Đối với VPN truy cập từ xa (RA) và LAN-to-LAN (L2L) , tôi hiện đang vận hành một cặp Bộ tập trung Cisco VPN 3005 được gắn với các bộ định tuyến biên Internet ở bên ngoài và bên trong được gắn với một cặp PIX 535 bên trong tường lửa bên ngoài giao diện trước khi được phép đi qua các mạng nội bộ thực sự của chúng tôi. Cả VPN 3005 và PIX 535 đều được thay thế bằng nền tảng ASA-5545X. Các tường lửa này không dành cho lưu lượng truy cập Internet chính của chúng tôi, chỉ có VPN và chúng cũng có thể đóng vai trò là tường lửa nội bộ cho lưu lượng truy cập vào trung tâm dữ liệu qua các đường riêng.
Với các ACL tường lửa nội bộ được kết hợp trong một tường lửa duy nhất phục vụ lưu lượng VPN và có khả năng lưu lượng dòng riêng khác, cho các ranh giới bảo mật và để loại bỏ bất kỳ vấn đề định tuyến tiềm năng nào, nên giao diện bên trong của tường lửa VPN (5545) nằm trong một mạng con riêng biệt từ tường lửa Internet chính hay nó thực sự không quan trọng? OSPF hiện đang chạy trên tường lửa Internet (w / default-originate) và VPN 3005. Vì trung tâm dữ liệu này là DC chính của chúng tôi cho lưu lượng truy cập web - bánh mì và bơ của chúng tôi - Tôi phải loại bỏ mọi vấn đề tiềm ẩn với vị trí của Tường lửa VPN có thể can thiệp vào điều này ngay cả trong một cách nhỏ nhất.
** Nên giao diện bên trong của 5545 hạ cánh trước trên các công tắc cạnh L2 và sau đó chuyển sang các công tắc agg để bảo mật tốt hơn hoặc chỉ cần thả thẳng vào lớp Agg, cũng xem xét lưu lượng dòng riêng có thể đi qua giao diện khác trên 5545 trong tương lai.
Chỉ các phần có liên quan của kết nối L3 được hiển thị bên dưới với ASA-5545X * đang được đề cập.
Internet | Cạnh rtr + Cạnh rtr | 5545 * (VPN / Internal fw) + 5540 (Internet fw cho lưu lượng vào / ra DC) | Agg-1 + Agg-2 | Vân vân Một cặp công tắc L2 kết nối tất cả các thiết bị cạnh trước khi đến các công tắc Agg. Không gian IP công cộng bên ngoài tường lửa, bên trong riêng tư. (Mỗi tường lửa là một phần của cặp chuyển đổi dự phòng riêng biệt không được hiển thị; 5545 và 5540 không có tương tác.)
Tìm kiếm câu trả lời / nhận xét có thể được coi là thực tiễn tốt nhất hoặc những gì bạn thấy hoạt động tốt nhất trong mạng doanh nghiệp thông thường.