나는 우리 네트워크를 오버 홀링하는 과정에 있으며, 계속해서 문제는 중앙 집중식 방화벽을 유지하면서 레이어 3을 코어로 가져 오는 것입니다.

여기서 내가 본 문제는 내가 본 "미니 코어"스위치는 하드웨어 내 ACL 제한이 항상 낮다는 것입니다. 현재 크기에서도 빠르게 도달 할 수 있습니다. 저는 현재 코어 용으로 EX4300-32F 쌍을 구매하려고하지만 주니퍼와 브로케이드의 ICX 범위에서 다른 모델과 다른 옵션을 살펴 보았습니다. 그들은 모두 같은 낮은 ACL 한계를 가지고있는 것 같습니다.

코어 스위치가 유선 속도 라우팅을 유지 관리 할 수 있어야하므로 ACL 처리를 통해 너무 많은 것을 희생하고 싶지는 않습니다. 따라서 핵심 스위치 자체에서 모든 방화벽을 수행 할 수는 없습니다.

그러나 우리는 대부분 완벽하게 관리되는 서버를 수행하며 중앙 집중식 방화벽은 고객이 서로 직접 대화 할 수 없기 때문에 해당 관리에 많은 도움이됩니다. 가능한 한 그렇게 유지하고 싶지만 대부분의 ISP 네트워크가 이런 종류의 작업을 수행하지 않는 것처럼 느껴지므로 대부분의 경우 코어에서 라우팅을 수행하는 것이 가장 쉬운 이유는 무엇입니까?

참고로, 이상적으로 수행하고 싶은 토폴로지가 있습니다 (그러나 FW를 어디에 정확히 맞출지는 확실하지 않습니다).

커런트 솔루션

지금, 우리는 라우터-온-스틱 구성을 가지고 있습니다. 이를 통해 NAT, 상태 저장 방화벽 및 VLAN 라우팅을 모두 한 곳에서 수행 할 수 있습니다. 매우 간단합니다.

L2를 네트워크의 "맨 위"(경계 라우터)까지 확장하여 동일한 솔루션을 계속 사용할 수 있습니다. 그러나 코어가 제공 할 수있는 유선 속도 라우팅의 모든 이점을 잃습니다.

IIRC 코어 스위치는 464 Gbps의 라우팅을 수행 할 수 있지만 운이 좋으면 내 경계 라우터가 10 또는 20 Gbps를 제공 할 수 있습니다. 이것은 현재 기술적으로 문제가 아니지만 더 많은 성장 문제입니다. 코어 라우팅 용량을 활용하도록 아키텍처를 설계하지 않는 것처럼 느껴지면 용량이 커지고 용량을 활용해야 할 때 모든 것을 다시 실행하는 것이 고통 스러울 것입니다. 차라리 처음부터 제대로하고 싶습니다.

가능한 해결책

액세스 할 레이어 3

L3를 액세스 스위치로 확장하여 방화벽 규칙을 더 작은 세그먼트로 분할 한 다음 액세스 스위치 ACL의 하드웨어 제한에 맞출 수 있다고 생각했습니다. 그러나:

내가 아는 한, 이것은 상태 저장 ACL이 아닙니다.
L3 to Access는 나에게 훨씬 융통성이 없어 보입니다. 다른 캐비닛으로의 서버 이동 또는 VM 마이그레이션이 더 어려울 수 있습니다.
각 랙 상단에서 방화벽을 관리하려면 (그 중 6 개만) 어쨌든 자동화를 원할 것입니다. 따라서이 시점에서 호스트 수준에서 방화벽 관리를 자동화하는 것은 큰 도약이 아닙니다. 따라서 전체 문제를 피하십시오.

액세스 / 코어 사이의 각 업 링크에서 브리지 / 투명 방화벽

이를 위해서는 여러 개의 방화벽 상자가 필요하며 필요한 하드웨어를 크게 늘려야합니다. 그리고 일반 구형 Linux 박스를 방화벽으로 사용하더라도 대형 코어 라우터를 구입하는 것보다 비용이 많이들 수 있습니다.

거대한 코어 라우터

필요한 방화벽을 수행 할 수 있고 훨씬 더 큰 라우팅 용량을 가진 더 큰 장치를 구입할 수 있습니다. 그러나 실제로는 예산이 없으며 장치가 의도하지 않은 작업을 수행하려고하면 훨씬 더 높은 사양으로 가야 할 것입니다. 그렇지 않으면 것보다.

중앙 집중식 방화벽 없음

나는 농구를 뛰어 넘기 때문에 노력할 가치가 없을 것입니다. "하드웨어"방화벽을 원하는 고객에게는 항상 좋은 일이었고 때로는 판매 지점이었습니다.

그러나 "전체"네트워크를위한 중앙 집중식 방화벽을 갖는 것은 불가능한 것 같습니다. 그렇다면 수백 또는 수천 개의 호스트가있을 때 더 큰 ISP가 전용 서버를 보유한 고객에게 어떻게 하드웨어 방화벽 솔루션을 제공 할 수 있는지 궁금합니다.

