У меня есть четыре сервера, подключенных к сети нашей организации. Я получил коммутатор уровня 3 (Cisco SG300). Я отдельно подключил к этому коммутатору сетевую карту интерфейса управления каждого сервера. (Интерфейсы управления - это Dell iDRAC, если это имеет значение.) Теперь я хочу изолировать сеть управления на этом коммутаторе по соображениям безопасности, подключить коммутатор к сети нашей организации и разрешить внешние подключения только с определенных хостов, таких как мой ноутбук.
,- server 1 management interface
,-------. +- server 2 management interface
external (open) network ---+ SG300 +-+- server 3 management interface
`-------' `- server 4 management interface
Я думаю, что могу разработать конфигурацию VLAN для сети управления на правой стороне SG300, и если я правильно понимаю списки ACL на коммутаторе Cisco, я смогу создать ACL, который разрешает только определенный MAC-адрес из внешняя сеть для подключения через SG300 к VLAN с правой стороны.
Моя проблема в следующем: как можно указать соединение из внешней сети какой пункт назначения (1-4) для подключения? Предположим, что управляющие сетевые карты имеют IP-адреса с 192.1.1.1 по 192.1.1.4 и говорят, что я нахожусь во внешней сети и хочу подключиться к интерфейсу управления машины 3. Как я могу это сделать? Интерфейсы управления серверами не будут иметь IP-адресов во внешней сети, поэтому я не могу подключиться к определенному IP-адресу. Как мне указать желаемый пункт назначения?
Вероятно, это базовый сетевой вопрос, и, очевидно, я не понимаю, но после того, как я уже довольно долго бился головой о Google, я не могу этого понять. Каков основной подход к достижению этой конфигурации и есть ли ресурсы, объясняющие, как это сделать?
Вам нужен маршрутизатор для маршрутизации трафика между VLAN. Затем вы можете установить свои ACL на маршрутизаторе, а не на переключателях, что было бы предпочтительным методом использования ACL.
Если у вас есть доступные интерфейсы на вашем брандмауэре, вы можете использовать брандмауэр в качестве маршрутизатора, а также использовать его для защиты трафика между VLAN.
Однако вы не подключаетесь к порту. Вы должны подключиться к сокету (IP и номер порта), который соответствует службе, запущенной на сервере.
Так, например, вы не будете подключаться к порту управления 1.
Скажем, сервер A имеет IP-адрес 192.1.1.1 и на нем работает веб-сервер на порту 80. Сервер Сетевой адаптер, настроенный на 192.1.1.1, подключен к интерфейсу 1 на вашем коммутаторе.
Итак, вы спрашиваете, как получить удаленный доступ к веб-серверу на сервере A.
Ответ заключается в том, что у вашего брандмауэра должны быть правила ACL и NAT, которые разрешают ваш удаленный трафик в сеть, и он должен выполнять либо преобразование сетевых адресов 1: 1 (NAT), либо преобразование адресов портов (PAT).