管理网络最佳实践

Question

我正在考虑设置管理 vlan，我将在其中放置各种可联网设备的所有管理接口（防火墙管理接口、服务器 RAC、WAP 管理接口等）。

访问该管理 vlan 时的最佳实践是什么--例如，作为 IT 管理员，我的工作站仅在业务网络上--但是如果我需要通过管理接口访问防火墙，我是否应该有第二个我专门用于管理网络的 nic？或者我应该编写只允许某些 IP（我的工作站）访问管理网络的 ACL？

这有什么意义吗？

谢谢你的时间 -

-乔希

Answer 1

不授予您的桌面权限；相反，拥有一台允许访问管理 VLAN 的堡垒主机（最好是物理服务器而不是虚拟机），并确保只有 IT 人员拥有登录计算机的凭据。这比限制对工作站的访问更具可扩展性，原因有二：

1) 如果您（和您的工作站）需要移动到另一个楼层/建筑物，对网络管理没有影响。

2) 单一行政控制点；如果/当您雇用其他管理员时，您所需要做的就是授予他们对堡垒主机的访问权限，而不是在他们需要管理的每个网络设备上授予他们的计算机权限。