数据中心安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8
PDF created with pdfFactory Pro trial version www.pdffactory.com
图 2-10 数据中心的网络 IDS
汇聚层网络 IDS 监控同步
流量
输出 流量
输入 流量
园区核心
数据中心 汇聚交换机
输出 流量
更加 精确的 服务器和 应用监控
输入流量
因为可能会有大量的流量流经数据中心,思科建议您部署一个支持千兆吞吐率的 IDS 设备。 支持千兆吞吐率的 IDS 能够监控更多流经数据中心的流量,从而提高安全性。目前,思科 提供的 IDS 设备――IDS 4250――能够提供千兆监控功能。在不久的将来,思科将推出一个 针对 Catalyst 6000 的千兆 IDS 模块。这些设备的功能较为类似,因而无论您采用哪个设备, 关于应当在哪些环节监控哪些类型的流量的建议都是相同的。
如 2-6 所示,FWSM 可以与 MSFC 部署在同一个机箱中,并且可以部署在 MSFC 内侧或者 外侧。图 2-6 中还显示了 CSM 的位置。
图 2-6 FWSM、MSFC 和 CSM 的逻辑结构图(FWSM 位于 MSFC 内侧和外侧)
MSFC 外侧
MSFC 内侧
数据中心 汇聚交换机
数据中心 汇 聚交换 机
PVLAN 具有很多优点。如果数据中心的服务器存在敏感资料,那么就可以将每台路 由器置于一个独立的 VLAN 中,同时不会浪费 IP 地址。PVLAN 还有助于提供安全保障: 如果数据中心的一台服务器受到攻击,攻击者无法通过第二层或者第三层访问其他的服务 器。
1.4 数据中心多层服务器群的安全保护
多层(常被称为 N 层)服务器群主要包含三个层次:表示层、应用层和数据库层。根 据所部署的应用,Web 层和应用层可能会位于同一个物理服务器或者不同的服务器。大部 分供应商都提供了一种三层物理模式,即 Web 层和应用层分别位于不同的服务器。
图 2-8 基于装置的防火墙可以为多层服务器群提供安全保障
园区核心
第一层
第二层
Web 层
第三层
应用层
服务器层
思科的 FWSM 防火墙模块为降低在多层架构中部署安全措施的复杂性提供了一个重要的方 法。通过将防火墙整合到中央地点,可以大幅度降低管理和物理连接的复杂性。
您可以通过在每层之间进 行路由 和分组过滤在 FWSM 上为每个 层次提供不同 的 VLAN。这使得 VLAN 之间的所有流量都可以穿越 FWSM,从而将分组过滤服务集中到一 对物理防火墙上。FWSM 支持“虚拟防火墙功能”。这种功能让单个 FWSM 可以“虚拟化” 为多个逻辑防火墙。这种虚拟化可以在每层创建多个独立的逻辑防火墙。在必要情况下,甚 至可以为每个客户建立多个防火墙。图 2-9 显示了采用 FWSM 的多层服务器群。
图 2-1 提供了一个大规模企业网络的结构图。图 2-1 还显示了内联网数据中心在网络中 的位置。在这个拓扑中,内联网数据中心汇聚交换机被直接连接到园区核心交换机。数据中 心交换机和园区核心之间没有部署防火墙或者 IDS 设备。拓扑设计的目的是为位于内联网 中心的网络设备和应用创建安全周边和区域,以提供与外部(互联网)设备和系统类似的安 全保障。
图 1-1 数据中心安全和数据中心网络
存储网络
多层应用 Web 服务器
应 用服务 器
IP 网络基础设施 安全
应 用优化 第二 /三 层
缓存
防火墙
DB 服务器
内容 交换机
磁带
大型机
IP 通信
运营
1.1 数据中心安全拓扑
一直以来,内联网数据中心都是一个安全措施严重不足的区域。根据客户调查、层出不 穷的安全威胁和日益增长的专利信息保护需求,企业必须为数据中心提供足够的安全保障, 防止来自内部的攻击――无论是有意还是无意导致。
1.2.2 防火墙防护
在采用防火墙装置的典型设计中,防火墙可以部署在数据中心汇聚层和核心交换机之间。这 种内嵌式拓扑有时被用于连接互联网的数据中心设计 图 2-3 防火墙设备部署
园区核心
