我有2个控制中心站点,每个站点都具有2个全网状设计的N7K,以及2个Nexus 5548UP作为内部服务器场聚合和2个ASA防火墙,分别挂在每个N5K Agg上。两个站点均具有镜像设计。我们的用户需要直接访问内部服务器场应用程序,我们还需要一个安全边界来处理来自内部服务器应用程序的出站连接请求。此外,我需要在Agg中托管专用DMZ,以将入站连接请求与我们归类为较低安全区域的区域隔离开来(N7K CORE将使用vrf:Global指向较低安全网络子网的路由)。
通常,将用户视为较低的安全区域,但此设计用于托管大型电网的控制系统。考虑到这一点,我也不想直接将用户连接到N5K Agg,以允许SITE1服务器场Agg崩溃,从而允许SITE 2托管应用程序(当前,我们将用户连接到与应用程序相同的物理交换机上) 。我想提供一种经典的数据中心设计,其中用户从HA L3 CORE(4 x N7K Full Mesh)路由到服务器场。但是,由于它们被认为与“内部服务器”具有相同的安全级别,因此我想将它们隔离到托管在N7K CORE上的私有VPN云中。由于N7K支持MPLS,因此这将是最合乎逻辑的 我的当前设计在Nexus 5548聚合中具有用于内部服务器的L2 / L3边界,因为防火墙也已连接到那里。Nexus 5K不支持MPLS,但支持VRF Lite。N5K还以完整的网格连接到每个站点的本地N7K。
要利用N5K和N7K之间的所有4条链路,我要么需要配置pt到pt L3链路,否则就会使将内部用户流量与核心区与需要转发防火墙的流量隔离开来,或者我可以利用5K之间的FabricPath。和7K,并使用vrf lite,其中唯一的FabricPath vlan将是4个节点与防火墙的外部vlan之间的接口SVI,用于连接N7K的vrf:全局路由表。由于这些必须获得许可,因此这可能是过高的,但是我们有独特的安全要求,因此成本往往是一个小问题。
对于路由,我将在防火墙中安装默认路由以指向N7K vrf:Global,它将运行OSPF或EIGRP并学习到其他较低安全性网络的路由。对于高安全区,我将安装一个vrf:在所有N5K和N7K上安装Internal,最有可能运行BGP,因为N7K上的MPLS需要使用MP-BGP。这只会学习SITE2内部服务器场和内部用户的路由(我们的应用程序需要站点之间的L3才能防止脑裂)。我还必须非常小心,不允许vrf:Global与vrf:内部交换路由,因为这将造成状态防火墙在两个vrf之间提供L3连接的不对称噩梦。在本地站点N5K和防火墙上使用简单的默认路由,在N7K中使用指向内部服务器子网的汇总路由,可以避免此问题。
或者,我考虑在N7K上再建一个VDC,以提供FHRP并将防火墙移到VDC。N5K仅使用FabricPath,不使用任何形式的L3。
由于这很可能不是典型的设计,因此我希望能收到任何反馈。