누구나이 문제를 해결하는 방법을 생각할 수 있습니까? 내가 완전히 놓친 것이거나 위의 아이디어 중 하나에 변형이 있습니까?

2014-06-16 업데이트 :

@Ron의 제안을 바탕으로, 내가 직면 한 문제를 잘 설명하고 문제를 해결하는 좋은 방법을 설명하는이 기사를 우연히 발견했습니다.

다른 제안이 없다면, 이것이 현재 제품 추천 유형의 문제라고 말하고 싶습니다. 이것이 끝이라고 생각합니다.

http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just-orchestration/

routing firewall design

— eek 맨
소스

네트워크에서 VRF-lite 또는 MPLS를 사용하고 있습니까? 핵심 스위치는 어떤 브랜드입니까?

— Daniel Dib 2016 년

@DanielDib 아직 VRF 또는 MPLS를 사용하지는 않지만이 사이트와 다른 사이트 사이에 배포 할 계획입니다. 브랜드 확정되지 아직 (아직 구매 목록을내는) ...하지만 지금은 주니퍼 EX4300-32F 또는 브로케이드 ICX 6610-48-PE에서 주로보고

— Geekman

나는 결석하기로 투표했다. 그 이유는 당신이 묻는 질문은 어떤 벤더 제조사 / 모델을 선택하고 예산 제약 조건과 같은 솔루션에 대한 매우 구체적인 세부 사항, 이것이 고객을위한 제품 제공 방법을 어떻게 바꿀지에 대한 것입니다. 비즈니스 결정입니다. 각 토폴로지의 장단점이 무엇인지 물어볼 수는 있지만 아무도 자신에게 가장 적합한 것을 말할 수는 없습니다.

— jwbensley 2016 년

당신의 상황에 대한 나의 두 울타리는; Cisco ASA와 같은 컨텍스트를 지원하거나 가상 방화벽 만있는 방화벽을 고려 했습니까? 두 개의 인터페이스를 사용하여 각 고객에 대해 방화벽을 회전 할 수있는 몇 가지 VM 호스트가 있습니다. 하나는 기본 게이트웨이로 고객 VLAN에 연결하고 다른 하나는 에지 라우터를 향한 공용 VLAN에 연결합니다. 그냥 생각 (가상 방화벽을 선호).

— jwbensley 2016 년

Cisco ASA 1000V 또는 Catbird (catbird.com)와 같은 가상화 된 방화벽을 진지하게 살펴 보겠습니다. 이렇게하면 모든 가상 서버에 방화벽을 배치 할 수 있습니다. 액세스 목록을 코어 라우터에서 분리하십시오.

— Ron Trunk

두 가지 선택 중 하나를 선택합니다.

개별 테넌트 가상 방화벽

장점 :

수평 확장 가능
스핀 업 및 스핀 다운
미래의 토폴로지 / 디자인 변경에 상대적으로 면역
완벽한 고객 분리 / 격리

단점 :

표준 템플릿을 적용하지 않으면 이제 관리 할 개별 방화벽이 n 개 있습니다.
이제 모니터링 할 개별 방화벽이 n 개 있습니다.
이제 패치 할 개별 방화벽이 n 개 있습니다.

테넌트 당 라우팅 인스턴스 / 컨텍스트가있는 대형 방화벽 섀시 / 클러스터

코어 측면에 매달려있는 대규모 중앙 방화벽 (클러스터)을 구축하고 내부 및 외부 라우팅 인스턴스를 사용하여 트래픽을주고받습니다 (예 : 내부 인스턴스의 기본 게이트웨이는 방화벽, 기본 게이트웨이는 방화벽은 코어의 외부 인스턴스이고 외부 인스턴스의 기본값은 테두리입니다.)

장점 :

관리 및 구성을위한 단일 박스
모니터링 할 단일 상자
패치 할 단일 상자
고객 분리

단점 :

첫날 비용이 더 높을 것입니다
축소 없음
구성에 따라 고객 간 트래픽이 경계 라우터를 통한 라우팅을 시작할 수 있습니다.

— 벤자민 데일
소스

어떤 핵심 스위치를 실행하고 있습니까? 축소 된 코어 디자인을 사용하는 경우 코어가 요구 사항을 처리 할 수 있어야합니다. 또한 상태 전체 검사 또는 acls를 선호합니까? 준수해야 할 사항이 있으면 acls로 충분하지 않을 수 있습니다.

개인적으로 방화벽을 사용하고 클러스터링 할 수있는 방화벽을 찾아서 각각을 클러스터링하고 소스 파이어 방화벽과 같은 중앙 관리 룰베이스를 유지할 수 있습니다.

— 다니엘 'Tekmyster'메시나
소스

중앙 집중식 방화벽을 네트워크 토폴로지에 맞추려고 시도