michael.fiegl
Goto Top

Server eigenes Management Netz

Hallo, bin im Forum leider nicht exakt fündig geworden.

Ich betreue die Serverinfrastruktur unserer Firma.

Domain Corntroller - Exchange Server - Daten Server - Programm Server - Remote Server - Spam Filter - Nagios - ..............
Alles Virtuell auf 3 Hosts

Bis jetz alles normal und voll funktionsfähig.

Jetzt zu meiner Frage.

Macht es sinn, den Servern eine zusätzliche Netzwerkschnittstelle hinzuzufügen, und diese dann in einem eigenen Management Netzwerk zusammenzuschließen?
Auch die Backup NAS würde dann in dieses Netzwerk kommen.

DH: Die Clients würden über die erste Netzwerkschnittestelle mit 192.168.1.x auf die Server zugreifen, und der VMWare Host, die NAS, und die Server untereinander würden über 192.168.100.x kommunizieren. - Natürich über ein VLAN getrennt face-wink

Wie wird das in der Praxis gehandhabt?

Danke Mike

Content-Key: 393385

Url: https://administrator.de/contentid/393385

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: maxblank
maxblank 20.11.2018 aktualisiert um 18:38:01 Uhr
Goto Top
Hallo Mike,

welchen Hypervisor nutzt du denn?
Jeder, der sich zum Beispiel bei einem ESXi, das Netzwerkmanagement so verbogen hat, dass selbst über die Hardware-Console nix mehr zu retten war, wird dir dazu raten.

Ich würde es empfehlen.

Gruß
maxblank
Mitglied: nEmEsIs
nEmEsIs 20.11.2018 aktualisiert um 19:04:03 Uhr
Goto Top
Hi

Ein DC mit mehr als einer Netzwerkarte ist nicht zu empfehlen!

ILO und Switche in ein eigenes VLAN zu packen ist sinnvoll.
Die Server (DC Exchange etc.)sollten eh in einen eigenen VLAN sein und über den Core Switch die Zugriffe geroutet werden von den Clients aus.
Aqui sagt oft nicht mehr als 128 Host in einer Broadcast Domain.
Ich bin der Meinung in kleinen Umgebungen gehen auch 254 pro VLAN.
Das Management von HyperV und / oder ESXi in einem eigenen VLAN oder im Switch VLAN macht auch Sinn.
Das Management Interface deiner Firewall auch.
Das Nas webinterface sollte auch in einem extra VLAN sein.

Auf das Management VLAN sollte nur das zb IT VLAN Zugriff über die Firewall / L3 Core Switch Zugriff haben.

Aber bei Exchange, DC usw macht es in meinen Augen keinen Sinn bzw du machst dir mehr Probleme als dir lieb ist. U.a multihomed DC ...

Mit freundlichen Grüßen Nemesis
PS: wenn du mit dem Thema anfängst denke gleich an IPV6 um das in Zukunft auch gleich sauber zu implementieren.
Mitglied: Dani
Dani 20.11.2018 um 20:45:31 Uhr
Goto Top
Moin,
Auf das Management VLAN sollte nur das zb IT VLAN Zugriff über die Firewall / L3 Core Switch Zugriff haben.
solche Designs sind inzwischen Out of Design. Die IT ist auch ganz normal angestellt und somit auch normale Clients zum Arbeiten. Die administrativen Arbeiten werden über Privileged Access Workstation (PAW) delegiert bzw. ausgeführt. Somit ist eine saubere, unabhängige Trennung gegeben. Je Größe der IT lässt sich die verschiedenen Aufgaben auf verschiedene PAWs verteilen und erhöht somit die Sicherheit bezüglich Zugriff. Zusätzlich nutzen wir noch eine 2FA an den Systemen.


Gruß,
Dani
Mitglied: nEmEsIs
nEmEsIs 20.11.2018 um 21:14:43 Uhr
Goto Top
Hi Dani,

Bin ich bei dir. Aber so wie ich das Design oben vom TO sehe bzgl Infos ist es kleines Netz mit ein paar Servern die genannt werden.
Ob das nicht Overkill ist...
Muss er entscheiden und das Geld haben.

Mit freundlichen Grüßen Nemesis
Mitglied: aqui
aqui 21.11.2018 aktualisiert um 11:29:15 Uhr
Goto Top
Ich bin der Meinung in kleinen Umgebungen gehen auch 254 pro VLAN.
Solange das nur ILO Adapter sind oder irgendwas was KEINEN relevanten Broad. oder Multicast Traffic produziert könnte man auch diese Anzahl tolerieren.
Jeder verantwortungsvolle Netzwerker richtet im Übrigen immer ein Management Segment ein was getrennt ist vom Produktiv Traffic. Das ist Best Practise auch wenn man nur wenige Endgeräte hat. Man sollte ein Inbound Management immer vermeiden wenn irgend möglich.
Einmal natürlich aus Sicherheitsgründen und zum anderen um den Management Zugang auf die zentralen Komponenten immer verfügbar zu halten.
Fazit: Ja, klare Empfehlung immer so ein Segment einzurichten !