我在俄勒冈州的亚马逊VPC中为我的服务设置了生产环境: 2个可用区域 1个公共子网(包括堡垒,NAT和ELB)和3个私有子网(数据库,Web服务器和configuration/监督)在每个可用区域。 11个安全组 现在大约有25台虚拟机,希望它会增长。 现在我要设置暂存环境,但我不知道该把它放在哪里: 我应该简单地把临时实例放在生产实例旁边吗? 基本上,简单地重复使用相同的亚马逊地区,相同的可用性区域,相同的子网和相同的安全组? 我只需要创build指向登台实例的新ELB,就是这样。 简单。 或者我应该把临时实例放在他们自己的子网中 ,但仍然在同一个区域/可用区域? 公有子网必须是相同的,因为在一个可用区域中不能有两个公有子网。 拥有独立的子网可能会使事情更容易pipe理,而且我可以有专门的路由规则,通过不同的nat实例,也可能有不同的堡垒。 更复杂,但更严格的安全。 我认为我可能不需要加倍安全组,因为我可以有一个单一的总体networkingACL禁止生产和分段子网之间的stream量。 还是应该在不同的VPC中复制整个设置 ? 由于每个亚马逊地区只能有一个VPC,所以我必须在一个单独的地区进行。 暂存环境的整个要点与生产环境相同(或尽可能接近)。 因此,在不同的亚马逊地区设置暂存环境只是感觉不对:这排除了选项3,不是吗? 选项1最接近尽可能接近生产的目标。 但是,在相同的子网中有分段和生产环境感觉有点像一个潜在的安全问题,对吧? 所以我有点倾向于选项2,但是我想知道潜在的安全问题是否足够严重,以至于有两倍的子网可以pipe理? 那么testing环境呢? 它也应该类似于生产,但不需要严格匹配:一切都可以适用于less数情况,不需要ELB和一切。 也许这个环境可能都适合同一个VPC中的一个专用子网? 在同一个VPC中,可以简单地访问git仓库和厨师服务器,监督工具和openvpn访问等。 我相信很多人已经经历了这些考虑? 你对此有什么看法? 谢谢。
在devisenetworking拓扑时,有什么理由不依赖LACP? 我的意思是L2 切换到虚拟机pipe理程序连接,所以它是虚拟机的聚合stream量累积的地方。 我们正在讨论5 x 1 GbE LACP绑定。 我不同意我的同事。 他说: “为什么我们应该在整个安装过程中增加另一层开销?这只是另一个潜在的失败点。” 而且他总体上对链路聚合持怀疑态度。 我认为在802.3ad模式下的linux bonding驱动是可靠和不错的select。 他还认为,我们不需要它,因为在我们的环境中不会有这么大的stream量,简单的1 GbE就足够了。 我们高中有大约100个PC客户端和大约10台服务器在我们的局域网中。 所以当我们不知道我们需要LACP的天气时,我们处于这种情况。 关于networkingstream量的一些额外的数据可能会很好,但我认为检索有意义的数字是一个挑战。 所以依靠直觉就容易多了 ,只是说:“ 是的 ,我们希望LACP,因为交通。 或者“ 不 ,因为它不可靠,我们也不需要它”。 有什么build议么?
你好serverfault Universe, 我不断发展和扩大的局域网目前正在使用C类地址。 我的networking由多个子网取决于网站/位置。 192.168.1.x是网站总部 192.168.5.x是辅助站点 第三是192.168.10.x,等等。 长话短说 – 我从之前的pipe理者那里inheritance了这个networkingdevise,这个pipe理者离开了十几个人开始的公司,现在只有300多名全职/兼职员工。 我们还没有客户端VPN访问; 但我们有站点到站点的VPN设置。 编辑 – 包括有关我目前的设置和未来规划的细节: 主站点和辅助站点(子网)有25台物理服务器。 分支站点有5个(每个域控制器)。 所以总的来说,我们预计未来三年这个数字将增长约50%。 我们目前有一个面向公众的Web服务器和Domino Web邮件服务器。 我已经为DMZ,客户端访问VPN和站点到站点VPN购买了Cisco ASA,以取代我们现有的现成(Linksys)VPN /路由器解决scheme。 我看到的唯一变化是使用Exchange(OWA)replaceDomino,我正在寻找添加可在Internet上访问的Cisco VPN服务器。 总的来说,我们主路由器的DHCP将150个IP出租给我的主要192.168.1.x子网上的客户端工作站,这个子网恰好与我的主服务器是同一个子网。 其他子网上其余站点的大约100个IP位于多个子网上。 我们的pipe理“networking”(HP ProLiant iLO)位于主要的1.x子网上。 目前还没有实施iSCSI SAN或VoIP的计划,但这些很有可能在下一步。 我们的MFP(打印机)都是静态IP,如果发生重新读取,可能需要重新映射。 我想为客人/访客添加访客访问WiFi。 但是,客户端访问VPN位于优先级列表的顶部。 它看起来像这样:192.168.1.x由使用地址10到40的服务器组成。使用40到50的打印机。工作站50到200.使用200到250的iLOpipe理地址。 我的问题是,为了准备外部客户端通过思科ASA访问我的networking,我想重新解决HQ站点问题,因为我知道192.168.1.x或192.168.0.x对于一家公司来说不是很好的select子网 – 当连接到我的局域网时,它可能与家庭用户的局域网冲突,我相信? 通过你的经验,有没有人有任何build议和提示,我可以如何进行重新处理我的子网。 如果我devise了这个networking,我将会使用10.0.0.0,所以我倾向于改变它。 谢谢。
