網路可能是任何系統中最薄弱的環節之一。虛擬機器網路需要的保護絲毫不少於實體網路。使用 VLAN 可以提高您環境的網路安全性。

VLAN 是一套 IEEE 標準網路配置組合,可透過特定的標記方式將封包的路由限制在 VLAN 中的連接埠內。正確設定後,VLAN 可提供保護一組虛擬機器免遭意外或惡意入侵的可靠方法。

VLAN 可讓您將實體網路分段,讓網路中的兩個虛擬機器無法相互傳輸封包,除非它們屬於相同 VLAN。例如,會計記錄和交易是一家公司最敏感的內部資訊。如果公司的銷售、貨運和會計員工均使用同一實體網路中的虛擬機器,則可透過設定 VLAN 來保護會計部門的虛擬機器。

圖 1. VLAN 配置範例
VLAN 配置範例

在此組態中,會計部門的所有員工均使用 VLAN A 中的虛擬機器,銷售部門的員工使用 VLAN B 中的虛擬機器。

路由器將包含會計資料的封包轉送到交換器。這些封包將被標記為僅散佈到 VLAN A。因此,資料將被限制在廣播網域 A 內,無法路由到廣播網域 B,除非對路由器如此設定。

此 VLAN 組態可防止銷售人員攔截要傳送到會計部門的封包。還能防止會計部門接收要傳送到銷售小組的封包。單個虛擬交換器可為不同 VLAN 中的虛擬機器服務。

VLAN 安全考量

如何設定 VLAN 來保護網路各部分的安全取決於很多因素,如客體作業系統以及網路設備的設定方式。

ESXi 配備了符合 IEEE 802.1q 標準的完整 VLAN 實作。VMware 不能對如何設定 VLAN 提出具體建議,但當您使用 VLAN 部署做為安全性強制執行原則一部分時,應考量一些因素。

安全 VLAN

管理員可使用數種選項,確保其 vSphere 環境中 VLAN 的安全。

程序

  1. 請確保連接埠群組未設定為由上游實體交換器保留的 VLAN 值
    請勿將 VLAN 識別碼設定為保留供實體交換器使用的值。
  2. 請確保連接埠群組未設定為 VLAN 4095,除非您正在使用虛擬客體標記 (VGT)。
    vSphere 中存在三種 VLAN 標記類型:
    • 外部交換器標記 (EST)
    • 虛擬交換器標記 (VST) - 虛擬交換器使用已設定的 VLAN 識別碼來標記傳入附加虛擬機器的流量,並移除從虛擬機器傳出的流量的標籤。若要設定 VST 模式,請指派 1 到 4094 之間的 VLAN 識別碼。
    • 虛擬客體標記 (VGT) - 虛擬機器處理 VLAN 流量。若要啟動 VGT 模式,請將 VLAN 識別碼設定為 4095。在分散式交換器上,您還可以透過使用 VLAN 主幹連線選項,允許以 VLAN 為基礎的虛擬機器流量。

    在標準交換器上,您可以在交換器或連接埠群組層級上設定 VLAN 網路模式,而在分散式交換器上,您可以在分散式連接埠群組或連接埠層級上設定。

  3. 請確保已完全記錄了每台虛擬交換器上的所有 VLAN,而且每台虛擬交換器有且僅有所需的 VLAN。