mokymura
Expert
Expert

DMZ best design: Blade 2 NICS

Hola

Tenemos un entorno de DMZ montado en Blade IBM con 2 tarjetas de red (1GB) y version ESX 4.0.

La intención es migrarlo a ESXi 5.0, pero estamos pensando en el diseño de red.

Actualmente esta configurado:

   vswitch0 > SC + VM > vmnic0

   vswitch1 > VM > vmnic1

He estado mirando las best practices de vmware para los entornos de DMZ y en todos ellos recomienda tener separados el vmkernel de gestion y vmotion de los switches de dmz: generalmente por temas de conexión directa a switches de DMZ o firewalls.

Con la limitación de 2 tarjetas de red, y teniendo en cuenta la posibilidad de actualizar a 10GB: cómo veriais la configuración de todo en 1 vswtich y separación por VLAN's? es lo suficientemente seguro?

Sugerir quizas que la iP de gestion de los esx este detrás de un FW accesible sólamente por los puertos del vCenter: en caso de que una VM en la DMZ este comprometida y pueda accerder al esx.

Implementación de vshield, para delimitar las VM?

Muchas gracias

Saludos

Si encuentras esta u otras respuesta útiles, por favor considera el asignar puntos seleccionando la respuesta como útil o correcta If you find this or any other answer useful please consider awarding points by marking the answer helpful or correct.
Tags (1)
0 Kudos
4 Replies
Samquejo
Commander
Commander

Buenas

Si puedes actualizar a 10 GB, mejor que mejor.

En principio la distribución 1 para dmz y 1 para sc+vm podría parecer ideal para cualquier elemento de seguridad pero mala para nosotros desde el punto de vista del ancho de banda.

Con 802.1q sería suficiente para todo lo que necesitas y, salvo que los de seguridad den mucho la lata, puedes ahorrarte vshield.

Saludos

Si esta u otra respuesta es util, por favor marca su correspondiente notificador. Gracias/Regards
0 Kudos
mokymura
Expert
Expert

Hola Compañero,

Mi mayor duda más que por ancho de banda, es por redundancia:

   Si dedico 1 pnic para SC y 1 pnic para DMZ VM, en caso de fallo de switch de red en el mejor de los casos: o pierdo SC o pierdo conectividad de datos.

Entiendo que con las tarjetas 10GB lo que se mejora es el ancho de banda, y más con vDS que te permite mayor flexibilidad a la hora de controlar... Pero por lo general no resuelve el problema, es más, aumenta el riesgo desde el punto de vista de seguridad:

   Generalmente se configuran 2x10gB para sustituir a las configuraciones de 4x1GB o más, por lo que se crea 1 vswitch/vDSwitch y se meten todo el tráfico por ello: SC, VMotion, VM Datos, iSCSI, FT....

Quizas prefiero arriesgarme y tener 1 vswitch con las 2 pnics (tener redundancia), y configurar esos ESX con un rango de IP's detrás de un FW que sólamente permita la conexión al vCenter por los puertos deseados: en caso de ser comprometidos, reduciríamos el riesgo de que se pudiera acceder al resto de la red corporativa.

Saludos

Si encuentras esta u otras respuesta útiles, por favor considera el asignar puntos seleccionando la respuesta como útil o correcta If you find this or any other answer useful please consider awarding points by marking the answer helpful or correct.
0 Kudos
Samquejo
Commander
Commander

Buenas

Pues visto así, create el único vswitch y configuralo como lacp/802.3ad o lo que te deje para la redundancia y hazte con un switch que acepte 802.1q para separar las tramas que es lo que te dará seguridad. Lo del firewall puede ser opcional si no tienes segmentos de red separados.

Saludos

Si esta u otra respuesta es util, por favor marca su correspondiente notificador. Gracias/Regards
dquintana
Virtuoso
Virtuoso

Coincido.

Con dos nics tenés que poner en la balanza disponibilidad con pseudo seguridad.

La verdad que no es de lo mejor tener ambos entornos dentro del mismo vSwitch, sin embargo quizas es peor tenerlos cada uno con una placa y correr riesgos de disponibilidad.

Segmentá bien cada vLan y asegurate de que estén segurizadas adecuadamente.

Slds

Diego

Ing. Diego Quintana - VMware Communities Moderator - Co Founder & CEO at Wetcom Group - vEXPERT From 2010 to 2020- VCP, VSP, VTSP, VAC - Twitter: @daquintana - Blog: http://www.wetcom.com-blog & http://www.diegoquintana.net - Enjoy the vmware communities !!!

0 Kudos