您建议将公司服务器的 iLo(远程控制台等)的 IP 地址放在哪里?在 NAT 后面创建一些内部 LAN 子网,还是选择 IP 地址并使用 ACL 保护它们?
谢谢。
答案1
尽管拥有一个完全独立的、无法访问的网络来放置您的 iLO(等)很诱人,但我个人认为,拥有可访问网络的好处大于安全问题。
我认为最佳做法是将其放在单独的 VLAN 上并限制对该 VLAN 的访问。这里的关键是不要忘记远程访问。您希望能够在凌晨 3 点拿到您的物品。
如果我们专门讨论 iLO,那么这里的另一件事就是监控。如果您使用 iLO,我强烈建议您购买 HP SIM。如果它可以与 iLO 和盒子通信,它可以获取大量信息并为您执行诸如与 HP 进行文件支持通话之类的操作。
Hyppy 提到了 oob 管理,这对于您的网络设备来说完全有意义,但对于服务器本身来说好处却少得多(在我看来)。
答案2
您可能应该创建一个带外管理网络。最佳实践通常指出,为所有管理访问(如 iLO、基础设施监控等)创建一个物理上和逻辑上独立的网络。旧的 100Mbit 交换机就足够了。