在工作中,我们有一个配置,其中 VLAN 1 是主网络,VLAN 2 是电话系统。工作站自动连接到 VLAN 1,但也可以通过同一条电缆访问每部电话的控制面板,这意味着可以直接连接到每部电话。
现在我听说 VLAN 应该分隔流量以提高安全性。但是,如果我的计算机可以访问所有这些,而病毒攻击(这种攻击智能到足以感染工作站和电话)可以覆盖所有这些,那又有什么意义呢?如果它不是一个好的设置,什么样的设置将是 a) 足够安全以完全分离两个 VLAN 和 b) 通过其控制面板管理电话仍然可以有效地完成?
此外,我听说出于与上述相同的原因,不建议使用默认 VLAN(未标记 1),因为整个主网络都可能受到攻击。
VLAN 本身不提供任何安全性。但是您使用它们来实现第 3 层安全性。
请记住,VLAN 是第 2 层概念,而 IP 子网是第 3 层概念。在大多数情况下,它们之间存在一一对应关系——每个 VLAN 一个 IP 子网,反之亦然。
通常,您将使用在第 3 层运行的安全控制,例如访问列表,以仅允许特定网络或主机访问电话的控制面板。您将在第 3 层边界应用 ACL(即该子网的默认网关)。在大多数网络中,第 3 层边界也是第 2 层边界(VLAN 接口、SVI等)。
因此,通过将网络划分为 VLAN,您也将其划分为 IP 子网,这允许您在 VLAN 接口上应用访问控制列表。您可以创建访问控制列表并在仅允许某些主机访问控制面板的 VLAN 2 接口上应用。
在 Cisco 交换机上,VLAN 1 用于管理协议,例如 STP、CDP 和 DTP。在某些情况下,攻击者可能会利用这些漏洞,因此将用户流量拒之门外会更安全。只有您可以确定风险是否值得付出努力。