Rede do Office e de convidados - gerenciar com servidores físicos separados ou uma VM no servidor do escritório?

Navegue suas respostas
1

Tenho um servidor robusto (Xenon duplo e 16 GB de RAM com RAID5) que uso como controlador de domínio e servidor de arquivos para uma rede de escritório em uma conexão de Internet dedicada.

Eu também tenho uma rede de convidados com acesso Wi-Fi e algumas estações de trabalho públicas para uso dos hóspedes com sua própria conexão de internet dedicada.

Os computadores convidados não são gerenciados centralmente, mas eu gostaria de mudar isso e configurar a rede de convidados com seu próprio domínio, mas ainda mantê-los completamente separados da rede do escritório.

Eu pretendo usar o servidor da rede de convidados para bloquear as estações de trabalho com GPO, implantar novas imagens em estações de trabalho e gerenciar o congelamento em estações de trabalho convidadas.

Havia duas opções que eu estava considerando:

1) Configure o Server 2008 em uma estação de trabalho de mesa (Dell Optiplex 330) com um espelho RAID e coloque-o na rede do convidado. Embora isso seja simples e direto e garanta que as duas redes sejam mantidas separadas, estou um pouco hesitante em fazer isso, já que não é uma solução muito robusta devido à possibilidade de uma falha de hardware (mas se houver uma falha , Eu tenho um Optiplex 330 de reposição que eu poderia usar para peças de reposição ou para restaurar um backup para).

2) Instale uma nova NIC física Intel 10/100/1000 no servidor do escritório e configure uma VLAN separada nos comutadores de rede do escritório que conecta a NIC à rede convidada. Em seguida, configure uma máquina virtual Hyper-V com o Server 2008 para gerenciar a rede guest. Embora essa solução seja robusta, estou hesitante, pois essa solução usa os recursos do switch da rede do escritório e, por causa das preocupações de segurança, como tornar inacessíveis os recursos do escritório na rede de convidados.

Qual abordagem você pode considerar ou você tem sugestões adicionais para soluções (ou adicionais)?

    
por Force Flow 24.05.2012 / 18:07

2 respostas

3

I have a beefy server (dual Xenon & 16GB RAM with RAID5)

;) Realmente? Isso mal conta como mid range estes dias.

Eu usaria uma VM, mas você NÃO precisa de uma segunda placa de rede se o swtich puder transformar VLANs corretamente - basta colocar a rede do gues em outra VLAN e executá-la marcada na porta principal do servidor, sem marcação no convidado portas. Use o switch QOS para limitar a largura de banda do convidado - finalizado. Cada switch não trivial pode fazer isso - como o netgear ProSafe de baixa faixa do meu escritório muda.

Este é um isolamento suficientemente bom para todos os provedores de nuvem, portanto, será um isolamento suficientemente bom para você;)

I'm hesitant to this since this solution uses the office network's switch's resources and because of security concerns in how to make the office resources on the server inaccessible from the guest network.

Bem, os limites de recursos podem ser gerenciados no switch, mas por outro lado - seriamente? Não há nenhum caso conhecido de uma quebra de VM fora da caixa de VM, que é extremamente segura. A menos que você crie um buraco manualmente (roteamento, não os separando corretamente no lado do Hyper-V) você basicamente tem uma máquina separada. Azure, Amazon Ec2, muitos provedores de nuvem executam hipervisores sem que as pessoas saiam;)

    
por 24.05.2012 / 18:36
1

Eu voto na segunda solução, porque é a maneira "padrão" de isolar domínios de rede. Mas você terá que configurar e testar um ambiente que limite efetivamente o uso de recursos para a rede de convidados.

No que diz respeito ao uso da largura de banda dentro das VLANs, bem, isso dependerá exclusivamente do seu switch, se ele suportar por porta ou por limite de taxa baseado em VLAN ou não. Para o que diz respeito a VM, você tem que atribuir apenas um núcleo (se cada um dos seus Dual Xeons é pelo menos dual core, caso contrário você pode ter problemas) e limitar o consumo de memória para (digamos) apenas 3-4GB. Na minha (não tão recente) experiência com VMs, notei que o consumo de memória aumenta lentamente com o tempo: portanto, você também pode configurar um procedimento para desligar e reiniciar a VM de tempos em tempos (digamos, todo fim de semana).

Suas dúvidas sobre segurança devem ser infundadas. Os convidados não podem ver nada fora de sua VLAN e não devem conseguir passar pela VM para alcançar o host.

    
por 24.05.2012 / 18:56

Tags

Qual é a prática recomendada para atualizar um site inteiro? Proxy Reverso NGINX: proxy_cache dentro de um bloco - Possível?