Quanto dovrebbe essere separata una VLAN di gestione dalla VLAN di produzione?

1

Avevo bisogno di un po 'di consigli sulla gestione della rete.

Gli utenti accederanno alla rete e colpiranno un server desktop remoto. Da questo, passeranno attraverso i firewall all'interruttore principale. Quando raggiungono l'interruttore principale, si dirigono verso un server di gestione di rete. Questo ha due NIC. Una di queste schede NIC si trova nella vlan di gestione, l'altra nella vlan server / utente.

La mia domanda sarebbe, quando si accede a questo server di gestione. Dovrebbe essere direttamente alla scheda di gestione NIC sulla VLAN di gestione? Sarebbe meglio, a sua volta, avere la VLAN di gestione completamente bloccata con una negazione in ingresso e in uscita, consentendo alla VLAN di gestione di accedere a tutti i dispositivi nella VLAN di gestione, ma nulla da inserire o lasciare la VLAN? Quindi, per accedere alla VLAN di gestione, è necessario accedere al server di gestione. È una pratica particolarmente buona per accedervi tramite la rete di produzione? Al fine di garantire che la VLAN di gestione rimanga bloccata? Una volta in NMS, l'accesso è a tutti i dispositivi di gestione, quindi non sono sicuro delle migliori pratiche. L'NMS eseguirà software come Solarwinds che ha bisogno di accedere alla rete di produzione.

    
posta Adie 30.07.2015 - 09:06
fonte

1 risposta

1

Ci sono generalmente 2 motivi per avere un vlan di gestione:

  1. Fornire sicurezza e controllo per le interfacce di gestione
  2. Fornire un modo ridondante per accedere ai sistemi critici, quindi se la rete principale ha dei problemi c'è un altro modo per accedere alle interfacce di gestione per ripristinare i servizi

In genere raccomando che la rete di gestione si trovi su un insieme completamente separato di hardware e connessioni di rete: se ci si affida alla rete principale per connettersi alle interfacce di gestione e questo si riduce, si perde ogni accesso.

Per quanto riguarda la possibilità di consentire l'accesso dalla rete più ampia o limitare l'accesso a una serie specifica di gateway, non esiste una risposta giusta o sbagliata, dipende dagli obiettivi di sicurezza e dalla configurazione. Se il personale di supporto ha indirizzi IP fissi o esistono all'interno di subnet o intervalli IP specifici, è possibile consentire l'accesso alla rete di gestione da tali IP. Questo va bene finché hai un'autentica autenticazione e autorizzazione in vigore e non hai l'obbligo di limitare l'accesso su base ticketing. Se i tuoi amministratori sono dappertutto IP-wise o hai il requisito di limitare l'accesso solo quando c'è una richiesta di modifica, allora devi limitare l'accesso a una serie specifica di gateway. Molte organizzazioni eseguono entrambe le operazioni: consentono l'accesso da intervalli consentiti e dispongono anche di host gateway per la gestione fuori banda e gli utenti in roaming.

    
risposta data 30.07.2015 - 11:41
fonte

Leggi altre domande sui tag