如何管理 WAN 上的以太网交换机?

网络工程 转变 管理
2022-02-12 03:14:00

我从不在防火墙外保留托管交换机。但是,我有一种情况,我必须这样做。我在 HA 配置中连接两个 Sonicwall NSA220。所以我必须在防火墙前面使用一个小型以太网交换机将 WAN 电缆连接到主防火墙和从防火墙的 X1 端口。为此,我订购了一对 NETGEAR ProSAFE GS105Ev2。

由于托管交换机的管理IP必须在同一个子网中,所以我只能分配一个WAN IP作为该交换机的管理IP。这意味着如果我分配了 IP,任何人都可以访问此开关,密码是唯一的防御。

处理这个问题的最佳方法是什么?根本没有设置IP?我更喜欢管理这个开关,但不以安全为代价。

2个回答

有几个选项具有不同的安全风险。您必须决定哪一个(或多个)满足您的需求。

  1. 使用带外连接到控制台端口。这可能是最安全的方式,但可能需要额外的硬件来进行串行连接。
  2. 在交换机上创建一个单独的 VLAN 并将管理端口放在该 VLAN 中。将该 VLAN 内部连接或连接到防火墙上的单独逻辑接口。
  3. 为交换机使用唯一凭据,并使它们比平常更复杂。
  4. 如果交换机支持它,请将 ACL 放在管理接口上(这个不支持)。
  5. 将管理IP的默认网关设置为防火墙。大多数防火墙默认不会发出重定向。

我相信其他读者可以想到其他技术。

如果您的防火墙支持它,请在外部接口上使用辅助(私有)地址。NAT 内部主机到此子网以与您选择的交换机进行通信。这在逻辑上是在公共网络上创建一个 DMZ。

如果您有可用的接口,则用于管理该交换机的物理 DMZ 将是最安全的选择。(考虑拼写错误、配置错误、杂散电缆和黑客的影响——但这是安全 SE 的问题)

其它你可能感兴趣的问题
上一篇为什么我的网关有不同的子网 ip 下一篇如果多个非路由器设备在同一个网络中发送具有相同前缀的 IPv6 RA,可以吗?