Карта сетевых зон — это иерархия доступа и видимости.

Внутри комплекса существует семь сетевых сегментов, каждый из которых работает по собственной политике доступа. Граница между сегментами — это не просто физический коммутатор, а формальный контракт о том, что разрешено и что нет.

семь сегментов

Структура сетевых зон в комплексе.

Сегмент

Назначение

Статус

VLAN / VRF

N.01

Production

Сегмент производственных сервисов, нагрузка постоянная.

ACTIVE

VLAN 100

N.02

Staging

Предпроизводственная среда, копия конфигурации Production.

ACTIVE

VLAN 200

N.03

DMZ

Демилитаризованная зона для внешних сервисов.

ACTIVE

VLAN 300

N.04

Management

Сеть управления оборудованием, изолированная от пользовательского трафика.

ACTIVE

VLAN 400

N.05

Storage

Сегмент сетевых хранилищ, отдельные физические линки.

ACTIVE

VLAN 500

N.06

Backup

Канал резервного копирования, активен по ночному расписанию.

SCHEDULED

VLAN 600

N.07

Guest

Сеть для гостей и подрядчиков, без доступа к внутренним системам.

ACTIVE

VLAN 700

// принципы сегментации

Четыре правила, по которым сегменты не смешиваются.

Правило 01. Сегмент Production не имеет прямого подключения ни к одному другому сегменту, кроме DMZ. Все маршруты — через явные firewall-правила с логированием.

Правило 02. Сегмент Management не доступен из любой пользовательской сети. Только через bastion-host с двухфакторной аутентификацией.

Правило 03. Сегмент Guest не имеет маршрута к Production, Staging или Management. Только выход в интернет, причём через отдельный firewall.

Правило 04. Любое новое соединение между сегментами требует письменного запроса и аудита. Никаких «временных открытий портов» — потому что временное в инфраструктуре превращается в постоянное.

Современная кабельная разводка с патч-кордами

// network.segments · physical layer