Tôi có 2 Trang web của Trung tâm điều khiển, mỗi trang có 2 N7K trong thiết kế lưới đầy đủ và 2 Nexus 5548UP là Tập hợp trang trại máy chủ nội bộ và 2 Tường lửa ASA treo trên mỗi N5K Agg. Cả hai trang web đều có thiết kế hình ảnh phản chiếu. Chúng tôi có người dùng cần truy cập trực tiếp vào Ứng dụng máy chủ nội bộ và chúng tôi cũng cần ranh giới bảo mật cho các yêu cầu kết nối ngoài từ Ứng dụng máy chủ nội bộ. Ngoài ra, tôi cần lưu trữ DMZ riêng trong Agg để tách các yêu cầu kết nối gửi đến khỏi vùng chúng tôi phân loại là vùng bảo mật thấp hơn (N7K CORE sẽ sử dụng vrf: Global cho các tuyến đến mạng con bảo mật thấp hơn).
Thông thường người dùng sẽ được coi là vùng an toàn thấp hơn nhưng thiết kế này là để lưu trữ một hệ thống điều khiển cho một mạng lưới điện lớn. Với suy nghĩ này, tôi cũng không muốn kết nối trực tiếp người dùng với N5K Agg để cho phép SITE1 Server Farm Agg khả năng ngừng cho phép SITE 2 lưu trữ các ứng dụng (hiện tại chúng tôi kết nối người dùng với cùng một công tắc vật lý như các ứng dụng) . Tôi muốn cung cấp một thiết kế Trung tâm Dữ liệu cổ điển trong đó Người dùng định tuyến đến Trang trại Máy chủ từ HA L3 CORE (4 x N7K Full Grid). Tuy nhiên, vì chúng được coi là cùng mức bảo mật với Máy chủ nội bộ của hồi giáo, tôi muốn cách ly chúng thành một đám mây VPN riêng được lưu trữ trên N7K CORE. Vì MPLS hỗ trợ của N7K, tuy nhiên, điều này sẽ hợp lý nhất, tuy nhiên, thiết kế hiện tại của tôi có ranh giới L2 / L3 cho Máy chủ nội bộ tại Tập hợp Nexus 5548 do tường lửa cũng được kết nối ở đó. Nexus 5K không hỗ trợ MPLS nhưng chúng hỗ trợ VRF Lite. Các N5K cũng được kết nối trong một mạng lưới đầy đủ với N7K địa phương tại mỗi trang web.
Để sử dụng tất cả 4 liên kết giữa N5K và N7K, tôi cần phải định cấu hình các liên kết pt đến pt L3 để chim bồ câu có ý tưởng cách ly lưu lượng truy cập Nội bộ khỏi Lõi khỏi lưu lượng truy cập cần chuyển tiếp tường lửa hoặc tôi có thể sử dụng FabricPath giữa 5K và 7K và sử dụng vrf lite trong đó các vlans FabricPath duy nhất sẽ là giao diện SVI nằm giữa 4 nút và vlan bên ngoài của Tường lửa để kết nối bảng vrf: Global Routing của N7K. Điều này có thể là quá mức cần thiết vì chúng phải được cấp phép, nhưng chúng tôi có các yêu cầu bảo mật duy nhất nên chi phí có xu hướng là một vấn đề nhỏ.
Để định tuyến, tôi sẽ cài đặt một tuyến mặc định trong tường lửa để trỏ đến N7K vrf: Global sẽ chạy OSPF hoặc EIGRP và tìm hiểu các tuyến đến các mạng bảo mật thấp hơn khác. Đối với Vùng bảo mật cao, tôi sẽ cài đặt vrf: Internal trên tất cả N5K và N7K và hầu hết sẽ chạy BGP vì MPLS tại N7K yêu cầu sử dụng MP-BGP. Điều này sẽ chỉ tìm hiểu các tuyến đường cho Trang trại máy chủ nội bộ SITE2 và Người dùng nội bộ (các ứng dụng của chúng tôi cần L3 giữa các trang web để ngăn chặn bộ não bị phân tách). Tôi cũng phải hết sức cẩn thận khi không cho phép vrf: Global chuyển đổi tuyến đường với vrf: Internal vì điều này sẽ tạo ra một cơn ác mộng giả định với Tường lửa Stateful cung cấp kết nối L3 giữa 2 vrf. Một tuyến mặc định đơn giản tại N5K và Tường lửa cục bộ và một tuyến tóm tắt trong N7K trỏ đến Mạng con Máy chủ Nội bộ sẽ ngăn chặn sự cố đó.
Thay vào đó, tôi đã cân nhắc việc xây dựng một VDC khác ngoài N7K để cung cấp FHRP và chuyển tường lửa đến VDC. N5K sẽ chỉ sử dụng FabricPath và không có L3.
Vì đây rất có thể không phải là một thiết kế điển hình, tôi sẽ đánh giá cao bất kỳ phản hồi nào về việc này.