01-06-2008, 01:27
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
ודאי שיש להפריד את רשת השרתים מרשת המשתמשים בסגמנטי רשת שונים, וזאת מסיבות רבות. אצלי בארגון הגדלתי לעשות והפרדתי גם את השרתים לפי קבוצות השירותים שהם נותנים, וגם כל צוות יושב ב VLAN משלו. לדעתי זה דבר שחכם לעשות בלי כל קשר לאבטחת מידע - ולו בכדי להקטין את ה broadcast domain ואת פוטנציאל הנזק האפשרי על ידי משתמשים חכמולוגיים, שיפגעו, לכל היותר, בצוות שלהם...
כנ"ל עשיתי אגב ב DMZ - כל מכונה ב DMZ יושבת ברשת פרטית עם חוקים משל עצמה, כך ששרתי ה DMZ אפילו לא יכולים לדבר אחד עם השני (אא"כ, כמובן, הגדרתי חוק שכזה בפיירוול...)
אחרי שיש VLAN-ים, אפשר לדבר על סינון תעבורה ביניהם.
לגבי "האם זה יעשה בעיות" - טכנית - קיומו של ה VLAN, לא (*). אבל, יש את עניין ניתוב המידע בין הסגמנטים השונים. כבר לא מדובר בשכבה 2 אלא בנתב. צריך לוודא שמה שמחבר את שני הסגמנטים הוא בעל קיבולת ניתוב מספקת לעומס המידע המקסימלי שיהיה אי פעם בין ה VLAN-ים השונים...
(*) יוצא דופן הוא אם תחנות הקצה שלך לוקחות מידע משרתים באמצעות broadcast. למשל NetBIOS של מיקרוסופט בעידן שלפני AD (ואז משתמשים בשרת WINS שצריך להגדיר בכל התחנות), או חיפוש של תחנה אחר שרת NIS בלינוקס/יוניקס, אם זה הוגדר כחיפוש ב broadcast. דבר נוסף הוא שירות DHCP, שמטבעו, גם הוא עובד ב broadcast. אבל ל DHCP יש פתרון פשוט ושמו DHCP Relay - הנתב יודע לקרוא את בקשות ה broadcast בסגמנט שעליו הוא יושב, ולהמיר אותן לבקשות unicast מול שרת ה DHCP שיכול לשבת בכל מקום שנגיש ברמת IP בארגון, וכך שרת DHCP יכול לחלק כתובות גם לסגמנטים מחוץ לתת הרשת שבה הוא יושב.
|