多個 VLAN 和使用者組混淆
我正在為我們嚴重受損的設計部署和設計一個新網路。我從來沒有自己從頭開始設計過網路。簡單的失敗是這樣的:
VLAN 1 - 數據中心的生產。10.10.0.0/24
VLAN 2 - 普通使用者 10.10.20.0/24
VLAN 3 - IT 10.10.30.0/24
VLAN 4 - 語音 10.10.40.0/24
- 一台 DHCP 伺服器 (2008R2)
- 本地辦公室堆疊中的兩台 Juniper EX2200 PoE。
- 數據中心堆棧中的兩台瞻博網路 EX4200。
我感到困惑的問題是我不想讓普通使用者訪問 prod。但是,我需要允許他們訪問 Exchange、Citrix、IM 和其他一些歸類為生產的伺服器。人們通常如何做到這一點?我是否只是將埠訪問分配給 VLAN 1,這似乎違背了擁有它們的目的,還是我將普通使用者所需的伺服器分開並將它們放在 VLAN 2 中?我最後的想法是我只允許他們外部訪問交換即 RPC 或 HTTP 嗎?
多謝你們
簡而言之,在您的各個子網(分配給各個 VLAN)之間路由流量的設備需要強制執行通信安全策略。至少,這意味著使用支持無狀態訪問控制列表的路由器(或具有路由器功能的設備)。如果您想變得更高級,您可以使用具有狀態過濾功能的設備(典型的狀態防火牆、Linux iptables 等)。
我認為您可能對不允許“普通使用者訪問生產”的含義有一個簡單的概念。您要走的路涉及繪製客戶端應用程序需要在伺服器電腦上與之通信的各種協議(通常是 TCP 和 UDP 埠)(其中一些,在 Microsoft RPC 的情況下,預設情況下是動態的)。一旦您弄清楚該通信應該如何工作,您就可以建構訪問控制列表(或防火牆規則)以允許所需的通信,同時拒絕所有其他流量。
這是一個很難鋤頭的行。我見過很少的環境實際上完全考慮並實施了這一點。它涉及應用程序管理員和網路管理員之間的大量溝通(或者,如果您是其中之一,則需要大量學習軟體文件)。通常需要進行大量測試,並且在許多情況下,您將了解到“精品”軟體應用程序開發人員從未花時間弄清楚他們的應用程序使用什麼協議進行通信(並且通常只是假設客戶端和伺服器之間的平坦開放網路)。
最後,您可能會發現執行基於主機的防火牆規則並且對 VLAN 內訪問控制列表/防火牆規則相當寬鬆,這不一定是因為這是正確的做法,而是因為它是可行的。去做。祝你好運!
順便說一句:看到您計劃的子網在第三個八位字節中增加了 10 次方,這與您的陳述“我從來沒有自己從頭開始設計過網路”的說法相同。如果您想在這些子網中留出增長空間,請考慮執行以下操作:
- 10.10.0.0 / 19
- 10.10.32.0 / 19
- 10.10.64.0 / 19
- 10.10.96.0 / 19
即使您開始將這些不同的子網用作/24,您也將有空間在每個子網中增長到/19(還有4 個/19 可供將來使用)。使用您在答案中提出的非連續子網,您正在浪費 IP 空間或創建無法使用單個 CIDR 路由進行匯總的網路。