Cisco ASA и несколько VLAN

В настоящее время я управляю 6 устройствами Cisco ASA (2 пары из 5510 и 1 пара из 5550). Все они работают довольно хорошо и стабильны, так что это скорее вопрос рекомендаций, а не «OMG, он сломан, помогите мне это исправить».

Моя сеть разделена на несколько VLAN. Практически каждая роль службы имеет свою собственную VLAN, поэтому у серверов БД будут свои VLAN, серверы APP, узлы Cassandra.

Управление трафиком осуществляется только на определенных основах, запрещающих отдых (поэтому политика по умолчанию - отбрасывать весь трафик). Я делаю это путем создания двух списков ACL для каждого сетевого интерфейса, например:

• список доступа dc2-850-db-in ACL, применяемый к интерфейсу dc2-850-db в направлении "in"
• ACL-список доступа dc2-850-db-out, который применяется к интерфейсу dc2-850-db в направлении "out"

Это все довольно плотно и работает, как и ожидалось, однако мне было интересно, это лучший способ пойти? На данный момент я дошел до того, что у меня более 30 сетей VLAN, и я должен сказать, что в некоторых моментах управление ими становится немного запутанным.

Вероятно, что-то вроде общих / общих ACL-списков могло бы помочь здесь, которое я мог бы унаследовать от других ACL-списков, но AFAIK такого не существует ...

Любой совет высоко ценится.

Для вас есть устройства Cisco ASA (2 пары 5510-х и 1 пара 5550-х). Это означает, что вы отказываетесь от фильтрации пакетов с помощью acls и переходите на методы на основе зон межсетевого экрана в ASA.

Создание карт классов, политик и сервис-политик.

Сетевые объекты сделают вашу жизнь проще.

Тенденция в технике межсетевого экрана

фильтрация пакетов - проверка пакетов - проверка ip (проверка с учетом состояния) - Zonebasedfirewall

Эти методы были сделаны для того, чтобы он был менее запутанным, поскольку области увеличиваются.

Есть книга, которую вы можете прочитать.

Случайный администратор - мне это действительно помогло.

Посмотрите на это и двигайтесь от acls в двух разных направлениях.

С ASAs у вас не должно быть проблем.

В прошлом я выполнял ip inspect 800-й серии и ZBF, затем сравнивал их преимущества и использовал ту же технику в ASA, переходя от фильтрации пакетов к расширенной ip-проверке.

Одним из очень простых (и, правда, немного хитрых) решений было бы назначить каждому интерфейсу VLAN уровень безопасности, соответствующий трафику, который ему необходимо разрешить.

Затем вы можете установить same-security-traffic permit inter-interface, устраняя тем самым необходимость специально маршрутизировать и защищать одну и ту же VLAN-сеть на нескольких устройствах.

Это не сократит количество VLAN, но, вероятно, сократит вдвое количество ACL, необходимых для VLAN, которые охватывают все 3 брандмауэра.

Конечно, у меня нет возможности узнать, имеет ли это смысл в вашей среде.

Почему у вас есть как входящие, так и исходящие списки доступа? Вы должны попытаться поймать трафик как можно ближе к источнику. Это будет означать только входящие списки доступа, уменьшая вдвое ваше общее количество ACL. Это поможет сохранить прицел. При наличии только одного возможного списка доступа на поток ваш ASA станет проще в обслуживании и, что более важно, будет легче устранять неполадки, если что-то пойдет не так.

Кроме того, все ли VLAN должны проходить через межсетевой экран, чтобы достигать друг друга? Это серьезно ограничивает пропускную способность. Помните: ASA - это брандмауэр, а не (хороший) маршрутизатор.