对于那些希望部署灾难恢复或者业务连续性的企业,内容交换模块(CSM)的路由健康 注入(RHI)功能在内部网络中扮演着一个重要的角色。这项功能让 CSM 可以为多层交换 功能卡(MSFC)中的虚拟 IP 地址(VIP)设置一个主路由。该路由随后将通过内部路由协 议广播到整个网络。
图 2-9 FWSM 为多层服务器群提供安全保障
园 区核心
采用 多防火墙 虚拟技术 的 FWSM
Web 层
应用层
数据库层
7
PDF created with pdfFactory Pro trial version www.pdffactory.com
1.5 入侵检测安全保护
网络 IDS:汇聚层 网络 IDS 设备应当被部署在数据中心的汇聚交换机中,以便为数据中心网络设备提供全面 的保护并为服务器群组件提供第一道防线。这些网络 IDS 传感器可以通过逻辑配置,放置 在汇聚交换机中部署的其他防火墙模块之后。这使得传感器可以阻止未经过滤的、穿越防火 墙的攻击。 在将 IDS 设备部署于汇聚交换机中时,您应当设置网络 IDS 传感器,使其监控同步流量。 这让传感器只需获得流量的一侧数据,就可以监控流量的两个部分,从而减少传感器的误报 和漏报。网络 IDS 设备能够通过主动调整 ACL 抵御网络攻击。在网络行为违反了预定的策 略,而且符合攻击特征时,IDS 设备就会动态设置 ACL,及时抵御网络攻击――在它威胁 到任何服务器或者设备之前。图 2-10 显示了在数据中心部署网络 IDS 的结构图。
图 2-1 企业网络和内联网数据中心
1
PDF created with pdfFactory Pro trial version www.pdffactory.com
1.2 分组过滤:汇聚层
分组过滤为拦截来自外部或者内部的恶意网络和应用流量提供了一种重要的方法。可以在内 联网数据中心汇聚层部署的分组过滤服务包括 ACL、独立防火墙设备和基于集成化的防火 墙模块。图 2-2 显示了数据中心汇聚层的位置。 图 2-2 内联网数据中心汇聚层
3
PDF created with pdfFactory Pro trial version www.pdffactory.com
图 2-4 部署在数据中心服务交换机的防火墙
园区核心
当数据中心汇聚交换机收到输入流量时,一个静态路由将这些流量通过第二层发送到服务交 换机。图 2-4 显示了服务交换机的位置和连接,以及它们与防火墙的物理连接。服务交换机 拥有两个第二层中继链路,其中主链路被连接到第二层主汇聚交换机,而从链路(拦截)被 连接到从第二层汇聚交换机。在流量到达服务交换机时,它会被转发到交换机的外部接口。 防火墙随后会将内部接口之外的流量拦截或者转发到服务交换机。因为防火墙的外部和内部 接口都连接到同一台交换机,所以常常会导致安全问题。最主要的问题之一是可能会发生 “VLAN 跳跃”。VLAN 跳跃是指攻击者能够跳过 VLAN,从而绕过防火墙。 集成化防火墙部署 防火墙服务模块(FWSM)是 Catalyst 6000 系列交换机的一种集成化防火墙。FWSM 的配 置类似于 PIX 防火墙,因而可以对内部、外部流量和服务器间通信进行状态分组检测。该 模块能够以 5Gb 的吞吐率提供分组检测和支持 OSPF 动态路由协议。图 2-5 显示了配有一对 FWSM 的内联网数据中心汇聚交换机。
9
PDF created with pdfFactory Pro trial version www.pdffactory.com
1.5.2 主机 IDS/IPS
主机 IDS 解决方案为服务器上运行的服务器操作系统和应用提供了全面的安全保护。 主机 IDS 代理软件可以被加载到服务器平台,从一个集中管理地点进行监控。目前支持的 服务器操作系统包括:Windows 2000、Windows NT 和 Sun Solaris。主机 IDS 传感器可以通 过主动监控发往服务器的流量和在攻击实施之前及时加以阻止,有效地抵御攻击。
图 2-7 PVLAN 限制服务器通信
主 VLAN
主 VLAN
独立 共同
独立 共同
