Como conectar usuários particulares a aplicativos em uma rede confiável sem conexão direta ao Server Switch

9

Eu tenho 2 Sites do Centro de Controle, cada um com 2 N7Ks em um design de malha completa e 2 Nexus 5548UP como Agregação Interna de Farm de Servidores e 2 Firewalls ASA pendurados em cada N5K Agg. Ambos os sites têm um design de imagem espelhada. Temos usuários que precisam de acesso direto aos Aplicativos de Farm de Servidores Internos e também precisamos de um limite de segurança para solicitações de conexão de saída dos Aplicativos de Servidor Interno. Além disso, preciso hospedar DMZs privadas no Agg para isolar as solicitações de conexão de entrada daquilo que classificamos como zonas de segurança mais baixa (o N7K CORE utilizará vrf: Global para rotas para diminuir as sub-redes da rede de segurança).

Normalmente, o usuário seria considerado zonas seguras inferiores, mas esse design é para hospedar um sistema de controle para uma grande rede de energia. Com isso em mente, também não quero conectar os usuários diretamente ao N5K Agg para permitir que o SITE1 Server Farm Agg seja desativado, permitindo que o SITE 2 hospede os aplicativos (atualmente, conectamos os usuários ao mesmo comutador físico dos aplicativos) . Eu gostaria de fornecer um design clássico de Data Center em que os Usuários direcionem para o Farm de Servidores a partir do HA L3 CORE (malha completa de 4 x N7K). No entanto, como eles são considerados o mesmo nível de segurança dos "Servidores Internos", desejo isolá-los em uma Nuvem VPN privada hospedada no N7K CORE. Como o N7K suporta MPLS, isso seria o mais lógico, no entanto, meu design atual tem o limite L2 / L3 para os servidores internos na agregação Nexus 5548, já que os firewalls também estão conectados lá. O Nexus 5K não suporta MPLS, mas suporta VRF Lite. Os N5Ks também são conectados em uma malha completa aos N7K locais em cada local.

Para utilizar todos os 4 links entre os N5K e os N7K, eu preciso configurar os links pt para pt L3, o que representa a idéia de isolar o tráfego de Usuários Internos do Core do tráfego que precisa encaminhar o firewall ou eu posso utilizar o FabricPath entre os 5K. e 7K e use o vrf lite, onde os únicos vLans do FabricPath seriam os SVI da interface entre os 4 nós e a vlan externa do firewall para conectar a tabela vrf: Global Routing do N7K. Provavelmente, isso é um exagero, já que eles precisam ser licenciados, mas temos requisitos de segurança exclusivos, portanto, o custo tende a ser um pequeno problema.

Para o roteamento, eu instalaria uma rota padrão no firewall para apontar para N7K vrf: Global, que executaria OSPF ou EIGRP e aprenderia rotas para outras redes de segurança mais baixa. Para a High Secure Zone, eu instalaria um vrf: Internal em todos os N5K e N7K e, provavelmente, executaria o BGP, pois o MPLS no N7K requer o uso do MP-BGP. Isso aprenderia apenas rotas para o SITE2 Internal Server Farm e para os usuários internos (nossos aplicativos precisam de L3 entre sites para impedir a divisão do cérebro). Também preciso tomar muito cuidado para não permitir que o vrf: Global troque rotas com o vrf: Internal, pois isso criaria um pesadelo assimétrico com os Stateful Firewalls, fornecendo conexão L3 entre os 2 vrf's. Uma rota padrão simples no site local N5K e Firewall e uma rota de resumo no N7K apontando para as sub-redes internas do servidor evitarão esse problema.

Como alternativa, considerei construir outro VDC fora do N7K para fornecer FHRP e mover os firewalls para o VDC. O N5K usaria apenas o FabricPath e nenhum L3 de qualquer tipo.

Como esse provavelmente não é um design típico, eu gostaria de receber algum feedback sobre isso.

q

Roubar
fonte
Você está executando o MPLS no seu N7k? Você (ou seus requisitos de escala) exige que o N5k seja gateways L3, ou o roteamento pode ser centralizado no N7k com vPC / FP para o N5k? A nuvem de 'roteamento global' está sob seu controle ou é uma VPN MPLS (L2 ou L3?) De uma operadora?
Cpt_fink 6/05/15
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

2

Talvez eu tenha lido errado, você permite que usuários e servidores internos na mesma zona de segurança, tudo que você precisa é usuários e servidores internos em diferentes domínios da camada 2? Não crie vrf e roteamento entre vrf apenas para esse fim. Deve haver uma maneira mais simples de fazer isso, por exemplo, diferentes V3 de camada3 + ACL.

No 7K, você fornece 1 vlan 100 para usuários e 1 vlan 200 para servidores internos; na interface de vlan dos usuários, você pode adicionar a ACL para permitir apenas onde deseja que os usuários alcancem. É possível configurar na minha opinião, se você vir algo no seu ambiente que não suporta isso, informe-me e podemos discutir.

Se você deseja executar o caminho da malha, pode usar 4 links 5k-7k para executar o caminho da malha, pode adicionar mais um link apenas para as vlan 100 e 200 do tronco entre 5k e 7K.

theccie
fonte
0

Parece complicado. Em vez de os ASA prenderem, colocá-los em linha (no meio, dobra os requisitos de interface física, mas sua empresa obviamente tem o dinheiro). Basta ter o design de acesso e agregação (principal). Obter roteadores para rotear e switches para alternar.

É tudo o que tenho ... Espero que ajude?

Ronnie Royston
fonte