ฉันมีไซต์ศูนย์ควบคุม 2 แห่งแต่ละแห่งมี 2 N7Ks ในการออกแบบตาข่ายเต็มรูปแบบและ 2 Nexus 5548UP's เป็น Internal Server Farm Aggregation และ 2 ASA Firewalls ที่แขวนอยู่แต่ละ N5K Agg ทั้งสองไซต์มีการออกแบบภาพสะท้อนในกระจก เรามีผู้ใช้ที่ต้องการการเข้าถึงโดยตรงไปยังแอพพลิเคชั่นเซิร์ฟเวอร์ฟาร์มภายในและเราต้องการขอบเขตความปลอดภัยสำหรับการร้องขอการเชื่อมต่อขาออกจากแอปพลิเคชันเซิร์ฟเวอร์ภายใน นอกจากนี้ฉันต้องการโฮสต์ DMZ ส่วนตัวภายใน Agg เพื่อแยกคำขอการเชื่อมต่อขาเข้าจากสิ่งที่เราจัดว่าเป็นโซนความปลอดภัยที่ต่ำกว่า (N7K CORE จะใช้ vrf: Global สำหรับเส้นทางไปยังเครือข่ายย่อยความปลอดภัยต่ำ)
โดยทั่วไปผู้ใช้จะได้รับการพิจารณาว่าเป็นโซนที่มีความปลอดภัยต่ำกว่า แต่การออกแบบนี้ใช้สำหรับโฮสต์ระบบควบคุมสำหรับกริดพลังงานขนาดใหญ่ ด้วยสิ่งนี้ในใจฉันไม่ต้องการเชื่อมต่อผู้ใช้โดยตรงกับ N5K Agg เพื่ออนุญาตให้ SITE1 Server Farm Agg สามารถลงไปได้ทำให้ SITE 2 สามารถโฮสต์แอปพลิเคชัน (ขณะนี้เราเชื่อมต่อผู้ใช้กับสวิตช์ทางกายภาพเหมือนกับแอปพลิเคชัน) . ฉันต้องการให้การออกแบบศูนย์ข้อมูลแบบคลาสสิกที่ผู้ใช้กำหนดเส้นทางไปยังเซิร์ฟเวอร์ฟาร์มจาก HA L3 CORE (4 x N7K Full Mesh) อย่างไรก็ตามเนื่องจากถือว่าระดับความปลอดภัยเช่นเดียวกับ“ เซิร์ฟเวอร์ภายใน” ฉันต้องการแยกพวกเขาออกเป็น VPN Cloud ส่วนตัวที่โฮสต์บน N7K CORE ในฐานะที่เป็น NLS สนับสนุน MPLS สิ่งนี้จะเป็นเหตุผลที่สำคัญที่สุดอย่างไรก็ตาม การออกแบบปัจจุบันของฉันมีขอบเขต L2 / L3 สำหรับเซิร์ฟเวอร์ภายในที่ Nexus 5548 Aggregation เนื่องจากไฟร์วอลล์เชื่อมต่ออยู่ที่นั่นด้วย Nexus 5K ไม่รองรับ MPLS แต่รองรับ VRF Lite N5K นั้นเชื่อมต่อกันแบบเต็มตาข่ายกับ N7K ท้องถิ่นของแต่ละไซต์
ในการใช้ประโยชน์ลิงค์ทั้ง 4 ระหว่าง N5K และ N7K ฉันต้องกำหนดค่า pt เป็น pt L3 ซึ่ง pigeon hole ความคิดในการแยกการรับส่งข้อมูลผู้ใช้ภายในจากคอร์จากการรับส่งข้อมูลที่ต้องการส่งต่อไฟร์วอลล์หรือฉันสามารถใช้ FabricPath ระหว่าง 5K และ 7K's และใช้ vrf lite ซึ่ง FabricPath vlans เพียงอันเดียวจะเป็นอินเตอร์เฟส SVI ระหว่าง 4 โหนดและไฟร์วอลล์ภายนอก vlan สำหรับการเชื่อมต่อตาราง vrf ของ N7K ของ N7K นี่อาจเป็น overkill เนื่องจากสิ่งเหล่านี้ต้องได้รับอนุญาต แต่เรามีข้อกำหนดด้านความปลอดภัยที่ไม่เหมือนใครดังนั้นค่าใช้จ่ายจึงเป็นปัญหาเล็กน้อย
สำหรับการกำหนดเส้นทางฉันจะติดตั้งเส้นทางเริ่มต้นในไฟร์วอลล์เพื่อชี้ไปที่ N7K vrf: Global ซึ่งจะเรียกใช้ OSPF หรือ EIGRP และเส้นทางการเรียนรู้ไปยังเครือข่ายความปลอดภัยต่ำกว่าอื่น สำหรับโซนความปลอดภัยสูงฉันจะติดตั้ง vrf: Internal บน N5K และ N7K ทั้งหมดและส่วนใหญ่จะเรียกใช้ BGP เนื่องจาก MPLS ที่ N7K ต้องการการใช้ MP-BGP สิ่งนี้จะเป็นการเรียนรู้เส้นทางสำหรับฟาร์มเซิร์ฟเวอร์ SITE2 ภายในและผู้ใช้ภายใน (แอปพลิเคชันของเราต้องการ L3 ระหว่างไซต์เพื่อป้องกันสมองแตก) ฉันต้องระวังอย่างมากในการไม่อนุญาต vrf: Global จากการแลกเปลี่ยนเส้นทางด้วย vrf: ภายในเช่นนี้จะสร้างฝันร้ายแบบอะซิมเมทริกกับ Stateful Firewall ที่ให้การเชื่อมต่อ L3 ระหว่าง 2 vrf เส้นทางเริ่มต้นอย่างง่ายที่ไซต์ N5K ท้องถิ่นและไฟร์วอลล์และเส้นทางสรุปใน N7K ที่ชี้ไปยังเครือข่ายย่อยเซิร์ฟเวอร์ภายในจะป้องกันปัญหานั้น
ฉันคิดว่าจะสร้าง VDC อีกตัวจาก N7K เพื่อให้ FHRP และย้ายไฟร์วอลล์ไปที่ VDC N5K จะใช้ FabricPath เท่านั้นและไม่มี L3 ใด ๆ
เนื่องจากนี่เป็นส่วนใหญ่ไม่ใช่การออกแบบทั่วไปฉันขอขอบคุณข้อเสนอแนะใด ๆ เกี่ยวกับเรื่องนี้
