У меня есть мощный сервер (двойной ксенон и 16 ГБ ОЗУ с RAID5), который я использую в качестве контроллера домена и файлового сервера для офисной сети с выделенным подключением к Интернету.
У меня также есть гостевая сеть с Wi-Fi и несколько общественных рабочих станций, которые гости могут использовать с собственным выделенным подключением к Интернету.
Гостевые компьютеры не управляются централизованно, но я хотел бы изменить это и настроить гостевую сеть с ее собственным доменом, но при этом полностью отделить ее от офисной сети.
Я планирую использовать сервер гостевой сети для блокировки рабочих станций с помощью GPO, развертывания новых образов на рабочих станциях и управления глубоким зависанием на гостевых рабочих станциях.
Я рассматривал два варианта:
1) Установите Server 2008 на настольной рабочей станции (Dell Optiplex 330) с зеркалом RAID и поместите его в гостевую сеть. Хотя это просто и понятно и обеспечивает разделение двух сетей, я не решаюсь сделать это, поскольку это не очень надежное решение из-за возможности аппаратного сбоя (но в случае сбоя , У меня есть запасной Optiplex 330, который я мог бы использовать для запчастей или для восстановления резервной копии).
2) Установите новую физическую сетевую карту Intel 10/100/1000 на офисный сервер и настройте отдельную виртуальную локальную сеть на коммутаторах офисной сети, которые соединяют сетевую карту с гостевой сетью. Затем настройте виртуальную машину Hyper-V с Server 2008 для управления гостевой сетью. Хотя это решение было бы надежным, я сомневаюсь в этом, поскольку это решение использует ресурсы коммутатора офисной сети и из соображений безопасности, связанных с тем, как сделать ресурсы офиса на сервере недоступными из гостевой сети.
Какой подход вы могли бы рассмотреть, или у вас есть дополнительные предложения по любому (или дополнительному) решению?
У меня мощный сервер (двойной ксенон и 16 ГБ ОЗУ с RAID5)
;) В самом деле? В наши дни это едва ли можно считать средним диапазоном.
Я бы пошел с виртуальной машиной, но вам НЕ нужна вторая сетевая карта, если ваш swtich может правильно преобразовывать VLAN - просто поместите сеть gues в другую VLAN, а затем запустите ее с тегами на главном порту сервера, без тегов на гостевых портах. Используйте переключатель QOS для ограничения гостевой полосы пропускания - готово. Любой нетривиальный коммутатор может это сделать - например, коммутаторы Netgear ProSafe низкого диапазона в моем офисе.
Это достаточно хорошая изоляция для всех облачных провайдеров, поэтому она будет достаточно хорошей изоляцией для вас;)
Я сомневаюсь в этом, поскольку это решение использует ресурсы коммутатора офисной сети и из соображений безопасности, связанных с тем, как сделать ресурсы офиса на сервере недоступными из гостевой сети.
Ну, ограничениями ресурсов можно управлять на коммутаторе, а иначе - серьезно? НЕТ известных случаев прорыва виртуальной машины из коробки виртуальной машины, это чрезвычайно безопасно. Если ВЫ не создаете отверстие вручную (трассировка, а не разделение их должным образом на стороне Hyper-V), у вас в основном отдельный компьютер. Azure, Amazon Ec2, множество облачных провайдеров запускают гипервизоры, и никто не выйдет из строя;)
Я голосую за второе решение только потому, что это «стандартный» способ изоляции сетевых доменов. Но вам придется настроить и протестировать среду, которая эффективно ограничивает использование ресурсов гостевой сети.
Что касается использования полосы пропускания внутри VLAN, то это зависит однозначно от вашего коммутатора, поддерживает ли он ограничение скорости на основе порта или VLAN или нет. Что касается виртуальной машины, вам нужно выделить ей только одно ядро (если каждый из ваших Dual Xeon хотя бы двухъядерный, иначе у вас могут возникнуть проблемы) и ограничить потребление памяти (скажем) всего 3-4 ГБ. В моем (не столь недавнем) опыте работы с виртуальными машинами я заметил, что их потребление памяти медленно увеличивается с течением времени: так что вы также можете настроить процедуру для выключения и перезапуска виртуальной машины время от времени (скажем, каждые выходные).
Ваши сомнения в безопасности должны быть необоснованными. Гости не могут видеть ничего за пределами своей VLAN, а также не должны иметь возможность прорваться через виртуальную машину, чтобы добраться до хоста.