Есть ли преимущество в настройке VLAN, если мои подсети подключены отдельно?

Question

Есть ли преимущество в настройке VLAN, если мои подсети подключены отдельно?

У меня есть 2 подсети в моем офисе: 172.16.1.0/24 и 172.16.2.0/24. Все устройства в каждой подсети подключены независимо друг от друга в шкаф сервера. Ранее каждая подсеть имела свой собственный коммутатор в шкафу для подключения к серверам этой подсети. Мы заменяем 2 коммутатора одним управляемым коммутатором Dell 2816.

Есть ли преимущество в настройке коммутатора с 2 виртуальными локальными сетями по сравнению с простой передачей всех данных через коммутатор в неуправляемом режиме?

My only security concern is this: 1 subnet has access to the internet while the other does not. Does setting up 2 VLANs provide additional security by helping prevent 1 subnet from accessing the other? In other words, if a computer with internet access gets hacked will it being on one side of a VLAN help prevent the hacker from accessing the other subnet?

0

networking subnet vlan internet-security

Источник

Eric 13 июн '13 в 17:02

2 ответа

Другие вопросы по тегам networking subnet vlan internet-security

Your Computer Genius 27 сен '17 в 17:03 2017-09-27 17:03 · Answer 1 · 2017-09-27 17:03

Используют ли ваши подсети DHCP? Одним из преимуществ использования VLAN будет возможность предоставления DHCP каждой подсети независимо, вместо того, чтобы иметь только один DHCP-сервер, распределяющий обе подсети. Если бы я подумал немного больше, я уверен, что мог бы предложить другие преимущества использования VLAN, которые облегчили бы вашу жизнь в этом сценарии...

Теоретически, сохранение двух ваших подсетей полностью физически изолированными (воздушный зазор) с помощью двух отдельных коммутаторов будет абсолютно лучше для безопасности, чем любая другая комбинация. Однако в действительности две виртуальные локальные сети, настроенные на одном и том же коммутаторе, могут обеспечить одинаковый уровень безопасности.

pabouk 13 июн '13 в 17:15 2013-06-13 17:15 · Answer 2 · 2013-06-13 17:15

Если вы не настроите отдельные VLAN, компьютеры из одной сети смогут: а) обмениваться данными, атаковать или б) перехватывать связь компьютеров из другой сети (включая доступ через маршрутизаторы к другим сетям, таким как Интернет).

Основы атак просты:

а) Это можно сделать, установив IP-адрес из другой сети или просто добавив псевдоним IP.

б) Это может быть сделано, например, путем отравления ARP или заполнения таблицы переадресации коммутатора и установки интерфейса в случайный режим.

Для обеспечения безопасности с этой точки зрения вы должны настроить отдельные VLAN и иметь хороший список доступа на маршрутизаторе или лучший межсетевой экран между ними.