सिस्को एएसए और कई वीएलएएन

मैं वर्तमान में 6 सिस्को एएसए उपकरणों (55 जोड़े के 2 जोड़े और 5550 के 1 जोड़े) का प्रबंधन करता हूं। वे सभी काफी अच्छी तरह से काम करते हैं और स्थिर होते हैं इसलिए यह एक सर्वोत्तम अभ्यास सलाह का प्रश्न है, बल्कि फिर "ओएमजी यह टूट गया है मुझे इसे ठीक करने में मदद करें"।

मेरा नेटवर्क कई वीएलएएन में विभाजित है। बहुत ज्यादा प्रत्येक सेवा भूमिका का अपना वीएलएएन होता है इसलिए डीबी सर्वरों का अपना वीएलएएन, एपीपी सर्वर, कैसंड्रा नोड्स होगा।

ट्रैफ़िक का प्रबंधन केवल एक विशिष्ट अनुमति पर किया जा रहा है, बाकी बुनियादी बातों से इनकार (इसलिए डिफ़ॉल्ट नीति सभी ट्रैफ़िक को छोड़ना है)। मैं प्रति नेटवर्क इंटरफ़ेस, जैसे दो ACL बनाकर ऐसा करता हूं।

• एक्सेस-लिस्ट dc2-850-db-in ACL जिसे "दिशा" में dc2-850-db इंटरफ़ेस पर लागू किया जा रहा है
• पहुँच-सूची dc2-850-db-out ACL जिसे dc2-850-db इंटरफ़ेस में "आउट" दिशा में लागू किया जा रहा है

यह सब बहुत तंग है और उम्मीद के मुताबिक काम करता है, लेकिन मैं सोच रहा था कि क्या यह जाने का सबसे अच्छा तरीका है? फिलहाल मेरे पास एक बिंदु है जहां मेरे पास 30 से अधिक वीएलएएन हैं और मुझे कहना होगा कि यह उन बिंदुओं को प्रबंधित करने के लिए कुछ बिंदुओं पर थोड़ा भ्रमित हो रहा है।

संभवतः आम / साझा ACL जैसी कोई चीज़ यहाँ मदद करेगी जिसे मैं अन्य ACL से विरासत में प्राप्त कर सकता हूँ लेकिन AFAIK ऐसा कोई भी विज्ञापन नहीं है ...

किसी भी सलाह बहुत सराहना की।

आपके लिए सिस्को एएसए डिवाइस (55 जोड़े के 2 जोड़े और 5550 के 1 जोड़े) हैं। इसका मतलब है कि आप पैकेट को फिल्टर करने से दूर जा रहे हैं और एएएएस में फ़ायरवॉल ज़ोन आधारित तकनीकों पर जा रहे हैं।

क्लास-मैप, पॉलिसी-मैप और सर्विस-पॉलिसी बनाएं।

नेटवर्क ऑब्जेक्ट आपके जीवन को आसान बना देंगे।

फ़ायरवॉल तकनीक का चलन है

पैकेट फ़िल्टरिंग - पैकेट निरीक्षण - आईपी निरीक्षण (स्टेटफुल निरीक्षण) - ज़ोनबेडफायरवॉल

यह तकनीकें इसके लिए बनाई गई थीं ताकि क्षेत्रों में वृद्धि कम हो।

एक किताब है, आप शायद पढ़ना चाहें।

आकस्मिक प्रशासक-यह वास्तव में मेरी मदद की।

इस पर एक नज़र डालें और दो अलग-अलग दिशाओं में एकल से आगे बढ़ें।

ASAs के साथ आपको कोई समस्या नहीं होनी चाहिए।

अतीत में, मैंने 800 श्रृंखला के आईपी निरीक्षण और जेडबीएफ किए, फिर वहाँ फायदे की तुलना की और उन्होंने एएसएएस में उसी तकनीक का उपयोग किया जो पैकेट फ़िल्टरिंग से उन्नत आईपी निरीक्षण तक चलती थी।

एक बहुत ही सरल (और, निस्संदेह, एक धोखा का एक सा) समाधान प्रत्येक वीएलएएन इंटरफ़ेस को एक सुरक्षा-स्तर के साथ असाइन करना होगा जो कि उस ट्रैफ़िक की अनुमति देता है।

आप तब सेट कर सकते हैं same-security-traffic permit inter-interface, इस प्रकार विशेष रूप से कई डिवाइसों में एक ही वीएलएएन को रूट करने और सुरक्षित करने की आवश्यकता को पूरा करते हैं।

यह वीएलएएन की संख्या में कटौती नहीं करेगा, लेकिन यह संभवतः उन सभी 3 फायरवॉल तक पहुंचने वाले वीएलएएन के लिए आवश्यक एसीएल की संख्या को आधा कर देगा।

बेशक, मेरे लिए यह जानने का कोई तरीका नहीं है कि क्या यह आपके वातावरण में कोई मायने रखता है।

आपके पास इनबाउंड और आउटबाउंड एक्सेस लिस्ट दोनों क्यों हैं? आपको यथासंभव स्रोत के करीब ट्रैफ़िक पकड़ने की कोशिश करनी चाहिए। इसका मतलब होगा कि केवल इनबाउंड एक्सेस लिस्ट, आपके एसीएल की कुल संख्या को आधा कर देगी। इससे गुंजाइश कम रखने में मदद मिलेगी। जब प्रति प्रवाह केवल एक ही संभव पहुंच सूची होती है, तो आपका एएसए बनाए रखना आसान हो जाएगा और अधिक महत्वपूर्ण बात: जब चीजें गलत हो जाती हैं, तो उसका निवारण करना आसान हो जाता है।

इसके अलावा, क्या सभी वीएलएएन को एक-दूसरे तक पहुंचने के लिए फ़ायरवॉल से आगे जाना पड़ता है? यह गंभीर रूप से सीमा से गुजरता है। याद रखें: एक एएसए एक फ़ायरवॉल है, न कि एक अच्छा (अच्छा) राउटर।