Práticas recomendadas de rede de gerenciamento

Navegue suas respostas
5

Eu estou olhando para a configuração de uma vlan de gerenciamento, na qual vou colocar todas as interfaces de gerenciamento para meus vários dispositivos de rede (interfaces de gerenciamento de firewall, Server RAC, interfaces de gerenciamento WAP, etc).

Quais são as melhores práticas quando se trata de acessar esse mgmt vlan - Por exemplo, como administrador de TI, minha estação de trabalho é apenas na rede Business - mas se eu precisar acessar o firewall pela interface mgmt, devo tenho um segundo nic que eu uso exclusivamente para a rede mgmt? Ou devo escrever ACLs que permitam que apenas determinados IPs (minha estação de trabalho) acessem a rede do mgmt?

Isso faz algum sentido?

Obrigado pelo seu tempo -

-Josh

    
por Josh Brower 05.10.2010 / 20:38

3 respostas

3

Não permita a sua área de trabalho; em vez disso, tenha um host de bastiões (preferencialmente um servidor físico em vez de uma VM) que tenha permissão para acessar a VLAN de gerenciamento e Certifique-se de que apenas a equipe de TI tenha credenciais para efetuar login na máquina. Isso é mais escalonável do que restringir o acesso à sua estação de trabalho, por dois motivos:

1) Se você (e sua estação de trabalho) precisar mudar para outro andar / prédio, não haverá implicações para o gerenciamento da rede.

2) Um único ponto de controle administrativo; se / quando você contratar outros administradores, tudo o que você precisa fazer é dar a eles acesso ao host bastion, em vez de permitir que os computadores deles em cada dispositivo de rede precisem gerenciar.

    
por 06.10.2010 / 00:39
1

Nós fazemos isso pelo ACL. A equipe de rede está toda em uma vlan e essa vlan pode acessar a rede do mgmt. Isso pode não funcionar dependendo do tamanho da sua organização. Se houver apenas 1 ou 2 membros precisando acessar, fazer isso por IP individual deve funcionar bem.

Eu costumo evitar multi-homing uma máquina, só porque se sente sujo.

    
por 05.10.2010 / 20:43
0

Eu recomendaria um gateway de VPN ou servidor de terminal no gateway de gerenciamento. Uma conexão física seria OK também se houvesse alguma maneira de garantir que você não acidentalmente pisasse em outro IP. Eu não colocaria um servidor DHCP nessa rede, a menos que seja absolutamente necessário por algum dispositivo bobo.

    
por 05.10.2010 / 20:45

Tags

Munin zoom gráfico dinâmico (dynazoom) não funciona (Nginx, PHP-FPM) Puppet - removendo o usuário que está logado?