Blade Enclosure, Multiple Blade Servers, Quelle est l'approximation la plus proche d'une DMZ ?

Configurez les commutateurs de manière à ce que le trafic réseau "DMZ" passe par un vLan, et faites très attention à la destination de ce trafic vLan.

L'un de mes sites dispose d'un seul commutateur, le trafic internet est branché directement sur le port 24 du commutateur (avec un grand autocollant expliquant ce qu'est le port 24 collé sur le commutateur). Le switch est configuré de telle sorte que le port 24 est le vLan 20 (non marqué) ; le port 1 reçoit le vLan 20 (marqué), c'est le routeur principal ; et aucun autre port ne reçoit le trafic de ce vLan. Le routeur n'a qu'une seule connexion réseau. Est-ce idéal, probablement pas, mais il n'y a rien d'anormal ou d'insécurisant dans la façon dont c'est configuré.

Votre pare-feu peut-il gérer plus d'un réseau "interne" et d'un réseau "externe" ? S'il peut gérer trois réseaux, vous devez les définir comme "LAN", "DMZ" et "Internet", puis connecter ces interfaces à des commutateurs différents (ou à des VLAN différents sur un commutateur géré).

Si votre pare-feu ne peut pas gérer la DMZ, vous devrez configurer votre réseau différemment (et ajouter un autre pare-feu). Quoi qu'il en soit, vous vous retrouverez avec deux segments de réseau logiquement séparés, le LAN et la DMZ, qui ne peuvent communiquer que par l'intermédiaire d'un pare-feu.

Vous devez ensuite choisir si vous souhaitez séparer vos VM uniquement au niveau du réseau, ou si vous souhaitez que les VM de la DMZ s'exécutent sur des hôtes différents de ceux du LAN.

Dans le premier cas, chaque hôte ESX doit avoir au moins trois interfaces réseau : une pour la console de service (connectée à votre réseau local), une pour connecter les VM au réseau local et une pour connecter les VM à la zone démilitarisée ; si vous voulez utiliser VMotion, ajoutez une autre interface pour cela aussi.

Dans le second cas, chaque hôte a besoin d'au moins deux interfaces : une pour la console de service (toujours connectée au réseau local, il n'est pas souhaitable que la console de service soit connectée au réseau local) et une pour la console de service (toujours connectée au réseau local). que dans la zone démilitarisée) et un autre pour le trafic des machines virtuelles. Là encore, si vous avez besoin de VMotion, vous aurez besoin d'une autre interface.

Je connais le mieux les lames C-Class de HP et je n'aurais aucun problème à avoir plusieurs zones dans le même boîtier avec les caviats suivants ;

• les cartes d'interface réseau de différentes zones ne sont pas connectées aux mêmes commutateurs/interconnexions
• La console virtuelle iLO et les médias virtuels sont désactivés et ne sont activés que temporairement en cas de besoin.
• les lames sont codées par couleur (nous utilisons de petites étiquettes en plastique autocollantes)
• le personnel des opérations est formé et suivi

Pour le reste, je suis satisfait, mais je ne fais pas confiance à une sécurité basée uniquement sur les limites du VLAN - je sais pertinemment que même le matériel récent de Cisco/IOS peut être "sauté de VLAN" - d'où mon insistance sur l'utilisation de commutateurs différents.