ฉันกำลังอยู่ระหว่างการดึงเครือข่ายของเราปัญหาที่ฉันกลับมาคือ: พยายามนำเลเยอร์ 3 มาสู่แกนกลางในขณะที่ยังคงมีไฟร์วอลล์ส่วนกลางอยู่
ปัญหาหลักที่ฉันมีที่นี่คือสวิตช์ "mini core" ที่ฉันดูอยู่มักจะมีขีด จำกัด ACL ในฮาร์ดแวร์ต่ำซึ่งแม้แต่ขนาดปัจจุบันของเราที่เราสามารถทำได้อย่างรวดเร็ว ขณะนี้ฉันกำลังจะ (หวังว่า) ซื้อ EX4300-32Fs สำหรับแกนหลัก แต่ฉันได้ดูรุ่นอื่น ๆ และตัวเลือกอื่น ๆ จากช่วง ICX ของ Juniper และ Brocade ดูเหมือนว่าทั้งหมดจะมีขีด จำกัด ACL ต่ำเหมือนกัน
นี่เป็นเหตุผลที่สมบูรณ์แบบเนื่องจากสวิตช์หลักจำเป็นต้องสามารถรักษาการกำหนดเส้นทางสายความเร็วสูงได้ดังนั้นไม่ต้องการเสียสละมากเกินไปผ่านการประมวลผล ACL ดังนั้นฉันจึงไม่สามารถทำไฟร์วอลล์ทั้งหมดบนคอร์ได้เลย
อย่างไรก็ตามเราทำเซิร์ฟเวอร์ส่วนใหญ่ที่มีการจัดการอย่างเต็มที่และการมีไฟร์วอลล์ส่วนกลาง (stateful) ช่วยจัดการได้มากเนื่องจากเราไม่สามารถให้ลูกค้าพูดคุยกันได้โดยตรง ฉันต้องการให้เป็นอย่างนั้นถ้าเราทำได้ แต่ฉันรู้สึกว่าเครือข่าย ISP ส่วนใหญ่จะไม่ทำสิ่งนี้ดังนั้นทำไมในกรณีส่วนใหญ่มันจะตรงไปข้างหน้าเพื่อกำหนดเส้นทางในแกน
สำหรับการอ้างอิงนี่คือโทโพโลยีที่ฉันอยากจะทำ (แต่ไม่แน่ใจว่าจะให้พอดีกับ FW อย่างชัดเจน)
วิธีแก้ปัญหาปัจจุบัน
ตอนนี้เรามีการกำหนดค่าเราเตอร์ -on-a-stick สิ่งนี้ช่วยให้เราสามารถทำ NAT, ไฟร์วอลล์ stateful และ VLAN เส้นทางทั้งหมดในที่เดียว ง่ายมาก.
ฉันสามารถดำเนินการต่อด้วย (คร่าว ๆ ) โซลูชันเดียวกันโดยขยาย L2 ไปจนถึง "ด้านบน" ของเครือข่ายของเรา - เราเตอร์เส้นขอบ แต่แล้วฉันก็สูญเสียประโยชน์ทั้งหมดของการจัดเส้นทางความเร็วสายที่แกนกลางสามารถให้ฉันได้
IIRC สวิตช์หลักสามารถทำการกำหนดเส้นทาง 464 Gbps ในขณะที่เราเตอร์เส้นขอบของฉันจะสามารถเสนอ 10 หรือ 20 Gbps ถ้าฉันโชคดี นี่ไม่ใช่ปัญหาทางเทคนิค แต่เป็นปัญหาของการเติบโต ฉันรู้สึกราวกับว่าเราไม่ได้ออกแบบสถาปัตยกรรมเพื่อใช้ประโยชน์จากความสามารถในการกำหนดเส้นทางหลักในขณะนี้มันจะเจ็บปวดที่จะทำซ้ำทุกอย่างเมื่อเรามีขนาดใหญ่ขึ้นและต้องการใช้ความสามารถนั้น ฉันควรทำให้ถูกต้องในครั้งแรก
