캠퍼스 네트워크 디자인-방화벽

15

캠퍼스 네트워크를 디자인하고 있으며 디자인은 다음과 같습니다. 내 디자인

LINX는 London Internet Exchange이고 JANET은 Joint Academic Network입니다.

저의 목표는 학업 직원, 행정 직원 및 학생을 포함하여 약 15k 명의 사람들을 지원해야하기 때문에 고 가용성으로 거의 완전히 중복됩니다. 프로세스에서 일부 문서 를 읽었 지만 여전히 일부 측면에 대해서는 잘 모르겠습니다.

방화벽에 전용으로 사용하고 싶습니다. 보더 라우터에 내장 된 방화벽 대신 전용 방화벽을 사용하기로 결정한 이유는 무엇입니까? 내가 볼 수 있듯이 내장 방화벽에는 다음과 같은 장점이 있습니다.

  • 손쉬운 유지
  • 더 나은 통합
  • 하나 적은 홉
  • 적은 공간 요구
  • 더 싼

전용 방화벽은 모듈 식이라는 장점이 있습니다.

다른 것이 있습니까? 내가 무엇을 놓치고 있습니까?

networking  load-balancing  network-design 
사용자 3081239
소스
1
원래 게시물을 편집하여 하나의 질문으로 좁혔습니다. 둘 다 감사합니다!
user3081239 1
3
핵심 디자인에 대한 다른 질문을 게시 할 것이므로 이것을 주석으로 추가하고 있습니다. 코어 스위치와 코어 라우터도 언급했습니다. 그것은 이 역할 분담이 불필요 할 가능성이 가장 높은 곳입니다. 하이 엔드 코어 스위치는 일반적으로 레이어 3에서도 작동하며 라우팅에 능숙합니다. 내부 대역폭이 매우 높고 수십 또는 수백 개의 고속 인터페이스가있는 라우터로 안전하게 생각할 수 있습니다. 이더넷이나 파이버가 아닌 다른 것을 통해 내부 트래픽을 보내지 않으면 전용 라우터는 쓸모가 없습니다.
Massimo
2
위의 디자인을 살펴보면, 두 개의 코어 라우터가 추가 홉에 불과하다는 것입니다. 특히 방화벽이나 사용자 정의 하드웨어와 같이 그들 사이에 아무것도 없기 때문에?
user3081239
3
그들은 여분의 홉 일뿐 만 아니라 자원 낭비와 병목 현상이 있습니다.
Massimo
2
MichelZ

답변:

11

Enterprise Systems Administrator / Architect는 여기에 있습니다. 라우팅, 스위칭, 방화벽,로드 밸런싱과 같은 각 핵심 작업에 전용 어플라이언스 이외의 것을 사용하도록이 규모의 네트워크를 설계하지 않았습니다. 그렇지 않으면 단순히 나쁜 습관입니다. 이제 VMware NSX와 같이이 인프라 스트럭처를 상용 하드웨어 (일반적으로 그 이하)로 가상화하려는 제품이 출시되었습니다. 흥미 롭습니다. 그러나 그때까지도 각 가상 어플라이언스에는 작업이 있습니다.

나는 이것들이 분리되어 유지되는 주요 이유에 부딪 칠 것이다.

  1. @Massimo가 말했듯이 콤보 장치에서 기능을 얻지 못합니다. 설계를 올바르게 최적화하는 데 필요한 기능을 잃어 버리게됩니다.
  2. 이는 장치 당 더 작은 공격 영역을 제공합니다. 일부 중요한 악용이 에지 라우터에 존재하는 경우 공격자가 방화벽에 액세스하기 위해 사용하는 허점이됩니까?
  3. 관리가 간소화됩니다. 결합을 통해 관리가 더 쉬워 진다고 생각하고 싶지만 일반적으로 그렇지 않습니다. 방화벽 정책을 관리하는 NetSec 팀과 라우팅을 처리하는 인프라 팀이있는 경우 어떻게합니까? 이제 콤보 장치에 세분화 된 ACL을 올바르게 설정하여 각각 필요한 것에 도달 할 수 있도록해야합니다. 또한 콤보 장치는 특히 대규모 배포를 위해 잘 계획되지 않은 인터페이스를 갖는 경향이 있습니다 (SonicWALL을보고 있습니다).
  4. 인프라 배치는 유연해야합니다. 콤보 장치를 사용하면 정적 레이아웃이 거의 고정되어 있습니다. 배포하는 모든 장치에 대해 라우터와 방화벽이 있으며 방화벽이 필요했습니다. 물론 라우팅 기능을 끌 수는 있지만 간단한 관리에 대한 위의 요점으로 이어집니다. 또한, 여러 가지 디자인이 모든 것을로드 밸런싱하려고 시도하는 것을 보았습니다. 실제로 통과해야 할 것들이 있기 때문에 종종 영역에서 개별적으로로드 밸런싱을 잘하지 않는 것이 좋으며 때로는 접합부에 일부 구성 요소를 도입하여 중복성 또는 탄력성을 손상시킵니다 필요하지 않습니다. 이에 대한 다른 예가 있지만로드 밸런서는 쉽게 선택할 수 있습니다.
  5. 콤보 장치가 더 쉽게 오버로드 될 수 있습니다. 네트워크 어플라이언스에 대해 생각할 때는 백플레인을 고려해야합니다. 해당 콤보 라우터 / 방화벽 /로드 밸런서는 처리량을 처리 할 수 ​​있습니까? 전용 가전 제품은 일반적으로 더 나은 요금입니다.

희망이 도움이됩니다. 네트워크에 행운을 빕니다. 더 궁금한 점이 있으면 게시하고 (이 게시물과 분리) 질문을 잡으려고합니다. 물론,뿐만 아니라 희망적으로 더 잘 대답 할 수있는 사람에 대한 많은 영리한 사람들이 있습니다. 챠오!

토후
소스
6

라우터와 방화벽은 상당히 겹치지 만 완전히 다른 목적을 가지고 있습니다. 따라서 라우터는 일반적으로 방화벽에서 뛰어나지 않으며 방화벽은 일반적으로 인터페이스에서 다른 패킷으로 패킷을 이동하는 것보다 훨씬 더 많은 라우팅을 수행 할 수 없습니다. 이것이 두 가지 역할에 별개의 장치를 사용해야하는 주된 이유입니다.

또 다른 이유는 방화벽에는 보통 이더넷 인터페이스 만 있기 때문에 적절한 라우터를 사용하여 광섬유 나 DSL과 같은 다른 매체에 연결하기 때문입니다. ISP의 연결은 이러한 미디어에서 제공 될 가능성이 높으므로 라우터를 종료하려면 라우터가 필요합니다.

라우팅과 방화벽 모두에 장애 조치가 필요하다고 말했습니다. 하이 엔드 라우터는 여러 장치 및 여러 ISP 연결에서로드 밸런싱 및 장애 조치를 제공 할 수 있습니다. 방화벽에는 기본 라우팅 기능이 있지만 일반적으로 이러한 고급 라우팅 기능은 수행하지 않습니다. 방화벽 역할을하는 라우터의 경우에는 반대입니다. 실제 고급 방화벽과 비교할 때 대개 제한적입니다.

마시모
소스
그렇다면 캠퍼스와 같은 대기업에서는 재정적 목적을 제외하고 내장 방화벽을 거의 사용하지 않으며 적절한 장소에서 전용 방화벽을 사용할 가능성이 가장 큽니까?
user3081239
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.