Cisco ASA 및 여러 VLAN


9

저는 현재 6 개의 Cisco ASA 장치 (2 쌍의 5510 및 1 쌍의 5550)를 관리합니다. 그것들은 모두 꽤 잘 작동하고 안정적이므로 "OMG가 망가 져서 문제를 해결하는 데 도움이됩니다."보다는 모범 사례 조언 질문입니다

내 네트워크는 여러 VLAN으로 나뉩니다. 각 서비스 역할마다 자체 VLAN이 있으므로 DB 서버는 자체 VLAN, APP 서버, Cassandra 노드를 갖습니다.

트래픽은 특정 거부 기본 사항 만 허용하도록 관리되고 있으므로 기본 정책은 모든 트래픽을 삭제하는 것입니다. 네트워크 인터페이스 당 두 개의 ACL을 작성하여이를 수행합니다 (예 :

  • "in"방향으로 dc2-850-db 인터페이스에 적용되는 액세스 목록 dc2-850-db-in ACL
  • "out"방향으로 dc2-850-db 인터페이스에 적용되는 액세스 목록 dc2-850-db-out ACL

그것은 모두 꽤 빡빡하고 예상대로 작동하지만 이것이 최선의 방법인지 궁금합니다. 지금은 30 개가 넘는 VLAN이있는 지점에 도달했으며이를 관리하기 위해 일부 지점에서 약간 혼동되고 있다고 말해야합니다.

아마도 공통 / 공유 ACL과 같은 것이 다른 ACL에서 상속받을 수 있지만 여기에는 도움이되지 않지만 AFAIK는 없습니다 ...

많은 조언을 부탁드립니다.


3
주소 공간을 평탄화하고 private vlans? 또 다른 대안은 사업부를 부서로 나누는 것일 수 있습니다 VRFs. 이 중 하나는 폭발적인 ACL 요구 사항 중 일부를 관리하는 데 도움이 될 수 있습니다. 솔직히이 질문에 대해 언급하기는 어렵습니다. 기존 디자인의 비즈니스 및 기술적 이유에 따라 달라지기 때문입니다.
Mike Pennington

고마워 마이크-나는 당신이 언급 한 두 가지에 대해 조금 읽을 것입니다.
bart613

환영합니다 ... 두 제안의 기본 개념은 동일한 비즈니스 기능 내에서 호스트 간의 모든 통신을 허용하는 비즈니스 요구에 따라 자연스러운 레이어 2 또는 레이어 3 경계를 구축한다는 것입니다. 이때 비즈니스 관심사간에 방화벽을 설정해야합니다. 많은 회사들이 회사의 각 사업부에 별도의 VPN을 구축하고 있습니다. 이 개념은 여기서 제안하는 것과 비슷하지만 VPN은 시설 내부에 있으며 로컬 (VLAN 또는 개인용 VLAN)를 기반으로합니다.
Mike Pennington

답변:


1

Cisco ASA 장치 (2 쌍의 5510 및 1 쌍의 5550)가있는 경우. 이는 acls를 사용하여 패킷 필터링에서 벗어나 ASA의 방화벽 영역 기반 기술로 이동 함을 의미합니다.

클래스 맵, 정책 맵 및 서비스 정책을 만듭니다.

네트워크 개체는 당신의 인생을 쉽게 만들어 줄 것입니다.

방화벽 기술의 추세는

패킷 필터링-패킷 검사-IP 검사 (상태 저장 검사)-영역 기반 방화벽

이러한 기술은 면적이 증가함에 따라 혼동을 줄 이도록 만들어졌습니다.

책이 있습니다. 읽고 싶을 수도 있습니다.

우연한 관리자-정말 도움이되었습니다.

그것을보고 두 가지 방향으로 acls에서 이동하십시오.

ASA를 사용하면 아무 문제가 없습니다.

과거에는 800 시리즈 ip inspect와 ZBF를 만들었고 이점을 비교했으며 패킷 필터링에서 고급 ip inspect로 이동하는 ASA에서 동일한 기술을 사용했습니다.


don, 나는 (your?) 책에서 acls를 사용하여 필터링에서 벗어나는 방법에 관한 장을 보지 못했습니다. 장과 페이지를 참조 할 수 있습니까?
3molo

0

매우 간단한 (그리고 약간의 치트 한) 솔루션 중 하나는 각 VLAN 인터페이스에 허용해야하는 트래픽과 일치하는 보안 수준을 할당하는 것입니다.

그런 same-security-traffic permit inter-interface다음를 설정 하여 여러 장치에서 동일한 VLAN을 구체적으로 라우팅하고 보호 할 필요가 없습니다.

VLAN 수는 줄이지 ​​않지만 3 개의 방화벽을 통과하는 VLAN에 필요한 ACL 수는 절반으로 줄어 듭니다.

물론, 이것이 당신의 환경에서 이것이 의미가 있는지 알 수있는 방법은 없습니다.


0

인바운드 및 아웃 바운드 액세스 목록이 모두있는 이유는 무엇입니까? 가능한 한 소스와 가까운 곳에서 트래픽을 포착해야합니다. 이는 전체 ACL 수를 절반으로 줄인 인바운드 액세스 목록 만 의미합니다. 이것은 범위를 유지하는 데 도움이됩니다. 흐름 당 하나의 가능한 액세스 목록 만 있으면 ASA는 유지 관리가 쉬워지고 더 중요하게됩니다. 문제가 발생했을 때 문제 해결이 쉬워집니다.

또한 모든 VLAN이 서로를 도달하기 위해 방화벽을 통과해야합니까? 이것은 처리량을 심각하게 제한합니다. 기억하십시오 : ASA는 (좋은) 라우터가 아니라 방화벽입니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.