Cómo conectar usuarios privados a aplicaciones dentro de una red confiable sin conexión directa al Switch del servidor

9

Tengo 2 sitios del Centro de control, cada uno con 2 N7K en un diseño de malla completa y 2 Nexus 5548UP como agregación de granja de servidores internos y 2 firewalls ASA que cuelgan de cada Agg N5K. Ambos sitios tienen un diseño de imagen espejo. Tenemos usuarios que necesitan acceso directo a las aplicaciones internas de la granja de servidores y también necesitamos un límite de seguridad para las solicitudes de conexión salientes de las aplicaciones internas del servidor. Además, necesito alojar DMZ privadas dentro del Agg para aislar las solicitudes de conexión entrantes de lo que clasificamos como zonas de menor seguridad (el N7K CORE usará vrf: Global para rutas para reducir las subredes de la red de seguridad).

Por lo general, el usuario se consideraría zonas de menor seguridad, pero este diseño es para alojar un sistema de control para una gran red eléctrica. Teniendo esto en cuenta, tampoco quiero conectar a los usuarios directamente con el N5K Agg para permitir que SITE1 Server Farm Agg disminuya, permitiendo que el SITE 2 aloje las aplicaciones (actualmente conectamos a los usuarios al mismo conmutador físico que las aplicaciones) . Me gustaría proporcionar un diseño clásico de centro de datos en el que los usuarios se dirijan a la granja de servidores desde HA L3 CORE (4 x N7K Full Mesh). Sin embargo, como se consideran el mismo nivel de seguridad que los "Servidores internos", quiero aislarlos en una Nube VPN privada alojada en el N7K CORE. Como N7K admite MPLS, este sería el más lógico, sin embargo, mi diseño actual tiene el límite L2 / L3 para los servidores internos en la agregación Nexus 5548 ya que los firewalls también están conectados allí. Los Nexus 5K no son compatibles con MPLS, pero sí son compatibles con VRF Lite. Los N5K también están conectados en una malla completa a los N7K locales en cada sitio.

Para utilizar los 4 enlaces entre los N5K y los N7K, necesito configurar enlaces pt a pt L3 que engendran la idea de aislar el tráfico del Usuario interno del Núcleo del tráfico que necesita reenviar el firewall, o puedo utilizar FabricPath entre los 5K y 7K y use vrf lite donde los únicos vlans de FabricPath serían las SVI de interfaz entre los 4 nodos y el vlan externo del cortafuegos para conectar la vrf del N7K: tabla de enrutamiento global. Probablemente esto sea excesivo, ya que estos deben tener licencia, pero tenemos requisitos de seguridad únicos, por lo que el costo tiende a ser un problema menor.

Para el enrutamiento, instalaría una ruta predeterminada en el firewall para apuntar a N7K vrf: Global que ejecutaría OSPF o EIGRP y rutas de aprendizaje a otras redes de menor seguridad. Para la zona de alta seguridad, instalaría un vrf: interno en todos los N5K y N7K y lo más parecido sería ejecutar BGP ya que MPLS en N7K requiere el uso de MP-BGP. Esto solo aprendería rutas para la granja de servidores internos SITE2 y los usuarios internos (nuestras aplicaciones necesitan L3 entre sitios para evitar la división del cerebro). También tengo que tener mucho cuidado al no permitir que vrf: Global intercambie rutas con vrf: Internal, ya que esto crearía una pesadilla asimétrica con Stateful Firewall que proporciona conexión L3 entre los 2 vrf. Una ruta predeterminada simple en el sitio local N5K y Firewall y una ruta resumida en el N7K que apunta a las subredes del servidor interno evitarán ese problema.

Alternativamente, consideré construir otro VDC fuera del N7K para proporcionar FHRP y mover los firewalls al VDC. El N5K solo usaría FabricPath y no L3 de ningún tipo.

Siendo que este no es un diseño típico, agradecería cualquier comentario al respecto.

q

Robar
fuente
¿Actualmente estás ejecutando MPLS en tu N7k? ¿Usted (o sus requisitos de escala) requieren que su N5k sea pasarelas L3, o podría el enrutamiento estar centralizado en el N7k con vPC / FP al N5k? ¿Está bajo su control la nube de 'enrutamiento global' o una VPN MPLS (L2 o L3?) De un operador?
cpt_fink
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

2

Tal vez lo leí mal, ¿permite que los usuarios y los servidores internos estén en la misma zona de seguridad, todo lo que necesita es usuarios y servidores internos en un dominio de capa 2 diferente? No cree vrf y enrutamiento entre vrf solo para ese propósito. Debe haber una forma más sencilla de hacerlo, por ejemplo, diferentes capas3 Vlans + ACL.

En 7K le da 1 vlan 100 para usuarios y 1 vlan 200 para servidores internos, en la interfaz vlan de usuarios, solo puede agregar ACL para permitir solo donde desea que lleguen los usuarios. Es posible configurarlo en mi opinión, si ve algo en su entorno que no es compatible con esto, dígame y podemos discutirlo.

Si desea ejecutar la ruta de la tela, puede usar 4 enlaces de 5k-7k para ejecutar la ruta de la tela, puede agregar un enlace más solo para trunk vlan 100 y 200 entre 5k y 7K.

theccie
fuente
0

Parece complicado En lugar de los ASA precisos, póngalos en línea (entre sí, duplica los requisitos de interfaz física, pero su empresa obviamente tiene el dinero). Simplemente tenga acceso y diseño de agregación (núcleo). Obtenga enrutadores para enrutar y conmutadores para cambiar.

Eso es todo lo que tengo ... ¿Espero que ayude?

Ronnie Royston
fuente