路由器与路由器+交换机安全

Question

我需要增加一些以太网设备到我的网络。我希望保留当前的路由器，添加更多接口的唯一可能性是USB以太网/ PCI以太网适配器。我也可以使用一个网络交换机，并将其连接到当前的一个路由器端口，并很容易地获得许多新的接口。

但我想知道一个装置会不会比另一个更安全。我想，它会分解成配置。路由器做正常的NAT‘’ing，每个端口当前提供不同的网络。我的目标是隔离不同的连接设备，使它们无法相互通信。据我所知，当托管交换机提供一些隔离时，哑交换机不会有任何好处，但我不知道它是否接近路由器提供的交换机。如果我选择路由器和交换机设置，在路由器端也有什么需要更改的地方吗？

Answer 1

配置为使用VLAN的托管交换机是正确的方法。原则上，您从路由器上实现的隔离和托管交换机实现的隔离中获得的安全性是相同的。

当然，您选择使用的产品中可能存在安全漏洞。因此，在实践中，这两种方法在安全性方面可能存在差异。但是，这些差异将归因于安全漏洞，而不是与这两种方法相关联的固有问题。

实际上，由路由器实现的隔离很有可能是由路由器中具有VLAN功能的交换机芯片完成的。这个答案有一个很好的图表，说明典型的消费者路由器的内部结构是什么样子。

有些托管交换机的VLAN模式专门用于您描述的用例。例如，请参阅关于TP交换机上VLAN的这个问题 .

但是，即使交换机没有此功能，您也可以期望每一个体面的托管交换机都支持标记的VLAN，这可以配置为达到同样的效果。需要注意的一个潜在障碍是您的路由器是否支持VLAN的配置以实现所需的隔离。在购买托管交换机之前，您可以验证这一点。