正在为我们受损严重的设计部署和设计新网络。我从来没有自己从头开始设计过网络。简单的概述如下:
- VLAN 1 - 数据中心生产。10.10.0.0/24
- VLAN 2 - 普通用户 10.10.20.0/24
- VLAN 3-IT 10.10.30.0/24
VLAN 4 - 语音 10.10.40.0/24
- 一台 DHCP 服务器 ( 2008R2 )
- 本地办事处的堆叠中有两个 Juniper EX2200 PoE。
- 数据中心内有两个 Juniper EX4200 堆叠在一起。
我感到困惑的问题是我不想允许普通用户访问生产环境。但是,我需要允许他们访问 Exchange、Citrix、IM 和其他一些被归类为生产环境的服务器。人们通常如何做到这一点?我是否只将端口访问权限分配给 VLAN 1,这似乎违背了拥有它们的目的,还是我将普通用户需要的服务器分开并将它们放在 VLAN 2 中?我的最后一个想法是我是否只允许他们从外部访问 Exchange,即 RPC 或 HTTP?
多谢你们
答案1
简而言之,在各个子网(分配给各个 VLAN)之间路由流量的设备需要强制执行通信安全策略。至少,这意味着使用支持无状态访问控制列表的路由器(或具有路由器功能的设备)。如果您想更高级一点,可以使用具有状态过滤功能的设备(典型的状态防火墙、Linux iptables 等)。
我认为您可能对不允许“普通用户访问生产”的含义有一个简单的概念。您要走的路涉及绘制客户端应用程序需要在服务器计算机上与之通信的各种协议(通常是 TCP 和 UDP 端口)(对于 Microsoft RPC,其中一些协议默认是动态的)。一旦您弄清楚了这种通信应该如何工作,您就可以构建访问控制列表(或防火墙规则)以允许所需的通信,同时拒绝所有其他流量。
这是一件很难的事情。我见过的很少有环境真正彻底考虑并实施了这一点。它涉及很多应用程序管理员和网络管理员之间的沟通(或者,如果你是其中之一,则需要大量研究软件文档)。通常需要有一个很多测试,在许多情况下,你会发现“精品”软件应用程序开发人员从来没有花时间去弄清楚他们的应用程序使用什么协议进行通信(并且通常只是假设客户端和服务器之间存在一个扁平、开放的网络)。
最后,您可能会发现,运行基于主机的防火墙规则并相对宽松地对待 VLAN 内访问控制列表/防火墙规则会更成功,这不一定是因为这样做是正确的,而是因为这样做是可行的。祝您好运!
另外:看到您计划的子网在第三个八位字节中以 10 的幂增加,这与您的陈述“我从来没有自己从头开始设计过网络”是相同的。如果您想在这些子网中留出增长空间,请考虑执行以下操作:
- 10.10.0.0 / 19
- 10.10.32.0 / 19
- 10.10.64.0 / 19
- 10.10.96.0 / 19
即使您开始将这些不同的子网用作 /24,您每个子网中仍会有空间增长到 /19(还有 4 个 /19 可供将来使用)。使用您在答案中提出的非连续子网,您会浪费 IP 空间或创建无法通过单个 CIDR 路由汇总的网络。
答案2
通过 VLAN 划分服务器是一个合理的计划,但我同意 @Evan 的观点,即尝试通过端口进行划分几乎是不可能的,将“真实”用户的服务器与用于开发的服务器完全分开。开发人员会讨厌它,但如果可能的话,请将他们及其测试/开发环境完全隔离。
从技术上讲,最好避免将 VLAN 1 用于与用户或服务器相关的任何事物,它通常用作网络设备的默认 VLAN。
取决于您拥有的用户数量,但拥有任何东西几乎总是不好的,即使它“只是”一个 DHCP 服务器。
我基本同意 @Evan 关于子网的观点,但不会太沉迷于子网划分,我会坚持使用 /24s。如果您需要更多主机,那么请添加另一个 VLAN,这就是它们存在的原因,而无法(或太复杂)添加另一个 VLAN 的设计是一个根本缺陷,应该尽早解决。
VLAN 的编号约定也应该是除 1(!)、2、3、4 之外的其他数字,对用户、服务器和开发使用单独的范围。