人们为什么告诉我不要使用VLAN进行安全保护？

按照标题，为什么人们告诉我不要出于安全目的使用VLAN？

我有一个网络，其中有几个VLAN。两个VLAN之间有一个防火墙。我正在使用HP Procurve交换机，并确保交换机到交换机的链接仅接受标记的帧，并且主机端口不接受标记的帧（它们不是“ VLAN Aware”）。我还确保中继链路的本机VLAN（PVID）与2个主机VLAN都不相同。我还启用了“入口过滤”。此外，我确保主机端口仅是单个VLAN的成员，这与相应端口的PVID相同。属于多个VLAN的唯一端口是中继端口。

有人可以向我解释为什么上述方法不安全吗？我相信我已经解决了双重标记问题。

谢谢

更新：两个开关均为HP Procurve 1800-24G

人们为什么告诉我不要出于安全目的使用VLAN？

如果您不完全了解潜在问题，并正确设置网络以将风险降低到您的环境可以接受的程度，则存在实际风险。在许多位置，VLAN在两个VLAN之间提供了足够的隔离级别。

有人可以向我解释为什么上述方法不安全吗？

听起来您已经采取了完成相当安全的设置所需的所有基本步骤。但是我对HP设备并不完全熟悉。您可能已经为您的环境做了足够的工作。

值得一提的是《Cisco VLAN安全白皮书》。

它包括针对基于VLAN的网络的可能攻击的列表。其中一些在某些交换机上是不可能的，或者可以通过适当设计基础架构/网络来缓解。花一些时间来理解它们，并决定在您的环境中为避免这种风险而付出的努力是否值得。

引用本文。

• MAC泛洪攻击
• 802.1Q和ISL标记攻击
• 双重封装的802.1Q /嵌套VLAN攻击
• ARP攻击
• 专用VLAN攻击
• 组播蛮力攻击
• 生成树攻击

也可以看看：

• http://hakipedia.com/index.php/VLAN_Hopping
• http://hakipedia.com/index.php/CAM_Table_Overflow
• http://etutorials.org/Networking/lan+switching/Chapter+9.+Switching+Security/基于VLAN的网络+ Attacks /

对于某些安全值是安全的。

固件错误，开关配置重置，人为错误可能使其不安全。只要只有很少的人可以访问交换机的配置以及交换机本身，那么在一般业务环境中就可以了。

我会为真正敏感的数据进行物理分离。

我似乎记得在过去，VLAN跳跃比较容易，所以这可能就是为什么“人们”这么说的原因。但是，为什么不问“人民”原因呢？我们只能猜测为什么他们告诉了你。我确实知道，HIPAA和PCI审核员可以通过VLAN来确保安全性。

我认为核心问题是，VLAN不安全，因为您只是隔离广播域，而不是隔离流量。来自多个VLAN的所有流量仍在同一物理线路上流动。可以始终将访问该流量的主机配置为混杂模式，并查看线路上的所有流量。

显然，使用交换机可以大大降低这种风险，因为交换机可以控制哪些数据实际出现在哪些端口上，但是基本风险仍然存在。