Cisco ASA và nhiều Vlan


9

Tôi hiện đang quản lý 6 thiết bị Cisco ASA (2 cặp 5510 và 1 cặp 5550). Tất cả đều hoạt động khá độc đáo và ổn định, vì vậy đây là câu hỏi tư vấn thực hành tốt nhất thay vì "OMG nó bị hỏng giúp tôi sửa nó".

Mạng của tôi được chia thành nhiều Vlan. Khá nhiều vai trò dịch vụ có Vlan riêng nên các máy chủ DB sẽ có Vlan, máy chủ APP, nút Cassandra riêng.

Lưu lượng truy cập đang được quản lý chỉ cho phép cụ thể, từ chối những điều cơ bản còn lại (vì vậy chính sách mặc định là giảm tất cả lưu lượng truy cập). Tôi làm điều này bằng cách tạo hai ACL trên mỗi giao diện mạng, ví dụ:

  • danh sách truy cập dc2-850-db-in ACL đang được áp dụng cho giao diện dc2-850-db theo hướng "theo"
  • danh sách truy cập dc2-850-db-out ACL đang được áp dụng cho giao diện dc2-850-db theo hướng "out"

Tất cả đều khá chặt chẽ và hoạt động như mong đợi, tuy nhiên tôi đã tự hỏi liệu đây có phải là cách tốt nhất để đi không? Hiện tại tôi đã đến một điểm mà tôi có hơn 30 Vlan và tôi phải nói rằng nó trở nên hơi khó hiểu ở một số điểm để quản lý chúng.

Có lẽ một cái gì đó giống như các ACL thông thường / được chia sẻ sẽ giúp ích ở đây mà tôi có thể thừa hưởng từ các ACL khác nhưng AFAIK không có thứ đó ...

Lời khuyên nào cũng đánh giá cao.


3
Bạn đã xem xét làm phẳng không gian địa chỉ và sử dụng private vlans? Một lựa chọn khác có thể là phá vỡ các đơn vị kinh doanh vào VRFs. Một trong số đó có thể giúp quản lý một số vụ nổ của các yêu cầu ACL. Thành thật mà nói, thật khó để bình luận về câu hỏi này bởi vì rất nhiều phụ thuộc vào lý do kinh doanh và kỹ thuật cho thiết kế hiện tại của bạn
Mike Pennington

Cảm ơn Mike - Tôi sẽ đọc một chút về cả hai bạn đã đề cập.
bart613

Bạn hoan nghênh ... ý tưởng cơ bản đằng sau cả hai gợi ý là bạn xây dựng ranh giới lớp 2 hoặc lớp 3 tự nhiên dựa trên nhu cầu kinh doanh cho phép tất cả giao tiếp giữa các máy chủ trong cùng một chức năng kinh doanh. Tại thời điểm đó, bạn sẽ cần tường lửa giữa các lợi ích kinh doanh. Nhiều công ty đang xây dựng VPN riêng cho từng đơn vị kinh doanh trong công ty; khái niệm này tương tự như những gì tôi đề xuất ở đây, nhưng VPN sẽ là cục bộ bên trong cơ sở của bạn (và dựa trên vlans hoặc VRF riêng)
Mike Pennington

Câu trả lời:


1

Dành cho bạn có thiết bị Cisco ASA (2 cặp 5510 và 1 cặp 5550). Điều này có nghĩa là bạn đang di chuyển khỏi bộ lọc gói bằng acls và chuyển sang các kỹ thuật dựa trên vùng tường lửa trong ASA.

Tạo bản đồ lớp, bản đồ chính sách và chính sách dịch vụ.

Các đối tượng mạng sẽ làm cho cuộc sống của bạn dễ dàng.

Xu hướng trong kỹ thuật tường lửa là

lọc gói - kiểm tra gói - kiểm tra ip (kiểm tra trạng thái) - Zonebasingfirewall

Những kỹ thuật này đã được thực hiện để nó ít gây nhầm lẫn khi các khu vực tăng lên.

Có một cuốn sách, bạn có thể muốn đọc.

Quản trị viên tình cờ - Nó thực sự giúp tôi.

Có một cái nhìn và di chuyển từ acls theo hai hướng khác nhau.

Với ASAs bạn sẽ không gặp vấn đề gì.

Trước đây, tôi đã thực hiện kiểm tra ip 800 series và ZBF, sau đó so sánh các ưu điểm và họ đã sử dụng kỹ thuật tương tự trong ASAs chuyển từ lọc gói sang kiểm tra ip nâng cao.


don, tôi không thấy bất kỳ chương nào thảo luận về việc di chuyển khỏi việc lọc bằng cách sử dụng acls trong cuốn sách (của bạn?). Bạn có thể giới thiệu tôi đến chương và trang?
3molo

0

Một giải pháp rất đơn giản (và, thừa nhận, một chút gian lận) sẽ là gán cho mỗi giao diện Vlan một mức bảo mật phù hợp với lưu lượng mà nó cần cho phép.

Sau đó same-security-traffic permit inter-interface, bạn có thể đặt , do đó không cần phải định tuyến cụ thể và bảo mật cùng một Vlan trên nhiều thiết bị.

Nó sẽ không cắt giảm số lượng Vlan, nhưng có lẽ nó sẽ giảm một nửa số lượng ACL bạn cần cho các Vlan tiếp cận trên cả 3 tường lửa.

Tất nhiên, không có cách nào để tôi biết nếu điều này có ý nghĩa trong môi trường của bạn.


0

Tại sao bạn có cả danh sách truy cập trong và ngoài nước? Bạn nên cố gắng bắt lưu lượng truy cập càng gần nguồn càng tốt. Điều đó có nghĩa là chỉ các danh sách truy cập trong nước, giảm một nửa tổng số ACL của bạn. Điều này sẽ giúp giữ phạm vi xuống. Khi chỉ có một danh sách truy cập có thể có trên mỗi luồng, ASA của bạn sẽ trở nên dễ bảo trì hơn và quan trọng hơn: dễ khắc phục sự cố hơn khi có sự cố.

Ngoài ra, có phải tất cả các Vlan phải vượt qua tường lửa để tiếp cận nhau không? Điều này hạn chế nghiêm trọng thông lượng. Hãy nhớ rằng: ASA là một tường lửa, không phải là một bộ định tuyến (tốt).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.