web-dev-qa-db-ja.com

VLAN)を使用したセキュリティ上の理由によるLANの分離

セキュリティを向上させるために、ネットワーク内のテスト環境を分離するように依頼されました。

私たちの構造は次のとおりです。

  • 1スイッチDellPower Connect 3448
  • 1スイッチDellPower Connect 2748
  • いくつかの5ポートスターテックスイッチ(ケーブル構造を拡張するための回避策)
  • 1 ISA Server2006ファイアウォール

このタスクを実行するために、次のことを計画しています。

  • テスト環境用にVLAN)を作成し、そのVLANに必要なポートを含めます
  • VLANサーバーが接続されているポートを除いて、他のすべてのポートをデフォルトISA 1(パケットにタグを付けない))にします。
  • ISAサーバーがトランクとして接続されているポートを構成します
  • ISAサーバーネットワークカードで仮想インターフェイスを構成して、VLANと通信できるようにします
  • ISAサーバーでファイアウォールルールを構成して、LAN、インターネット、およびVPNクライアント間で必要なトラフィックのみを許可します。

求められたことを実行するための最善の方法を計画したことはありますか?

vlanisa-serverswitchdell-powerconnect
4
Fabio Ribeiro

あなたが計画した方法はうまくいくでしょう。最初に調査することをお勧めする項目の1つは、5年前のネットワークカードISAサーバーがVLANタグ付けをサポートできるかどうかです。サポートできない場合は、別の方法でサーバーに2枚目のネットワークカードを取り付け、それをテスト環境VLANのアクセスポートに接続します。

考慮すべきもう1つのポイントは、ISAサーバーと、すべての新しいVLANポートを複数のスイッチに分散させることを計画している場合、スイッチ間のリンクはトランクとしても構成されます。StarTechスイッチがVLANタグ付けをサポートしていない場合は、Star Techスイッチの1つに接続するポートを、新しいVLANのアクセスポートにすることができます。そのStarTechに接続されているすべてのデバイスがテストVLAN上にあるか、テストラボポートがすべてDellスイッチに接続されていることを確認する必要があります。

お役に立てれば!

5
Eric P.