Networking

如何在第 3 層交換機另一端的 VLAN 上安全地設置管理介面

  • August 26, 2016

我有四台伺服器連接到我們組織的網路。我已經獲得了第 3 層交換機(Cisco SG300)。我已經分別將每個伺服器的管理介面 NIC 連接到此交換機。(管理介面是 Dell iDRAC,以防萬一。)出於安全原因,現在我想隔離此交換機上的管理網路,將交換機連接到我們組織的網路,並且只允許來自特定主機(例如我的筆記型電腦)的外部連接。

                                    ,- server 1 management interface
                          ,-------. +- server 2 management interface
external (open) network ---+ SG300 +-+- server 3 management interface
                          `-------' `- server 4 management interface

我想我可以為 SG300 右側的管理網路制定 VLAN 配置,如果我正確理解 Cisco 交換機上的 ACL,我應該能夠創建一個僅允許來自外部網路通過 SG300 連接到右側的 VLAN。

我的問題是:來自外部網路的連接如何指定連接到哪個目的地(1-4)?假設管理網卡的 IP 地址為 192.1.1.1 到 192.1.1.4,假設我在外部網路上,我想連接到機器 3 的管理介面。我怎麼做?伺服器的管理介面在外部網路上沒有 IP 地址,所以我無法連接到特定的 IP 地址。如何指示所需的目的地?

這可能是一個基本的網路問題,顯然我缺乏線索,但是在與穀歌打了很長時間之後,我無法弄清楚這一點。實現此配置的基本方法是什麼,是否有資源說明如何實現?

但是,您沒有連接到埠。您將連接到與伺服器中執行的服務相對應的套接字(IP 和埠號)。

例如,您不會連接到管理埠 1。

假設伺服器 A 的 IP 地址為 192.1.1.1,並在埠 80 上執行 Web 伺服器。配置了 192.1.1.1 的伺服器 A 網路適配器連接到交換機上的介面 1。

所以你要問的是如何遠端訪問伺服器 A 上的 Web 伺服器。

答案是您的防火牆必須具有允許遠端流量進入網路的 ACL 和 NAT 規則,並且它需要執行 1:1 網路地址轉換 (NAT) 或埠地址轉換 (PAT)。

引用自:https://serverfault.com/questions/799193