基于安全原因使用VLAN的局域网隔离

Question

我被要求隔离网络中的测试环境，以提高我们的安全性。

我们的结构包括：

• 1开关戴尔电源连接3448
• 1开关戴尔电源连接2748
• 几个5端口的星形技术交换机(努力扩展我们的布线结构)
• 1 ISA Server 2006防火墙

为了完成这项任务，我计划做以下工作：

• 为测试环境创建一个VLAN，并在该VLAN上包含必要的端口
• 允许默认VLAN 1中的所有其他端口(保持数据包未加标记)，但插入ISA Server的端口除外
• 配置ISA Server插入为中继的端口
• 在ISA服务器网卡上配置虚拟接口，使其能够与VLAN通信
• 在ISA Server上配置防火墙规则，仅允许局域网、Internet和VPN客户端之间的所需通信量。

我的计划是做我要做的事的最佳方法吗？

Answer 1

你计划的方法会很好。我建议您首先研究的一项内容是，您五年前的ISA服务器中的网卡是否能够支持VLAN标记。如果不能，另一种方法是在服务器上安装第二张网卡，并将其插入测试环境VLAN上的访问端口。

另一个需要考虑的问题是，如果您计划让ISA服务器和所有新的VLAN端口分布在多个交换机上，那么交换机之间的链接也应该配置为主干。如果Star Tech交换机不支持VLAN标记，则可以将连接到Star交换机之一的端口设置为新VLAN上的访问端口，因此插入该Star的每个设备都将处于测试VLAN中，或者您需要确保测试实验室端口都进入戴尔交换机。

希望这能有所帮助！