วิธีเชื่อมต่อผู้ใช้ส่วนตัวกับแอปพลิเคชันภายในเครือข่ายที่เชื่อถือได้โดยไม่ต้องเชื่อมต่อโดยตรงกับสวิตช์เซิร์ฟเวอร์


9

ฉันมีไซต์ศูนย์ควบคุม 2 แห่งแต่ละแห่งมี 2 N7Ks ในการออกแบบตาข่ายเต็มรูปแบบและ 2 Nexus 5548UP's เป็น Internal Server Farm Aggregation และ 2 ASA Firewalls ที่แขวนอยู่แต่ละ N5K Agg ทั้งสองไซต์มีการออกแบบภาพสะท้อนในกระจก เรามีผู้ใช้ที่ต้องการการเข้าถึงโดยตรงไปยังแอพพลิเคชั่นเซิร์ฟเวอร์ฟาร์มภายในและเราต้องการขอบเขตความปลอดภัยสำหรับการร้องขอการเชื่อมต่อขาออกจากแอปพลิเคชันเซิร์ฟเวอร์ภายใน นอกจากนี้ฉันต้องการโฮสต์ DMZ ส่วนตัวภายใน Agg เพื่อแยกคำขอการเชื่อมต่อขาเข้าจากสิ่งที่เราจัดว่าเป็นโซนความปลอดภัยที่ต่ำกว่า (N7K CORE จะใช้ vrf: Global สำหรับเส้นทางไปยังเครือข่ายย่อยความปลอดภัยต่ำ)

โดยทั่วไปผู้ใช้จะได้รับการพิจารณาว่าเป็นโซนที่มีความปลอดภัยต่ำกว่า แต่การออกแบบนี้ใช้สำหรับโฮสต์ระบบควบคุมสำหรับกริดพลังงานขนาดใหญ่ ด้วยสิ่งนี้ในใจฉันไม่ต้องการเชื่อมต่อผู้ใช้โดยตรงกับ N5K Agg เพื่ออนุญาตให้ SITE1 Server Farm Agg สามารถลงไปได้ทำให้ SITE 2 สามารถโฮสต์แอปพลิเคชัน (ขณะนี้เราเชื่อมต่อผู้ใช้กับสวิตช์ทางกายภาพเหมือนกับแอปพลิเคชัน) . ฉันต้องการให้การออกแบบศูนย์ข้อมูลแบบคลาสสิกที่ผู้ใช้กำหนดเส้นทางไปยังเซิร์ฟเวอร์ฟาร์มจาก HA L3 CORE (4 x N7K Full Mesh) อย่างไรก็ตามเนื่องจากถือว่าระดับความปลอดภัยเช่นเดียวกับ“ เซิร์ฟเวอร์ภายใน” ฉันต้องการแยกพวกเขาออกเป็น VPN Cloud ส่วนตัวที่โฮสต์บน N7K CORE ในฐานะที่เป็น NLS สนับสนุน MPLS สิ่งนี้จะเป็นเหตุผลที่สำคัญที่สุดอย่างไรก็ตาม การออกแบบปัจจุบันของฉันมีขอบเขต L2 / L3 สำหรับเซิร์ฟเวอร์ภายในที่ Nexus 5548 Aggregation เนื่องจากไฟร์วอลล์เชื่อมต่ออยู่ที่นั่นด้วย Nexus 5K ไม่รองรับ MPLS แต่รองรับ VRF Lite N5K นั้นเชื่อมต่อกันแบบเต็มตาข่ายกับ N7K ท้องถิ่นของแต่ละไซต์

ในการใช้ประโยชน์ลิงค์ทั้ง 4 ระหว่าง N5K และ N7K ฉันต้องกำหนดค่า pt เป็น pt L3 ซึ่ง pigeon hole ความคิดในการแยกการรับส่งข้อมูลผู้ใช้ภายในจากคอร์จากการรับส่งข้อมูลที่ต้องการส่งต่อไฟร์วอลล์หรือฉันสามารถใช้ FabricPath ระหว่าง 5K และ 7K's และใช้ vrf lite ซึ่ง FabricPath vlans เพียงอันเดียวจะเป็นอินเตอร์เฟส SVI ระหว่าง 4 โหนดและไฟร์วอลล์ภายนอก vlan สำหรับการเชื่อมต่อตาราง vrf ของ N7K ของ N7K นี่อาจเป็น overkill เนื่องจากสิ่งเหล่านี้ต้องได้รับอนุญาต แต่เรามีข้อกำหนดด้านความปลอดภัยที่ไม่เหมือนใครดังนั้นค่าใช้จ่ายจึงเป็นปัญหาเล็กน้อย

