Comment connecter des utilisateurs privés à des applications au sein d'un réseau approuvé sans connexion directe au commutateur de serveur

9

J'ai 2 sites de centre de contrôle chacun avec 2 N7K dans une conception maillée complète et 2 Nexus 5548UP en tant qu'agrégation de batterie de serveurs interne et 2 pare-feu ASA suspendus à chaque Agg N5K. Les deux sites ont une conception d'image miroir. Nous avons des utilisateurs qui ont besoin d'un accès direct aux applications de batterie de serveurs internes et nous avons également besoin d'une limite de sécurité pour les demandes de connexion sortantes des applications de serveur internes. De plus, j'ai besoin d'héberger des DMZ privées au sein de l'Agg pour isoler les demandes de connexion entrantes de ce que nous classons comme des zones de sécurité inférieures (le N7K CORE utilisera vrf: Global pour les routes vers des sous-réseaux de réseau de sécurité inférieurs).

L'utilisateur est généralement considéré comme des zones sécurisées inférieures, mais cette conception est destinée à héberger un système de contrôle pour un grand réseau électrique. Dans cet esprit, je ne veux pas non plus connecter les utilisateurs directement au N5K Agg pour permettre à SITE1 Server Farm Agg de descendre pour permettre au SITE 2 d'héberger les applications (actuellement, nous connectons les utilisateurs au même commutateur physique que les applications) . Je voudrais fournir une conception de centre de données classique où les utilisateurs acheminent vers la batterie de serveurs à partir du HA L3 CORE (4 x N7K Full Mesh). Cependant, comme ils sont considérés comme le même niveau de sécurité que les «serveurs internes», je souhaite les isoler dans un cloud VPN privé hébergé sur le N7K CORE. En tant que support MPLS de N7K, ce serait le plus logique, cependant, ma conception actuelle a la limite L2 / L3 pour les serveurs internes de l'agrégation Nexus 5548 car les pare-feu y sont également connectés. Les Nexus 5K ne prennent pas en charge MPLS mais ils prennent en charge VRF Lite. Les N5K sont également connectés en maillage complet aux N7K locaux de chaque site.

Pour utiliser les 4 liaisons entre les N5K et les N7K, je dois soit configurer des liaisons pt à pt L3, ce qui ébranle l'idée d'isoler le trafic des utilisateurs internes du noyau du trafic devant être transféré sur le pare-feu, ou je peux utiliser FabricPath entre les 5K. et 7K et utilisez vrf lite où les seuls vlans FabricPath seraient les SVI d'interface entre les 4 nœuds et le vlan extérieur du pare-feu pour connecter la table vrf: Global Routing du N7K. C'est probablement exagéré car ceux-ci doivent être sous licence, mais nous avons des exigences de sécurité uniques, donc le coût a tendance à être un petit problème.

Pour le routage, j'installerais une route par défaut dans le pare-feu pour pointer vers N7K vrf: Global qui exécuterait OSPF ou EIGRP et des routes d'apprentissage vers d'autres réseaux de sécurité inférieurs. Pour la zone hautement sécurisée, j'installerais un vrf: interne sur tous les N5K et N7K et la plupart des utilisateurs exécuteraient BGP car MPLS sur les N7K nécessite l'utilisation de MP-BGP. Cela n'apprendrait que les itinéraires pour la batterie de serveurs internes SITE2 et les utilisateurs internes (nos applications ont besoin de L3 entre les sites pour éviter la scission du cerveau). Je dois également prendre grand soin de ne pas autoriser vrf: Global à échanger des itinéraires avec vrf: Internal car cela créerait un cauchemar asymétrique avec des pare-feu avec état fournissant une connexion L3 entre les 2 vrf. Un itinéraire par défaut simple sur le site N5K local et le pare-feu et un itinéraire récapitulatif sur le N7K pointant vers les sous-réseaux de serveurs internes éviteront ce problème.

Alternativement, j'ai envisagé de construire un autre VDC hors du N7K pour fournir le FHRP et déplacer les pare-feu vers le VDC. Le N5K n'utiliserait que FabricPath et aucun L3 d'aucune sorte.

Étant donné que ce n'est probablement pas une conception typique, j'apprécierais tout commentaire à ce sujet.

q

Rob
la source
Utilisez-vous actuellement MPLS sur votre N7k? Avez-vous (ou vos exigences d'échelle) besoin que votre N5k soit des passerelles L3, ou le routage pourrait-il être centralisé sur le N7k avec vPC / FP vers le N5k? Le cloud de «routage global» est-il sous votre contrôle ou un VPN MPLS (L2 ou L3?) D'un opérateur?
cpt_fink
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

2

Peut-être que je l'ai mal lu, vous autorisez les utilisateurs et les serveurs internes dans la même zone de sécurité, tout ce dont vous avez besoin est des utilisateurs et des serveurs internes dans un domaine de couche 2 différent? Ne créez pas de vrf et de routage entre vrf uniquement à cette fin. Il doit y avoir un moyen plus simple de le faire, par exemple différents VLAN + couche 3 ACL.

Sur 7K, vous donnez 1 vlan 100 pour les utilisateurs et 1 vlan 200 pour les serveurs internes, sur l'interface utilisateurs vlan, vous pouvez simplement ajouter ACL pour autoriser uniquement où vous voulez que les utilisateurs atteignent. Il est possible de configurer à mon avis, si vous voyez quelque chose dans votre environnement qui ne le supporte pas, dites le moi et nous pourrons discuter.

Si vous souhaitez exécuter le chemin de matrice, vous pouvez utiliser 4 liens 5k-7k pour exécuter votre chemin de matrice, vous pouvez ajouter un lien de plus juste pour le trunk vlan 100 et 200 entre 5k et 7K.

theccie
la source
0

Ça a l'air compliqué. Au lieu de les ASA épinglées, mettez-les en ligne (entre les deux, cela double les exigences d'interface physique, mais votre entreprise a évidemment l'argent). Ayez simplement un accès et une conception d'agrégation (de base). Demandez aux routeurs de router et aux commutateurs de basculer.

C'est à peu près tout ce que j'ai ... J'espère que ça aide?

Ronnie Royston
la source