因为 PVLAN 只能在服务器之间提供第二层隔离,所以您必须在 Cisco IOS 或者思科 防火墙上设置 ACL,以拒绝任何第三层访问。如果流量的源地址是服务器群中的某个设备, 那么它的目的地地址就不能是服务器群中的另外一个设备。如果没有采用这种过滤措施,分 组可能会从第三层路由到目的地服务器,从而绕过第二层隔离。
为了防止因为 VLAN 配置错误而导致流量绕过 FWSM,须密切注意 FWSM 的外侧和内侧接 口上设置了哪些 VLAN。在 MSFC 的哪一侧放置 FWSM 取决于您希望采用的配置类型。
1.3 分组过滤:接入层
通过在接入层部署 PVLAN 和 IOS ACL 或者 VLAN ACL(VACL),限制服务器群中的
这种多层架构大大提高了数据中心网络架构的复杂性。在多层架构中,用户通常需要 为每个层次部署安全措施。过滤是一种相当有效的安全措施,应当在表示层前端,表示层和 应用层之间,以及应用层和物理层之间执行。分组过滤也经常在位于同一个层次的不同服务 器之间进行。推荐的分组过滤方式取决于所部署的架构类型。对于上面所介绍的物理多层服 务器群,思科建议您在每个层次进行过滤,以便为服务器群提供最大限度的安全性。
园区核心
数据中心 汇聚层 前端层
应用层
2
PDF created with pdfFactory Pro trial version www.pdffactory.com
数据库层
1.2.1 ACL 防护
在数据中心部署 ACL 有助于通过基本的第三层和第四层分组过滤限制对设备的访问(例如 子网隔离)。通过设置,ACL 可以按照端口进行过滤,但是在大部分情况下不能提供上层应 用检测。这在一定程度上是因为 ACL 不能支持状态分组检测,而这正是 ACL 和防火墙之间 的关键区别。状态分组检测让防火墙可以对面向连接的请求进行基于分组的检测,拒绝不完 整的或者异常的请求。
4wenku.baidu.com
PDF created with pdfFactory Pro trial version www.pdffactory.com
图 2-5 配有 FWSM 的数据中心汇聚交换机
园区核心
上述功能和下面将要介绍的一些功能(例如虚拟防火墙)让 FWSM 成为为数据中心重新设 计安全方案的一个重要考虑因素。它的一个特殊应用是为多层服务器群设计和部署安全策 略。利用 FWSM,多层服务器可以变得更加简洁和便于管理,
1.5.1 网络 IDS:接入层
IDS 传感器也可以部署到数据中心的接入层。这可以为网络设备和服务器提供一个可 选的额外防线。
在接入层,传感器应当设置为监控来自服务器群的同步和异步流量。对于服务器和应 用流量,同步流量监控将以更加精确的方式进行。另外,监控来自服务器的异步流量,如果 攻击者能够控制一台服务器,并开始从内部服务器群发动攻击,接入交换机中的网络 IDS 传感器就能够监控和抵御攻击,从而防止其他的内部系统遭受攻击。
数据中心安全
数据中心安全建立在一套行之有效的安全策略的基础上。这套策略应当准确地定义您的数据 中心的接入和连接要求。在制定了一套正确的安全策略之后,您就可以利用多种先进的思科 技术和产品防止您的数据中心遭受内部和外部威胁,确保数据的保密性和完整性。思科提供 了一组功能强大的网络安全技术,如下图所示。
如果使用传统的、基于装置的防火墙,每层的过滤至少需要为每个层次部署两个防火墙。 这提高了物理连接、管理和可靠性保障的复杂性。图 2-8 显示了一个典型的多层服务器群架 构,其中每个层次都部署了基于装置的防火墙。
6
PDF created with pdfFactory Pro trial version www.pdffactory.com
5
PDF created with pdfFactory Pro trial version www.pdffactory.com
服务器与其他设备或者服务器之间的通信。PVLAN 的概念非常简单:PVLAN 为在同一个 服务器群中的服务器之间进行第二层隔离提供了一种重要的方法。所有进入服务器群的流量 都将通过一个主 VLAN。这个主 VLAN 会被镜像到一个或者多个从 VLAN。从 VLAN 可以 被设置为独立的或者共同的 VLAN。安放在独立 VLAN 中的服务器不能与服务器群中的任 何其他服务器通信。位于共同 VLAN 中的服务器则只能与共同 VLAN 中的其他服务器通信。
