使用VLAN /子网划分管理与服务？

背景：我最近为我家购买了一台服务器和一台管理型交换机，希望能获得更多的体验和一些有趣的玩具。我拥有或计划覆盖广泛的设备和设备：路由器，DD-WRT AP，戴尔交换机，OpenLDAP服务器，FreeRADIUS服务器，OpenVPN网关，家用电脑，游戏机等。我打算用我的网络进行细分VLAN和关联的子网（例如，VID10由192.168.10.0/24上的设备填充）。我们的想法是通过强制通过我的路由器/ FW的流量来保护更敏感的设备。

设置：经过一段时间的思考和规划，我暂时决定使用4个VLAN：一个用于WAN连接，一个用于服务器，一个用于家庭/个人设备，一个用于管理。理论上，归属VLAN对服务器的访问权限有限，并且管理VLAN将完全隔离以确保安全性。

问题：由于我想限制对管理接口的访问，但是某些设备必须可供其他设备访问，是否可能/明智地只在一个VLAN / IP上提供管理（SSH，HTTP，RDP）并且只提供服务（LDAP ，DHCP，RADIUS，VPN）可用于其他？这是件事吗？它是否让我获得了我认为它的安全性，或者以某种方式伤害了我？

是的，这种逻辑服务分段是在工业和超安全网络中执行的，尽管很少在SOHO网络等小规模部署中执行。VLAN本质上不是安全屏障。出于效率目的，大规模网络需要将其广播域分解为更小的段，但为此，您过去需要在硬件中进行更改，这通常会花费更多。VLAN试图允许灵活的广播域以软/固件制作，而不是纯粹通过布线。

您通过隔离管理vlan获得了一些与安全相关的优势

• 它没有暴露于其他vlans上发生的第2层攻击（尽管像ARP泛洪这样的交换机行为漏洞可能会暴露所有的vlans，除非制造商有缓解措施）。
• 您可以对vlan进行防火，以便只有本地站可以访问管理服务，并且除了服务器防火墙之外，还可以从路由器本身获得该控制。
• 管理vlan将减少流量，并且是部署IDPS或其他监控工具而不会使用笨拙的端口镜像的好地方。

然而，在硬件和管理时间方面都有一些重要的成本。

• 您的所有服务器都需要多个网络和布线（或具有vlan功能的真正高端网络），因此您可以将客户端服务绑定到另一个服务器上，将管理服务绑定到另一个服务器上。
• 你需要一个非常强大的路由器，不要注意你的服务有一些有害的延迟。
• 您的DNS和IP管理涉及的次数增加了4倍，并且需要一些防火墙管理和路由管理。
• 某些服务需要特殊配置才能对所有主机可见，并且avahi / zeroconf内容可能无法正常工作。

在您的假设网络中，每个主机与lan服务的连接都必须路由到服务网络，然后再返回。在切换路由器硬件时，路由是比简单的第2层交换更复杂的过程，并且部分是基于软件的。在性能，协议支持和服务可见性方面，使用处于核心LAN功能中间的路由器可能具有破坏性，因此廉价的SOHO路由器可能不是该角色的良好选择。

因此，总而言之，大型企业和超安全系统（如银行或SCADA网络）确实将其服务/操作从其管理中分割出来，并确实提供了一些优势。然而，成本可能超过小规模部署的好处。这一切都取决于你想花多少时间和金钱。