การออกแบบเครือข่ายวิทยาเขต - ไฟร์วอลล์

15

ฉันกำลังออกแบบเครือข่ายมหาวิทยาลัยและการออกแบบมีลักษณะดังนี้: การออกแบบของฉัน

LINX คือ The London Internet Exchange และ JANET เป็นเครือข่ายวิชาการร่วม

เป้าหมายของฉันเกือบจะซ้ำซ้อนพร้อมความพร้อมใช้งานสูงเพราะจะต้องให้การสนับสนุนคนประมาณ 15k คนรวมถึงเจ้าหน้าที่ด้านวิชาการเจ้าหน้าที่ธุรการและนักเรียน ฉันได้อ่านเอกสารบางส่วน แล้ว แต่ยังไม่แน่ใจในเรื่องต่าง ๆ

ฉันต้องการอุทิศสิ่งนี้ให้กับไฟร์วอลล์: อะไรคือปัจจัยขับเคลื่อนในการตัดสินใจใช้ไฟร์วอลล์เฉพาะแทนที่จะเป็นไฟร์วอลล์ฝังตัวในเราเตอร์เส้นขอบ จากสิ่งที่ฉันเห็นไฟร์วอลล์ฝังตัวมีข้อดีเหล่านี้:

  • บำรุงรักษาง่ายกว่า
  • บูรณาการที่ดีขึ้น
  • หนึ่งปฮอปน้อย
  • ต้องการพื้นที่น้อย
  • ถูกกว่า

ไฟร์วอลล์เฉพาะมีข้อดีของการเป็นแบบแยกส่วน

มีอะไรอีกไหม? ฉันพลาดอะไรไป

networking  load-balancing  network-design 
user3081239
แหล่งที่มา
1
ฉันได้แก้ไขโพสต์ต้นฉบับเพื่อ จำกัด คำถามให้แคบลง ขอบคุณทั้งคู่!
user3081239
3
ฉันกำลังเพิ่มสิ่งนี้เป็นความคิดเห็นเพราะคุณอาจโพสต์คำถามอื่นเกี่ยวกับการออกแบบหลัก ฉันเห็นคุณยังกล่าวถึงสวิตช์หลักและแกนเราเตอร์ นั่นคือสถานที่ที่บทบาทส่วนนี้ไม่จำเป็น สวิทช์คอร์ระดับสูงมักจะทำงานที่เลเยอร์ 3 เช่นกัน คุณสามารถคิดได้อย่างปลอดภัยในฐานะเราเตอร์ที่มีแบนด์วิธภายในสูงมากและอินเตอร์เฟซความเร็วสูงหลายสิบหรือหลายร้อย ถ้าคุณไม่ต้องการส่งข้อมูลภายในผ่านสิ่งที่แตกต่างจากอีเทอร์เน็ตหรือไฟเบอร์เราเตอร์เฉพาะนั้นไม่มีประโยชน์อะไรที่นี่
Massimo
2
ดังนั้นเมื่อดูที่การออกแบบด้านบนสิ่งที่คุณกำลังพูดคือเราเตอร์หลักสองตัวนั้นไม่มีอะไรนอกจากการกระโดดเสริม โดยเฉพาะอย่างยิ่งเนื่องจากไม่มีอะไรระหว่างพวกเขาเช่นไฟร์วอลล์หรือฮาร์ดแวร์ที่กำหนดเอง?
user3081239
3
พวกเขาไม่ได้เป็นเพียงการกระโดดพิเศษพวกเขายังเสียทรัพยากรและอาจเกิดปัญหาคอขวด
Massimo
2
คำถามนี้เหมาะสำหรับnetworkengineering.stackexchange.com
MichelZ

คำตอบ:

11

ผู้ดูแลระบบ / สถาปนิกระดับองค์กรที่นี่ ฉันจะไม่ออกแบบเครือข่ายของเครื่องชั่งนี้เพื่อใช้งานอะไรนอกจากอุปกรณ์เฉพาะสำหรับแต่ละภารกิจหลัก: การกำหนดเส้นทางการสลับไฟร์วอลล์การโหลดบาลานซ์ มันเป็นการปฏิบัติที่ไม่ดีที่จะทำอย่างอื่น ในตอนนี้มีผลิตภัณฑ์ที่กำลังจะมาถึงอย่าง NSX ของ VMware ที่พยายามจำลองโครงสร้างพื้นฐานนี้ให้เป็นฮาร์ดแวร์ของสินค้าโภคภัณฑ์ ที่น่าสนใจแม้กระทั่ง แต่ถึงอย่างนั้นอุปกรณ์เสมือนแต่ละเครื่องก็มีหน้าที่

ฉันจะอธิบายถึงเหตุผลสำคัญว่าทำไมสิ่งเหล่านี้จึงแยกกัน:

