思科ASA和多个VLAN

我目前管理6台Cisco ASA设备（2对5510和1对5550）。它们都工作得很好并且很稳定，所以这更多是一个最佳实践的建议问题，而不是“ OMG坏了，请帮我修复它”。

我的网络分为多个VLAN。几乎每个服务角色都有其自己的VLAN，因此DB服务器将具有自己的VLAN，APP服务器和Cassandra节点。

通过仅允许特定的拒绝休息基础来管理流量（因此默认策略是丢弃所有流量）。我通过为每个网络接口创建两个ACL来做到这一点，例如：

• 访问列表dc2-850-db-in ACL，该访问控制列表以“ in”方向应用于dc2-850-db接口
• 以“出”方向应用于dc2-850-db接口的访问列表dc2-850-db-out ACL

一切都非常紧凑并且可以按预期工作，但是我想知道这是否是最好的选择？ 目前，我已经拥有30个以上的VLAN，我必须说，在某些情况下管理这些VLAN变得有些混乱。

可能像通用/共享ACL这样的东西在这里可以帮到我可以从其他ACL继承的东西，但是AFAIK没有这样的东西...

任何建议，不胜感激。

适用于拥有Cisco ASA设备（2对5510和1对5550）。这意味着您将不再使用ACL进行数据包过滤，而转而使用ASA中基于防火墙区域的技术。

创建类映射，策略映射和服务策略。

网络对象将使您的生活变得轻松。

防火墙技术的趋势是

数据包过滤-数据包检查-ip检查（状态检查）-Zonebasedfirewall

这些技术是为了减少面积的增加而造成的。

有一本书，您可能想要阅读。

偶然的管理员-确实对我有所帮助。

看一下它，并从acls向两个不同的方向移动。

使用ASA，您应该没有问题。

过去，我制作了800系列IP检查和ZBF，然后比较了它们的优点，并且他们在ASA中使用了相同的技术，从数据包过滤转移到高级IP检查。

一个非常简单的解决方案（当然是作弊的一种）是为每个VLAN接口分配与其所需允许的流量一致的安全级别。

然后same-security-traffic permit inter-interface，您可以进行设置，从而避免了跨多个设备专门路由和保护同一VLAN的需要。

它不会减少VLAN的数量，但可能会使遍及所有三个防火墙的VLAN所需的ACL数量减少一半。

当然，我没有办法知道这在您的环境中是否有意义。

为什么同时具有入站和出站访问列表？您应该尝试捕获尽可能靠近源的流量。那将意味着仅入站访问列表，将您的ACL总数减半。这将有助于缩小范围。当每个流只有一个可能的访问列表时，您的ASA将变得更易于维护，更重要的是：出问题时更易于排除故障。

另外，所有VLAN是否都必须经过防火墙才能相互访问？这严重限制了吞吐量。请记住：ASA是防火墙，而不是（好的）路由器。