การแก้ปัญหาที่เป็นไปได้
Layer 3 to Access
ฉันคิดว่าบางทีฉันสามารถขยาย L3 ไปยังสวิตช์การเข้าถึงได้และทำให้กฎไฟร์วอลล์แบ่งออกเป็นส่วนเล็ก ๆ ซึ่งจะพอดีกับขีด จำกัด ของฮาร์ดแวร์ของ access switch ACLs แต่:
- เท่าที่ฉันรู้ ACL เหล่านี้คงไม่เป็นของรัฐ
- L3 สำหรับฉันดูเหมือนว่าจะยืดหยุ่นได้มากกว่า การย้ายเซิร์ฟเวอร์หรือการโยกย้าย VM ไปยังตู้อื่น ๆ จะทำให้เจ็บปวดยิ่งขึ้น
- ถ้าฉันจะจัดการไฟร์วอลล์ที่ด้านบนของแต่ละชั้นวาง (แค่หกอันเท่านั้น) ฉันอาจต้องการระบบอัตโนมัติ ดังนั้น ณ จุดนั้นการกระโดดข้ามไฟร์วอลล์ในระดับโฮสต์จึงไม่มากนัก จึงหลีกเลี่ยงปัญหาทั้งหมด
บริดจ์บริดจ์ / โปร่งใสไฟร์วอลล์ในแต่ละอัปลิงค์ระหว่างการเข้าถึง / คอร์
สิ่งนี้จะต้องเกี่ยวข้องกับกล่องไฟร์วอลล์หลายกล่องและเพิ่มฮาร์ดแวร์ที่ต้องการอย่างมาก และอาจจบลงด้วยราคาที่แพงกว่าการซื้อเราเตอร์คอร์ที่ใหญ่กว่าแม้จะใช้กล่องลินุกซ์ธรรมดาเป็นไฟร์วอลล์
เราเตอร์แกนยักษ์
สามารถซื้ออุปกรณ์ขนาดใหญ่ที่สามารถทำไฟร์วอลล์ที่ฉันต้องการและมีความสามารถในการกำหนดเส้นทางที่ใหญ่กว่ามาก แต่จริง ๆ แล้วไม่มีงบประมาณสำหรับมันและถ้าฉันพยายามทำให้อุปกรณ์ทำสิ่งที่มันไม่ได้ออกแบบมาฉันอาจจะต้องไปหาสเป็กที่สูงขึ้น กว่าฉันจะเป็นอย่างอื่น
ไม่มีไฟร์วอลล์ส่วนกลาง
เนื่องจากฉันกระโดดผ่านห่วงอาจจะไม่คุ้มค่าความพยายาม เป็นสิ่งที่ดีเสมอมาและเป็นจุดขายสำหรับลูกค้าที่ต้องการไฟร์วอลล์ "ฮาร์ดแวร์"
แต่ดูเหมือนว่าการมีไฟร์วอลล์ส่วนกลางสำหรับเครือข่าย "ทั้งหมด" ของคุณนั้นเป็นไปไม่ได้ ฉันสงสัยว่าผู้ให้บริการอินเทอร์เน็ตรายใหญ่จะสามารถนำเสนอโซลูชั่นไฟร์วอลล์ฮาร์ดแวร์ให้กับลูกค้าด้วยเซิร์ฟเวอร์เฉพาะเมื่อพวกเขามีโฮสต์หลายร้อยหรือหลายพันโฮสต์
ทุกคนสามารถคิดวิธีแก้ปัญหานี้ได้หรือไม่? มีบางอย่างที่ฉันพลาดไปทั้งหมดหรือมีการเปลี่ยนแปลงหนึ่งในแนวคิดข้างต้น
อัพเดท 2014-06-16:
จากคำแนะนำของ @ Ron ฉันพบบทความนี้ซึ่งอธิบายปัญหาที่ฉันเผชิญได้ดีและเป็นวิธีที่ดีในการแก้ไขปัญหา
ฉันจะบอกว่าตอนนี้เป็นปัญหาประเภทการแนะนำผลิตภัณฑ์ดังนั้นฉันคิดว่านี่เป็นจุดสิ้นสุด
http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/