मैं एक पूर्ण जाल डिजाइन में 2 N7Ks के साथ 2 नियंत्रण केंद्र साइटें और 2 नेक्सस 5548UP आंतरिक सर्वर कृषि एकत्रीकरण के रूप में और 2 ASA Firewalls प्रत्येक N5K Agg बंद लटका रहा है। दोनों साइट्स में मिरर इमेज डिज़ाइन है। हमारे पास ऐसे उपयोगकर्ता हैं जिन्हें आंतरिक सर्वर फ़ार्म एप्लिकेशन पर सीधे पहुंच की आवश्यकता है और हमें आंतरिक सर्वर अनुप्रयोगों से आउटबाउंड कनेक्शन अनुरोधों के लिए सुरक्षा सीमा की भी आवश्यकता है। इसके अलावा, मुझे निजी डीएमजेड को एग के भीतर इनबाउंड कनेक्शन अनुरोधों को अलग करने के लिए होस्ट करने की आवश्यकता है, जिसे हम कम सुरक्षा क्षेत्रों के रूप में वर्गीकृत करते हैं (एन 7 केआरओ वीआरएफ का उपयोग करेगा: ग्लोबल फॉर लोअर सिक्योरिटी नेटवर्क सबनेट्स)।
आमतौर पर उपयोगकर्ता को कम सुरक्षित क्षेत्र माना जाता है लेकिन यह डिज़ाइन एक बड़े पावर ग्रिड के लिए एक नियंत्रण प्रणाली की मेजबानी के लिए है। इसे ध्यान में रखते हुए, मैं SITE1 सर्वर फ़ार्म Agg को अनुप्रयोगों को होस्ट करने के लिए SITE 2 की अनुमति देने की क्षमता को कम करने के लिए N5K Agg से उपयोगकर्ताओं को सीधे कनेक्ट नहीं करना चाहता (वर्तमान में हम उपयोगकर्ताओं को अनुप्रयोगों के समान भौतिक स्विच से कनेक्ट करते हैं) । मैं एक क्लासिक डेटा सेंटर डिज़ाइन प्रदान करना चाहूँगा जहाँ उपयोगकर्ता हा एल 3 कोर (4 x एन 7 के फुल मेश) से सर्वर फ़ार्म पर जाते हैं। हालाँकि, जैसा कि उन्हें "आंतरिक सर्वर" के समान सुरक्षा स्तर माना जाता है, मैं उन्हें N7K कोर पर होस्ट किए गए एक निजी वीपीएन क्लाउड में अलग करना चाहता हूं। N7K के MPLS के समर्थन के रूप में, यह सबसे तार्किक होगा, हालांकि, नेक्सस 5548 एग्रीगेशन में आंतरिक सर्वर के लिए मेरे वर्तमान डिज़ाइन में L2 / L3 की सीमा है क्योंकि फायरवॉल भी वहां से जुड़े हुए हैं। Nexus 5K MPLS का समर्थन नहीं करता है, लेकिन वे VRF लाइट का समर्थन करते हैं। N5Ks भी प्रत्येक साइट पर स्थानीय N7K के लिए एक पूर्ण जाल में जुड़े हुए हैं।
N5K और N7K की I के बीच सभी 4 लिंक का उपयोग करने के लिए या तो pt से pt L3 लिंक को कॉन्फ़िगर करने की आवश्यकता होती है जो कबूतर आंतरिक उपयोगकर्ता ट्रैफ़िक को कोर से फ़ायरवॉल को अग्रेषित करने के लिए ट्रैफ़िक की आवश्यकता से अलग करने के विचार को छेदता है, या मैं 5K के बीच फैब्रिकपाथ का उपयोग कर सकता हूं। और 7K का उपयोग करें और vrf लाइट का उपयोग करें जहां N7K के vrf: ग्लोबल राउटिंग टेबल को जोड़ने के लिए 4 नोड्स और फ़ायरवॉल के बाहर के vlan के बीच एकमात्र FabricPath vlans इंटरफ़ेस SVI होगा। यह शायद ओवरक्लिल है क्योंकि इन्हें लाइसेंस प्राप्त करना है, लेकिन हमारे पास अद्वितीय सुरक्षा आवश्यकताएं हैं इसलिए लागत एक छोटा मुद्दा है।
रूटिंग के लिए, मैं N7K vrf को इंगित करने के लिए फ़ायरवॉल में एक डिफ़ॉल्ट मार्ग स्थापित करूँगा: वैश्विक जो OSPF या EIGRP और अन्य निचले सुरक्षा नेटवर्क के लिए सीखने के मार्ग चलाएगा। हाई सिक्योर ज़ोन के लिए, मैं एक vrf स्थापित करूँगा: सभी N5K के और N7K के आंतरिक पर और सबसे अधिक समान Bg, MPLS से N7K में MPPS-BGP के उपयोग की आवश्यकता के बाद से चलेगा। यह केवल SITE2 आंतरिक सर्वर फ़ार्म और आंतरिक उपयोगकर्ताओं के लिए मार्ग सीखेगा (विभाजित मस्तिष्क को रोकने के लिए हमारे अनुप्रयोगों को साइट के बीच L3 की आवश्यकता है)। मुझे vrf की अनुमति न देने में भी बहुत ध्यान रखना पड़ता है: vrf के साथ मार्गों के आदान-प्रदान से वैश्विक: आंतरिक क्योंकि यह स्टेटफुल फ़ायरवॉल के साथ एक स्वैच्छिक दुःस्वप्न पैदा करेगा जो 2 vrf के बीच L3 कनेक्शन प्रदान करेगा। स्थानीय साइट N5K और फ़ायरवॉल पर एक साधारण डिफ़ॉल्ट मार्ग और आंतरिक सर्वर सबनेट्स की ओर इशारा करते हुए N7K में एक सारांश मार्ग उस समस्या को रोक देगा।
वैकल्पिक रूप से, मैंने FHRP प्रदान करने और फ़ायरवॉल को VDC को स्थानांतरित करने के लिए N7K से एक और VDC का निर्माण करने पर विचार किया। N5K केवल FabricPath और किसी भी प्रकार के L3 का उपयोग नहीं करेगा।
यह होने की संभावना एक विशिष्ट डिजाइन नहीं है, मैं इस पर किसी भी प्रतिक्रिया की सराहना करता हूं।
