دسترسی Vlan ها کاربران به سرورها
با سلام
دوستان من یه سوالی در رابطه با دسترسی Vlan ها به سرورها دارم .
ببینید من توی شبکه سازمانمون این سخت افزار ها رو داریم
یک عدد فایروال فورتیگیت
یک عدد سوئیچ 3850 که می خوام در Core شبکه قرار بدم
15 عدد سوئیچ 2960 که نقش Access رو دارند.
سوئیچ Distribute نداریم .
نکته ای که وجود داره من می خوام 10 عدد Vlan در شبکه داشته باشم و از اونجایی که پراکندگی کاربر داریم نمی تونم از Local Vlan استفاده کنم (البته تا جایی که راه داره این کار رو انجام میدم). این Vlan ها قراره توسط سوئیچ Core و سرویس VTP ساخته بشن و نمی خوام به هیچ عنوان بین Vlan ها ارتباطی باشه مثلا کاربران فروش و مالی به هم دسترسی نداشته باشند. یعنی نمی خوام از IP routing روی سوئیچ Core استفاده کنم.
اما تمامی Vlan ها باید به سرور های ناحیه DMZ و Local Servers و اینترنت دسترسی داشته باشند .
مورد اینترنت که به وسیله route port قابل حل هست و موضوع خاصی نداره.
در رابطه با DMZ و Local Servers بهتره که طبق PLAN A (عکس ها پیوست کردم ) به هر ناحیه یک عدد اینترفیس سخت افزاری از فایروال رو بهشون بدم و با استفاده از Route Port از سوئیچ 3850 کاربرانی که درخواست سمت DMZ یا Local Server دارند رو به سمت مورد نظرشون هدایت کنم
یا
طبق PLAN B برای هر ناحیه (DMZ و Local Server ) روی سوئیچ Core یک عدد Vlan تعریف کنم و بعد IP routing رو روی سوئیچ Core فعال کنم و بعد برای اینکه Vlan های سمت کاربران (مثل فروش و مالی ) با هم در ارتباط نباشند از ACL بین Vlan ها استفاده کنم. مثلا Vlan 10 و Vlan 20 به هم دسترسی نداشته باشند ولی هر دو به Vlan 30 و Vlan 40 که همون (DMZ و Local Server) هستند دسترسی داشته باشند.
دو موردی که برای من سواله این که:
در حالت اول دیتا کاربر تا فایروال بالا میاد و بر میگرده ولی خب بین Vlan های کاربران هیچ دسترسی وجود نداره
در حالت دوم دیتا کاربر تا سوئیچ Core بالا میاد ولی اگر درست به نتیجه رسیده باشم باید ACL نوشته بشه و دسترسی های VLAN ها بین هم گرفته بشه البته به جز DMZ و VLAN Local Serverشاید پیچیدگی زیادی به وجود بیاد.
به طور کلی اصلا این دو PLAN که من کشیدم درست هست یا نه ؟؟؟ اگر درست هست به نظرتون کدوم مورد Best Practice هست . یا اگه نکته ای میشه برای تکمیل تر کردن این طراحی ها بهش اضافه کرد ممنون میشم بفرمایید.
ببخشید خیلی سوالم طولانی شد.
خیلی ممنون
7 پاسخ
سلام.
PLAN A
سلام هیچ کدوم.
dmz رو به فایروال وصل کنید و local server رو به سوئیچ core
من می خوام به جز ترافیک اینترنت چیز دیگه توی فایروال نره و همه چیز به عهده 3850 باشه
و ضمن اینکه Vlan های کاربران مثل فروش و مالی به هم دسترسی نداشته باشند ولی به Vlan سرور ها دسترسی داشته باشند. یعنی بیش تر هدف من پیاده سازی PLAN B هستش .( هرچند شاید قراردادن سرور DMZ درون یک Vlan روی سوئیچ Core کار جالبی نباشه ولی خب می خوام فرض کنم که سرورهای DMZ هم نقش Local داشته باشند ولی در یک Vlan جدا )
اگه بخوام به هر کدوم از DMZ و Local server یک اینترفیس بدم عملا روتینگ توی فایروال انجام میشه
با سلام
مرسی از پاسختون
Fortigate 60F
اگه بخوام از PLAN A استفاده کنم باید برای هر ناحیه DMZ یا Local server یک عدد سوئیچ بزارم ؟؟
دوست عزیز. شما هر سروی که داری باید بره پشت فایروال. همون PLAN A ات میشه. گرچه با PLAN B هم میشه اینکارو کرد ولی یکمی پیچیده تر میشه ولی چون سناریو شما پیچیده نیست و تعداد سرورهاتون هم کمه احتمالا در آینده هم نیاز پیدا نخواهید کرد.
روت میره تو MLS و MLS هم ترافیک رو میده به فایروال. حالا فایروال یا ترافیک رو میفرسته به اینترنت یا یکی از سرورها. برعکسش هم همین موضوع هست.
حالا با ACL توی فایروال باید دسترسی های سرور ها توی zone هارو محدود کنی یا Inspectاش کنی و... . البته ی ACL هم توی MLS باید بزنی که Vlanها به هم روت نداشته باشن.
سلام وقت شما بخیر
برای محدود کردن دسترسی از خود رول های فایروال استفاده کنید مدل فورتیگیت شما چی هست ؟ تو plan b شما یک جورایی وابستگی به سوییچ 3850 زیاد هست اگه سوییچ به هردلیل رفت همه شبکه شما میره .
سلام
مرسی
خب توی این حالت باید کاربران برای دسترسی به DMZ از فایروال رد بشن و برای دسترسی به Local server از سوئیچ Core
مورد اول اینکه دو جا دیتا کاربر Route میشه این مشکل ساز نمیشه
و مورد بعد اینکه توی سوئیچ Core برای دسترسی کاربران به سرورهای Local مجبوریم از IP Routing استفاده کنیم این باعث میشه Vlan های کاربران هم به دسترسی داشته باشند که خب من نمی خوام این اتفاق بیفته
ممنون میشم راهنمایی بفرمایید.