網路可能是任何系統中最薄弱的環節之一。虛擬機器網路需要的保護絲毫不少於實體網路。使用 VLAN 可以提高您環境的網路安全性。

VLAN 是一套 IEEE 標準網路配置組合,可透過特定的標記方式將封包的路由限制在 VLAN 中的連接埠內。正確設定後,VLAN 可提供保護一組虛擬機器免遭意外或惡意入侵的可靠方法。

VLAN 可讓您將實體網路分段,讓網路中的兩個虛擬機器無法相互傳輸封包,除非它們屬於相同 VLAN。例如,會計記錄和交易是一家公司最敏感的內部資訊。如果公司的銷售、貨運和會計員工均使用同一實體網路中的虛擬機器,則可透過設定 VLAN 來保護會計部門的虛擬機器。

圖 1. VLAN 配置範例
VLAN 配置範例

在此組態中,會計部門的所有員工均使用 VLAN A 中的虛擬機器,銷售部門的員工使用 VLAN B 中的虛擬機器。

路由器將包含會計資料的封包轉送到交換器。這些封包將被標記為僅散佈到 VLAN A。因此,資料將被限制在廣播網域 A 內,無法路由到廣播網域 B,除非對路由器如此設定。

此 VLAN 組態可防止銷售人員攔截要傳送到會計部門的封包。還能防止會計部門接收要傳送到銷售小組的封包。單個虛擬交換器可為不同 VLAN 中的虛擬機器服務。