PDF created with pdfFactory Pro trial version www.pdffactory.com
图 2-10 数据中心的网络 IDS
汇聚层网络 IDS 监控同步
流量
输出 流量
输入 流量
园区核心
数据中心 汇聚交换机
输出 流量
更加 精确的 服务器和 应用监控
输入流量
因为可能会有大量的流量流经数据中心,思科建议您部署一个支持千兆吞吐率的 IDS 设备。 支持千兆吞吐率的 IDS 能够监控更多流经数据中心的流量,从而提高安全性。目前,思科 提供的 IDS 设备――IDS 4250――能够提供千兆监控功能。在不久的将来,思科将推出一个 针对 Catalyst 6000 的千兆 IDS 模块。这些设备的功能较为类似,因而无论您采用哪个设备, 关于应当在哪些环节监控哪些类型的流量的建议都是相同的。
如 2-6 所示,FWSM 可以与 MSFC 部署在同一个机箱中,并且可以部署在 MSFC 内侧或者 外侧。图 2-6 中还显示了 CSM 的位置。
图 2-6 FWSM、MSFC 和 CSM 的逻辑结构图(FWSM 位于 MSFC 内侧和外侧)
MSFC 外侧
MSFC 内侧
数据中心 汇聚交换机
数据中心 汇 聚交换 机
PVLAN 具有很多优点。如果数据中心的服务器存在敏感资料,那么就可以将每台路 由器置于一个独立的 VLAN 中,同时不会浪费 IP 地址。PVLAN 还有助于提供安全保障: 如果数据中心的一台服务器受到攻击,攻击者无法通过第二层或者第三层访问其他的服务 器。
1.4 数据中心多层服务器群的安全保护
多层(常被称为 N 层)服务器群主要包含三个层次:表示层、应用层和数据库层。根 据所部署的应用,Web 层和应用层可能会位于同一个物理服务器或者不同的服务器。大部 分供应商都提供了一种三层物理模式,即 Web 层和应用层分别位于不同的服务器。
图 2-8 基于装置的防火墙可以为多层服务器群提供安全保障
园区核心
第一层
第二层
Web 层
第三层
应用层
服务器层
思科的 FWSM 防火墙模块为降低在多层架构中部署安全措施的复杂性提供了一个重要的方 法。通过将防火墙整合到中央地点,可以大幅度降低管理和物理连接的复杂性。
您可以通过在每层之间进 行路由 和分组过滤在 FWSM 上为每个 层次提供不同 的 VLAN。这使得 VLAN 之间的所有流量都可以穿越 FWSM,从而将分组过滤服务集中到一 对物理防火墙上。FWSM 支持“虚拟防火墙功能”。这种功能让单个 FWSM 可以“虚拟化” 为多个逻辑防火墙。这种虚拟化可以在每层创建多个独立的逻辑防火墙。在必要情况下,甚 至可以为每个客户建立多个防火墙。图 2-9 显示了采用 FWSM 的多层服务器群。
图 2-1 提供了一个大规模企业网络的结构图。图 2-1 还显示了内联网数据中心在网络中 的位置。在这个拓扑中,内联网数据中心汇聚交换机被直接连接到园区核心交换机。数据中 心交换机和园区核心之间没有部署防火墙或者 IDS 设备。拓扑设计的目的是为位于内联网 中心的网络设备和应用创建安全周边和区域,以提供与外部(互联网)设备和系统类似的安 全保障。
图 1-1 数据中心安全和数据中心网络
存储网络
多层应用 Web 服务器
应 用服务 器
IP 网络基础设施 安全
应 用优化 第二 /三 层
缓存
防火墙
DB 服务器
内容 交换机
磁带
大型机
IP 通信
运营
1.1 数据中心安全拓扑
一直以来,内联网数据中心都是一个安全措施严重不足的区域。根据客户调查、层出不 穷的安全威胁和日益增长的专利信息保护需求,企业必须为数据中心提供足够的安全保障, 防止来自内部的攻击――无论是有意还是无意导致。
1.2.2 防火墙防护
在采用防火墙装置的典型设计中,防火墙可以部署在数据中心汇聚层和核心交换机之间。这 种内嵌式拓扑有时被用于连接互联网的数据中心设计 图 2-3 防火墙设备部署
园区核心
对于那些希望部署灾难恢复或者业务连续性的企业,内容交换模块(CSM)的路由健康 注入(RHI)功能在内部网络中扮演着一个重要的角色。这项功能让 CSM 可以为多层交换 功能卡(MSFC)中的虚拟 IP 地址(VIP)设置一个主路由。该路由随后将通过内部路由协 议广播到整个网络。
