我将其发布在 IT Security 上,但认为放在这里可能更合适。我仍然不确定交叉发布礼仪,所以任何有足够高代表的人,请随时迁移这个问题
我对 VLAN 及其与网络分段相关的优缺点有基本到中等的了解,但我想知道在进入虚拟化环境时从哪里开始。
从安全角度来看,传统的 VLAN 分段如何经得起专注于虚拟环境的产品/解决方案,例如 VMWare 的 vCloud Networking and Security 产品?当您使用并置 VM 时,您依靠什么策略/技术来分割 VM 流量?
我知道这可能过于宽泛,但任何起点都会非常有帮助。不过,对于一个具体问题,也许一个好的表达方式是——您是否认为虚拟网络安全产品至少与传统 VLAN 的网络流量分段一样好?
当您提到 vCloud Networking and Security 时,您指的是 VXLAN 还是 VCDNI?
两者都在技术上隔离第 2 层网络,VLAN 也是如此,但必须了解 VCDNI 和 VXLAN 如何实现第 2 层的隔离。还必须了解 VCDNI 和/或 VXLAN 的目的。在非常高的层面上,他们都希望扩展 VLAN 的可扩展性,理论限制为 4096(就 VLAN 的最大数量而言,尽管实际上它小于 4096)。
我还不能对 VXLAN 说太多,因为我只在实验室环境中玩过一点,但我建议您查看它的 IETF 草案@ http://blog.ioshints。信息/2011/04/vcloud-director-networking.html。我已经能够亲自确认那里的发现,至少关于来自“受保护”网络的多播全球广播。人们通常会设置一个带有传输 VLAN 的 VCDNI“网络池”(使用 vCloud Director 的术语)。可以轻松地将笔记本电脑设置为位于所有管理程序/主机所在的物理交换机上,将所述笔记本电脑配置为位于该传输 VLAN 上,并且基本上能够获得“受保护”虚拟机的真实 MAC 地址和/或 IP 地址。
也就是说,有人可能会提到,如果有人可以在数据中心的物理交换机环境中设置笔记本电脑,那么您可能需要处理比 VCDNI 或 VXLAN 的复杂性大得多的问题 :)