我们为我们的酸损devise部署和devise一个新的networking。 我从来没有从头开始devise一个networking,我自己。 简单的运行是这样的:
VLAN 4 – 语音10.10.40.0/24
我很困惑的问题是我不想让正常的用户访问prod。 但是,我需要允许他们访问交换,citrix,即时消息和其他一些被归类为生产的服务器。 人们通常如何做到这一点? 我只是把那里的端口分配给了VLAN1,那好像是在破坏它们的目的,还是将普通用户需要的服务器分开,放到VLAN2中呢? 我最后的想法是,我只允许他们外部访问交换,即RPC或HTTP?
多谢你们
简而言之,在各个子网(分配给各个VLAN)之间路由stream量的设备需要执行通信安全策略。 至less这意味着使用支持无状态访问控制列表的路由器(或具有路由器function的设备)。 如果你想更有趣,你可以使用具有状态过滤function的设备(典型的状态防火墙,Linux iptables等)。
我想你可能会有一个简单的概念,说明不允许“普通用户访问生产”。 您要下的path涉及绘制出各种协议(通常是TCP和UDP端口),客户端应用程序将需要在服务器计算机上进行通信(其中一些(对于Microsoft RPC而言)默认情况下是dynamic的)。 一旦确定了通信应该如何工作,就可以构build访问控制列表(或防火墙规则),以允许所需的通信,同时拒绝所有其他通信。
这是一个艰难的行锄。 我已经看到了很less的环境,实际上已经完全考虑和实施了。 它涉及到应用程序pipe理员和networkingpipe理员之间的大量通信(或者,如果你是同一个人,则需要大量的学习软件文档)。 通常需要进行大量的testing,在很多情况下,您将会了解到,“精品”软件应用程序开发人员从来没有花时间弄清楚他们的应用程序使用什么协议进行通信(通常只是假设客户端和服务器之间的平坦,开放的networking)。
最后你可能发现运行基于主机的防火墙规则会更好,并且对于你的VLAN内访问控制列表/防火墙规则相当宽松,不一定是因为这是正确的做法,而是因为这是可行的去做。 祝你好运!
顺便说一下:在第三个八位字节中看到你计划中的子网增加了10的权力,这和你的陈述“我从来没有从头开始devise过一个networking”是一样的。 如果你想在这些子网中留出空间,可以考虑做更多的事情:
即使你开始使用这些不同的子网作为/ 24,你也可以在每个子网中有19个的空间(4/19可用于未来)。 在您的答案中提出的非连续子网中,您正在浪费IP空间或创build无法用单个CIDR路由进行汇总的networking。
这是一个合理的计划,通过VLAN来分割你的服务器,但我同意@Evan试图通过端口来实现这一点实际上是不可能的,使“真正的”用户的服务器与用于开发的服务器完全分开。 开发人员会讨厌它,但如果可能的话,完全防火墙和他们的testing/开发环境。
从技术上来说,最好避免将VLAN 1用于涉及用户或服务器的任何事情,它通常用作networking设备的默认VLAN。
取决于你拥有的用户数量,但是,即使只是一个DHCP服务器,任何东西也几乎总是不好的。
我主要赞同@Evan的子网,但是不会太过分地使用子网,并且坚持使用/ 24s。 如果您处于需要更多主机的情况下,请添加另一个VLAN,这就是为什么它们存在,并且有一个devise不能(或者太复杂)添加另一个VLAN,这是一个早期应该解决的根本缺陷。
VLAN的编号约定也应该是1(!),2,3,4以外的值,用户,服务器和开发使用不同的范围。