Bra*_*onB 2 networking windows-server-2008 vlan vmware-esxi
我正在为我们损坏的设计部署和设计一个新网络。我从来没有从头开始设计一个网络,我自己。简单的运行是这样的:
VLAN 4 - 语音 10.10.40.0/24
我感到困惑的问题是我不想让普通用户访问 prod。但是,我需要允许他们访问 Exchange、citrix、IM 和其他一些归类为生产的服务器。人们通常如何做到这一点?我是否只是将端口访问权限分配给 VLAN 1,这似乎违背了拥有它们的目的,还是我是否将普通用户所需的服务器分开并将它们放在 VLAN 2 中?我最后的想法是我只允许他们外部访问交换,即 RPC 或 HTTP ?
谢谢你们
简而言之,在您的各个子网(分配给各个 VLAN)之间路由流量的设备需要强制执行通信安全策略。至少,这意味着使用支持无状态访问控制列表的路由器(或具有路由器功能的设备)。如果您想变得更高级,您可以使用具有状态过滤功能的设备(典型的状态防火墙、Linux iptables 等)。
我认为您可能对不允许“普通用户访问生产”的含义有一个简单的概念。您前进的道路涉及绘制客户端应用程序需要在服务器计算机上进行通信的各种协议(通常是 TCP 和 UDP 端口)(其中一些,在 Microsoft RPC 的情况下,默认情况下是动态的) )。一旦您弄清楚该通信应该如何工作,您就可以构建访问控制列表(或防火墙规则)以允许所需的通信,同时拒绝所有其他流量。
这是一个很难锄的行。我见过的环境中,这实际上是完全经过深思熟虑和实施的。它涉及应用程序管理员和网络管理员之间的大量交流(或者,如果您是同一个人,则需要大量学习软件文档)。通常需要进行大量测试,并且在许多情况下,您将了解到“精品”软件应用程序开发人员从未花时间弄清楚他们的应用程序用于通信的协议(并且通常只是假设客户端和服务器之间的扁平开放网络)。
最后,您可能会发现运行基于主机的防火墙规则和对 VLAN 内访问控制列表/防火墙规则相当宽容,这不一定是因为这是正确的做法,而是因为这是可行的做法去做。祝你好运!
顺便说一句:看到您计划的子网在第三个八位字节中增加了 10 的幂,这与您的陈述“我从来没有从头开始设计网络,我自己”说的一样。如果您想在这些子网中留出增长空间,请考虑执行以下操作:
即使您开始使用这些不同的子网作为 /24,每个子网中都有空间增长到 /19(也有 4 个 /19 可供将来使用)。对于您在答案中提出的非连续子网,您正在浪费 IP 空间或创建无法用单个 CIDR 路由汇总的网络。
| 归档时间: |
|
| 查看次数: |
458 次 |
| 最近记录: |