  1. ดังที่ @Massimo กล่าวว่าคุณไม่สามารถใช้ประโยชน์จากอุปกรณ์คอมโบได้ พวกเขากำลังจะสูญเสียคุณสมบัติที่คุณต้องการเพื่อปรับการออกแบบของคุณให้เหมาะสม
  2. นี่เป็นพื้นผิวการโจมตีที่เล็กกว่าต่อหน่วย: หากมีช่องโหว่ที่สำคัญในเราเตอร์ขอบคุณต้องการให้ช่องนั้นเป็นช่องโหว่ที่ผู้โจมตีใช้เพื่อเข้าถึงไฟร์วอลล์หรือไม่
  3. ทำให้การจัดการง่ายขึ้น มันเป็นการดึงดูดให้คิดว่าการรวมกันทำให้การจัดการง่ายขึ้น แต่ก็ไม่เป็นความจริง ถ้าฉันมีทีม NetSec ที่จัดการนโยบายไฟร์วอลล์และทีมงานโครงสร้างพื้นฐานที่จัดการการกำหนดเส้นทาง ตอนนี้ฉันต้องตั้งค่า ACL อย่างละเอียดบนอุปกรณ์คอมโบเพื่อให้แน่ใจว่าพวกเขาสามารถเข้าถึงสิ่งที่พวกเขาต้องการและไม่มีอะไรอื่นอีก นอกจากนี้อุปกรณ์คอมโบมักจะมีส่วนต่อประสานที่วางแผนไว้น้อยกว่าโดยเฉพาะอย่างยิ่งสำหรับการปรับใช้ขนาดใหญ่ (ฉันกำลังมองหาคุณ SonicWALL)
  4. การวางโครงสร้างพื้นฐานจะต้องมีความยืดหยุ่น ด้วยอุปกรณ์คอมโบฉันค่อนข้างติดกับเลย์เอาท์แบบสแตติก: สำหรับทุกครั้งที่ฉันกำลังปรับใช้ฉันมีเราเตอร์และไฟร์วอลล์ซึ่งบางทีฉันแค่อยากได้ไฟร์วอลล์จริงๆ แน่นอนว่าฉันสามารถปิดคุณลักษณะการกำหนดเส้นทางได้ แต่สิ่งนี้นำไปสู่ประเด็นข้างต้นเกี่ยวกับการจัดการง่าย ๆ นอกจากนี้ฉันเห็นการออกแบบมากมายที่พยายามโหลดดุลทุกอย่างเมื่อคุณมักจะดีกว่าในการทำโหลดบาลานซ์แยกต่างหากในโซนเนื่องจากมีบางสิ่งที่ควรผ่านและบางครั้งคุณทำร้ายความซ้ำซ้อนหรือความยืดหยุ่นโดยแนะนำส่วนประกอบบางอย่างที่ทางแยก ที่ไม่ต้องการพวกเขา มีตัวอย่างอื่น ๆ ของเรื่องนี้ แต่โหลดบาลานเซอร์ง่ายต่อการเลือก
  5. อุปกรณ์คอมโบสามารถโอเวอร์โหลดได้ง่ายขึ้น เมื่อคิดเกี่ยวกับอุปกรณ์เครือข่ายคุณต้องพิจารณา backplane: คำสั่งผสมเราเตอร์ / ไฟร์วอลล์ / โหลดบาลานเซอร์สามารถจัดการปริมาณงานที่ถูกโยนทิ้งได้หรือไม่? เครื่องใช้ไฟฟ้าโดยเฉพาะจะดีกว่าโดยทั่วไป

หวังว่าจะช่วย ขอให้โชคดีกับเครือข่ายของคุณ หากคุณมีคำถามเพิ่มเติมให้โพสต์ไป (แยกต่างหากจากโพสต์นี้) และฉันจะพยายามจับพวกเขา แน่นอนว่ายังมีมนุษย์ที่ฉลาดจำนวนมากที่สามารถตอบคำถามได้ดีกว่าหรือหวังว่าจะดีขึ้น Ciao!

Tohuw
แหล่งที่มา
6

ในขณะที่เราเตอร์และไฟร์วอลล์ทับซ้อนกันเล็กน้อยพวกเขามีจุดประสงค์ที่แตกต่างกันโดยสิ้นเชิง ดังนั้นเราเตอร์มักจะไม่เก่งในเรื่องไฟร์วอลล์และโดยปกติแล้วไฟร์วอลล์จะไม่สามารถกำหนดเส้นทางได้มากไปกว่าการย้ายแพ็กเก็ตจากอินเทอร์เฟซไปยังอีกอินเตอร์เฟสหนึ่ง นี่คือเหตุผลหลักในการใช้อุปกรณ์ที่แตกต่างกันสำหรับสองบทบาท

อีกเหตุผลหนึ่งคือไฟร์วอลล์มักจะมีเพียงส่วนต่อประสานอีเธอร์เน็ตอาศัยเราเตอร์ที่เหมาะสมเพื่อเชื่อมต่อกับสื่อต่าง ๆ เช่นไฟเบอร์หรือ DSL การเชื่อมต่อ ISP ของคุณมักจะถูกจัดไว้ในสื่อดังกล่าวดังนั้นเราเตอร์จะต้องทำการยกเลิก

คุณบอกว่าคุณต้องมี failover ทั้งในการกำหนดเส้นทางและไฟร์วอลล์ เราเตอร์ระดับสูงสามารถสร้างสมดุลภาระและความล้มเหลวในอุปกรณ์หลายตัวและการเชื่อมต่อ ISP หลายจุด ในขณะที่ไฟร์วอลล์มีความสามารถในการกำหนดเส้นทางพื้นฐาน แต่โดยทั่วไปแล้วพวกเขาจะไม่ทำหน้าที่กำหนดเส้นทางระดับสูงเช่นนั้น การย้อนกลับเป็นจริงสำหรับเราเตอร์ที่ทำหน้าที่เป็นไฟร์วอลล์: พวกมันมักจะมีข้อ จำกัด เมื่อเทียบกับไฟร์วอลล์ระดับไฮเอนด์จริง

มัสซิโม
แหล่งที่มา
คุณจะบอกว่าองค์กรขนาดใหญ่เช่นวิทยาเขตแทบไม่เคยใช้ไฟร์วอลล์ที่ฝังตัวนอกเหนือจากจุดประสงค์ทางการเงินและมีแนวโน้มที่จะจ้างไฟร์วอลล์เฉพาะในสถานที่ที่เหมาะสมหรือไม่
user3081239
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.