我被要求隔离我们网络中的测试环境以提高我们的安全性。
我们的结构包括:
- 1 个 Dell Power Connect 3448 开关
- 1 个 Dell Power Connect 2748 开关
- 一些 5 端口 Star Tech 交换机(用于扩展我们的布线结构)
- 1 ISA Server 2006 防火墙
为了完成这项任务我计划做以下事情:
- 为测试环境创建一个 VLAN,并在该 VLAN 上包含必要的端口
- 让所有其他端口处于默认 VLAN 1 中(保持数据包未标记),ISA Server 插入的端口除外
- 将 ISA Server 插入的端口配置为 Trunk
- 在 ISA Server 网卡上配置虚拟接口,以允许其与 VLAN 进行通信
- 在 ISA Server 上配置防火墙规则,以仅允许 LAN、Internet 和 VPN 客户端之间的所需流量。
我所计划的是否是完成我所要求任务的最佳方式?
答案1
您计划的方法将非常有效。我建议您首先研究的一件事是,您五年前的 ISA 服务器中的网卡是否支持 VLAN 标记。如果不支持,另一种方法是在服务器中安装第二张网卡,并将其插入测试环境 VLAN 上的访问端口。
需要考虑的另一点是,如果您计划将 ISA 服务器和所有新 VLAN 端口分布在多个交换机上,则交换机之间的链路也应配置为中继。如果 Star Tech 交换机不支持 VLAN 标记,您可以将通向其中一个 Star Tech 交换机的端口设置为新 VLAN 上的访问端口,这样插入该 Star Tech 的每个设备都将位于测试 VLAN 上,或者您需要确保测试实验室端口全部进入戴尔交换机。
希望这可以帮助!