图 2-9 FWSM 为多层服务器群提供安全保障
园 区核心
采用 多防火墙 虚拟技术 的 FWSM
Web 层
应用层
数据库层
7
PDF created with pdfFactory Pro trial version www.pdffactory.com
1.5 入侵检测安全保护
网络 IDS:汇聚层 网络 IDS 设备应当被部署在数据中心的汇聚交换机中,以便为数据中心网络设备提供全面 的保护并为服务器群组件提供第一道防线。这些网络 IDS 传感器可以通过逻辑配置,放置 在汇聚交换机中部署的其他防火墙模块之后。这使得传感器可以阻止未经过滤的、穿越防火 墙的攻击。 在将 IDS 设备部署于汇聚交换机中时,您应当设置网络 IDS 传感器,使其监控同步流量。 这让传感器只需获得流量的一侧数据,就可以监控流量的两个部分,从而减少传感器的误报 和漏报。网络 IDS 设备能够通过主动调整 ACL 抵御网络攻击。在网络行为违反了预定的策 略,而且符合攻击特征时,IDS 设备就会动态设置 ACL,及时抵御网络攻击――在它威胁 到任何服务器或者设备之前。图 2-10 显示了在数据中心部署网络 IDS 的结构图。
图 2-1 企业网络和内联网数据中心
1
PDF created with pdfFactory Pro trial version www.pdffactory.com
1.2 分组过滤:汇聚层
分组过滤为拦截来自外部或者内部的恶意网络和应用流量提供了一种重要的方法。可以在内 联网数据中心汇聚层部署的分组过滤服务包括 ACL、独立防火墙设备和基于集成化的防火 墙模块。图 2-2 显示了数据中心汇聚层的位置。 图 2-2 内联网数据中心汇聚层
3
PDF created with pdfFactory Pro trial version www.pdffactory.com
图 2-4 部署在数据中心服务交换机的防火墙
园区核心
当数据中心汇聚交换机收到输入流量时,一个静态路由将这些流量通过第二层发送到服务交 换机。图 2-4 显示了服务交换机的位置和连接,以及它们与防火墙的物理连接。服务交换机 拥有两个第二层中继链路,其中主链路被连接到第二层主汇聚交换机,而从链路(拦截)被 连接到从第二层汇聚交换机。在流量到达服务交换机时,它会被转发到交换机的外部接口。 防火墙随后会将内部接口之外的流量拦截或者转发到服务交换机。因为防火墙的外部和内部 接口都连接到同一台交换机,所以常常会导致安全问题。最主要的问题之一是可能会发生 “VLAN 跳跃”。VLAN 跳跃是指攻击者能够跳过 VLAN,从而绕过防火墙。 集成化防火墙部署 防火墙服务模块(FWSM)是 Catalyst 6000 系列交换机的一种集成化防火墙。FWSM 的配 置类似于 PIX 防火墙,因而可以对内部、外部流量和服务器间通信进行状态分组检测。该 模块能够以 5Gb 的吞吐率提供分组检测和支持 OSPF 动态路由协议。图 2-5 显示了配有一对 FWSM 的内联网数据中心汇聚交换机。
9
PDF created with pdfFactory Pro trial version www.pdffactory.com
1.5.2 主机 IDS/IPS
主机 IDS 解决方案为服务器上运行的服务器操作系统和应用提供了全面的安全保护。 主机 IDS 代理软件可以被加载到服务器平台,从一个集中管理地点进行监控。目前支持的 服务器操作系统包括:Windows 2000、Windows NT 和 Sun Solaris。主机 IDS 传感器可以通 过主动监控发往服务器的流量和在攻击实施之前及时加以阻止,有效地抵御攻击。
图 2-7 PVLAN 限制服务器通信
主 VLAN
主 VLAN
独立 共同
独立 共同
因为 PVLAN 只能在服务器之间提供第二层隔离,所以您必须在 Cisco IOS 或者思科 防火墙上设置 ACL,以拒绝任何第三层访问。如果流量的源地址是服务器群中的某个设备, 那么它的目的地地址就不能是服务器群中的另外一个设备。如果没有采用这种过滤措施,分 组可能会从第三层路由到目的地服务器,从而绕过第二层隔离。
