网络拓扑
交换机上面接防火墙,防火墙做nat映射等防火墙的横向隔离.
策略
服务器的远程管理口(带外管理口 )强烈建议 连接到一台独立的交换机,或者连接到业务交换机上一个独立的、安全的VLAN 。绝对不能将它和业务网口混在同一个不安全的广播域内
方案一:单台交换机 + VLAN隔离(最常见、经济的做法)
-
交换机:一台可网管二层交换机。
-
连接:
-
服务器业务网口1/2/... --> 交换机,端口划入
VLAN 10(业务网)。 -
服务器iDRAC/iLO管理口 --> 交换机,端口划入
VLAN 100(管理网)。
-
-
配置:在交换机上创建两个VLAN,并配置上行端口为Trunk,允许这两个VLAN通过。
方案二:双交换机物理隔离(更高安全、更可靠)
-
交换机A:业务核心/接入交换机。
-
交换机B:一台简单的独立管理交换机(可以是非网管型)。
-
连接:
-
服务器业务网口 --> 交换机A。
-
服务器iDRAC/iLO管理口 --> 交换机B。
-
-
优点:物理隔离,互不影响,安全性最高。即使业务网络瘫痪,仍可通过管理网络进行维护。
防火墙配置
bash
https://www.h3c.com/cn/d_202301/1749975_30005_0.htm