我正在设置一个Management vlan,我将把所有的pipe理接口放到我的各种可联网设备(Firewall Mgmt Interfaces,Server RAC,WAP Mgmt Interfaces等)中。 什么是最好的做法,当涉及到访问mgmt vlan – 例如,作为ITpipe理员,我的工作站只在商业networking – 但如果我需要通过mgmt接口访问防火墙,我应该有一个第二我专门用于mgmtnetworking吗? 或者我应该写ACL只允许某些IP(我的工作站)访问pipe理networking? 这是否有任何意义? 谢谢你的时间 – -Josh
在什么情况下,VLAN不会与子网alignment。 有人告诉我说,他们一般都是1比1.什么是一些例子或场景,除此之外还有什么原因,什么好处或损失?
与业主协会的另一位成员一起,我负责为我们的公寓楼devise和设置共享的高速互联网接入。 我们有很less的预算,希望能够做到这一点,硬件已经在手边(意思不是最先进的)。 作为一个系统pipe理员,我有十多年的经验值得关注,但重点放在了服务器端。 虽然对大多数条款并不陌生,而且至less有一些设置小型networking的实际经验,但devise这样的设置绝对不在我的主要能力之内。 我对如何做到这一点有一个想法,但是我可能没有把所有的事情都考虑进去,而且第二个意见和理智检查当然是受欢迎的。 虽然这个问题是基于我的具体挑战,但我认为这些答案将形成一个基本合理的方法,在紧张的预算下build立公平,分段,多租户的互联网接入。 我希望这是可以接受的这个网站。 这最好的做法是什么? 范围 环境 现有CAT5e布线的54间公寓 公寓大约分成50/50两个补丁房间,之间有一根CAT5e电缆(以后可能会增加一个) 基于光纤的互联网连接,最初封顶在300 Mbps,将终止在一个补丁房间 没有Internet路由器的pipe理访问权限 硬件软件 所有的硬件至less5岁。 有些是我们前段时间买的,有些是给我们的,因为那个公司的生产使用(昂贵的服务,性能和所有这些)太旧了。 HP Proliant DL380 G6,双Xeon CPU,32 GB RAM,4个千兆网卡 2台Dell PowerConnect 5324千兆pipe理型交换机 2台HP ProCurve 2524pipe理型100 Mbit交换机 由于现有的知识和经验,pfSense作为网关/防火墙是首选 由于可pipe理性(快照,完整映像备份,硬件抽象),在VMWare ESXi上首选运行防火墙虚拟化,并且可以运行小型Web服务器,而无需额外的套件 要求和目标 我们必须共同能够利用我们支付的互联网带宽 我们希望将来能够支持更高的带宽 作为100 Mbps交换机,我们需要能够从HP到Dell交换机中至lessconfiguration两个上行链路 公寓之间不得进入 IP地址必须通过DHCP发送到公寓 我们也会运行一个networking服务器和邮件服务器,这个服务器必须能够从内部和外部访问 有什么明显的缺失? 粗糙的devise理念 物理networking 在每个修补室安装一个戴尔千兆交换机 通过在补丁室之间运行的单根电缆连接两台Dell交换机 使用链路聚合将两台上行链路连接到一台HP 100 Mbit交换机到每台Dell交换机 将所有服务器网卡连接到千兆位端口,保留一些额外的千兆位端口以供将来使用 将尽可能多的公寓连接到可用的千兆位端口,其余的连接到100兆位端口 局域网设置 为每个公寓创build一个VLAN […]
我有一个总部和一些分办事处。 总部和子办公室都需要访问公司总部的一些企业服务器。 但是,子办公室不应该能够访问总部或彼此。 各部门之间以及总部之间距离很远(很多公里)。 我如何devise这个任务的networking? 我想,每个子办公室都应该有互联网接入。 中央服务器LAN交换机应安装静态IP和OpenVPN软件。 例如,SubOffice1networking是10.0.1.x,SubOffice2 10.0.2.x等,总公司10.254.xx,中央服务器局域网192.168.0.x. 当子办公室PC或总公司PC需要访问中央服务器时,PC启动到中央服务器的VPN连接。 然后,我应该为每个networking使用路由器并设置防火墙,以便只允许来自内部networking的连接,但中央服务器LAN路由器除外。 它是否正确? 可能有一些重要的细节,我应该牢记build立这个networking? 你会推荐什么硬件(路由器,支持所需的防火墙模式等)? 已添加07/05/2012: 除互联网接入外,我们的ISP可以提供任何东西 我不能指望他们支持像MPLS这样的东西。 每个子办公室和总部的ISP不同。 子办公室的数量是20。 从分局到总部的连接需要encryption,因为它将通过互联网路由。 我希望子办公室和办公室之间完全隔离开来,这样就不会有数据包可以随意往返。 我计划在办公室只有Linux个人电脑,但也可以有一些Windows机器。 没有活动目录什么的。 只是在Windows / Linux下的电脑。 那里有关于这个主题的好书吗?
