Cisco ASA 및 여러 VLAN

저는 현재 6 개의 Cisco ASA 장치 (2 쌍의 5510 및 1 쌍의 5550)를 관리합니다. 그것들은 모두 꽤 잘 작동하고 안정적이므로 "OMG가 망가 져서 문제를 해결하는 데 도움이됩니다."보다는 모범 사례 조언 질문입니다

내 네트워크는 여러 VLAN으로 나뉩니다. 각 서비스 역할마다 자체 VLAN이 있으므로 DB 서버는 자체 VLAN, APP 서버, Cassandra 노드를 갖습니다.

트래픽은 특정 거부 기본 사항 만 허용하도록 관리되고 있으므로 기본 정책은 모든 트래픽을 삭제하는 것입니다. 네트워크 인터페이스 당 두 개의 ACL을 작성하여이를 수행합니다 (예 :

• "in"방향으로 dc2-850-db 인터페이스에 적용되는 액세스 목록 dc2-850-db-in ACL
• "out"방향으로 dc2-850-db 인터페이스에 적용되는 액세스 목록 dc2-850-db-out ACL

그것은 모두 꽤 빡빡하고 예상대로 작동하지만 이것이 최선의 방법인지 궁금합니다. 지금은 30 개가 넘는 VLAN이있는 지점에 도달했으며이를 관리하기 위해 일부 지점에서 약간 혼동되고 있다고 말해야합니다.

아마도 공통 / 공유 ACL과 같은 것이 다른 ACL에서 상속받을 수 있지만 여기에는 도움이되지 않지만 AFAIK는 없습니다 ...

많은 조언을 부탁드립니다.

Cisco ASA 장치 (2 쌍의 5510 및 1 쌍의 5550)가있는 경우. 이는 acls를 사용하여 패킷 필터링에서 벗어나 ASA의 방화벽 영역 기반 기술로 이동 함을 의미합니다.

클래스 맵, 정책 맵 및 서비스 정책을 만듭니다.

네트워크 개체는 당신의 인생을 쉽게 만들어 줄 것입니다.

방화벽 기술의 추세는

패킷 필터링-패킷 검사-IP 검사 (상태 저장 검사)-영역 기반 방화벽

이러한 기술은 면적이 증가함에 따라 혼동을 줄 이도록 만들어졌습니다.

책이 있습니다. 읽고 싶을 수도 있습니다.

우연한 관리자-정말 도움이되었습니다.

그것을보고 두 가지 방향으로 acls에서 이동하십시오.

ASA를 사용하면 아무 문제가 없습니다.

과거에는 800 시리즈 ip inspect와 ZBF를 만들었고 이점을 비교했으며 패킷 필터링에서 고급 ip inspect로 이동하는 ASA에서 동일한 기술을 사용했습니다.

매우 간단한 (그리고 약간의 치트 한) 솔루션 중 하나는 각 VLAN 인터페이스에 허용해야하는 트래픽과 일치하는 보안 수준을 할당하는 것입니다.

그런 same-security-traffic permit inter-interface다음를 설정 하여 여러 장치에서 동일한 VLAN을 구체적으로 라우팅하고 보호 할 필요가 없습니다.

VLAN 수는 줄이지 ​​않지만 3 개의 방화벽을 통과하는 VLAN에 필요한 ACL 수는 절반으로 줄어 듭니다.

물론, 이것이 당신의 환경에서 이것이 의미가 있는지 알 수있는 방법은 없습니다.

인바운드 및 아웃 바운드 액세스 목록이 모두있는 이유는 무엇입니까? 가능한 한 소스와 가까운 곳에서 트래픽을 포착해야합니다. 이는 전체 ACL 수를 절반으로 줄인 인바운드 액세스 목록 만 의미합니다. 이것은 범위를 유지하는 데 도움이됩니다. 흐름 당 하나의 가능한 액세스 목록 만 있으면 ASA는 유지 관리가 쉬워지고 더 중요하게됩니다. 문제가 발생했을 때 문제 해결이 쉬워집니다.

또한 모든 VLAN이 서로를 도달하기 위해 방화벽을 통과해야합니까? 이것은 처리량을 심각하게 제한합니다. 기억하십시오 : ASA는 (좋은) 라우터가 아니라 방화벽입니다.