Conexión privada entre Windows Server

Question 1

En ambos servidores:

Edite los archivos de hosts para que los nombres de los servidores se resuelvan en direcciones IP "privadas".
Habilite Firewall y cree 2 reglas (entrante y saliente):
- una regla que niega cualquier tráfico originado desde la dirección IP "pública" del servidor A con destino a la dirección IP "pública" del servidor B;
- una regla que niega cualquier tráfico originado desde la dirección IP "pública" del servidor B con destino a la dirección IP "pública" del servidor A.
Si queda algún servicio de red que use direcciones IP "públicas", dejará de funcionar hasta que los configure para usar direcciones IP "privadas".

Answer

En ambos servidores:

Edite los archivos de hosts para que los nombres de los servidores se resuelvan en direcciones IP "privadas".
Habilite Firewall y cree 2 reglas (entrante y saliente):
- una regla que niega cualquier tráfico originado desde la dirección IP "pública" del servidor A con destino a la dirección IP "pública" del servidor B;
- una regla que niega cualquier tráfico originado desde la dirección IP "pública" del servidor B con destino a la dirección IP "pública" del servidor A.
Si queda algún servicio de red que use direcciones IP "públicas", dejará de funcionar hasta que los configure para usar direcciones IP "privadas".

Question 2

Si bien la respuesta anterior puede funcionar, no puede considerarse una mejor práctica, ya que impide que el tráfico atraviese las interfaces públicas en caso de que así sea deseado/requerido.

Recientemente completé un pequeño clúster de virtualización de 3 nodos que utiliza interfaces de 1 Gbps para el tráfico público/de clúster e interfaces de 10 Gbps estrictamente para el tráfico SAN iSCSI.

Para permitir que los 3 nodos continúen comunicándose entre sí a través de la red pública y aislar el tráfico iSCSI a la red 10G (exp: 10.20.20.0/24), se agregaron rutas estáticas a cada nodo para especificar que el tráfico iSCSI solo atraviese el Interfaces 10G, dejando las interfaces 1G para el resto del tráfico.

A continuación se muestra un ejemplo de la sintaxis de PowerShell utilizada para agregar rutas estáticas para la red 10G (interfaz dual).

New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 1 –NextHop 10.20.20.201 -RouteMetric 1
New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 2 –NextHop 10.20.20.201 -RouteMetric 1

El siguiente enlace describe el comando New-Route PowerShell:

https://technet.microsoft.com/en-us/library/hh826148.aspx

Answer

Si bien la respuesta anterior puede funcionar, no puede considerarse una mejor práctica, ya que impide que el tráfico atraviese las interfaces públicas en caso de que así sea deseado/requerido.

Recientemente completé un pequeño clúster de virtualización de 3 nodos que utiliza interfaces de 1 Gbps para el tráfico público/de clúster e interfaces de 10 Gbps estrictamente para el tráfico SAN iSCSI.

Para permitir que los 3 nodos continúen comunicándose entre sí a través de la red pública y aislar el tráfico iSCSI a la red 10G (exp: 10.20.20.0/24), se agregaron rutas estáticas a cada nodo para especificar que el tráfico iSCSI solo atraviese el Interfaces 10G, dejando las interfaces 1G para el resto del tráfico.

A continuación se muestra un ejemplo de la sintaxis de PowerShell utilizada para agregar rutas estáticas para la red 10G (interfaz dual).

New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 1 –NextHop 10.20.20.201 -RouteMetric 1
New-NetRoute –DestinationPrefix "10.20.20.20/24" –InterfaceIndex 2 –NextHop 10.20.20.201 -RouteMetric 1

El siguiente enlace describe el comando New-Route PowerShell:

https://technet.microsoft.com/en-us/library/hh826148.aspx

Conexión privada entre Windows Server

Respuesta1

Respuesta2

información relacionada