将多个服务器放置在具有静态 ARP 绑定的单个 VLAN 上的危险是什么?

网络工程 局域网 ARP 第 2 层 锦缎
2022-02-16 21:19:43

我们有一个专用服务器机柜,顶部有一个 Brocade FESX648-PREM 交换机。我们拥有所有硬件,并且我们知道所有 MAC 地址。我们还全面管理服务器,因此我们保留管理访问权限,但我们的客户也拥有管理访问权限。

目前我们使用 VLAN 和子网来隔离服务器、防止 IP 劫持等。但是,我们希望更有效地利用我们的 IPv4 分配。我们失去了许多用于网关目的的可用 IP,并且我们有大量的子网太小而无法满足许多客户的需求。

我考虑过将服务器逐步迁移到单个 VLAN 并使用静态 ARP 来防止 IP 劫持。我们会失去第 2 层隔离,但我不确定哪种滥用行为会让我们敞开心扉。

将我们所有的服务器放置在一个仅使用静态 ARP 绑定以防止 IP 劫持的单个 VLAN 上的危险是什么?换句话说,使用单个 VLAN 配置可能会发生哪些形式的滥用,而每台服务器都无法使用其自己的 VLAN?在实现更有效地使用 IPv4 的目标的同时,我们是否可以采取任何预防措施来防止滥用?

2个回答

您的网络中使用的地址是公开的吗?

如果没有 - 浪费私有地址空间不是问题,但使用 VLAN 在逻辑上拆分客户会带来很多好处:如果限制广播和此类流量相关方面不是问题,那么从安全的角度来看,混合一切都会以糟糕的结局告终。并且使用静态 ARP 绑定 - 我不会将其称为真正的安全解决方案,就像无线的 MAC 过滤一样。
使用 VLAN 将允许您通过使用逻辑上正确的 ACL 或防火墙规则来更好地管理这一点,以使客户保持隔离,并且可以扩展得足够好,并且不会成为“谁拥有这个 IP?” 在 10.10.0.0/16 子网中。

如果 IP 是公共的 - 浪费它们是一个问题。服务器上严格的防火墙规则可能会有所帮助,但实际上网络图对于了解可以应用一些安全措施的地方很有用,因为仍然存在将所有人混在一个桶中的问题。

一个具有静态 IP 的 Vlan 听起来不错,但不是 2 个是更好的选择吗?1 个未标记的 vlan 用于流量,1 个具有静态 IP 的 vlan 用于管理。

其它你可能感兴趣的问题
上一篇我在哪里可以了解路由器命令行? 下一篇谁来做 DNS 查询?