網路可能是任何系統中最薄弱的環節之一。虛擬機器網路需要的保護絲毫不少於實體網路。使用 VLAN 可以提高您環境的網路安全性。
VLAN 是一套 IEEE 標準網路配置組合,可透過特定的標記方式將封包的路由限制在 VLAN 中的連接埠內。正確設定後,VLAN 可提供保護一組虛擬機器免遭意外或惡意入侵的可靠方法。
VLAN 可讓您將實體網路分段,讓網路中的兩個虛擬機器無法相互傳輸封包,除非它們屬於相同 VLAN。例如,會計記錄和交易是一家公司最敏感的內部資訊。如果公司的銷售、貨運和會計員工均使用同一實體網路中的虛擬機器,則可透過設定 VLAN 來保護會計部門的虛擬機器。
在此組態中,會計部門的所有員工均使用 VLAN A 中的虛擬機器,銷售部門的員工使用 VLAN B 中的虛擬機器。
路由器將包含會計資料的封包轉送到交換器。這些封包將被標記為僅散佈到 VLAN A。因此,資料將被限制在廣播網域 A 內,無法路由到廣播網域 B,除非對路由器如此設定。
此 VLAN 組態可防止銷售人員攔截要傳送到會計部門的封包。還能防止會計部門接收要傳送到銷售小組的封包。單個虛擬交換器可為不同 VLAN 中的虛擬機器服務。
VLAN 安全考量
如何設定 VLAN 來保護網路各部分的安全取決於很多因素,如客體作業系統以及網路設備的設定方式。
ESXi 配備了符合 IEEE 802.1q 標準的完整 VLAN 實作。VMware 不能對如何設定 VLAN 提出具體建議,但當您使用 VLAN 部署做為安全性強制執行原則一部分時,應考量一些因素。
安全 VLAN
管理員可使用數種選項,確保其 vSphere 環境中 VLAN 的安全。