Her biri tam örgü tasarımında 2 N7K ve Dahili Sunucu Çiftlik Toplama olarak 2 Nexus 5548UP ve her N5K Agg'yi askıya alan 2 ASA Güvenlik Duvarı olan 2 Kontrol Merkezi Sitem var. Her iki sitenin de ayna görüntüsü tasarımı vardır. Dahili Sunucu Grubu Uygulamalarına doğrudan erişmesi gereken kullanıcılarımız var ve ayrıca Dahili Sunucu Uygulamalarından giden bağlantı istekleri için bir güvenlik sınırına ihtiyacımız var. Buna ek olarak, gelen bağlantı isteklerini daha düşük güvenlik bölgeleri olarak sınıflandırdığımızdan (N7K CORE, daha düşük güvenlik ağı alt ağlarına giden yollar için vrf: Global kullanacak) ayırmak için Agg içindeki özel DMZ'leri barındırmam gerekiyor.
Genellikle kullanıcı daha düşük güvenli bölgeler olarak kabul edilir, ancak bu tasarım büyük bir güç şebekesi için bir kontrol sistemi barındırmak içindir. Bunu göz önünde bulundurarak, SITE1 Server Farm Agg'ın SITE 2'nin uygulamaları barındırmasına izin verme yeteneğine izin vermek için kullanıcıları doğrudan N5K Agg'ye bağlamak istemiyorum (şu anda kullanıcıları uygulamalarla aynı fiziksel anahtara bağlıyoruz) . Kullanıcıların HA L3 CORE'dan (4 x N7K Full Mesh) Sunucu Çiftliğine yönlendirildiği klasik bir Veri Merkezi tasarımı sunmak istiyorum. Ancak, “Dahili Sunucular” ile aynı güvenlik düzeyi olarak kabul edildiklerinden, bunları N7K CORE'da barındırılan özel bir VPN Bulutu'na ayırmak istiyorum. N7K'nın MPLS'yi desteklemesi gibi, bu en mantıklı olurdu, mevcut tasarımım Nexus 5548 Toplamadaki Dahili Sunucular için L2 / L3 sınırına sahip çünkü güvenlik duvarları da buraya bağlı. Nexus 5K'lar MPLS'yi desteklemez ancak VRF Lite'ı destekler. N5K'ler ayrıca her bölgedeki yerel N7K'lara tam bir ağ içinde bağlanır.
N5K'lar ve N7K'lar arasındaki 4 bağlantının tümünü kullanmak için, İç Kullanıcı trafiğini Çekirdekten güvenlik duvarını iletmesi gereken trafikten izole etme fikrini açan pt to pt L3 bağlantılarını yapılandırmam gerekir, ya da 5K'lar arasında FabricPath'i kullanabilirim ve 7K'ları kullanın ve vrf lite'yi kullanın; burada yalnızca FabricPath vlansları, N7K'nın vrf: Global Yönlendirme tablosunu bağlamak için 4 düğüm ile Güvenlik Duvarının Dış vlan'ı arasındaki arabirim SVI'ları olacaktır. Bunların lisanslanması gerektiğinden bu muhtemelen aşırıdır, ancak benzersiz güvenlik gereksinimlerimiz vardır, bu nedenle maliyet küçük bir sorun olma eğilimindedir.
Yönlendirme için, güvenlik duvarına N7K vrf: Global'i gösterecek, OSPF veya EIGRP çalıştıracak ve diğer düşük güvenlik ağlarına giden yolları öğrenecek varsayılan bir yol yükleyeceğim. Yüksek Güvenli Bölge için, tüm N5K ve N7K'lara bir vrf: Dahili olarak yükleyecektim ve N7K'lardaki MPLS, MP-BGP kullanımını gerektirdiğinden çoğu kez BGP'yi çalıştırırdı. Bu sadece SITE2 Dahili Sunucu Çiftliği ve Dahili Kullanıcılar için yolları öğrenecektir (uygulamalarımız bölünmüş beyni önlemek için Siteler arasında L3'e ihtiyaç duyar). Ayrıca vrf: Global'in vrf: Internal ile yol alışverişi yapmasına izin vermemeye de çok dikkat etmeliyim, çünkü bu durum 2 vrf'ler arasında L3 bağlantısı sağlayan Stateful Firewalls ile bir asimetrik kabus yaratacaktır. Yerel Site N5K ve Güvenlik Duvarı'nda basit bir varsayılan yol ve N7K'da Dahili Sunucu Alt Ağlarına işaret eden bir özet yol bu sorunu önleyecektir.
Alternatif olarak, FHRP sağlamak ve güvenlik duvarlarını VDC'ye taşımak için N7K'dan başka bir VDC oluşturmayı düşündüm. N5K sadece FabricPath kullanıyor ve hiçbir L3 kullanmıyor.
Bu muhtemelen tipik bir tasarım değil, bu konuda herhangi bir geri bildirim için teşekkür ederiz.
