Cisco ASA та декілька VLAN

Наразі я керую 6 пристроями Cisco ASA (2 пари 5510s та 1 пара 5550s). Всі вони працюють дуже приємно і стабільно, тому це скоріше питання щодо найкращої практики, а не "OMG це зламано, допоможіть мені це виправити".

Моя мережа розділена на кілька VLAN. Практично кожна роль служби має власну VLAN, тому сервери БД матимуть власні VLAN, APP-сервери, вузли Cassandra.

Управління трафіком здійснюється лише з дозволеними основами відмови від відпочинку (тому політика за замовчуванням - це скинути весь трафік). Я роблю це, створюючи два ACL на мережевий інтерфейс, наприклад:

• список доступу dc2-850-db-in ACL, який застосовується до інтерфейсу dc2-850-db у напрямку "in"
• ACL-список доступу dc2-850-db-out, який застосовується до інтерфейсу dc2-850-db у напрямку "out"

Це все досить тісно і працює, як очікувалося, проте мені було цікаво, чи це найкращий шлях? На даний момент я дійшов до точки, де у мене більше 30 VLAN, і я мушу сказати, що в деяких точках управління ними стає дещо заплутаним.

Можливо, щось подібне до спільних / спільних ACL допомогло б тут, що я міг би успадкувати від інших ACL, але AFAIK такого немає ...

Будь-яка порада дуже цінується.

Для вас є пристрої Cisco ASA (2 пари 5510s та 1 пара 5550s). Це означає, що ви віддаляєтеся від фільтрації пакетів за допомогою acls і переходите до методів, заснованих на зоні брандмауера в ASA.

Створіть карти класів, карти політик та сервісні політики.

Мережеві об’єкти полегшать ваше життя.

Тенденція техніки брандмауера є

фільтрація пакетів - перевірка пакетів - ip Inspect (державна перевірка) - Zonebasedfirewall

Ці методи були зроблені для того, щоб вони були менш заплутаними в міру збільшення площ.

Є книга, ви можете прочитати.

Випадковий адміністратор - Мені дуже допомогли.

Погляньте на це і рухайтеся від аклів у двох різних напрямках.

З ASA у вас не повинно виникнути проблем.

Раніше я робив ip Inspection 800 серії та ZBF, потім порівнював там свої переваги, і вони використовували ту саму техніку в ASA, відходячи від фільтрації пакетів до розширеного інспектування ip.

Одне дуже просте (і, правда, трохи чітке) рішення - присвоїти кожному інтерфейсу VLAN рівень безпеки, відповідний трафіку, який він повинен дозволити.

Потім можна встановити same-security-traffic permit inter-interface, тим самим усуваючи необхідність спеціально прокладати та захищати ту саму VLAN на кількох пристроях.

Він не зменшить кількість VLAN, але, ймовірно, вдвічі зменшить кількість ACL, необхідних для VLAN, що охоплюють усі 3 брандмауери.

Звичайно, для мене немає можливості знати, чи це має сенс у вашому оточенні.

Чому у вас є як вхідні, так і вихідні списки доступу? Вам слід спробувати зафіксувати трафік якомога ближче до джерела. Це означатиме лише вхідні списки доступу, удвічі зменшивши вашу загальну кількість ACL. Це допоможе зменшити сферу застосування. Якщо у вас буде лише один можливий список доступу в потоці, ваш ASA стане простішим у обслуговуванні та ще важливіше: легше усунути неполадки, коли все піде не так.

Також чи всі VLAN повинні пройти повз брандмауера, щоб дістатися один до одного? Це сильно обмежує пропускну здатність. Пам'ятайте: ASA - це брандмауер, а не (хороший) маршрутизатор.