pipe理networking最佳实践

我正在设置一个Management vlan,我将把所有的pipe理接口放到我的各种可联网设备(Firewall Mgmt Interfaces,Server RAC,WAP Mgmt Interfaces等)中。

什么是最好的做法,当涉及到访问mgmt vlan – 例如,作为ITpipe理员,我的工作站只在商业networking – 但如果我需要通过mgmt接口访问防火墙,我应该有一个第二我专门用于mgmtnetworking吗? 或者我应该写ACL只允许某些IP(我的工作站)访问pipe理networking?

这是否有任何意义?

谢谢你的时间 –

-Josh

不要允许你的桌面; 而是有一个允许访问pipe理VLAN的堡垒主机 (最好是一台物理服务器而不是一台虚拟机),并确保只有IT人员拥有login到机器的凭证。 这比限制访问工作站更具有可扩展性,原因有两个:

1)如果你(和你的工作站)需要移动到另一个楼层/build筑物,这对networkingpipe理没有任何影响。

2)单一的行政控制点; 如果/当你聘用其他pipe理员时,你只需要让他们访问堡垒主机,而不是在他们需要pipe理的每台networking设备上允许他们的机器。

我们通过ACL来完成。 networking小组全部在vlan上,并且vlan可以访问mgmtnetworking。 这可能不起作用取决于您的组织的规模。 如果只有1或2名成员需要访问,则通过个人IP进行操作应该可以正常工作。

我倾向于避免多机器,因为它感觉很脏。

我会推荐一个VPN网关或terminal服务器到pipe理网关。 如果有某种方法可以保证你不会意外踩到另一个IP,那么物理连接也可以。 我不会在该networking上放置DHCP服务器,除非某些愚蠢的设备绝对需要。