Saya memiliki 2 Situs Pusat Kontrol masing-masing dengan 2 N7Ks dalam desain mesh penuh dan 2 Nexus 5548UP sebagai Internal Server Farm Aggregation dan 2 Firewall ASA yang tergantung pada masing-masing N5K Agg. Kedua Situs memiliki desain gambar cermin. Kami memiliki pengguna yang memerlukan akses langsung ke Aplikasi Internal Server Farm dan kami juga membutuhkan batas keamanan untuk permintaan koneksi keluar dari Aplikasi Server Internal. Selain itu, saya perlu meng-host DMZ pribadi di dalam Agg untuk mengisolasi permintaan koneksi masuk dari apa yang kami klasifikasikan sebagai zona keamanan yang lebih rendah (N7K CORE akan menggunakan vrf: Global untuk rute untuk menurunkan subnet jaringan keamanan yang lebih rendah).
Biasanya pengguna akan dianggap zona aman yang lebih rendah tetapi desain ini untuk hosting sistem kontrol untuk jaringan listrik besar. Dengan pemikiran ini saya juga tidak ingin menghubungkan pengguna secara langsung ke N5K Agg untuk memungkinkan SITE1 Server Farm Agg kemampuan untuk turun memungkinkan SITE 2 untuk meng-host aplikasi (saat ini kami menghubungkan pengguna ke saklar fisik yang sama dengan aplikasi) . Saya ingin memberikan desain Pusat Data klasik tempat Pengguna merutekan ke Server Farm dari HA L3 CORE (4 x N7K Full Mesh). Namun, karena mereka dianggap tingkat keamanan yang sama dengan "Server Internal", saya ingin mengisolasi mereka ke Cloud VPN pribadi yang dihosting di N7K CORE. Sebagai dukungan N7K MPLS, ini akan menjadi yang paling logis, desain saya saat ini memiliki batas L2 / L3 untuk Server Internal di Nexus 5548 Agregasi karena firewall juga terhubung di sana. Nexus 5K tidak mendukung MPLS tetapi mereka mendukung VRF Lite. N5K juga terhubung dalam jaringan penuh ke N7K lokal di setiap situs.
Untuk memanfaatkan semua 4 tautan antara N5K dan N7K, saya juga perlu mengkonfigurasi tautan pt ke p3 L3 yang meredam ide mengisolasi lalu lintas Pengguna Internal dari Core dari lalu lintas yang perlu meneruskan firewall, atau saya dapat menggunakan FabricPath antara 5K dan 7K dan gunakan vrf lite di mana satu-satunya FabricPath vlan adalah antarmuka SVI antara 4 node dan Firewall's Outside vlan untuk menghubungkan vrf N7K: Global Routing table. Ini mungkin berlebihan karena ini harus dilisensikan, tetapi kami memiliki persyaratan keamanan yang unik sehingga biaya cenderung menjadi masalah kecil.
Untuk Routing, saya akan menginstal rute default di firewall untuk menunjuk ke N7K vrf: Global yang akan menjalankan OSPF atau EIGRP dan mempelajari rute ke jaringan keamanan rendah lainnya. Untuk High Secure Zone, saya akan menginstal vrf: Internal pada semua N5K dan N7K dan yang paling disukai akan menjalankan BGP karena MPLS di N7K memerlukan penggunaan MP-BGP. Ini hanya akan mempelajari rute untuk SITE2 Internal Server Farm dan Pengguna Internal (aplikasi kami membutuhkan L3 antar Situs untuk mencegah otak terbelah). Saya juga harus sangat berhati-hati dalam tidak mengizinkan vrf: Global dari bertukar rute dengan vrf: Internal karena ini akan menciptakan mimpi buruk asimetris dengan Stateful Firewalls menyediakan koneksi L3 antara 2 vrf's. Rute default sederhana di Situs N5K dan Firewall lokal dan rute ringkasan di N7K yang menunjuk ke Subnet Server Internal akan mencegah masalah itu.
Sebagai alternatif, saya mempertimbangkan untuk membangun VDC lain dari N7K untuk menyediakan FHRP dan memindahkan firewall ke VDC. N5K hanya akan menggunakan FabricPath dan tidak ada L3 dalam bentuk apa pun.
Menjadi ini kemungkinan besar bukan desain yang khas, saya akan sangat menghargai umpan balik tentang ini.
sumber
Jawaban:
Mungkin saya salah baca, Anda mengizinkan pengguna dan server internal di zona keamanan yang sama, yang Anda butuhkan adalah pengguna dan server internal di berbagai lapisan 2 domain? Jangan membuat vrf dan routing antar vrf hanya untuk tujuan itu. Harus ada cara yang lebih sederhana untuk melakukannya, misalnya layer3 Vlans + ACL yang berbeda.
Pada 7K Anda memberikan 1 vlan 100 untuk pengguna dan 1 vlan 200 untuk server internal, pada antarmuka pengguna vlan, Anda bisa menambahkan ACL untuk memungkinkan hanya di mana Anda ingin mencapai pengguna. Dimungkinkan untuk mengatur menurut pendapat saya, jika Anda melihat sesuatu di lingkungan Anda tidak mendukung ini, beri tahu saya dan kami bisa berdiskusi.
Jika Anda ingin menjalankan jalur kain, Anda dapat menggunakan 4 tautan 5k-7k untuk menjalankan jalur kain Anda, Anda dapat menambahkan satu tautan lagi hanya untuk trunk vlan 100 dan 200 antara 5k dan 7K.
sumber
Terlihat rumit. Alih-alih hairpinned ASA's menempatkan mereka inline (di antara ya itu menggandakan persyaratan antarmuka fisik tetapi perusahaan Anda jelas punya uang). Cukup memiliki akses dan desain agregasi (inti). Dapatkan router untuk merutekan dan beralih untuk beralih.
Itu semua yang saya miliki ... Semoga ini bisa membantu?
sumber