Появление высокотехнологичных коммутаторов значительно усиливает защищенность сетевых границ виртуальных сетей. Поэтому применения VLAN с каждым днем становятся более надежными, а сетевые инженеры постепенно накапливают опыт по созданию и поддержке виртуальных сетей. Некоторые из коммутаторов фирмы Cisco поддерживают весьма привлекательную технологию сетевой безопасности под названием частные виртуальные локальные сети (private VLAN), которые явно выигрывают у обычных VLAN в плане своей безопасности. Частной виртуальной локальной сетью называется такая группа сетевых портов, которая специально настроена на изоляцию от прочих портов той же виртуальной сети. Соответственно, частные VLAN позволяют ограничивать взаимодействие хостов, размещенных в пределах одной виртуальной сети. Как уже упоминалось ранее, маршрутизаторы и брандмауэры способны накладывать такие ограничения только на пересекающий границы сетевых сегментов трафик. Частные же VLAN позволяют изолировать друг от друга хосты, расположенные в пределах одной и той же подсети. Такая способность особенно полезна для усиления ограничений на серверной площадке, где серверы часто располагаются в пределах одной и той же физической подсети, но крайне редко нуждаются в неограниченном доступе друг к другу. Короче говоря, частные виртуальные локальные сети, благодаря совершенно иному уровню своей безопасности, способны улучшить эффективность от применения виртуальных сетей как таковых.
При этом обязательно необходимо так настроить сетевые порты частной виртуальной сети, чтобы однозначно определить возможность соединения заданного сетевого устройства с другими портами той же подсети. Существуют так называемые универсальные порты (promiscuous ports), которые способны устанавливать соединение с любым другим портом. Как правило, такие порты принадлежат маршрутизаторам и брандмауэрам. Напротив, изолированные порты (isolated ports) полностью отгорожены от всех прочих портов частной виртуальной сети за исключением универ-сальных. И, наконец, групповые порты (community ports) способны общаться только друг с другом и с универсальными портами.
Нужно понимать, что некорректная конфигурация частной виртуальной локальной сети способна перечеркнуть те свойства данной сети, которые по идее должны улучшать безопасность. Например, можно обойти ограничения частной VLAN за счет маршрутизации внутреннего трафика выделенным маршрутизатором. Обычная ситуация подразумевает, что расположенные в пределах одной подсети хосты напрямую общаются между собой. А, значит, взломщик, получивший доступ к одному из хостов частной виртуальной сети, может маршрутизировать пакеты в направлении соседней системы. Поскольку маршрутизаторы, как правило, соединены с универсальными портами, то они способны перенаправлять сетевой трафик на 3-ем уровне сетевой модели вопреки любой изоляции, созданной средствами частной виртуальной сети на 2-м уровне. Для предотвращения подобной ситуации необходимо настроить списки контроля доступа ACL главной виртуальной сети на отказ в доступе трафика, источник и приемник которого расположены в пределах одной подсети.
Очевидно, что виртуальные сети предоставляют множество различных возможностей, позволяющих по желанию разработчика гибко разделять сетевые ресурсы. В то же время вероятность взлома границ виртуальных сетей намного выше аналогичной вероятности для сетей, физически разделенных коммутаторами. С этой точки зрения, будет сомнительным рекомендовать виртуальные сети для определения подверженных высокому риску зон безопасности, особенно если они расположены в непосредственной близости к Интернету. Однако преимущества администрирования виртуальных сетей позволяют применять их для разделения внутренних сетевых сегментов в зависимости от их требований по безопасности и нужд конкретной организации.