在設(shè)計(jì)一個(gè)網(wǎng)絡(luò)時(shí)，服務(wù)器管理員和網(wǎng)絡(luò)管理員可能彼此并不清楚對方的需求。之前我在博客中解釋過為什么安全區(qū)對于網(wǎng)絡(luò)設(shè)計(jì)來說是最重要的，但設(shè)計(jì)時(shí)加入了獨(dú)立的VLAN又會(huì)是是怎么樣呢?

網(wǎng)絡(luò)安全區(qū)可以通過在路由器前架設(shè)防火墻或者在系統(tǒng)前架設(shè)防火墻的方式實(shí)現(xiàn)。不論哪種方式，都需要使用IPSec規(guī)則，或者操作系統(tǒng)防火墻(比如Windows自帶的防火墻)。而另一種對安全區(qū)提供保護(hù)的方式就是直接建立一個(gè)完全獨(dú)立的VLAN 。

從網(wǎng)絡(luò)交換的角度看，一個(gè)完全獨(dú)立的VLAN基本上都屬于Layer 2 (L2) 連接，并且不通過路由器與其他TCP/IP網(wǎng)絡(luò)連接。這個(gè)完全獨(dú)立的網(wǎng)絡(luò)需要有專用的接口以及交換設(shè)備，但是很多時(shí)候，這樣做意味著成本提高，并且所需的端口數(shù)難以滿足。對于何時(shí)采用完全隔離的L2 VLAN，我在實(shí)際工作中發(fā)現(xiàn)了一些比較有代表性的方案，可以確實(shí)起到獨(dú)立VLAN的保護(hù)作用。

最常見的使用情況是，有多端口的獨(dú)立系統(tǒng)，可以專門用于獨(dú)立VLAN相關(guān)的安全區(qū)。當(dāng)然，如果一個(gè)系統(tǒng)連接到多個(gè)安全區(qū)，也會(huì)有風(fēng)險(xiǎn)并引發(fā)相關(guān)的問題。因此最重要的一點(diǎn)是，在這些系統(tǒng)間不要有橋接或者路由功能，否則一切努力都白費(fèi)了。

坦率的講，如果系統(tǒng)中的每個(gè)角色只使用確定的端口，那么這整個(gè)系統(tǒng)會(huì)適用于大多數(shù)環(huán)境。獨(dú)立的安全區(qū)的常見應(yīng)用是在虛擬機(jī)遷移時(shí)保護(hù)數(shù)據(jù)安全。對于安裝VMware 來說，這種應(yīng)用體現(xiàn)出了如何在虛擬機(jī)遷移時(shí)保護(hù)未經(jīng)加密的數(shù)據(jù)。另外，還有其他一些常見應(yīng)用，基本上都是用來防止man-in-the-middle類型的攻擊。而接下來我們要面對的問題只是要不要將這個(gè)L2網(wǎng)絡(luò)路由到其他大型網(wǎng)絡(luò)環(huán)境中去的問題了。