Изоляция HP ProCurve Vlan

Question

Изоляция HP ProCurve Vlan

Итак, у нас есть HP ProCurve Switch 2824, маршрутизатор Zyxel и несколько серверов 2012 R2. В настоящее время у нас есть 3 VLAN в нашей сети: 10(общедоступные),20(частные) и 30(управление), но мы хотели бы иметь больше изоляции в этих VLAN. В течение нескольких недель я искал в Интернете способ изолировать узлы в той же VLAN, но я нашел только изоляцию портов, и она работает только для портов, а не для VLAN.

Все 24 порта коммутатора помечены для VLAN 10,20 и 30.

Я спрашиваю, возможно ли предотвратить общение хостов в одной и той же VLAN и заставить весь трафик через имеющийся у нас маршрутизатор или что-то подобное? По соображениям безопасности я просто не могу позволить виртуальным машинам общаться друг с другом без межсетевого экрана между ними.

Я ценю каждую небольшую подсказку, которую вы можете иметь.

РЕДАКТИРОВАТЬ: У Cisco есть кое-что, что, я считаю, удовлетворит мои потребности, но, к сожалению, у меня есть оборудование HP(кто-то до меня выбрал оборудование, и я застрял с ним).
http://www.cisco.com/c/en/us/support/docs/lan-switching/private-vlans-pvlans-promiscuous-isolated-community/40781-194.html

1

security vlan hp-procurve isolated-network pvlan

Источник

Niklas Lindgren 29 янв '15 в 23:58

1 ответ

Решение

Другие вопросы по тегам security vlan hp-procurve isolated-network pvlan

Mark Henderson 30 янв '15 в 00:43 2015-01-30 00:43 · Accepted Answer · 2015-01-30 00:43

Единственный способ форсировать трафик через маршрутизатор - создать группу из /30 подсетей (обычно каждая из которых имеет свой собственный vlan) и разместить на каждом из них один ПК и один интерфейс маршрутизатора.

Вы также можете использовать 802.1QinQ, но он обычно используется для городских сетей и имеет собственный набор сложностей, а затем вам все равно придется настроить /30 с интерфейсами маршрутизатора. Но, по крайней мере, у вас останется только три VLAN верхнего уровня.

В противном случае вам нужно будет очень строго соблюдать правила брандмауэра на каждом хосте - вы можете централизованно и централизованно контролировать это с помощью объектов групповой политики - которые запрещают весь входящий и исходящий трафик, за исключением того, где вы хотите, чтобы с ним общались. За исключением того, что вы в основном полностью их отключаете, а изменение брандмауэра с помощью объекта групповой политики не совсем мгновенно.