我正在考虑设置一个管理 vlan,我将在其中放置各种联网设备(防火墙管理接口、服务器 RAC、WAP 管理接口等)的所有管理接口。
访问该管理 vlan 时的最佳做法是什么?例如,作为 IT 管理员,我的工作站只位于业务网络上。但如果我需要通过管理接口访问防火墙,我是否应该有第二个网卡专门用于管理网络?或者我应该编写 ACL,只允许某些 IP(我的工作站)访问管理网络?
这有什么意义吗?
谢谢你的时间 -
-乔希
答案1
不要许可你的桌面;相反,堡垒主机(最好是物理服务器而不是虚拟机)允许访问管理 VLAN,并确保只有 IT 人员才有凭据才能登录该机器。这比限制对工作站的访问更具可扩展性,原因有二:
1)如果您(和您的工作站)需要移动到另一个楼层/建筑物,则不会对网络管理产生影响。
2)单一管理控制点;如果/当您雇用其他管理员时,您需要做的就是授予他们访问堡垒主机的权限,而不是允许他们的机器访问他们需要管理的每个网络设备。
答案2
我们通过 ACL 来实现。网络团队都在一个 VLAN 上,并且该 VLAN 可以访问管理网络。根据您组织的规模,这可能行不通。如果只有 1 或 2 个成员需要访问,则通过单个 IP 进行访问应该没问题。
我倾向于避免对一台机器进行多宿主,只是因为它感觉很脏。
答案3
我建议在管理网关中安装 VPN 网关或终端服务器。如果有办法保证不会意外地占用另一个 IP,那么物理连接也是可以的。我也不会在该网络上安装 DHCP 服务器,除非某些愚蠢的设备绝对需要它。