Лучшие практики сети управления
Можно сделать это много путей:
- просто передайте порт удаленного рабочего стола от открытого интерфейса Вас маршрутизатор к локальному IP Вас поле окон
ROUTER_EXT_IP: 3389 -> 192.168.1.81: 3389
- можно просто передать порт SQL Server 2005, порт TCP по умолчанию, который использует SQL Server, является 1433
ROUTER_EXT_IP: 1433 -> 192.168.1.81: 3389: 1433
После этого Вы указываете свой внешний IP в Вашем приложении, и это - это.
Не делайте разрешения Ваш рабочий стол; вместо этого, имейте хост оплота (предпочтительно физический сервер, а не VM), которому разрешают получить доступ к VLAN управления и гарантировать, чтобы только у сотрудников IT были учетные данные для входа машины. Это является более масштабируемым, чем ограничение доступа к Вашей рабочей станции по двум причинам:
1) Если (и Ваша рабочая станция) необходимо переместиться в другой пол/здание, нет никаких последствий к управлению сетью.
2) Единственная точка административного управления; если/когда Вы нанимаете других администраторов, все, что необходимо сделать, предоставляют им доступ к хосту оплота, а не разрешение их машины на каждом сетевом устройстве, которым они должны управлять.
-
1Так как мы используем RADIUS, мы не должны были бы давать им разрешение каждому сетевому устройству, которым они должны будут управлять... – Josh Brower 6 October 2010 в 03:19
-
2, Ваш сервер RADIUS проверяет инициирующий IP требуемого соединения управления? Типичное использование для хостов оплота не имеет маленький набор ACLs (на устройствах или на брандмауэре между "нормальным", и сеть "управления") для ограничения woh справляется. Пара, что с синглом (или ограниченное) сумма хостов, где Вы - учетные записи и Вы уменьшите свою нагрузку управления. – Vatine 6 October 2010 в 11:34
-
3Josh: разве у Вас нет ACLs ограничением исходного IP, от которого люди могут SSH к сетевым устройствам? (Списки доступа VTY на Cisco, например?) – Murali Suriar 6 October 2010 в 14:43
-
4@Vatine: нет, наш сервер RADIUS не проверяет инициирующего дюйм/с... Все же.... Murali: нет, еще.... – Josh Brower 7 October 2010 в 14:52
Мы делаем это ACL. Сетевая команда - все на VLAN, и тот VLAN может получить доступ к сети управления. Это не может работать в зависимости от размера Вашей организации. Если существуют только 1 или 2 участника, нуждающиеся в доступе, делание его отдельным IP должно хорошо работать.
Я склонен избегать размещения в разных сетях машина, просто потому что это чувствует себя грязным.
Я рекомендовал бы шлюз VPN или терминальный сервер в шлюз управления. Физическое соединение было бы в порядке также, если бы был некоторый способ гарантировать, что Вы случайно не топали бы на другом IP. Я не поместил бы сервер DHCP на ту сеть также, если абсолютно не требуется некоторым глупым устройством.