如何在不直接连接到服务器交换机的情况下将私人用户连接到受信任网络中的应用程序


9

我有2个控制中心站点,每个站点都具有2个全网状设计的N7K,以及2个Nexus 5548UP作为内部服务器场聚合和2个ASA防火墙,分别挂在每个N5K Agg上。两个站点均具有镜像设计。我们的用户需要直接访问内部服务器场应用程序,我们还需要一个安全边界来处理来自内部服务器应用程序的出站连接请求。此外,我需要在Agg中托管专用DMZ,以将入站连接请求与我们归类为较低安全区域的区域隔离开来(N7K CORE将使用vrf:Global指向较低安全网络子网的路由)。

通常,将用户视为较低的安全区域,但此设计用于托管大型电网的控制系统。考虑到这一点,我也不想直接将用户连接到N5K Agg,以允许SITE1服务器场Agg崩溃,从而允许SITE 2托管应用程序(当前,我们将用户连接到与应用程序相同的物理交换机上) 。我想提供一种经典的数据中心设计,其中用户从HA L3 CORE(4 x N7K Full Mesh)路由到服务器场。但是,由于它们被认为与“内部服务器”具有相同的安全级别,因此我想将它们隔离到托管在N7K CORE上的私有VPN云中。由于N7K支持MPLS,因此这将是最合乎逻辑的 我的当前设计在Nexus 5548聚合中具有用于内部服务器的L2 / L3边界,因为防火墙也已连接到那里。Nexus 5K不支持MPLS,但支持VRF Lite。N5K还以完整的网格连接到每个站点的本地N7K。

要利用N5K和N7K之间的所有4条链路,我要么需要配置pt到pt L3链路,否则就会使将内部用户流量与核心区与需要转发防火墙的流量隔离开来,或者我可以利用5K之间的FabricPath。和7K,并使用vrf lite,其中唯一的FabricPath vlan将是4个节点与防火墙的外部vlan之间的接口SVI,用于连接N7K的vrf:全局路由表。由于这些必须获得许可,因此这可能是过高的,但是我们有独特的安全要求,因此成本往往是一个小问题。

对于路由,我将在防火墙中安装默认路由以指向N7K vrf:Global,它将运行OSPF或EIGRP并学习到其他较低安全性网络的路由。对于高安全区,我将安装一个vrf:在所有N5K和N7K上安装Internal,最有可能运行BGP,因为N7K上的MPLS需要使用MP-BGP。这只会学习SITE2内部服务器场和内部用户的路由(我们的应用程序需要站点之间的L3才能防止脑裂)。我还必须非常小心,不允许vrf:Global与vrf:内部交换路由,因为这将造成状态防火墙在两个vrf之间提供L3连接的不对称噩梦。在本地站点N5K和防火墙上使用简单的默认路由,在N7K中使用指向内部服务器子网的汇总路由,可以避免此问题。

或者,我考虑在N7K上再建一个VDC,以提供FHRP并将防火墙移到VDC。N5K仅使用FabricPath,不使用任何形式的L3。

由于这很可能不是典型的设计,因此我希望能收到任何反馈。

q


您当前正在N7k上运行MPLS吗?您是否(或您的规模要求)要求N5k成为L3网关,或者可以将路由通过vPC / FP集中在N7k上,集中到N5k?是由运营商控制的“全局路由”云,还是由运营商提供的MPLS VPN(L2或L3?)?
cpt_fink 2015年

有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以提供并接受自己的答案。
罗恩·莫平

Answers:


2

也许我读错了,您允许用户和内部服务器位于同一安全区域,而您所需要的只是用户和内部服务器在不同的2层域中?不要仅为此目的创建vrf并在vrf之间进行路由。必须有更简单的方法来执行此操作,例如,不同的layer3 Vlans + ACL。

在7K上,您为用户提供1个VLAN 100,为内部服务器提供1个VLAN 200,在用户VLAN接口上,您只需添加ACL以仅允许您希望用户到达的位置。我认为可以进行设置,如果您发现环境中的任何内容不支持此设置,请告诉我,我们可以讨论。

如果要运行结构路径,可以使用4个5k-7k链接来运行结构路径,也可以为5k和7k之间的主干VLAN 100和200添加一个链接。


0

看起来很复杂。不必束缚ASA,而是将它们放在内联中(是的,它使物理接口要求加倍,但您的公司显然有钱)。只需具有访问和聚合(核心)设计。获取路由器进行路由,让交换机进行交换。

那就是我所拥有的全部...希望对您有帮助吗?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.