Tôi đang trong quá trình điều khiển mạng của chúng tôi, vấn đề tôi tiếp tục quay lại là: cố gắng đưa lớp 3 vào lõi, trong khi vẫn có một tường lửa tập trung.
Vấn đề chính tôi gặp ở đây là các công tắc "lõi nhỏ" mà tôi đang tìm kiếm luôn có giới hạn ACL trong phần cứng thấp, thậm chí ở kích thước hiện tại của chúng tôi, chúng tôi có thể nhanh chóng đạt được. Tôi hiện đang (hy vọng) mua một cặp EX4300-32F cho lõi, nhưng tôi đã xem xét các mẫu khác và các tùy chọn khác từ phạm vi ICX của Juniper và Brocade. Tất cả chúng dường như có cùng giới hạn ACL thấp.
Điều này có ý nghĩa hoàn hảo vì các công tắc lõi cần có khả năng duy trì định tuyến tốc độ dây, vì vậy đừng muốn hy sinh quá nhiều thông qua xử lý ACL. Vì vậy, tôi không thể tự làm tất cả các tường lửa của mình trên lõi.
Tuy nhiên, chúng tôi chủ yếu làm các máy chủ được quản lý hoàn toàn và việc có tường lửa tập trung (trạng thái) sẽ giúp ích rất nhiều cho việc quản lý đó - vì chúng tôi không thể có khách hàng nói chuyện trực tiếp với nhau. Tôi muốn giữ nó theo cách đó nếu chúng ta có thể, nhưng tôi cảm thấy như thể hầu hết các mạng ISP sẽ không làm điều này, vì vậy trong hầu hết các trường hợp, việc định tuyến trong lõi sẽ dễ dàng hơn.
Để tham khảo, đây là cấu trúc liên kết lý tưởng tôi muốn làm (nhưng không chắc chắn nơi phù hợp với FW rõ ràng).
Giải pháp Curent
Ngay bây giờ, chúng tôi có một cấu hình bộ định tuyến. Điều này cho phép chúng tôi thực hiện NAT, tường lửa trạng thái và định tuyến Vlan tất cả trong một điểm. Rất đơn giản.
Tôi có thể tiếp tục với (khoảng) giải pháp tương tự bằng cách mở rộng L2 đến tận "đỉnh" của mạng của chúng tôi - các bộ định tuyến biên. Nhưng sau đó tôi mất tất cả những lợi ích của việc định tuyến tốc độ dây mà lõi có thể mang lại cho tôi.
IIRC, các bộ chuyển mạch lõi có thể thực hiện định tuyến 464 Gbps trong khi các bộ định tuyến biên của tôi có thể cung cấp khoảng 10 hoặc 20 Gbps nếu tôi may mắn. Đây không phải là vấn đề về mặt kỹ thuật ngay bây giờ, mà là vấn đề tăng trưởng. Tôi cảm thấy như thể bây giờ chúng ta không thiết kế kiến trúc để tận dụng khả năng định tuyến lõi, sẽ rất khó để làm lại mọi thứ khi chúng ta lớn hơn và cần phải tận dụng khả năng đó. Tôi muốn có nó ngay lần đầu tiên.
Phương pháp khả thi
Lớp 3 để truy cập
Tôi nghĩ rằng có lẽ tôi có thể mở rộng L3 cho các công tắc truy cập và do đó chia các quy tắc tường lửa thành các phân đoạn nhỏ hơn để phù hợp với giới hạn phần cứng của ACL của công tắc truy cập. Nhưng:
- Theo như tôi biết, đây sẽ không phải là những ACL có trạng thái
- L3 to Access, với tôi, dường như không linh hoạt hơn nhiều. Di chuyển máy chủ hoặc di chuyển VM sang các tủ khác sẽ đau đớn hơn.
- Nếu tôi sẽ quản lý một tường lửa ở đầu mỗi giá (chỉ sáu trong số chúng), tôi có thể muốn tự động hóa bằng mọi cách. Vì vậy, tại thời điểm đó, không có nhiều bước nhảy vọt để tự động hóa việc quản lý tường lửa ở cấp máy chủ. Do đó tránh được toàn bộ vấn đề.
Tường lửa bắc cầu / trong suốt trên mỗi đường lên giữa truy cập / lõi
Điều này sẽ phải liên quan đến nhiều hộp tường lửa và tăng đáng kể phần cứng cần thiết. Và có thể đắt hơn so với việc mua các bộ định tuyến lõi lớn hơn, thậm chí sử dụng các hộp Linux cũ đơn giản làm tường lửa.
Bộ định tuyến lõi khổng lồ
Có thể mua một thiết bị lớn hơn có thể làm tường lửa tôi cần và có khả năng định tuyến lớn hơn nhiều. Nhưng thực sự không có ngân sách cho nó, và nếu tôi đang cố gắng làm cho một thiết bị làm một cái gì đó không được thiết kế cho nó, có lẽ tôi sẽ phải đi đến một thông số kỹ thuật cao hơn nhiều. hơn tôi sẽ khác
Không có tường lửa tập trung
Vì tôi đang nhảy qua vòng, có lẽ điều này không đáng để cố gắng. Đó luôn là một điều tốt đẹp để có, và đôi khi là một điểm bán hàng cho những khách hàng muốn có tường lửa "phần cứng".
Nhưng dường như việc có một tường lửa tập trung cho mạng "toàn bộ" của bạn là không thể thực hiện được. Sau đó, tôi tự hỏi làm thế nào các ISP lớn hơn có thể cung cấp các giải pháp tường lửa phần cứng cho khách hàng với các máy chủ chuyên dụng, khi họ có hàng trăm hoặc thậm chí hàng ngàn máy chủ?
Bất cứ ai cũng có thể nghĩ ra một cách giải quyết vấn đề này? Hoặc là một cái gì đó tôi đã bỏ lỡ hoàn toàn, hoặc một biến thể về một trong những ý tưởng ở trên?
CẬP NHẬT 2014-06-16:
Dựa trên đề xuất của @ Ron, tôi tình cờ thấy bài viết này giải thích khá rõ vấn đề tôi đang gặp phải, và một cách tốt để giải quyết vấn đề.
Trừ khi có đề xuất khác, tôi sẽ nói đây là loại vấn đề đề xuất sản phẩm, vì vậy tôi cho rằng đó là kết thúc của nó.
http://it20.info/2011/03/the-93-000-firewall-rules-probols-and-why-cloud-is-not-just-orchestration/