为了防止因为 VLAN 配置错误而导致流量绕过 FWSM,须密切注意 FWSM 的外侧和内侧接 口上设置了哪些 VLAN。在 MSFC 的哪一侧放置 FWSM 取决于您希望采用的配置类型。
1.3 分组过滤:接入层
通过在接入层部署 PVLAN 和 IOS ACL 或者 VLAN ACL(VACL),限制服务器群中的
这种多层架构大大提高了数据中心网络架构的复杂性。在多层架构中,用户通常需要 为每个层次部署安全措施。过滤是一种相当有效的安全措施,应当在表示层前端,表示层和 应用层之间,以及应用层和物理层之间执行。分组过滤也经常在位于同一个层次的不同服务 器之间进行。推荐的分组过滤方式取决于所部署的架构类型。对于上面所介绍的物理多层服 务器群,思科建议您在每个层次进行过滤,以便为服务器群提供最大限度的安全性。
园区核心
数据中心 汇聚层 前端层
应用层
2
PDF created with pdfFactory Pro trial version www.pdffactory.com
数据库层
1.2.1 ACL 防护
在数据中心部署 ACL 有助于通过基本的第三层和第四层分组过滤限制对设备的访问(例如 子网隔离)。通过设置,ACL 可以按照端口进行过滤,但是在大部分情况下不能提供上层应 用检测。这在一定程度上是因为 ACL 不能支持状态分组检测,而这正是 ACL 和防火墙之间 的关键区别。状态分组检测让防火墙可以对面向连接的请求进行基于分组的检测,拒绝不完 整的或者异常的请求。
4wenku.baidu.com
PDF created with pdfFactory Pro trial version www.pdffactory.com
图 2-5 配有 FWSM 的数据中心汇聚交换机
园区核心
上述功能和下面将要介绍的一些功能(例如虚拟防火墙)让 FWSM 成为为数据中心重新设 计安全方案的一个重要考虑因素。它的一个特殊应用是为多层服务器群设计和部署安全策 略。利用 FWSM,多层服务器可以变得更加简洁和便于管理,
1.5.1 网络 IDS:接入层
IDS 传感器也可以部署到数据中心的接入层。这可以为网络设备和服务器提供一个可 选的额外防线。
在接入层,传感器应当设置为监控来自服务器群的同步和异步流量。对于服务器和应 用流量,同步流量监控将以更加精确的方式进行。另外,监控来自服务器的异步流量,如果 攻击者能够控制一台服务器,并开始从内部服务器群发动攻击,接入交换机中的网络 IDS 传感器就能够监控和抵御攻击,从而防止其他的内部系统遭受攻击。
数据中心安全
数据中心安全建立在一套行之有效的安全策略的基础上。这套策略应当准确地定义您的数据 中心的接入和连接要求。在制定了一套正确的安全策略之后,您就可以利用多种先进的思科 技术和产品防止您的数据中心遭受内部和外部威胁,确保数据的保密性和完整性。思科提供 了一组功能强大的网络安全技术,如下图所示。
如果使用传统的、基于装置的防火墙,每层的过滤至少需要为每个层次部署两个防火墙。 这提高了物理连接、管理和可靠性保障的复杂性。图 2-8 显示了一个典型的多层服务器群架 构,其中每个层次都部署了基于装置的防火墙。
6
PDF created with pdfFactory Pro trial version www.pdffactory.com
5
PDF created with pdfFactory Pro trial version www.pdffactory.com
服务器与其他设备或者服务器之间的通信。PVLAN 的概念非常简单:PVLAN 为在同一个 服务器群中的服务器之间进行第二层隔离提供了一种重要的方法。所有进入服务器群的流量 都将通过一个主 VLAN。这个主 VLAN 会被镜像到一个或者多个从 VLAN。从 VLAN 可以 被设置为独立的或者共同的 VLAN。安放在独立 VLAN 中的服务器不能与服务器群中的任 何其他服务器通信。位于共同 VLAN 中的服务器则只能与共同 VLAN 中的其他服务器通信。