Tôi hiện đang quản lý 6 thiết bị Cisco ASA (2 cặp 5510 và 1 cặp 5550). Tất cả đều hoạt động khá độc đáo và ổn định, vì vậy đây là câu hỏi tư vấn thực hành tốt nhất thay vì "OMG nó bị hỏng giúp tôi sửa nó".
Mạng của tôi được chia thành nhiều Vlan. Khá nhiều vai trò dịch vụ có Vlan riêng nên các máy chủ DB sẽ có Vlan, máy chủ APP, nút Cassandra riêng.
Lưu lượng truy cập đang được quản lý chỉ cho phép cụ thể, từ chối những điều cơ bản còn lại (vì vậy chính sách mặc định là giảm tất cả lưu lượng truy cập). Tôi làm điều này bằng cách tạo hai ACL trên mỗi giao diện mạng, ví dụ:
- danh sách truy cập dc2-850-db-in ACL đang được áp dụng cho giao diện dc2-850-db theo hướng "theo"
- danh sách truy cập dc2-850-db-out ACL đang được áp dụng cho giao diện dc2-850-db theo hướng "out"
Tất cả đều khá chặt chẽ và hoạt động như mong đợi, tuy nhiên tôi đã tự hỏi liệu đây có phải là cách tốt nhất để đi không? Hiện tại tôi đã đến một điểm mà tôi có hơn 30 Vlan và tôi phải nói rằng nó trở nên hơi khó hiểu ở một số điểm để quản lý chúng.
Có lẽ một cái gì đó giống như các ACL thông thường / được chia sẻ sẽ giúp ích ở đây mà tôi có thể thừa hưởng từ các ACL khác nhưng AFAIK không có thứ đó ...
Lời khuyên nào cũng đánh giá cao.
private vlans
? Một lựa chọn khác có thể là phá vỡ các đơn vị kinh doanh vàoVRFs
. Một trong số đó có thể giúp quản lý một số vụ nổ của các yêu cầu ACL. Thành thật mà nói, thật khó để bình luận về câu hỏi này bởi vì rất nhiều phụ thuộc vào lý do kinh doanh và kỹ thuật cho thiết kế hiện tại của bạn