软考网络管理员：独立VLANs：常用还是偶尔用?

　　网络安全区可以通过在路由器前架设防火墙或者在系统前架设防火墙的方式实现。不论哪种方式，都需要使用IPSec规则，或者操作系统防火墙(比如Windows自带的防火墙)。而另一种对安全区提供保护的方式就是直接建立一个完全独立的VLAN 。

　　从网络交换的角度看，一个完全独立的VLAN基本上都属于Layer 2 (L2) 连接，并且不通过路由器与其他TCP/IP网络连接。这个完全独立的网络需要有专用的接口以及交换设备，但是很多时候，这样做意味着成本提高，并且所需的端口数难以满足。对于何时采用完全隔离的L2 VLAN，我在实际工作中发现了一些比较有代表性的方案，可以确实起到独立VLAN的保护作用。

　　最常见的使用情况是，有多端口的独立系统，可以专门用于独立VLAN相关的安全区。当然，如果一个系统连接到多个安全区，也会有风险并引发相关的问题。因此最重要的一点是，在这些系统间不要有桥接或者路由功能，否则一切努力都白费了。

　　坦率的讲，如果系统中的每个角色只使用确定的端口，那么这整个系统会适用于大多数环境。独立的安全区的常见应用是在虚拟机迁移时保护数据安全。对于安装VMware 来说，这种应用体现出了如何在虚拟机迁移时保护未经加密的数据。另外，还有其他一些常见应用，基本上都是用来防止man-in-the-middle类型的攻击。而接下来我们要面对的问题只是要不要将这个L2网络路由到其他大型网络环境中去的问题了。