Cisco ASA et plusieurs VLAN


9

Je gère actuellement 6 appareils Cisco ASA (2 paires de 5510 et 1 paire de 5550). Ils fonctionnent tous très bien et sont stables, il s'agit donc plutôt d'une question de conseils plutôt que de "OMG c'est cassé, aidez-moi à le réparer".

Mon réseau est divisé en plusieurs VLAN. À peu près chaque rôle de service a son propre VLAN, donc les serveurs DB auraient leur propre VLAN, serveurs APP, nœuds Cassandra.

Le trafic est géré sur une autorisation uniquement spécifique, refuser les bases du repos (la politique par défaut consiste donc à supprimer tout le trafic). Je le fais en créant deux ACL par interface réseau, par exemple:

  • liste d'accès dc2-850-db-in ACL qui est appliquée à l'interface dc2-850-db dans la direction "dans"
  • access-list dc2-850-db-out ACL qui est appliqué à l'interface dc2-850-db dans le sens "out"

Tout est assez serré et fonctionne comme prévu, mais je me demandais si c'était la meilleure façon de procéder? Pour le moment, je suis arrivé à un point où j'ai plus de 30 VLAN et je dois dire que cela devient un peu déroutant à certains moments pour les gérer.

Probablement quelque chose comme des ACL communs / partagés aiderait ici que je pourrais hériter d'autres ACL mais AFAIK il n'y a rien de tel ...

Tout conseil très apprécié.


3
Avez-vous envisagé d'aplanir l'espace d'adressage et de l'utiliser private vlans? Une autre alternative pourrait être de diviser les unités commerciales VRFs. L'un ou l'autre pourrait aider à gérer une partie de l'explosion des exigences ACL. Honnêtement cependant, il est difficile de commenter cette question car tout dépend des raisons commerciales et techniques de votre conception existante
Mike Pennington

Merci Mike - je vais lire un peu sur les deux que vous avez mentionnés.
bart613

Vous êtes les bienvenus ... l'idée de base derrière les deux suggestions est que vous construisez une limite naturelle de couche 2 ou de couche 3 en fonction des besoins de l'entreprise qui permet toutes les communications entre les hôtes au sein de la même fonction métier. À ce stade, vous devez créer un pare-feu entre les intérêts commerciaux. De nombreuses entreprises créent des VPN distincts pour chaque unité commerciale de l'entreprise; le concept est similaire à ce que je suggère ici, mais le VPN serait local à l'intérieur de votre installation (et basé sur des vlans privés ou des VRF)
Mike Pennington

Réponses:


1

Pour vous ayant des périphériques Cisco ASA (2 paires de 5510 et 1 paire de 5550). Cela signifie que vous vous éloignez du filtrage de paquets avec acls et passez aux techniques basées sur la zone de pare-feu dans les ASA.

Créez des cartes de classe, des cartes de politique et des politiques de service.

Les objets en réseau vous faciliteront la vie.

La tendance de la technique du pare-feu est

filtrage de paquets - inspection de paquets - inspection ip (inspection avec état) - firewall zonebased

Ces techniques ont été conçues pour qu'il soit moins déroutant à mesure que les zones augmentent.

Il y a un livre, vous voudrez peut-être le lire.

L'administrateur accidentel - Ça m'a vraiment aidé.

Jetez-y un œil et passez des acls dans deux directions différentes.

Avec les ASA, vous ne devriez avoir aucun problème.

Dans le passé, j'ai fait l'inspection ip de la série 800 et le ZBF, puis j'ai comparé les avantages et ils ont utilisé la même technique dans les ASA en s'éloignant du filtrage de paquets pour inspecter ip avancé.


Don, je ne vois aucun chapitre discuter de l'abandon du filtrage en utilisant acls dans (votre?) livre. Pouvez-vous me référer au chapitre et à la page?
3molo

0

Une solution très simple (et, certes, un peu tricheuse) serait d'attribuer à chaque interface VLAN un niveau de sécurité cohérent avec le trafic qu'elle doit autoriser.

Vous pouvez ensuite définir same-security-traffic permit inter-interface, évitant ainsi la nécessité d'acheminer et de sécuriser spécifiquement le même VLAN sur plusieurs appareils.

Cela ne réduirait pas le nombre de VLAN, mais cela réduirait probablement de moitié le nombre d'ACL dont vous avez besoin pour les VLAN qui atteignent les trois pare-feu.

Bien sûr, il n'y a aucun moyen pour moi de savoir si cela a du sens dans votre environnement.


0

Pourquoi avez-vous des listes d'accès entrantes et sortantes? Vous devez essayer d'attraper le trafic le plus près possible de la source. Cela signifierait uniquement les listes d'accès entrantes, réduisant de moitié votre nombre total d'ACL. Cela aiderait à réduire la portée. Lorsque vous n'avez qu'une seule liste d'accès possible par flux, votre ASA deviendra plus facile à maintenir et plus important encore: plus facile à dépanner en cas de problème.

De plus, tous les VLAN doivent-ils passer un pare-feu pour se rejoindre? Cela limite considérablement le débit. N'oubliez pas: un ASA est un pare-feu, pas un (bon) routeur.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.