我有一个强大的服务器(双氙气和16GB RAM与RAID5)我用作专用互联网连接上的办公室networking的域控制器和文件服务器。
我也有一个客人的无线networking接入networking和一些公共工作站供客人使用自己的专用互联网连接。
来宾计算机没有集中pipe理,但我想改变它,并build立自己的域的访客networking,但仍保持它完全隔离办公networking。
我打算使用访客networking的服务器来lockingGPO的工作站,将新映像部署到工作站,并pipe理客户工作站的深度冻结。
我正在考虑两个选项:
1)使用RAID镜像在桌面工作站(Dell Optiplex 330)上设置Server 2008,并将其放置在访客networking上。 虽然这是简单而直接的,并确保两个networking保持独立,我有点犹豫,做这个,因为它不是一个非常强大的解决scheme,因为可能发生硬件故障(但如果出现故障,我有一个备用的Optiplex 330我可以使用备件或恢复备份)。
2)在办公室服务器中安装新的物理英特尔10/100/1000网卡,并在连接网卡和客户networking的办公室networking交换机上设置单独的VLAN。 然后,使用Server 2008设置Hyper-V虚拟机来pipe理访客networking。 虽然这个解决scheme是健壮的,但我对此犹豫不决,因为这个解决scheme使用了办公networking的交换机资源,而且由于安全问题,如何让服务器上的办公资源无法从客户networking访问。
您可以考虑哪种方法,或者您是否有其他解决scheme的build议?
我有一个强大的服务器(双氙气和16GB的RAM与RAID5)
;)真的吗? 这几天几乎不算中档。
如果你的swtich能够正确地转换VLAN,你就不需要第二块网卡了 – 只要将guesnetworking放在另一个VLAN上,然后在主服务器端口上标记它,在客户端口上不加标签。 使用交换机QOS限制访客带宽 – 完成。 每个非平凡的开关都可以做到这一点 – 就像我的办公室低频networkingProSafe交换机一样。
对于所有的云提供商来说,这是一个很好的隔离,所以这对你来说是一个很好的隔离;)
我对此犹豫不决,因为这个解决scheme使用了办公networking的交换机资源,并且担心如何使服务器上的办公资源无法从访客networking访问。
那么,资源限制可以在交换机上pipe理,否则 – 严重吗? 没有已知的情况VM出口VM框,这是非常安全的。 除非你手动创build一个洞(路由,而不是在Hyper-V端正确分离),你基本上有一个单独的机器。 Azure,Amazon Ec2,大量云提供商运行虚拟机pipe理程序,而不会出现问题;)
我为第二个解决scheme投了赞成票,只是因为这是隔离networking域的“标准”方式。 但是您必须设置和testing有效限制访客networking资源使用情况的环境。
对于VLAN内的带宽使用情况,如果它支持每端口或基于VLAN的速率限制,那么它与交换机是唯一的。 对于VM来说,你必须分配给它一个核心(如果你的每个双核至less是双核的,否则你可能会遇到问题),并限制它的内存消耗(比方说)只有3-4GB。 在VM(不太新)的经验中,我发现他们的内存消耗会随着时间的推移而慢慢增加:所以你可能也会设置一个closures和重启虚拟机的过程(比如说每个周末)。
你对安全的怀疑应该是没有根据的。 客户看不到VLAN以外的任何内容,也不应该能够突破VM访问主机。