Наразі я керую 6 пристроями Cisco ASA (2 пари 5510s та 1 пара 5550s). Всі вони працюють дуже приємно і стабільно, тому це скоріше питання щодо найкращої практики, а не "OMG це зламано, допоможіть мені це виправити".
Моя мережа розділена на кілька VLAN. Практично кожна роль служби має власну VLAN, тому сервери БД матимуть власні VLAN, APP-сервери, вузли Cassandra.
Управління трафіком здійснюється лише з дозволеними основами відмови від відпочинку (тому політика за замовчуванням - це скинути весь трафік). Я роблю це, створюючи два ACL на мережевий інтерфейс, наприклад:
- список доступу dc2-850-db-in ACL, який застосовується до інтерфейсу dc2-850-db у напрямку "in"
- ACL-список доступу dc2-850-db-out, який застосовується до інтерфейсу dc2-850-db у напрямку "out"
Це все досить тісно і працює, як очікувалося, проте мені було цікаво, чи це найкращий шлях? На даний момент я дійшов до точки, де у мене більше 30 VLAN, і я мушу сказати, що в деяких точках управління ними стає дещо заплутаним.
Можливо, щось подібне до спільних / спільних ACL допомогло б тут, що я міг би успадкувати від інших ACL, але AFAIK такого немає ...
Будь-яка порада дуже цінується.
private vlans
? Іншою альтернативою може бути втручання бізнес-одиницьVRFs
. Жоден із них може допомогти впоратися з деяким вибухом вимог ACL. Чесно кажучи, важко прокоментувати це питання, оскільки стільки залежить від ділових та технічних причин існуючого дизайну