Cách kết nối người dùng riêng với các ứng dụng trong mạng đáng tin cậy mà không cần kết nối trực tiếp với Chuyển đổi máy chủ


9

Tôi có 2 Trang web của Trung tâm điều khiển, mỗi trang có 2 N7K trong thiết kế lưới đầy đủ và 2 Nexus 5548UP là Tập hợp trang trại máy chủ nội bộ và 2 Tường lửa ASA treo trên mỗi N5K Agg. Cả hai trang web đều có thiết kế hình ảnh phản chiếu. Chúng tôi có người dùng cần truy cập trực tiếp vào Ứng dụng máy chủ nội bộ và chúng tôi cũng cần ranh giới bảo mật cho các yêu cầu kết nối ngoài từ Ứng dụng máy chủ nội bộ. Ngoài ra, tôi cần lưu trữ DMZ riêng trong Agg để tách các yêu cầu kết nối gửi đến khỏi vùng chúng tôi phân loại là vùng bảo mật thấp hơn (N7K CORE sẽ sử dụng vrf: Global cho các tuyến đến mạng con bảo mật thấp hơn).

Thông thường người dùng sẽ được coi là vùng an toàn thấp hơn nhưng thiết kế này là để lưu trữ một hệ thống điều khiển cho một mạng lưới điện lớn. Với suy nghĩ này, tôi cũng không muốn kết nối trực tiếp người dùng với N5K Agg để cho phép SITE1 Server Farm Agg khả năng ngừng cho phép SITE 2 lưu trữ các ứng dụng (hiện tại chúng tôi kết nối người dùng với cùng một công tắc vật lý như các ứng dụng) . Tôi muốn cung cấp một thiết kế Trung tâm Dữ liệu cổ điển trong đó Người dùng định tuyến đến Trang trại Máy chủ từ HA L3 CORE (4 x N7K Full Grid). Tuy nhiên, vì chúng được coi là cùng mức bảo mật với Máy chủ nội bộ của hồi giáo, tôi muốn cách ly chúng thành một đám mây VPN riêng được lưu trữ trên N7K CORE. Vì MPLS hỗ trợ của N7K, tuy nhiên, điều này sẽ hợp lý nhất, tuy nhiên, thiết kế hiện tại của tôi có ranh giới L2 / L3 cho Máy chủ nội bộ tại Tập hợp Nexus 5548 do tường lửa cũng được kết nối ở đó. Nexus 5K không hỗ trợ MPLS nhưng chúng hỗ trợ VRF Lite. Các N5K cũng được kết nối trong một mạng lưới đầy đủ với N7K địa phương tại mỗi trang web.

Để sử dụng tất cả 4 liên kết giữa N5K và N7K, tôi cần phải định cấu hình các liên kết pt đến pt L3 để chim bồ câu có ý tưởng cách ly lưu lượng truy cập Nội bộ khỏi Lõi khỏi lưu lượng truy cập cần chuyển tiếp tường lửa hoặc tôi có thể sử dụng FabricPath giữa 5K và 7K và sử dụng vrf lite trong đó các vlans FabricPath duy nhất sẽ là giao diện SVI nằm giữa 4 nút và vlan bên ngoài của Tường lửa để kết nối bảng vrf: Global Routing của N7K. Điều này có thể là quá mức cần thiết vì chúng phải được cấp phép, nhưng chúng tôi có các yêu cầu bảo mật duy nhất nên chi phí có xu hướng là một vấn đề nhỏ.

Để định tuyến, tôi sẽ cài đặt một tuyến mặc định trong tường lửa để trỏ đến N7K vrf: Global sẽ chạy OSPF hoặc EIGRP và tìm hiểu các tuyến đến các mạng bảo mật thấp hơn khác. Đối với Vùng bảo mật cao, tôi sẽ cài đặt vrf: Internal trên tất cả N5K và N7K và hầu hết sẽ chạy BGP vì MPLS tại N7K yêu cầu sử dụng MP-BGP. Điều này sẽ chỉ tìm hiểu các tuyến đường cho Trang trại máy chủ nội bộ SITE2 và Người dùng nội bộ (các ứng dụng của chúng tôi cần L3 giữa các trang web để ngăn chặn bộ não bị phân tách). Tôi cũng phải hết sức cẩn thận khi không cho phép vrf: Global chuyển đổi tuyến đường với vrf: Internal vì điều này sẽ tạo ra một cơn ác mộng giả định với Tường lửa Stateful cung cấp kết nối L3 giữa 2 vrf. Một tuyến mặc định đơn giản tại N5K và Tường lửa cục bộ và một tuyến tóm tắt trong N7K trỏ đến Mạng con Máy chủ Nội bộ sẽ ngăn chặn sự cố đó.

Thay vào đó, tôi đã cân nhắc việc xây dựng một VDC khác ngoài N7K để cung cấp FHRP và chuyển tường lửa đến VDC. N5K sẽ chỉ sử dụng FabricPath và không có L3.

Vì đây rất có thể không phải là một thiết kế điển hình, tôi sẽ đánh giá cao bất kỳ phản hồi nào về việc này.

q


Bạn hiện đang chạy MPLS trên N7k của bạn? Bạn (hoặc yêu cầu quy mô của bạn) có yêu cầu N5k của bạn là cổng L3 không, hoặc có thể định tuyến được tập trung trên N7k với vPC / FP đến N5k không? Là đám mây 'định tuyến toàn cầu' dưới sự kiểm soát của bạn hay MPLS VPN (L2 hoặc L3?) Từ một nhà mạng?
cpt_fink

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


2

Có lẽ tôi đã đọc sai, bạn cho phép người dùng và máy chủ nội bộ trong cùng một khu vực bảo mật, tất cả những gì bạn cần là người dùng và máy chủ nội bộ trong miền 2 lớp khác nhau? Đừng tạo vrf và định tuyến giữa vrf chỉ cho mục đích đó. Phải có cách đơn giản hơn để làm điều đó, ví dụ lớp 3 Vlans + ACL khác nhau.

Trên 7K bạn cung cấp 1 vlan 100 cho người dùng và 1 vlan 200 cho máy chủ nội bộ, trên giao diện vlan của người dùng, bạn chỉ có thể thêm ACL để chỉ cho phép nơi bạn muốn người dùng tiếp cận. Theo ý kiến ​​của tôi, có thể thiết lập, nếu bạn thấy bất cứ điều gì trong môi trường của bạn không hỗ trợ điều này, hãy cho tôi biết và chúng ta có thể thảo luận.

Nếu bạn muốn chạy đường dẫn vải, bạn có thể sử dụng 4 liên kết 5k-7k để chạy đường dẫn vải của mình, bạn có thể thêm một liên kết nữa chỉ cho thân vlan 100 và 200 trong khoảng từ 5k đến 7K.


0

Trông phức tạp. Thay vì sử dụng ASA, hãy đặt chúng trực tuyến (ở giữa có, nó tăng gấp đôi yêu cầu giao diện vật lý nhưng công ty của bạn rõ ràng có tiền). Đơn giản chỉ cần có quyền truy cập và tổng hợp (cốt lõi) thiết kế. Nhận bộ định tuyến để định tuyến và chuyển đổi để chuyển đổi.

Đó là tất cả những gì tôi có ... Hy vọng nó có ích?

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.