Я ищу настройку Management vlan, в которую я помещу все интерфейсы управления для моих различных сетевых устройств (интерфейсы Firewall Mgmt, Server RAC, интерфейсы WAP Mgmt и т. Д.).
Каковы наилучшие практики, когда дело доходит до доступа к этому vlan mgmt - Например, как ИТ-администратор моя рабочая станция находится только в сети Business - Но если мне нужно получить доступ к межсетевому экрану через интерфейс mgmt, должен ли я иметь второй Ник, который я использую исключительно для сети MGMT? Или мне следует написать списки ACL, которые разрешают доступ к сети управления только определенным IP-адресам (моей рабочей станции)?
Есть ли в этом какой-то смысл?
Спасибо за ваше время--
-Джош
Не разрешайте свой рабочий стол; вместо этого имейте хозяин бастиона (предпочтительно физический сервер, а не виртуальная машина), которому разрешен доступ к управляющей VLAN, и убедитесь, что только ИТ-персонал имеет учетные данные для входа в систему. Это более масштабируемое решение, чем ограничение доступа к вашей рабочей станции, по двум причинам:
1) Если вам (и ваше рабочее место) необходимо переехать на другой этаж / здание, это не повлияет на управление сетью.
2) Единый административный пункт контроля; если / когда вы нанимаете других администраторов, все, что вам нужно сделать, это предоставить им доступ к хосту-бастиону, а не разрешать их машинам на каждом сетевом устройстве, которым они должны управлять.
Мы делаем это по ACL. Вся сетевая группа подключена к vlan, и этот vlan может получить доступ к сети управления. Это может не работать в зависимости от размера вашей организации. Если доступ нужен только 1 или 2 участникам, то использование индивидуального IP-адреса должно работать нормально.
Я стараюсь избегать одновременного наведения машины только потому, что она кажется грязной.
Я бы порекомендовал VPN-шлюз или терминальный сервер в шлюз управления. Физическое соединение тоже было бы нормально, если бы был способ гарантировать, что вы случайно не наступите на другой IP-адрес. Я бы тоже не стал размещать DHCP-сервер в этой сети, если только этого не потребует какое-нибудь глупое устройство.