背景 我们公司最近join了一家合资企业 ,我们是合伙人。 作为pipe理合作伙伴,我们负责networking设置和支持。 这个合资企业只有一份工作,双方都不希望其他合作伙伴有权访问其余的现有networking。 我们需要共享来自ADnetworking,VOIP电话系统,打印机和一些SQL服务器的文件。 计划是将所有共享资源物理放置在相关站点,并让合资伙伴login到我们的AD,以便对共享资源进行身份validation。 每个合资伙伴都有现有的ADnetworking,这些ADnetworking将通过此共享站点的VPN隧道进行访问。 每个合资伙伴将继续保留其现有的电子邮件和现有的股份,从他们的家乡网站。 这两个合作伙伴目前都在运行WindowsXP的Win2003R2商店,并计划在未来6个月内推出Windows7。 SQL服务器是版本2005。 这个网站将被激活约4年。 质询 我们怎样才能让我们的合作伙伴login到我们的广告,但阻止他们访问除了网站上的其他服务器? 我们如何设置这样的话,让每个合作伙伴的IT部门都可以pipe理本地工作站,而不需要对我们的AD有任何pipe理权限? 目前,我们正在从下面的networking图工作。 通过使用VLAN,我们可以防止每个合作伙伴遍历其他人的VPN链接,并允许访问共享资源,但是这种设置不允许每个合资伙伴pipe理他们自己的工作站和用户。 我们一直在徘徊的其他想法是: 在合资伙伴之间build立双向信任关系,允许每个合作伙伴pipe理他们自己的用户和机器。 这个有什么优缺点? 这个信任有多远? 创build一个新的域,并设置每个原始域的单向信任。 这个有什么优缺点?
你不希望你的关键主机服务于最信号可靠/改进的连接方法吗? Gig Switch < – > Cat5E < – >服务器? 要么 Gig Switch < – > Cat6 < – >服务器? 我对Cat6的理解是它可以改善两个NIC之间的信号传输。 我听说有人build议Cat5E用于短距离,Cat6用于超过20英尺。 这是通过Cat5E电缆selectCat6的正确评估吗? 我想清楚我需要改进性能的概念。
我正在试图规划下面的小型办公室networking设置: 3x互联网连接 连接到每个颜色端口的东西只能通过其相应的互联网端口路由。 例如: Internet 1(RED) – 端口4,6,8,10 … 22,24仅通过端口1出去。 我不在乎RED端口的设备是否可以看到另一种颜色的设备。 这叫做VLan细分? 我需要为每个端口添加一个VLAN ID吗? 是的,我是新来的,所以请亲切。 当然,我用的是错误的术语,所以我也要感谢在这里使用的术语的任何帮助。 进一步说明: – 我只使用一个开关。 没有两个或更多需要join。 – 3x互联网连接,因为它在AU非常便宜,以获得1x“快速办公”互联网(如40/10或100/10等)的3x ADSL连接… – 每个互联网连接都做一些独特的东西(例如VoIP或互联网vs多媒体) 更新1: 另外,我假设每种颜色都有自己的IP范围? 例如。 红色:192.168.0.1/24 黄色:192.168.1.1/24 蓝色:192.168.2.1/24 (并且调制解调器/路由器充当那些彩色端口的DHCP服务器)。 更新2 :开关是一个品牌spankin新的Ubiquiti Unfi 24端口开关。