풀 메시 디자인에 2 개의 N7K가 있고 각각의 N5K Agg에 2 개의 ASA 방화벽이있는 내부 서버 팜 집계로서 2 개의 Nexus 5548UP이있는 2 개의 제어 센터 사이트가 있습니다. 두 사이트 모두 미러 이미지 디자인이 있습니다. 내부 서버 팜 응용 프로그램에 직접 액세스해야하는 사용자가 있으며 내부 서버 응용 프로그램의 아웃 바운드 연결 요청에 대한 보안 경계도 필요합니다. 또한 Agg 내에서 프라이빗 DMZ를 호스팅하여 인바운드 연결 요청을 하위 보안 영역으로 분류 한 것과 분리해야합니다 (N7K CORE는 보안 네트워크 서브넷 하위 경로로 vrf : Global을 사용함).
일반적으로 사용자는 낮은 보안 영역으로 간주되지만이 디자인은 대규모 전력망을위한 제어 시스템을 호스팅하기위한 것입니다. 이를 염두에두고 SITE1 Server Farm Agg가 SITE 2에서 응용 프로그램을 호스팅하도록 허용하는 기능 (현재는 응용 프로그램과 동일한 물리적 스위치에 사용자를 연결)을 허용하기 위해 N5K Agg에 사용자를 직접 연결하고 싶지 않습니다. . 사용자가 HA L3 CORE (4 x N7K Full Mesh)에서 서버 팜으로 라우팅하는 클래식 데이터 센터 설계를 제공하고 싶습니다. 그러나“내부 서버”와 동일한 보안 수준으로 간주되므로 N7K CORE에서 호스팅되는 개인 VPN 클라우드로 격리하고 싶습니다. N7K의 MPLS를 지원하기 때문에 이것이 가장 논리적 일 것입니다. 현재 디자인에는 방화벽이 연결되어 있기 때문에 Nexus 5548 집계에서 내부 서버에 대한 L2 / L3 경계가 있습니다. Nexus 5K는 MPLS는 지원하지 않지만 VRF Lite는 지원합니다. N5K는 각 사이트의 로컬 N7K에 풀 메시로 연결됩니다.
N5K와 N7K 사이의 4 개의 링크를 모두 사용하려면 pt to pt L3 링크를 구성하여 방화벽에서 전달해야하는 트래픽에서 Core의 내부 사용자 트래픽을 격리시키는 아이디어를 피각 시키거나 5K 사이의 FabricPath를 사용할 수 있습니다. 그리고 7K와 vrf lite를 사용합니다. 여기서 유일한 FabricPath VLAN은 N7K의 vrf : Global Routing 테이블을 연결하기 위해 4 개의 노드와 방화벽의 외부 VLAN 사이의 인터페이스 SVI입니다. 라이센스가 필요하기 때문에 이것은 과잉 일 수 있지만, 고유 한 보안 요구 사항이 있으므로 비용은 작은 문제입니다.
라우팅의 경우 OSPF 또는 EIGRP를 실행하고 다른 하위 보안 네트워크로의 경로를 학습하는 N7K vrf : Global을 가리 키도록 방화벽에 기본 경로를 설치합니다. High Secure Zone의 경우 모든 N5K 및 N7K에 vrf : Internal을 설치하고 N7K의 MPLS에 MP-BGP를 사용해야하므로 BGP를 실행하는 것이 가장 좋습니다. 이것은 SITE2 내부 서버 팜 및 내부 사용자에 대한 경로 만 학습합니다 (분할 브레인을 방지하기 위해 사이트간에 L3이 필요함). 또한 vrf : Global을 vrf와 경로를 교환하지 못하도록주의를 기울여야합니다. 내부는 2 개의 vrf 사이에 L3 연결을 제공하는 상태 저장 방화벽으로 비대칭적인 악몽을 만들 것입니다. 로컬 사이트 N5K 및 방화벽의 간단한 기본 경로와 내부 서버 서브넷을 가리키는 N7K의 요약 경로는 이러한 문제를 방지합니다.
또는 FHRP를 제공하고 방화벽을 VDC로 옮기기 위해 N7K에서 다른 VDC를 구축하는 것을 고려했습니다. N5K는 FabricPath 만 사용하고 L3은 사용하지 않습니다.
이것이 일반적인 디자인이 아닐 가능성이 높으므로 이에 대한 의견을 보내 주셔서 감사합니다.
