Я ценю это, чтобы получить правильный DMZнеобходимо иметь физическое разделение между серверами DMZ и серверами LAN с сервером межсетевого экрана между ними.
Но в сети, состоящей из одного блейд-корпуса, содержащего два или более блейд-серверов, на которых запущено несколько виртуальных серверов, какое самое близкое приближение к DMZ, которое можно было бы спроектировать?
Дополнительные сведения: виртуальные серверы, в основном Windows, работающие в среде VMWare на блейд-серверах, и физический брандмауэр между корпусом блейд-сервера и Интернетом.
Может ли ваш брандмауэр обрабатывать не только «внутреннюю» и «внешнюю» сеть? Если он может обрабатывать три сети, вы должны определить их как «LAN», «DMZ» и «Интернет», а затем подключить эти интерфейсы к разным коммутаторам (или различным VLAN на управляемом коммутаторе).
Если ваш брандмауэр не может обрабатывать DMZ, вам необходимо настроить сеть по-другому (и добавить еще один брандмауэр); в любом случае, вы получите два логически разделенных сегмента сети, LAN и DMZ, которые могут связываться только через брандмауэр.
Затем вам следует выбрать, хотите ли вы разделить виртуальные машины только на сетевом уровне или действительно хотите, чтобы виртуальные машины DMZ работали на разных хостах, а не виртуальные машины LAN.
В первом случае каждый хост ESX должен иметь как минимум три сетевых интерфейса: один для служебной консоли (подключенной к вашей локальной сети), один для подключения виртуальных машин к локальной сети и один для подключения виртуальных машин к DMZ; если вам нужен VMotion, добавьте еще один интерфейс для этого.
Во втором случае каждому хосту требуется как минимум два интерфейса: один для служебной консоли (всегда подключен к локальной сети, вы не хотите который в DMZ) и один для трафика ВМ. Опять же, если вам нужен VMotion, вам понадобится другой интерфейс.
Настройте коммутаторы для запуска сетевого трафика «DMZ» через vLan, и будьте очень осторожны, где разрешен трафик vLan.
На одном из моих сайтов есть 1 коммутатор, интернет-трафик подключается непосредственно к порту коммутатора 24 (с большой наклейкой, объясняющей, какой порт 24 прикреплен к коммутатору). Коммутатор настроен так, что порт 24 - это vLan 20 (без тегов); порт 1 получает vLan 20 (с тегами), это основной маршрутизатор; и никакой другой порт не получает трафик этого vLan. Маршрутизатор имеет только одно сетевое соединение. Возможно, это идеальный вариант, но в его настройке нет ничего плохого или небезопасного.
Я лучше всех знаю лезвия HP C-класса, и у меня не возникнет проблем с наличием нескольких зон в одном корпусе со следующими кавиатами;
Кроме того, я сам доволен, но в частности, я не доверяю только безопасности на основе границ VLAN - я точно знаю, что даже последнее оборудование Cisco / IOS может быть «перепрыгнуто через VLAN» - отсюда я и настаиваю на различных коммутаторах.