¿Qué tan separada debe estar una VLAN de administración de la VLAN de producción?

1

Buscaba un poco de consejos sobre la gestión de redes.

Los usuarios ingresarán a la red y accederán a un servidor de escritorio remoto. A partir de esto, pasarán a través de cortafuegos al conmutador central. Cuando presionan el interruptor central, se dirigen a un Servidor de administración de red. Esto tiene dos NIC. Una de estas NIC está en la vlan de administración, la otra está en la vlan de servidor / usuario.

Mi pregunta sería, al acceder a este servidor de administración. ¿Debería ser directamente a la NIC de administración en la VLAN de administración? ¿Sería mejor, a su vez, tener la VLAN de administración completamente bloqueada con una denegación tanto dentro como fuera, permitiendo que la VLAN de administración llegue a todos los dispositivos en la VLAN de administración, pero nada para entrar o salir de la VLAN? Entonces, para acceder a la VLAN de administración, debe acceder al servidor de administración. ¿Es esta una práctica particularmente buena para acceder a través de la red de producción? ¿Para asegurar que la VLAN de administración permanece bloqueada? Una vez en el NMS, el acceso es a todos los dispositivos de administración, por lo que no estoy seguro de cuál es la mejor práctica. El NMS ejecutará software como solarwinds que necesita acceso a la red de producción.

    
pregunta Adie 30.07.2015 - 09:06
fuente

1 respuesta

1

En general, existen 2 razones para tener una vlan de administración:

  1. Para proporcionar seguridad y control para las interfaces de administración
  2. Para proporcionar una forma redundante de acceso a los sistemas críticos, de modo que si la red central tiene problemas, hay otra forma de acceder a las interfaces de administración para restaurar los servicios

Por lo general, recomiendo que la red de administración esté en un conjunto de conexiones y hardware de red completamente separados. Si confía en su red central para conectarse a las interfaces de administración y se cae, perderá todo el acceso.

En cuanto a si permitir el acceso desde una red más amplia o limitar el acceso a un conjunto específico de puertas de enlace, no hay una respuesta correcta o incorrecta, depende de sus objetivos de seguridad y configuración. Si su personal de soporte tiene direcciones IP fijas o existe dentro de subredes o rangos de IP específicos, entonces podría permitir el acceso a la red de administración desde esas IP. Esto está bien siempre y cuando tenga una autenticación y autorización sólidas en su lugar y no tenga el requisito de limitar el acceso en base a la emisión de boletos. Si sus administradores están en todas las direcciones IP o si tiene el requisito de limitar el acceso solo cuando hay una solicitud de cambio, entonces deberá limitar el acceso a un conjunto específico de puertas de enlace. Muchas organizaciones hacen ambas cosas: permiten el acceso desde rangos permitidos y también tienen hosts de puerta de enlace para usuarios fuera de banda y de roaming.

    
respondido por el GdD 30.07.2015 - 11:41
fuente

Lea otras preguntas en las etiquetas