Soviero Asked: 2013-03-30 19:54:24 +0800 CST2013-03-30 19:54:24 +0800 CST 2013-03-30 19:54:24 +0800 CST 将 WAN 子网置于 VLAN 上? 772 我有几台主机要直接连接到我的 WAN 子网,例如 1.1.1.1/29(用于 LAN 的 Web、邮件和路由器)。 我有一个Web 托管交换机 (DGS-1210-24),想知道为此目的创建未标记的 VLAN 是否存在任何安全问题。 vlan 2 个回答 Voted Best Answer Chris S 2013-03-30T21:04:00+08:002013-03-30T21:04:00+08:00 我们对一切都使用 vLAN。每个设备都直接连接到接入交换机、电缆调制解调器、路由器、服务器等。vLAN 是唯一将 WAN 和 LAN 分开的东西。 确保将不受信任的流量(基本上应该是所有流量)放在 vLAN 中以防止跳跃。否则只有“正常”的安全问题。 Tonny 2013-03-31T02:58:29+08:002013-03-31T02:58:29+08:00 为 DMZ 区域使用未标记的 vlan 没有任何问题(这就是您所说的......)。标记和未标记的 vlan 之间没有真正的区别。 但是请绝对确保您的交换机没有使用默认的未标记 VLAN(通常为 1 或 0)。(它通常是管理界面。) 如果您创建多个未标记的 vlan,这些 vlan 实际上是同一个 vlan。 正因为如此,有些交换机甚至不允许您创建多个未标记的 vlan。(或者你可以制作多个,但你只能启用其中一个。) 我不明白的是为什么您首先要这样做? 只需标记它即可。无论如何,交换机都会删除访问端口上传出流量的标签(并在传入流量到达访问端口时对其进行标记)。 在交换机内部传输时,没有真正需要保持流量未标记。事实上,保持标记可以防止很多潜在的错误和配置复杂化。
我们对一切都使用 vLAN。每个设备都直接连接到接入交换机、电缆调制解调器、路由器、服务器等。vLAN 是唯一将 WAN 和 LAN 分开的东西。
确保将不受信任的流量(基本上应该是所有流量)放在 vLAN 中以防止跳跃。否则只有“正常”的安全问题。
为 DMZ 区域使用未标记的 vlan 没有任何问题(这就是您所说的......)。标记和未标记的 vlan 之间没有真正的区别。
但是请绝对确保您的交换机没有使用默认的未标记 VLAN(通常为 1 或 0)。(它通常是管理界面。)
如果您创建多个未标记的 vlan,这些 vlan 实际上是同一个 vlan。
正因为如此,有些交换机甚至不允许您创建多个未标记的 vlan。(或者你可以制作多个,但你只能启用其中一个。)
我不明白的是为什么您首先要这样做?
只需标记它即可。无论如何,交换机都会删除访问端口上传出流量的标签(并在传入流量到达访问端口时对其进行标记)。
在交换机内部传输时,没有真正需要保持流量未标记。事实上,保持标记可以防止很多潜在的错误和配置复杂化。