PDA

Bekijk Volledige Versie : switch/pdu publieke of private ip adressen?



roelp
30/06/08, 11:35
Een topic dat ik hier precies nog niet heb zien voorbij komen, maar wat me wel interessant lijkt.

Hangen jullie switches en pdu's rechtstreeks aan het internet of maken jullie gebruik van private ip adressen (192.168...) ?

Momenteel heb ik mijn switch en pdu nog via publieke ip's aan het internet hangen, maar nu ik een kleine uitbreiding ga doen, zou ik een site-to-site vpn willen opzetten tussen mijn rack in het datacenter en het kantoor netwerk.
Hiervoor heb ik al zitten kijken naar cisco asa en juniper ssg, maar ik vermoed dat ik met een simpele router (dlink, linksys, ...) met vpn ondersteuning evenveel kan? Iemand nog tips?

Lite-On
30/06/08, 11:44
Mijn APC PDU's heb ik gewoon hangen op een public IP.
Klanten moeten namelijk wel bij de APC zelf kunnen ;). Bij een private IP zit je met het probleem dat de boel niet makkelijk van buitenaf te bereiken is (dmv een VPN tunnel is het dan wel weer mogelijk).

APC op een public IP gaat opzich prima, maar het is wel verstandig om telnet/ssh van buitenaf dicht te timmeren, en gebruik te maken van HTTPS :)

Cisco heeft wel wat leuk spul om een VPN verbinding te bouwen.
Een Cisco PIX oplossing hoeft helemaal niet zo duur te zijn.
Alhoewel, een 19" rackmount oplossing zal wel wat prijziger zijn.
Softwarmatig is ook een mogelijke oplossing.

oehTie
30/06/08, 11:46
als je met vpn bij een server in het rack kan kan je binnen je rack uiteraard je eigen zelfgekozen iprange nemen zoals 192.168.*.*. Als je pdu op dat netwerk is hij gewoon te bereiken.

Ryan Kalkhoven
30/06/08, 12:04
Wij hebben de switches en PDU's in een private netwerk zitten. Door gebruik van meerdere VPN's en tevens een online control panel wat via snmp communiseerd met de apparatuur is het niet nodig dit publiek beschikbaar te maken.
Door ze in een private netwerk te plaatsen vang je direct mogelijke veiligheids lekken af op dergelijke apparatuur.

Randy
30/06/08, 15:34
Switches, PDU's, DRAC, ILO2, IMPI, BMC, alles achter een NAT in een private space. Met wat regeltjes IPTables kun je https nog wel doormappen als het bereikbaar is. APC's hoeven toch niet rechtstreeks bereikbaar te zijn daar die met een webinterface aangestuurd worden vanuit het controlpanel (20 regels PHP?). Voor de remote-access kaarten kun je prima een ssh-tunnel maken met Putty en dan met je browser connecten op je eigen localhost. Of gewoon een PPTP/VPN-tunneltje maken voor de Windows gebruikers.
UPS'en en stroommeters hangen aan de seriele poort en zijn toch al niet bereikbaar.

az-nzl
01/07/08, 00:26
Alle apparatuur die niet direct vanaf internet bereikbaar hoeft te zijn zit in private IP space. APC aansturen via een webinterface in het controlpanel.
En bij onszelf een vpn bridge om makkelijk rechtstreeks bij alle apparatuur te kunnen.