저는 현재 6 개의 Cisco ASA 장치 (2 쌍의 5510 및 1 쌍의 5550)를 관리합니다. 그것들은 모두 꽤 잘 작동하고 안정적이므로 "OMG가 망가 져서 문제를 해결하는 데 도움이됩니다."보다는 모범 사례 조언 질문입니다
내 네트워크는 여러 VLAN으로 나뉩니다. 각 서비스 역할마다 자체 VLAN이 있으므로 DB 서버는 자체 VLAN, APP 서버, Cassandra 노드를 갖습니다.
트래픽은 특정 거부 기본 사항 만 허용하도록 관리되고 있으므로 기본 정책은 모든 트래픽을 삭제하는 것입니다. 네트워크 인터페이스 당 두 개의 ACL을 작성하여이를 수행합니다 (예 :
- "in"방향으로 dc2-850-db 인터페이스에 적용되는 액세스 목록 dc2-850-db-in ACL
- "out"방향으로 dc2-850-db 인터페이스에 적용되는 액세스 목록 dc2-850-db-out ACL
그것은 모두 꽤 빡빡하고 예상대로 작동하지만 이것이 최선의 방법인지 궁금합니다. 지금은 30 개가 넘는 VLAN이있는 지점에 도달했으며이를 관리하기 위해 일부 지점에서 약간 혼동되고 있다고 말해야합니다.
아마도 공통 / 공유 ACL과 같은 것이 다른 ACL에서 상속받을 수 있지만 여기에는 도움이되지 않지만 AFAIK는 없습니다 ...
많은 조언을 부탁드립니다.
private vlans
? 또 다른 대안은 사업부를 부서로 나누는 것일 수 있습니다VRFs
. 이 중 하나는 폭발적인 ACL 요구 사항 중 일부를 관리하는 데 도움이 될 수 있습니다. 솔직히이 질문에 대해 언급하기는 어렵습니다. 기존 디자인의 비즈니스 및 기술적 이유에 따라 달라지기 때문입니다.