VMware Global Community
irasines
Contributor
Contributor
Jump to solution

Cual es el procedimiento correcto para poner una DMZ en ESXi

Hola y Buenos dias, voy a esplicar el problema que me tengo:

Tendo varios ESX con su virtual switch para cada cosa, uno para el trafico vmotion, otro para las maquinas virtuales y ahora quiero poner otro para la DMZ.

Hasta ahora tengo un servidor fisicamente en la DMZ con Centos y vmware server y unas maquinas ahi.

Esto quiero cambiarlo e incluir estas VM en la infraestructura de almacenamiento y en el vcenter para disponer la seguridad de poder arrancarla en diferentes equipos ante fallos de hardware y poder hacer backup de esos servidores (cosa que hoy por hoy no tengo).

Antes de montarlo en toda la infraestructura lo voy a poner en 1 ESX con una tarjeta fisica conectado al switch del cortafuegos y al virtual switch nuevo para DMZ que creare en el Host.

Por mi parte no tengo ninguna duda que esta es la mejor configuracion (una tarjeta fisica del esx al virtual switch que esta en el rango de la DMZ que tenemos) y aqui las maquinas que tiene que estar en la DMZ.

El problema viene desde la gente que se encarga de las comunicaciones y el cortafuegos, que no tienen claro que al poner una pata lan en la dmz (de ese hots) y el resto en la LAN no tengamos problemas de forwarding u otros temas ya que consideran que estoy poniendo una maquina que no pasa por el cortafuegos.

Yo (con mis limitaciones en comunicaciones) he intentado esplicarles que el trafico no se mezcla (el trafico que hay un virtual switch no se mezcla con el otro), y como voy a conectar el virtual switch del host a la dmz, este  switch solo esta conectado al cortafuegos, el trafico siempre pasa por ahi.

Su miedo es el anteriormente mencionado, que habramos un camino que no pasa por el cortafuegos.

Hay algun documento que explique que su miedo es injustificado para poder yo demostrarselo.

Siento la chapa un saludo y gracias

Reply
0 Kudos
1 Solution

Accepted Solutions
Borja_Mari
Virtuoso
Virtuoso
Jump to solution

Hola irasines,

te aconsejo que eches un vistazo al siguiente pdf de vmware:

http://www.vmware.com/files/pdf/dmz_virtualization_vmware_infra_wp.pdf

Posiblemente te sea de ayuda Smiley Wink

------------------------------------------------------------------------------------------------- PLEASE CONSIDER AWARDING any HELPFUL or CORRECT reply. Thanks!! Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA . ¡¡Muchas gracias!! VCP3, VCP4, VCP5-DCV (VCP550), vExpert 2010, 2014 BLOG: http://communities.vmware.com/blogs/VirtuallyAnITNoob

View solution in original post

Reply
0 Kudos
3 Replies
FerrerDeCouto
Commander
Commander
Jump to solution

Hola irasines:

Lo que dices es totalmente viable y además si lo soportas a nivel de licencia puedes usar vShield Zones.

Un saludo.

--------

José Luis Gómez Ferrer de Couto Founder of PiPo e2H Blog: http://blog.e2h.net

Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias.

If you find this or any other answer useful, please consider awarding points. Thank you.

http://feeds.feedburner.com/PipoE2h-SolucionesTicAvanzadas.gif

José Luis Gómez Ferrer de Couto Founder of PiPo e2H Blog: http://blog.e2h.net Si encuentras que esta o cualquier otra respuesta fue de utilidad, por favor da el voto. Gracias. If you find this or any other answer useful, please consider awarding points. Thank you.
dquintana
Virtuoso
Virtuoso
Jump to solution

Hola Irasines,

1) Deberías comentarle a tus colegas de comunicaciones que el esx de manera nativa no tiene código de ruteo, es decir que no puede transferir datos de una red a otra.

2) La mejor práctica es que uses vlans para segmentar el trafico por performance y adicionalmente le darás una capa de separación con otras redes que puede beneficiarte en seguridad

3) un VSwitch dedicado es una de las mejores opciones, usando vlans, y pasandola a un Firewall ya vas a estar muy bien.

4) La opción que dice ferrer termina de cerrar el modelo, dado que mitiga la posibilidad que un error de un usuario le permita a una vm tener una nic en la lan y la otra en la dmz.

Saludos

Diego Quintana


Ing. Diego Quintana - VMware Communities Moderator - Co Founder & CEO at Wetcom Group - vEXPERT From 2010 to 2020- VCP, VSP, VTSP, VAC - Twitter: @daquintana - Blog: http://www.wetcom.com-blog & http://www.diegoquintana.net - Enjoy the vmware communities !!!

Borja_Mari
Virtuoso
Virtuoso
Jump to solution

Hola irasines,

te aconsejo que eches un vistazo al siguiente pdf de vmware:

http://www.vmware.com/files/pdf/dmz_virtualization_vmware_infra_wp.pdf

Posiblemente te sea de ayuda Smiley Wink

------------------------------------------------------------------------------------------------- PLEASE CONSIDER AWARDING any HELPFUL or CORRECT reply. Thanks!! Por favor CONSIDERA PREMIAR cualquier respuesta ÚTIL o CORRECTA . ¡¡Muchas gracias!! VCP3, VCP4, VCP5-DCV (VCP550), vExpert 2010, 2014 BLOG: http://communities.vmware.com/blogs/VirtuallyAnITNoob
Reply
0 Kudos