Cisco ASA y varias VLAN

9

Actualmente administro 6 dispositivos Cisco ASA (2 pares de 5510s y 1 par de 5550s). Todos funcionan bastante bien y son estables, por lo que se trata más de una pregunta de asesoramiento de mejores prácticas en lugar de "OMG está roto, ayúdame a solucionarlo".

Mi red está dividida en múltiples VLAN. Casi cada rol de servicio tiene su propia VLAN, por lo que los servidores de bases de datos tendrían su propia VLAN, servidores de aplicaciones y nodos Cassandra.

El tráfico se gestiona en un permiso solo específico, denegar los conceptos básicos de descanso (por lo que la política predeterminada es eliminar todo el tráfico). Hago esto creando dos ACL por interfaz de red, por ejemplo:

  • lista de acceso dc2-850-db-in ACL que se aplica a la interfaz dc2-850-db en dirección "en"
  • lista de acceso dc2-850-db-out ACL que se aplica a la interfaz dc2-850-db en la dirección "out"

Todo es bastante ajustado y funciona como se esperaba, sin embargo, me preguntaba si esta es la mejor manera de hacerlo. En este momento llegué a un punto en el que tengo más de 30 VLAN y debo decir que se está volviendo un poco confuso en algunos puntos administrarlas.

Probablemente algo como ACL comunes / compartidas ayudaría aquí, lo que podría heredar de otras ACL, pero AFAIK no existe tal cosa ...

Cualquier consejo muy apreciado.

bart613
fuente
3
¿Has buscado aplanar el espacio de direcciones y usarlo private vlans? Otra alternativa podría ser dividir las unidades de negocio VRFs. Cualquiera de los dos podría ayudar a gestionar parte de la explosión de los requisitos de ACL. Honestamente, sin embargo, es difícil comentar sobre esta pregunta porque mucho depende de las razones comerciales y técnicas de su diseño existente
Mike Pennington
Gracias Mike. Voy a leer un poco sobre los dos que has mencionado.
bart613
De nada ... la idea básica detrás de ambas sugerencias es que construya un límite natural de capa 2 o capa 3 basado en las necesidades comerciales que permita toda comunicación entre los hosts dentro de la misma función comercial. En ese punto, necesitaría cortafuegos entre intereses comerciales. Muchas compañías están construyendo VPN separadas para cada unidad de negocios de la compañía; el concepto es similar a lo que sugiero aquí, pero la VPN sería local dentro de sus instalaciones (y basada en vlans privados o VRF)
Mike Pennington

Respuestas:

1

Para usted que tiene dispositivos Cisco ASA (2 pares de 5510s y 1 par de 5550s). Esto significa que se está alejando del filtrado de paquetes con acls y está pasando a técnicas basadas en zonas de firewall en ASA.

Crear mapas de clase, mapas de políticas y políticas de servicio.

Los objetos de red te harán la vida más fácil.

La tendencia en la técnica de firewall es

filtrado de paquetes - inspección de paquetes - inspección de ip (inspección con estado) - Firewall basado en zonas

Estas técnicas se hicieron para que sea menos confuso a medida que aumentan las áreas.

Hay un libro, es posible que desee leer.

El administrador accidental: realmente me ayudó.

Míralo y muévete de las acls en dos direcciones diferentes.

Con ASAs no deberías tener ningún problema.

En el pasado, hice la inspección IP de la serie 800 y ZBF, luego comparé sus ventajas y usaron la misma técnica en los ASA para alejarme del filtrado de paquetes a la inspección IP avanzada.

don IT Consultant
fuente
don, no veo ningún capítulo que discuta alejarse del filtrado usando acls en el libro (¿tu?). ¿Me puede referir al capítulo y la página?
3molo
0

Una solución muy simple (y, ciertamente, un poco tramposa) sería asignar a cada interfaz VLAN un nivel de seguridad consistente con el tráfico que necesita permitir.

Luego puede configurarlo same-security-traffic permit inter-interface, evitando así la necesidad de enrutar y asegurar específicamente la misma VLAN en varios dispositivos.

No reduciría la cantidad de VLAN, pero probablemente reduciría a la mitad la cantidad de ACL que necesita para las VLAN que alcanzan los 3 firewalls.

Por supuesto, no hay forma de saber si esto tiene sentido en su entorno.

Adaptador
fuente
0

¿Por qué tiene listas de acceso entrantes y salientes? Debe intentar atrapar el tráfico lo más cerca posible de la fuente. Eso significaría solo listas de acceso entrantes, reduciendo a la mitad su número total de ACL. Esto ayudaría a mantener bajo el alcance. Al tener solo una posible lista de acceso por flujo, su ASA será más fácil de mantener y, lo que es más importante, más fácil de solucionar cuando las cosas salen mal.

Además, ¿todas las VLAN tienen que pasar un firewall para comunicarse entre sí? Esto limita severamente el rendimiento. Recuerde: un ASA es un firewall, no un enrutador (bueno).

JelmerS
fuente