[Çözüldü] Mevcut Yapının Güncellenmesi ve İyileştirilmesi

Bu soruların cevapları forumda mevcut.

Merhaba,

İlk etapta Netwok yapınızda çok iyi fizibilite çalışması yapmanız gerekiyor süpriz bir durumla karşılaşmamak adına.

Sunucu: VLAN10 192.168.1.0

Client: VLAN20 192.168.3.0

Printer: VLAN30 192.168.6.0

DMZ: VLAN40 10.10.10.0

Örnek Vlan yapısı oluşturabilirsiniz, Subnettinizi iyi ayarlamanız gerekiyor, IP adresi yetersiz kalamaması adına.

DMZ BB da değilde sadece kullanacağınız Kenar Switcte kulanabilirsiniz. Güvenliği sıkılaştırmak adına BB da DMZ dönmesin.

Vlanlar arasında ACL de yapabilirsiniz. Şimdilik bunlar aklıma geldi. Hocalarım daha fikir vereceklerdir.

Gönderen: @serafettindincer

Mevcut yapımızda server, client, yazıcı, kameralar hepsi aynı network altında çalışıyor.
Firewall, layer3 switch ve kenar switchler var ayrıca active directory kullanıyoruz.
Network yapısını düzenlemek istiyorum fakat bazı yerlerde kafamda soru işaretleri var.
Server, client, yazıcı gibi ayrı vlan lara bölmek istiyorum.
Active directory sunucusunu client bilgisayarlardan ayrı vlan almam gerekiyor mu?
DC sunucusunu ayrı vlan alırsam üzerinde hangi ayarı yapmam gerekiyor.
Dışarıya açık sunucularımız var onlarıda farklı vlan almak istiyorum ancak onlar içinde ayrı bir dns server kurmam gerekiyor mu?
Dışarıya açık sunucular ve içeride kendi kullandığımız sunuculardan bazıları active directory ile çalışmak zorunda kalıyor.
Bu sunucular için nasıl bir yol izlemem gerekiyor.
Amacım güvenliği ve kontrolü arttırmak

 

 

Merhaba öncelikle planlama yaparken ortalama ve ileri planlı host sayınızı çıkarmanızı öneririm

Genel olarak yapılarda Client Vlan , Server Vlan (sayısına göre VM ve Fiziksel veya İlo Vlan da olabilir) , Printer vlan , kamera için vlan (genelde sayılar yüksek ise subnet geniş olur) , Management Vlan ( SW ve Ap gibi network cihazları için ). Tabi ihtiyaca yönelik Diğer vlan , Üretim Vlan , PLC vlan da yapılabilir.  bu ihtiyaca göre şekillenen bir durum

Kullandığınız L3 BB cihaz ACL desteği var iste kurallar koymanızı öneririm. "Örnek Kamera Vlanın Server Vlana erişmesine kısıtlamalar gibi"

AD nin aynı Vlanda olması gerekli diye bir kural yok Vlanlar arası Routing var ise yani tüm vlanlar AD server'lara erişiyorsa yapabilirsiniz. Tabi AD ip si değişmesi ile bunun tanımlı olduğu cihaz ve ayarlarda değişim gerektirir. 

DMZ için ise ayrı bir kurgu gerekebilir Öncelikle Buna ayrı bir vlan açmanızı ve özellikle ACL yazmanızı öneririm L3 seviyesinde tabi FW tarafında belli tanımlar yapılması gerekli.

Özellikle İzole olarak Bir misafir yada Karantina vlanı oluşturmanızı öneririm. Bu vlan diğer vlanlar ile haberleşmemeli. Örnek olarak Yapınızdaki L2 Sw kullanmadığınız portları kapatmak önerilir ama genelde açık kalır 🙂 Kullanmadığınız Portlara bu izole yada misafir vlanını atarsanız ve kullanılan portlarda basit olabilir ama Port Security MAC doğrulaması yaparsanız güvenlik anlamında biraz daha etkili olacaktır.

Bunlar dışında ileri ağ güvenliği ve kontrolü için NAC çözümlerini incelemenizi öneririm.