Як підключити приватних користувачів до програм у довіреній мережі без прямого підключення до серверного комутатора


9

У мене є 2 сайти Центру управління, кожен з яких має 2 N7K з повною сіткою та 2 Nexus 5548UP як агрегацію внутрішнього фермерського сервера та 2 брандмауери ASA, що звисають з кожного N5K Agg. Обидва сайти мають дизайн дзеркального зображення. У нас є користувачі, яким потрібен прямий доступ до внутрішніх додатків для фермерських серверів, а також нам потрібна межа безпеки для запитів на вихідні з'єднання із додатків внутрішніх серверів. Крім того, мені потрібно розмістити приватні DMZ в межах Agg, щоб виділити запити вхідного з'єднання від того, що ми класифікуємо як нижчі зони безпеки (N7K CORE буде використовувати vrf: Global для маршрутів до нижчих підмереж безпеки).

Зазвичай користувачем вважаються нижчі захищені зони, але ця конструкція призначена для розміщення системи управління для великої електромережі. Зважаючи на це, я також не хочу підключати користувачів безпосередньо до Ag5 N5K, щоб дозволити SITE1 Server Farm Agg знижуватися, дозволяючи SITE 2 розміщувати програми (зараз ми підключаємо користувачів до того ж фізичного перемикача, що і програми) . Я хотів би надати класичний дизайн Центру обробки даних, коли користувачі рухаються до ферми серверів від HA L3 CORE (4 x N7K Full Mesh). Однак, оскільки вони вважаються таким же рівнем безпеки, що і "внутрішні сервери", я хочу виділити їх у приватну хмару VPN, розміщену на N7K CORE. Як підтримка MPLS від N7K, це було б найбільш логічно, моя поточна конструкція має межу L2 / L3 для внутрішніх серверів на агрегації Nexus 5548, оскільки між ними також підключені міжмережеві стіни. Nexus 5K не підтримує MPLS, але вони підтримують VRF Lite. N5K також підключаються в повній сітці до локальних N7K на кожній ділянці.

Щоб використовувати всі 4 ланки між N5K і N7K, мені або потрібно налаштувати pt на pt L3 посилання, які блукають ідеєю виділення внутрішнього трафіку користувача від Core від трафіку, який потребує переадресації брандмауера, або я можу використовувати FabricPath між 5K та 7K та використовуйте vrf lite, де єдиним вланом FabricPath буде інтерфейс SVI між 4-ма вузлами та зовнішньою програмою брандмауера для підключення vrf таблиці N7K: Global Routing. Це, мабуть, надмірне значення, оскільки вони мають бути ліцензованими, але у нас є унікальні вимоги безпеки, тому вартість, як правило, є невеликою проблемою.

Для маршрутизації я б встановив маршрут у брандмауері за замовчуванням, щоб вказати на N7K vrf: Global, який би запускав OSPF або EIGRP та навчав маршрути до інших нижчих мереж безпеки. Для зони високої безпеки я встановив би vrf: Internal на всіх N5K та N7K, і більшість подібних запускається BGP, оскільки MPLS в N7K вимагає використання MP-BGP. Це дізнається лише маршрути для внутрішньої ферми серверів SITE2 та внутрішніх користувачів (для наших додатків потрібен L3 між Сайтами, щоб запобігти розбиттю мозку). Я також повинен дуже обережно не дозволити vrf: Global не обмінюватися маршрутами з vrf: Internal, оскільки це створило б асиметричний кошмар із брандмауерами Stateful, що забезпечують зв'язок L3 між двома vrf-кодами. Простий маршрут за замовчуванням на локальних веб-сайтах N5K та брандмауер та зведений маршрут у N7K, що вказує на внутрішні підмережі сервера, запобігатиме цій проблемі.

Альтернативно, я розглядав можливість побудувати ще один VDC від N7K, щоб забезпечити FHRP та перемістити брандмауери до VDC. N5K використовує лише FabricPath і не має жодного L3.

Оскільки це, швидше за все, не типовий дизайн, я буду вдячний за будь-які відгуки з цього приводу.

q


На даний момент ви використовуєте MPLS на своєму N7k? Ви (або ваші вимоги до масштабу) вимагаєте, щоб ваш N5k був шлюзом L3, або могла б маршрутизація бути централізованою на N7k з vPC / FP до N5k? Чи хмара "глобальної маршрутизації" під вашим контролем, або MPLS VPN (L2 або L3?) Від оператора?
cpt_fink

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.
Рон Моупін

Відповіді:


2

Можливо, я неправильно прочитав, ви дозволяєте користувачам та внутрішнім серверам в одній зоні безпеки, все що вам потрібно - це користувачі та внутрішні сервери в домені іншого рівня 2? Не створюйте vrf та маршрутизацію між vrf саме для цієї мети. Має бути простіший спосіб зробити це, наприклад, різні шари3 Влани + ACL.

На 7K ви даєте 1 vlan 100 для користувачів та 1 vlan 200 для внутрішніх серверів, в інтерфейсі користувачів vlan ви можете просто додати ACL, щоб дозволити лише туди, де ви хочете, щоб користувачі могли дістатися. На мою думку, можна налаштувати, якщо ви бачите, що щось у вашому оточенні не підтримує цього, скажіть, і ми можемо обговорити.

Якщо ви хочете запустити шлях до тканини, ви можете використовувати 4 посилання 5k-7k для запуску контуру тканини, ви можете додати ще одне посилання лише для стовбура vlan 100 і 200 між 5k і 7K.


0

Виглядає складно. Замість закріплених ASA приставте їх до вбудованих (між тим, що вони подвоюють фізичні вимоги до інтерфейсу, але у вашої компанії, очевидно, є гроші). Просто мати доступ та агрегацію (основний) дизайн. Додайте маршрутизатори до маршруту та перемикачі для комутації.

Це про все, що я маю ... Сподіваюся, це допомагає?

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.