Cisco ASA и несколько VLAN

Question

Cisco ASA и несколько VLAN

В настоящее время я управляю 6 устройствами Cisco ASA (2 пары из 5510 и 1 пара из 5550). Все они работают довольно хорошо и стабильны, так что это скорее вопрос рекомендаций, а не "OMG, он сломан, помогите мне это исправить".

Моя сеть разделена на несколько VLAN. Практически у каждой сервисной роли есть своя собственная VLAN, поэтому у серверов БД будут свои VLAN, APP-серверы, узлы Cassandra.

Управление трафиком осуществляется только на определенных основах, запрещающих отдых (поэтому политика по умолчанию - отбрасывать весь трафик). Я делаю это путем создания двух списков ACL для каждого сетевого интерфейса, например:

список доступа dc2-850-db-in ACL, который применяется к интерфейсу dc2-850-db в направлении "in"
ACL-список доступа dc2-850-db-out, который применяется к интерфейсу dc2-850-db в направлении "out"

Это все довольно плотно и работает, как и ожидалось, однако мне было интересно, это лучший способ пойти? На данный момент я дошел до того, что у меня более 30 сетей VLAN, и я должен сказать, что в некоторых моментах управление ими становится немного запутанным.

Вероятно, что-то вроде общих / общих ACL-списков могло бы помочь здесь, которое я мог бы унаследовать от других ACL-списков, но AFAIK такого не существует...

Любой совет высоко ценится.

10

networking security cisco cisco-asa best-practices

Источник

bart613 24 июл '12 в 10:47

3 ответа

Другие вопросы по тегам networking security cisco cisco-asa best-practices

don IT Consultant 21 июл '13 в 16:48 2013-07-21 16:48 · Answer 1 · 2013-07-21 16:48

Для вас есть устройства Cisco ASA (2 пары 5510-х и 1 пара 5550-х). Это означает, что вы отказываетесь от фильтрации пакетов с помощью acls и переходите на методы на основе зон межсетевого экрана в ASA.

Создайте карты классов, карты политик и сервис-политики.

Сетевые объекты сделают вашу жизнь проще.

Тенденция в технике брандмауэра

фильтрация пакетов - проверка пакетов - проверка ip (проверка с учетом состояния) - Zonebasedfirewall

Эти методы были сделаны для того, чтобы это было менее запутанным, поскольку области увеличиваются.

Есть книга, которую вы можете прочитать.

Случайный администратор - мне это действительно помогло.

Посмотрите на это и двигайтесь от acls в двух разных направлениях.

С ASAs у вас не должно быть проблем.

В прошлом я выполнял ip inspect 800-й серии и ZBF, затем сравнивал их преимущества и использовал ту же технику в ASA, переходя от фильтрации пакетов к расширенной ip-проверке.

adaptr 31 июл '12 в 14:29 2012-07-31 14:29 · Answer 2 · 2012-07-31 14:29

Одним из очень простых (и, правда, немного хитрых) решений было бы назначить каждому интерфейсу VLAN уровень безопасности, соответствующий трафику, который ему необходимо разрешить.

Вы можете установить same-security-traffic permit inter-interfaceТаким образом, устраняется необходимость специально маршрутизировать и защищать одну и ту же VLAN-сеть на нескольких устройствах.

Это не сократит количество VLAN, но, вероятно, сократит вдвое количество ACL, необходимых для VLAN, которые охватывают все 3 брандмауэра.

Конечно, у меня нет возможности узнать, имеет ли это смысл в вашей среде.

JelmerS 18 мар '13 в 21:11 2013-03-18 21:11 · Answer 3 · 2013-03-18 21:11

Почему у вас есть как входящие, так и исходящие списки доступа? Вы должны попытаться поймать трафик как можно ближе к источнику. Это будет означать только входящие списки доступа, уменьшая вдвое ваше общее количество ACL. Это помогло бы уменьшить прицел. При наличии только одного возможного списка доступа на поток ваш ASA станет проще в обслуживании и, что более важно, будет легче устранять неполадки, если что-то пойдет не так.

Кроме того, все ли VLAN должны проходить через межсетевой экран, чтобы достигать друг друга? Это серьезно ограничивает пропускную способность. Помните: ASA - это брандмауэр, а не (хороший) маршрутизатор.