在設計一個網絡時，服務器管理員和網絡管理員可能彼此并不清楚對方的需求。之前我在博客中解釋過為什么安全區對于網絡設計來說是最重要的，但設計時加入了獨立的VLAN又會是是怎么樣呢?

網絡安全區可以通過在路由器前架設防火墻或者在系統前架設防火墻的方式實現。不論哪種方式，都需要使用IPSec規則，或者操作系統防火墻(比如Windows自帶的防火墻)。而另一種對安全區提供保護的方式就是直接建立一個完全獨立的VLAN 。

從網絡交換的角度看，一個完全獨立的VLAN基本上都屬于Layer 2 (L2) 連接，并且不通過路由器與其他TCP/IP網絡連接。這個完全獨立的網絡需要有專用的接口以及交換設備，但是很多時候，這樣做意味著成本提高，并且所需的端口數難以滿足。對于何時采用完全隔離的L2 VLAN，我在實際工作中發現了一些比較有代表性的方案，可以確實起到獨立VLAN的保護作用。

最常見的使用情況是，有多端口的獨立系統，可以專門用于獨立VLAN相關的安全區。當然，如果一個系統連接到多個安全區，也會有風險并引發相關的問題。因此最重要的一點是，在這些系統間不要有橋接或者路由功能，否則一切努力都白費了。

坦率的講，如果系統中的每個角色只使用確定的端口，那么這整個系統會適用于大多數環境。獨立的安全區的常見應用是在虛擬機遷移時保護數據安全。對于安裝VMware 來說，這種應用體現出了如何在虛擬機遷移時保護未經加密的數據。另外，還有其他一些常見應用，基本上都是用來防止man-in-the-middle類型的攻擊。而接下來我們要面對的問題只是要不要將這個L2網絡路由到其他大型網絡環境中去的問題了。