Özel kullanıcıları Sunucu Anahtarına doğrudan bağlantı olmadan güvenilir bir ağdaki uygulamalara bağlama


9

Her biri tam örgü tasarımında 2 N7K ve Dahili Sunucu Çiftlik Toplama olarak 2 Nexus 5548UP ve her N5K Agg'yi askıya alan 2 ASA Güvenlik Duvarı olan 2 Kontrol Merkezi Sitem var. Her iki sitenin de ayna görüntüsü tasarımı vardır. Dahili Sunucu Grubu Uygulamalarına doğrudan erişmesi gereken kullanıcılarımız var ve ayrıca Dahili Sunucu Uygulamalarından giden bağlantı istekleri için bir güvenlik sınırına ihtiyacımız var. Buna ek olarak, gelen bağlantı isteklerini daha düşük güvenlik bölgeleri olarak sınıflandırdığımızdan (N7K CORE, daha düşük güvenlik ağı alt ağlarına giden yollar için vrf: Global kullanacak) ayırmak için Agg içindeki özel DMZ'leri barındırmam gerekiyor.

Genellikle kullanıcı daha düşük güvenli bölgeler olarak kabul edilir, ancak bu tasarım büyük bir güç şebekesi için bir kontrol sistemi barındırmak içindir. Bunu göz önünde bulundurarak, SITE1 Server Farm Agg'ın SITE 2'nin uygulamaları barındırmasına izin verme yeteneğine izin vermek için kullanıcıları doğrudan N5K Agg'ye bağlamak istemiyorum (şu anda kullanıcıları uygulamalarla aynı fiziksel anahtara bağlıyoruz) . Kullanıcıların HA L3 CORE'dan (4 x N7K Full Mesh) Sunucu Çiftliğine yönlendirildiği klasik bir Veri Merkezi tasarımı sunmak istiyorum. Ancak, “Dahili Sunucular” ile aynı güvenlik düzeyi olarak kabul edildiklerinden, bunları N7K CORE'da barındırılan özel bir VPN Bulutu'na ayırmak istiyorum. N7K'nın MPLS'yi desteklemesi gibi, bu en mantıklı olurdu, mevcut tasarımım Nexus 5548 Toplamadaki Dahili Sunucular için L2 / L3 sınırına sahip çünkü güvenlik duvarları da buraya bağlı. Nexus 5K'lar MPLS'yi desteklemez ancak VRF Lite'ı destekler. N5K'ler ayrıca her bölgedeki yerel N7K'lara tam bir ağ içinde bağlanır.

N5K'lar ve N7K'lar arasındaki 4 bağlantının tümünü kullanmak için, İç Kullanıcı trafiğini Çekirdekten güvenlik duvarını iletmesi gereken trafikten izole etme fikrini açan pt to pt L3 bağlantılarını yapılandırmam gerekir, ya da 5K'lar arasında FabricPath'i kullanabilirim ve 7K'ları kullanın ve vrf lite'yi kullanın; burada yalnızca FabricPath vlansları, N7K'nın vrf: Global Yönlendirme tablosunu bağlamak için 4 düğüm ile Güvenlik Duvarının Dış vlan'ı arasındaki arabirim SVI'ları olacaktır. Bunların lisanslanması gerektiğinden bu muhtemelen aşırıdır, ancak benzersiz güvenlik gereksinimlerimiz vardır, bu nedenle maliyet küçük bir sorun olma eğilimindedir.

Yönlendirme için, güvenlik duvarına N7K vrf: Global'i gösterecek, OSPF veya EIGRP çalıştıracak ve diğer düşük güvenlik ağlarına giden yolları öğrenecek varsayılan bir yol yükleyeceğim. Yüksek Güvenli Bölge için, tüm N5K ve N7K'lara bir vrf: Dahili olarak yükleyecektim ve N7K'lardaki MPLS, MP-BGP kullanımını gerektirdiğinden çoğu kez BGP'yi çalıştırırdı. Bu sadece SITE2 Dahili Sunucu Çiftliği ve Dahili Kullanıcılar için yolları öğrenecektir (uygulamalarımız bölünmüş beyni önlemek için Siteler arasında L3'e ihtiyaç duyar). Ayrıca vrf: Global'in vrf: Internal ile yol alışverişi yapmasına izin vermemeye de çok dikkat etmeliyim, çünkü bu durum 2 vrf'ler arasında L3 bağlantısı sağlayan Stateful Firewalls ile bir asimetrik kabus yaratacaktır. Yerel Site N5K ve Güvenlik Duvarı'nda basit bir varsayılan yol ve N7K'da Dahili Sunucu Alt Ağlarına işaret eden bir özet yol bu sorunu önleyecektir.

Alternatif olarak, FHRP sağlamak ve güvenlik duvarlarını VDC'ye taşımak için N7K'dan başka bir VDC oluşturmayı düşündüm. N5K sadece FabricPath kullanıyor ve hiçbir L3 kullanmıyor.

Bu muhtemelen tipik bir tasarım değil, bu konuda herhangi bir geri bildirim için teşekkür ederiz.

q


Şu anda N7k'nizde MPLS kullanıyor musunuz? Siz (veya ölçek gereksinimleriniz) N5k'nizin L3 ağ geçitleri olmasını mı istiyorsunuz yoksa N7k'de vPC / FP ile N5k'ye yönlendirme merkezi hale getirilebilir mi? 'Global yönlendirme' bulutu sizin kontrolünüzde mi yoksa bir operatörden bir MPLS VPN (L2 veya L3?)?
cpt_fink

Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


2

Belki yanlış okudum, aynı güvenlik bölgesindeki kullanıcılara ve dahili sunuculara izin veriyorsunuz, ihtiyacınız olan tek şey farklı katman 2 etki alanındaki kullanıcılar ve dahili sunucular mı? Yalnızca bu amaçla vrf ve vrf arasında yönlendirme oluşturmayın. Bunu yapmanın daha basit bir yolu olmalı, örneğin farklı layer3 Vlans + ACL.

7K'da, kullanıcılar için 1 vlan 100 ve dahili sunucular için 1 vlan 200 verirsiniz, kullanıcıların vlan arayüzünde, yalnızca kullanıcıların ulaşmasını istediğiniz yere izin vermek için ACL ekleyebilirsiniz. Bence kurulum yapmak mümkündür, eğer çevrenizde herhangi bir şeyin bunu desteklemediğini görürseniz, bana söyleyin ve tartışabiliriz.

Kumaş yolunu çalıştırmak istiyorsanız, kumaş yolunuzu çalıştırmak için 4 5k-7k bağlantı kullanabilirsiniz, 5k ve 7K arasında sadece gövde vlan 100 ve 200 için bir bağlantı daha ekleyebilirsiniz.


0

Karmaşık görünüyor. Saç tokası ASA'lar yerine onları sıraya koyuyor (evet arasında fiziksel arayüz gereksinimlerini iki katına çıkarıyor, ancak şirketinizin parası var). Sadece erişim ve toplama (çekirdek) tasarımına sahip olun. Yönlendiricileri yönlendirin ve geçiş yapmak için geçiş yapın.

Tüm sahip olduğum şey bu ... Umarım yardımcı olur mu?

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.