Je gère actuellement 6 appareils Cisco ASA (2 paires de 5510 et 1 paire de 5550). Ils fonctionnent tous très bien et sont stables, il s'agit donc plutôt d'une question de conseils plutôt que de "OMG c'est cassé, aidez-moi à le réparer".
Mon réseau est divisé en plusieurs VLAN. À peu près chaque rôle de service a son propre VLAN, donc les serveurs DB auraient leur propre VLAN, serveurs APP, nœuds Cassandra.
Le trafic est géré sur une autorisation uniquement spécifique, refuser les bases du repos (la politique par défaut consiste donc à supprimer tout le trafic). Je le fais en créant deux ACL par interface réseau, par exemple:
- liste d'accès dc2-850-db-in ACL qui est appliquée à l'interface dc2-850-db dans la direction "dans"
- access-list dc2-850-db-out ACL qui est appliqué à l'interface dc2-850-db dans le sens "out"
Tout est assez serré et fonctionne comme prévu, mais je me demandais si c'était la meilleure façon de procéder? Pour le moment, je suis arrivé à un point où j'ai plus de 30 VLAN et je dois dire que cela devient un peu déroutant à certains moments pour les gérer.
Probablement quelque chose comme des ACL communs / partagés aiderait ici que je pourrais hériter d'autres ACL mais AFAIK il n'y a rien de tel ...
Tout conseil très apprécié.
private vlans
? Une autre alternative pourrait être de diviser les unités commercialesVRFs
. L'un ou l'autre pourrait aider à gérer une partie de l'explosion des exigences ACL. Honnêtement cependant, il est difficile de commenter cette question car tout dépend des raisons commerciales et techniques de votre conception existante