Cisco ASA ve birden çok VLAN

9

Şu anda 6 Cisco ASA cihazını yönetiyorum (2 çift 5510 ve 1 çift 5550). Hepsi oldukça güzel çalışıyor ve istikrarlı, bu yüzden daha iyi uygulama tavsiye soru daha ziyade "OMG kırık o düzeltmek için bana yardımcı".

Ağım birden çok VLAN'a ayrıldı. Hemen hemen her hizmet rolünün kendi VLAN'ı vardır, böylece DB sunucularının kendi VLAN, APP sunucuları, Cassandra düğümleri olacaktır.

Trafik yalnızca belirli, izin vermeyen istirahat temelleriyle yönetilmektedir (bu nedenle varsayılan politika tüm trafiği bırakmaktır). Bunu ağ arabirimi başına iki ACL oluşturarak yaparım, örn .:

  • dc2-850-db arabirimine "in" yönünde uygulanan erişim listesi dc2-850-db-in ACL
  • dc2-850-db arabirimine "çıkış" yönünde uygulanan erişim listesi dc2-850-db-out ACL

Her şey oldukça sıkı ve beklendiği gibi çalışıyor, ancak bunun mümkün olan en iyi yol olup olmadığını merak ediyordum? Şu anda 30'dan fazla VLAN'ım olan bir noktaya geldim ve bunları yönetmek için bazı noktalarda biraz kafa karıştırıcı olduğunu söylemeliyim.

Muhtemelen ortak / paylaşılan ACL'ler gibi bir şey, diğer ACL'lerden miras alabileceğim burada yardımcı olacaktır, ancak AFAIK böyle bir şey yok ...

Herhangi bir tavsiye çok takdir etmek.

networking  security  cisco  cisco-asa  best-practices 
bart613
kaynak
3
Adres alanını düzleştirmeyi ve kullanmayı düşündünüz mü private vlans? Başka bir alternatif de iş birimlerini bölmek olabilir VRFs. Bunlardan her ikisi de ACL gereksinimlerinin patlamasının bir kısmının yönetilmesine yardımcı olabilir. Dürüst olmak gerekirse, bu soruya yorum yapmak zor çünkü çok fazla mevcut tasarımınızın iş ve teknik nedenlerine bağlı
Mike Pennington
Teşekkürler Mike - Bahsettiğiniz her ikisini de biraz okuyacağım.
bart613
Her iki önerinin ardındaki temel fikir, aynı işletme işlevi içindeki ana bilgisayarlar arasındaki tüm iletişime izin veren iş ihtiyaçlarına dayalı doğal bir katman-2 veya katman-3 sınırı oluşturmanızdır. Bu noktada, ticari çıkarlar arasında güvenlik duvarı yapmanız gerekir. Birçok şirket, şirketteki her bir iş birimi için ayrı VPN'ler oluşturuyor; konsept burada önerdiğim şeye benziyor, ancak VPN tesisinizde yerel olacak (ve özel vlanslara veya VRF'lere dayanacak)
Mike Pennington

Yanıtlar:

1

Cisco ASA cihazlarına sahip olduğunuz için (2 çift 5510 ve 1 çift 5550). Bu, acls ile paket filtrelemeden uzaklaştığınız ve ASA'larda güvenlik duvarı bölgesi tabanlı tekniklere geçtiğiniz anlamına gelir.

Sınıf haritaları, politika haritaları ve hizmet politikaları oluşturun.

Ağ nesneleri hayatınızı kolaylaştıracaktır.

Güvenlik duvarı tekniğindeki eğilim

paket filtreleme - paket denetimi - ip inspect (durum bilgisi olan denetim) - Zonebasedfirewall

Bu teknikler, alanlar arttıkça daha az kafa karıştırıcı olması için yapılmıştır.

Bir kitap var, okumak isteyebilirsiniz.

Kaza sonucu yönetici -Bana gerçekten yardımcı oldu.

Bir göz atın ve iki farklı yöne çevirin.

ASA ile sorun yaşamamalısınız.

Geçmişte, 800 serisi ip incelemesi ve ZBF yaptım, sonra orada avantajları karşılaştırdım ve paket tekniği filtrelemeden ileri ip incelemesine geçerek ASA'da aynı tekniği kullandılar.

don IT Danışmanı
kaynak
don, (sizin?) kitabında acls kullanarak filtrelemeden uzaklaşmayı tartışan herhangi bir bölüm görmüyorum. Beni bölüm ve sayfaya yönlendirebilir misiniz?
3molo
0

Her bir VLAN arayüzüne izin vermesi gereken trafikle tutarlı bir güvenlik seviyesi atamak çok basit (ve kuşkusuz bir hile) çözümü olacaktır.

Daha sonra same-security-traffic permit inter-interface, aynı VLAN'ı birden fazla cihaz arasında özel olarak yönlendirip güvenli hale getirme ihtiyacını ortadan kaldırarak ayarlayabilirsiniz .

VLAN sayısını azaltmaz, ancak muhtemelen 3 güvenlik duvarının tümüne ulaşan VLAN'lar için ihtiyacınız olan ACL sayısını yarıya indirir.

Tabii ki, bunun ortamınızda mantıklı olup olmadığını bilmem mümkün değil.

adaptr
kaynak
0

Neden hem gelen hem de giden erişim listeleriniz var? Kaynağa olabildiğince yakın trafik yakalamaya çalışmalısınız. Bu, yalnızca toplam erişim listelerinizi yarıya indirerek gelen erişim listeleri anlamına gelir. Bu, kapsamı düşük tutmaya yardımcı olacaktır. Akış başına yalnızca bir olası erişim listesine sahip olduğunuzda, ASA'nızın bakımı daha kolay ve daha da önemlisi: işler ters gittiğinde sorun gidermeyi kolaylaştırır.

Ayrıca, tüm VLAN'ların birbirine ulaşmak için bir güvenlik duvarını geçmesi gerekiyor mu? Bu, verimi ciddi şekilde sınırlar. Unutmayın: ASA (iyi) bir yönlendirici değil, bir güvenlik duvarıdır.

JelmerS
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.