网络 – 管理网络最佳实践

我正在考虑建立一个管理vlan,我将为我的各种可联网设备(防火墙管理接口,服务器RAC,WAP管理接口等)提供所有管理接口.

在访问mgmt vlan时最佳做法是什么 – 例如,作为IT管理员,我的工作站只在商业网络上 – 但如果我需要通过mgmt接口访问防火墙,我应该有第二个我专门用于mgmt网络的网络?或者我应该编写只允许某些IP(我的工作站)访问mgmt网络的ACL吗?

这有什么意义吗?

谢谢你的时间 –

-Josh

最佳答案
不要许可您的桌面;相反,拥有一个允许访问管理VLAN的bastion host(最好是物理服务器而不是VM),并确保只有IT人员才能拥有登录计算机的凭据.这比限制对工作站的访问更具可扩展性,原因有两个:

1)如果您(和您的工作站)需要移动到另一个楼层/建筑物,则对网络管理没有任何影响.

2)单一行政控制点;如果/当您雇用其他管理员时,您需要做的就是让他们访问堡垒主机,而不是在他们需要管理的每个网络设备上允许他们的机器.

转载注明原文:网络 – 管理网络最佳实践 - 代码日志