要激活 VGT 模式,请将 VLAN ID 设置为 4095。在 Distributed Switch 上,还可以使用 VLAN 中继选项允许基于 VLAN 的虚拟机流量。

    在标准交换机上,可以在交换机或端口组级别上配置 VLAN 网络连接模式,而在 Distributed Switch 上,则在分布式端口组或端口级别。

  3. 确保完全记录了每台虚拟交换机上的所有 VLAN,而且每台虚拟交换机有且仅有所需的 VLAN。