管理VLANの設定を検討しています。このVLANに、さまざまなネットワーク対応デバイス(ファイアウォール管理インターフェイス、サーバーRAC、WAP管理インターフェイスなど)のすべての管理インターフェイスを配置します。
その管理VLANにアクセスする場合のベストプラクティスは何ですか(たとえば、IT管理者として、私のワークステーションはビジネスネットワーク上にのみあります)が、管理インターフェイスを介してファイアウォールにアクセスする必要がある場合は、2番目の管理ネットワーク専用に使用するNIC?または、特定のIP(私のワークステーション)のみがmgmtネットワークにアクセスできるようにするACLを作成する必要がありますか?
これは何か意味がありますか?
御時間ありがとうございます -
-ジョシュ
デスクトップを許可しないでください。代わりに、管理VLANへのアクセスを許可する 要塞ホスト (VMではなく物理サーバーが望ましい)を用意し、ITスタッフのみがマシンにログインするための資格情報を持っていることを確認します。これは、次の2つの理由から、ワークステーションへのアクセスを制限するよりもスケーラブルです。
1)あなた(およびあなたのワークステーション)が別のフロア/建物に移動する必要がある場合、ネットワーク管理に影響はありません。
2)単一の管理コントロールポイント。他の管理者を雇う場合、あなたがする必要があるのは、管理する必要のあるすべてのネットワークデバイス上のマシンに権限を与えるのではなく、要塞ホストへのアクセスを許可することだけです。
ACLで行います。ネットワークチームはすべてVLAN上にあり、そのVLANはmgmtネットワークにアクセスできます。組織の規模によっては、これが機能しない場合があります。アクセスが必要なメンバーが1人または2人しかない場合は、個々のIPでアクセスできます。
汚れた感じだからといって、マルチホーミングは避けがちです。
VPNゲートウェイまたはターミナルサーバーを管理ゲートウェイに入れることをお勧めします。別のIPを誤って踏みつけないことを保証する方法があれば、物理的な接続も問題ありません。愚かなデバイスで絶対に必要な場合を除いて、DHCPサーバーをそのネットワークに配置することもありません。