管理網路最佳實踐

我正在考慮設置一個管理 vlan，我將為我的各種可聯網設備（防火牆管理介面、伺服器 RAC、WAP 管理介面等）放置所有管理介面。

訪問那個 mgmt vlan 的最佳實踐是什麼——例如，作為 IT​​ 管理員，我的工作站只在業務網路上——但是如果我需要通過 mgmt 介面訪問防火牆，我應該有第二個嗎？我專門用於 mgmt 網路的 nic？還是我應該編寫只允許某些 IP（我的工作站）訪問 mgmt 網路的 ACL？

這有什麼意義嗎？

謝謝你的時間 -

-喬什

不要許可您的桌面；相反，擁有一個允許訪問管理 VLAN 的堡壘主機（最好是物理伺服器而不是虛擬機），並確保只有 IT 人員擁有登錄機器的憑據。這比限制對工作站的訪問更具可擴展性，原因有兩個：

1. 如果您（和您的工作站）需要搬到另一個樓層/建築物，則對網路管理沒有影響。

2. 單一行政控制點；如果/當您僱用其他管理員時，您需要做的就是讓他們訪問堡壘主機，而不是在他們需要管理的每個網路設備上許可他們的機器。

引用自：https://serverfault.com/questions/187852