管理VLANは運用VLANからどの程度分離する必要がありますか?
私はネットワーク管理に関して少しアドバイスを求めていました。
ユーザーはネットワークに入り、リモートデスクトップサーバーにアクセスします。これ以降、ファイアウォールを通過してコアスイッチに到達します。コアスイッチに到達すると、ネットワーク管理サーバーに向かいます。これにはデュアルNICがあります。これらのNICの1つは管理VLANにあり、もう1つはサーバー/ユーザーVLANにあります。
私の質問は、この管理サーバーにアクセスするときでしょう。管理に直接接続する必要がありますNIC?次に、管理VLAN deny any on管理を許可するVLANは管理VLAN上のすべてのデバイスにアクセスできますが、VLANに出入りするものは何もありませんか?したがって、管理VLANにアクセスするには、管理サーバーにアクセスします。これは、運用ネットワークを介してサーバーにアクセスするのに特に良い方法ですか?管理を確実にするためにVLANがロックされたままになりますか?NMSにアクセスすると、すべての管理デバイスにアクセスできます、それで私はベストプラクティスについて確信が持てません。
通常、管理VLANを使用する理由は2つあります。
- 管理インターフェースにセキュリティと制御を提供するには
- 重要なシステムにアクセスするための冗長な方法を提供するため、コアネットワークに問題がある場合、サービスを復元するために管理インターフェイスにアクセスする別の方法があります。
通常、管理ネットワークは、完全に別のネットワークハードウェアと接続のセット上に配置することをお勧めします。コアネットワークに依存して管理インターフェイスに接続すると、それがダウンすると、すべてのアクセスが失われます。
より広いネットワークからのアクセスを許可するか、特定のゲートウェイセットへのアクセスを制限するかについては、正解や不正解はありませんが、セキュリティの目標と設定によって異なります。サポートスタッフが固定IPアドレスを持っているか、特定のIPサブネットまたは範囲内に存在する場合、それらのIPから管理ネットワークへのアクセスを許可できます。これは、強力な認証と承認があり、チケットごとにアクセスを制限する必要がない限り問題ありません。管理者がいたるところでIPを使用している場合、または変更要求がある場合にのみアクセスを制限する必要がある場合は、特定のゲートウェイセットへのアクセスを制限する必要があります。多くの組織は両方を行います。許可された範囲からのアクセスを許可し、帯域外管理およびローミングユーザー用のゲートウェイホストも備えています。