สำหรับการกำหนดเส้นทางฉันจะติดตั้งเส้นทางเริ่มต้นในไฟร์วอลล์เพื่อชี้ไปที่ N7K vrf: Global ซึ่งจะเรียกใช้ OSPF หรือ EIGRP และเส้นทางการเรียนรู้ไปยังเครือข่ายความปลอดภัยต่ำกว่าอื่น สำหรับโซนความปลอดภัยสูงฉันจะติดตั้ง vrf: Internal บน N5K และ N7K ทั้งหมดและส่วนใหญ่จะเรียกใช้ BGP เนื่องจาก MPLS ที่ N7K ต้องการการใช้ MP-BGP สิ่งนี้จะเป็นการเรียนรู้เส้นทางสำหรับฟาร์มเซิร์ฟเวอร์ SITE2 ภายในและผู้ใช้ภายใน (แอปพลิเคชันของเราต้องการ L3 ระหว่างไซต์เพื่อป้องกันสมองแตก) ฉันต้องระวังอย่างมากในการไม่อนุญาต vrf: Global จากการแลกเปลี่ยนเส้นทางด้วย vrf: ภายในเช่นนี้จะสร้างฝันร้ายแบบอะซิมเมทริกกับ Stateful Firewall ที่ให้การเชื่อมต่อ L3 ระหว่าง 2 vrf เส้นทางเริ่มต้นอย่างง่ายที่ไซต์ N5K ท้องถิ่นและไฟร์วอลล์และเส้นทางสรุปใน N7K ที่ชี้ไปยังเครือข่ายย่อยเซิร์ฟเวอร์ภายในจะป้องกันปัญหานั้น

ฉันคิดว่าจะสร้าง VDC อีกตัวจาก N7K เพื่อให้ FHRP และย้ายไฟร์วอลล์ไปที่ VDC N5K จะใช้ FabricPath เท่านั้นและไม่มี L3 ใด ๆ

เนื่องจากนี่เป็นส่วนใหญ่ไม่ใช่การออกแบบทั่วไปฉันขอขอบคุณข้อเสนอแนะใด ๆ เกี่ยวกับเรื่องนี้

Q


คุณกำลังใช้งาน MPLS บน N7k ของคุณหรือไม่ คุณ (หรือข้อกำหนดด้านเครื่องชั่งของคุณ) กำหนดให้ N5k ของคุณเป็นเกตเวย์ L3 หรือไม่หรือสามารถกำหนดเส้นทางเป็นศูนย์กลางบน N7k ด้วย vPC / FP ไปยัง N5k หรือไม่ คลาวด์ 'การกำหนดเส้นทางทั่วโลก' อยู่ภายใต้การควบคุมของคุณหรือ MPLS VPN (L2 หรือ L3) จากผู้ให้บริการหรือไม่
cpt_fink

คำตอบใดช่วยคุณได้บ้าง ถ้าเป็นเช่นนั้นคุณควรยอมรับคำตอบเพื่อที่คำถามจะไม่โผล่ขึ้นมาเรื่อย ๆ โดยมองหาคำตอบ หรือคุณสามารถให้และยอมรับคำตอบของคุณเอง
Ron Maupin

คำตอบ:


2

บางทีฉันอ่านผิดคุณอนุญาตผู้ใช้และเซิร์ฟเวอร์ภายในในโซนความปลอดภัยเดียวกันทั้งหมดที่คุณต้องการคือผู้ใช้และเซิร์ฟเวอร์ภายในในโดเมนเลเยอร์ 2 ที่แตกต่างกันใช่หรือไม่ อย่าสร้าง vrf และการกำหนดเส้นทางระหว่าง vrf เพียงเพื่อจุดประสงค์นั้น ต้องมีวิธีที่ง่ายกว่าในการทำเช่น layer3 Vlans + ACL ที่แตกต่างกัน

ใน 7K คุณให้ 1 vlan 100 สำหรับผู้ใช้และ 1 vlan 200 สำหรับเซิร์ฟเวอร์ภายในบนอินเทอร์เฟซ vlan ผู้ใช้คุณสามารถเพิ่ม ACL เพื่ออนุญาตเฉพาะที่คุณต้องการให้ผู้ใช้เข้าถึง เป็นไปได้ในการตั้งค่าในความคิดของฉันถ้าคุณเห็นอะไรในสภาพแวดล้อมของคุณไม่สนับสนุนสิ่งนี้บอกฉันและเราสามารถพูดคุย

หากคุณต้องการเรียกใช้เส้นทางผ้าคุณสามารถใช้ลิงก์ 5 5k-7k เพื่อเรียกใช้เส้นทางผ้าของคุณคุณสามารถเพิ่มอีกหนึ่งลิงก์สำหรับลำต้น vlan 100 และ 200 ระหว่าง 5k และ 7K


0

ดูซับซ้อน แทนที่จะเป็น hairpinned ASA ให้ใส่ไว้ในบรรทัด (ระหว่างใช่มันเพิ่มความต้องการอินเทอร์เฟซทางกายภาพเป็นสองเท่า แต่ บริษัท ของคุณมีเงินแน่นอน) เพียงแค่มีการเข้าถึงและการรวม (หลัก) รับเราเตอร์ไปยังเส้นทางและสวิตช์เพื่อสลับ

นั่นคือทั้งหมดที่ฉันมี ... หวังว่ามันจะช่วยได้?

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.