虚拟网络流量的分割

Question

我对VLAN及其优缺点有一个基本到中等的理解，因为它们与网络分段有关，但我想知道如何开始进入虚拟化环境。

从安全的角度来看，传统的VLAN细分如何与虚拟环境(如VMWare的vCloud网络和安全产品)的产品/解决方案相适应？当您使用并置VM的时候，您依赖什么策略/技术来分割VM流量？

我知道这可能过于宽泛，但任何起点都会非常有帮助。不过，为了一个具体的问题，也许可以这样说--为了分割网络流量，您认为虚拟网络安全产品至少与传统的VLAN一样好吗？

Answer 1

VLANS作为一个概念，随着技术或解决方案的实现而保持稳定和不变。核心概念是定义网络之间的逻辑边界；也就是说，一条信任线。执行情况各不相同，这就是风险所在。

如果您了解在vmware平台下运行的ubuntu，可以使用命令(如vconfig )定义vlans。取决于使用情况；您的虚拟机是双归属的，有(2)位于DMZ中的网卡，它可能需要两个vlans才能连接和传输数据。

就像在物理交换机中一样；您希望过滤或定义一个主干链路可以携带的vlan id；例如，您不希望ftp服务器vlan只携带ftp服务器的通信量，而不是任何其他内容。

对于vlan间路由，您需要在第三层路由器上定义智能策略，以便根据安全需求过滤/丢弃数据包。例如，非ftp用户访问ftp场。输入到非标准ftp端口的流量也会被删除。

无论您可能拥有多少虚拟环境，它最终都必须通过组织环境的物理交换机/路由器。这就是真正的控制/检查应该适用的地方。

保护vlan是相当常见的，并且在cisco学术界(例如ccna类)中完全相反。你可以从这里。开始。这个链接讨论了对vlan协议的攻击，例如vlan跳变，以及可以做些什么来降低风险。

Answer 2

那么，VLAN的整个概念在物理和/或虚拟方面都是相同的。但使用VLAN却有一定的不同：

1. 当您处于非虚拟环境(物理)时，可以使用VLAN根据不同的标准(例如部门、位置和数据类型)隔离不同类型的流量，在这种情况下使用物理交换机。
2. 例如，在像VMware这样的虚拟环境中，我们通常有一些特定的流量，比如Management、ISCSI、NFS、vMotion etc.So，您必须使用VLAN来根据这些类型的流量进行分离。在这里，我们使用了两个虚拟交换机：“标准交换机”、“分布式交换机”。

国际水文学组织，应该对基本概念和现实世界情景有很好的了解。希望它能为你的问题提供一些线索。