5
Server eigenes Management Netz
Hallo, bin im Forum leider nicht exakt fündig geworden.
Ich betreue die Serverinfrastruktur unserer Firma.
Domain Corntroller - Exchange Server - Daten Server - Programm Server - Remote Server - Spam Filter - Nagios - ..............
Alles Virtuell auf 3 Hosts
Bis jetz alles normal und voll funktionsfähig.
Jetzt zu meiner Frage.
Macht es sinn, den Servern eine zusätzliche Netzwerkschnittstelle hinzuzufügen, und diese dann in einem eigenen Management Netzwerk zusammenzuschließen?
Auch die Backup NAS würde dann in dieses Netzwerk kommen.
DH: Die Clients würden über die erste Netzwerkschnittestelle mit 192.168.1.x auf die Server zugreifen, und der VMWare Host, die NAS, und die Server untereinander würden über 192.168.100.x kommunizieren. - Natürich über ein VLAN getrennt
Wie wird das in der Praxis gehandhabt?
Danke Mike
Ich betreue die Serverinfrastruktur unserer Firma.
Domain Corntroller - Exchange Server - Daten Server - Programm Server - Remote Server - Spam Filter - Nagios - ..............
Alles Virtuell auf 3 Hosts
Bis jetz alles normal und voll funktionsfähig.
Jetzt zu meiner Frage.
Macht es sinn, den Servern eine zusätzliche Netzwerkschnittstelle hinzuzufügen, und diese dann in einem eigenen Management Netzwerk zusammenzuschließen?
Auch die Backup NAS würde dann in dieses Netzwerk kommen.
DH: Die Clients würden über die erste Netzwerkschnittestelle mit 192.168.1.x auf die Server zugreifen, und der VMWare Host, die NAS, und die Server untereinander würden über 192.168.100.x kommunizieren. - Natürich über ein VLAN getrennt
Wie wird das in der Praxis gehandhabt?
Danke Mike
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393385
Url: https://administrator.de/forum/server-eigenes-management-netz-393385.html
Ausgedruckt am: 11.04.2025 um 03:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo Mike,
welchen Hypervisor nutzt du denn?
Jeder, der sich zum Beispiel bei einem ESXi, das Netzwerkmanagement so verbogen hat, dass selbst über die Hardware-Console nix mehr zu retten war, wird dir dazu raten.
Ich würde es empfehlen.
Gruß
maxblank
welchen Hypervisor nutzt du denn?
Jeder, der sich zum Beispiel bei einem ESXi, das Netzwerkmanagement so verbogen hat, dass selbst über die Hardware-Console nix mehr zu retten war, wird dir dazu raten.
Ich würde es empfehlen.
Gruß
maxblank
Hi
Ein DC mit mehr als einer Netzwerkarte ist nicht zu empfehlen!
ILO und Switche in ein eigenes VLAN zu packen ist sinnvoll.
Die Server (DC Exchange etc.)sollten eh in einen eigenen VLAN sein und über den Core Switch die Zugriffe geroutet werden von den Clients aus.
Aqui sagt oft nicht mehr als 128 Host in einer Broadcast Domain.
Ich bin der Meinung in kleinen Umgebungen gehen auch 254 pro VLAN.
Das Management von HyperV und / oder ESXi in einem eigenen VLAN oder im Switch VLAN macht auch Sinn.
Das Management Interface deiner Firewall auch.
Das Nas webinterface sollte auch in einem extra VLAN sein.
Auf das Management VLAN sollte nur das zb IT VLAN Zugriff über die Firewall / L3 Core Switch Zugriff haben.
Aber bei Exchange, DC usw macht es in meinen Augen keinen Sinn bzw du machst dir mehr Probleme als dir lieb ist. U.a multihomed DC ...
Mit freundlichen Grüßen Nemesis
PS: wenn du mit dem Thema anfängst denke gleich an IPV6 um das in Zukunft auch gleich sauber zu implementieren.
Ein DC mit mehr als einer Netzwerkarte ist nicht zu empfehlen!
ILO und Switche in ein eigenes VLAN zu packen ist sinnvoll.
Die Server (DC Exchange etc.)sollten eh in einen eigenen VLAN sein und über den Core Switch die Zugriffe geroutet werden von den Clients aus.
Aqui sagt oft nicht mehr als 128 Host in einer Broadcast Domain.
Ich bin der Meinung in kleinen Umgebungen gehen auch 254 pro VLAN.
Das Management von HyperV und / oder ESXi in einem eigenen VLAN oder im Switch VLAN macht auch Sinn.
Das Management Interface deiner Firewall auch.
Das Nas webinterface sollte auch in einem extra VLAN sein.
Auf das Management VLAN sollte nur das zb IT VLAN Zugriff über die Firewall / L3 Core Switch Zugriff haben.
Aber bei Exchange, DC usw macht es in meinen Augen keinen Sinn bzw du machst dir mehr Probleme als dir lieb ist. U.a multihomed DC ...
Mit freundlichen Grüßen Nemesis
PS: wenn du mit dem Thema anfängst denke gleich an IPV6 um das in Zukunft auch gleich sauber zu implementieren.
Moin,
Gruß,
Dani
Auf das Management VLAN sollte nur das zb IT VLAN Zugriff über die Firewall / L3 Core Switch Zugriff haben.
solche Designs sind inzwischen Out of Design. Die IT ist auch ganz normal angestellt und somit auch normale Clients zum Arbeiten. Die administrativen Arbeiten werden über Privileged Access Workstation (PAW) delegiert bzw. ausgeführt. Somit ist eine saubere, unabhängige Trennung gegeben. Je Größe der IT lässt sich die verschiedenen Aufgaben auf verschiedene PAWs verteilen und erhöht somit die Sicherheit bezüglich Zugriff. Zusätzlich nutzen wir noch eine 2FA an den Systemen.Gruß,
Dani
Hi Dani,
Bin ich bei dir. Aber so wie ich das Design oben vom TO sehe bzgl Infos ist es kleines Netz mit ein paar Servern die genannt werden.
Ob das nicht Overkill ist...
Muss er entscheiden und das Geld haben.
Mit freundlichen Grüßen Nemesis
Bin ich bei dir. Aber so wie ich das Design oben vom TO sehe bzgl Infos ist es kleines Netz mit ein paar Servern die genannt werden.
Ob das nicht Overkill ist...
Muss er entscheiden und das Geld haben.
Mit freundlichen Grüßen Nemesis
Ich bin der Meinung in kleinen Umgebungen gehen auch 254 pro VLAN.
Solange das nur ILO Adapter sind oder irgendwas was KEINEN relevanten Broad. oder Multicast Traffic produziert könnte man auch diese Anzahl tolerieren.Jeder verantwortungsvolle Netzwerker richtet im Übrigen immer ein Management Segment ein was getrennt ist vom Produktiv Traffic. Das ist Best Practise auch wenn man nur wenige Endgeräte hat. Man sollte ein Inbound Management immer vermeiden wenn irgend möglich.
Einmal natürlich aus Sicherheitsgründen und zum anderen um den Management Zugang auf die zentralen Komponenten immer verfügbar zu halten.
Fazit: Ja, klare Empfehlung immer so ein Segment einzurichten !
