ESX mit verschiedenen Subnetz ohne FW-Abschottung ...

[hans123]

Hallo,

ich habe vor langer Zeit mal eine ESX3i-Testinstallation gemacht. 1 Netwekkarte war fuer das interne Netz und die andere Netzwerkkarte war fuer die DMZ.

Frage:
Ist eine solche Konfiguration (mit einem aktuellen ESXi) ueberhaupt zu verantworten, wenn die verschiedenen Sub-Netze nicht mittels Firewall
gegeneinander abgeschottet werden?


Danke fuer jeden Tipp!

Hans

[mbreidenbach]

Da so die verschiedenen Subnetze nicht redundant angebunden sind würde ich das so nicht machen.

Beim ESX(i) kann man an jeder Portgruppe VLANs zuordnen... da würde ich bei nur 2 NICs beide NICs redundant anbinden und die Netze durch VLANs trennen. Dazu braucht man 'außen' Netzwerkswitche die VLANs können.

Damit sehen VMs nur die Pakete aus dem VLAN die für sie auch gedacht sind.

Ob man jetzt DMZ VMs und interne VMs auf dem selben 'Blech' hosten will hängt irgendwie vom Grad der eigenen Paranoia ab. Ich erachte das grundsätzlich als sicher genug. Aber es 'könnte ja sein' daß ein böser Bube da einen Weg findet.

Denn: Verfolgungswahn schließt ja nicht aus daß SIE nicht doch hinter einem her sind. Wo ist eigentlich mein Alu-Hut...

[hans123]

Vielen Dank fuer den interessanten Tipp!

Da so die verschiedenen Subnetze nicht redundant angebunden sind würde ich das so nicht machen.
Beim ESX(i) kann man an jeder Portgruppe VLANs zuordnen... da würde ich bei nur 2 NICs beide NICs redundant anbinden und die Netze durch VLANs trennen. Dazu braucht man 'außen' Netzwerkswitche die VLANs können.

In dieses Thema muss ich mirch erst noch etwas mehr einarbeiten...

Beim ESX(i) kann man an jeder Portgruppe VLANs zuordnen... da würde ich bei nur 2 NICs beide NICs redundant anbinden und die Netze durch VLANs trennen. Dazu braucht man 'außen' Netzwerkswitche die VLANs können.

Will das heissen, ein solcher Switch muss Layer3 faehig sein?


Vielen Dank!

Hans