আমার 2 টি কন্ট্রোল সেন্টার সাইট রয়েছে একটি সম্পূর্ণ জাল নকশায় 2 এন 7 কে এবং 2 নেক্সাস 5548UP এর অভ্যন্তরীণ সার্ভার ফার্ম সংহতি হিসাবে এবং 2 টি এএসএ ফায়ারওয়াল প্রতিটি এন 5 কে এগ্রিকে বন্ধ রেখে দেয়। উভয় সাইটের মিরর ইমেজ ডিজাইন রয়েছে। আমাদের ব্যবহারকারীদের অভ্যন্তরীণ সার্ভার ফার্ম অ্যাপ্লিকেশনগুলিতে সরাসরি অ্যাক্সেস প্রয়োজন এবং আমাদের অভ্যন্তরীণ সার্ভার অ্যাপ্লিকেশনগুলি থেকে আউটবাউন্ড সংযোগের অনুরোধগুলির জন্য সুরক্ষা সীমানাও প্রয়োজন। তদতিরিক্ত, নীচের সুরক্ষা অঞ্চল হিসাবে আমরা শ্রেণিবদ্ধ করি যা থেকে ইনবাউন্ড সংযোগের অনুরোধগুলি আলাদা করতে আমার অ্যাগ্রের মধ্যে প্রাইভেট ডিএমজেড হোস্ট করা দরকার (সুরক্ষা নেটওয়ার্কের সাবনেটগুলি কম করার জন্য রুটগুলির জন্য এন 7 কে কোরি ভিআরএফ: গ্লোবাল ব্যবহার করবে)।
সাধারণত ব্যবহারকারীকে নিম্ন সুরক্ষিত অঞ্চল হিসাবে বিবেচনা করা হবে তবে এই নকশাটি একটি বৃহত পাওয়ার গ্রিডের জন্য একটি নিয়ন্ত্রণ সিস্টেম হোস্ট করার জন্য। এই বিষয়টি মাথায় রেখে আমি SITE1 সার্ভার ফার্ম অ্যাগ্রিকে অ্যাপ্লিকেশনগুলি হোস্ট করার অনুমতি দেওয়ার সুযোগটি ডাউন করার ক্ষমতাটি সরাসরি ব্যবহারকারীদের সরাসরি N5K অ্যাগ-এর সাথে সংযোগ করতে চাই না (বর্তমানে আমরা ব্যবহারকারীদের অ্যাপ্লিকেশনের মতো একই শারীরিক স্যুইচটিতে সংযুক্ত করি) । আমি একটি ক্লাসিক ডেটা সেন্টার ডিজাইন সরবরাহ করতে চাই যেখানে ব্যবহারকারীরা HA L3 CORE (4 x N7K সম্পূর্ণ জাল) থেকে সার্ভার ফার্মের দিকে যাত্রা করবে। যাইহোক, এগুলিকে "অভ্যন্তরীণ সার্ভারস" হিসাবে একই সুরক্ষা স্তরের হিসাবে বিবেচনা করা হয়, তাই আমি তাদের এন 7 কে কোরে হোস্ট করা একটি ব্যক্তিগত ভিপিএন ক্লাউডে বিচ্ছিন্ন করতে চাই। এন 7 কে সমর্থন এমপিএলএস হিসাবে, তবে এটি সবচেয়ে যুক্তিসঙ্গত হবে আমার বর্তমান ডিজাইনে নেক্সাস 5548 সমষ্টিতে অভ্যন্তরীণ সার্ভারগুলির জন্য এল 2 / এল 3 সীমানা রয়েছে কারণ ফায়ারওয়ালগুলিও সেখানে সংযুক্ত রয়েছে। নেক্সাস 5 কে এমপিএলএস সমর্থন করে না তবে তারা ভিআরএফ লাইট সমর্থন করে। N5Ks প্রতিটি সাইটে স্থানীয় এন 7 কে এর সাথে পুরো জাল দিয়ে সংযুক্ত রয়েছে।
N5K এর এবং N7K এর মধ্যে সমস্ত 4 টি লিঙ্ক ব্যবহার করার জন্য আমার কাছে হয় pt টি L3 লিঙ্কগুলি কনফিগার করতে হবে যা কবুতরটি ফোরওয়ালটি এগিয়ে দেওয়ার জন্য ট্র্যাফিক থেকে কোর থেকে অভ্যন্তরীণ ব্যবহারকারীর ট্র্যাফিককে আলাদা করার ধারণাটি গর্ত করে দেয়, বা আমি 5K এর মধ্যে ফ্যাব্রিকপথ ব্যবহার করতে পারি এবং 7 কে এবং ভিআরএফ লাইট ব্যবহার করুন যেখানে কেবলমাত্র ফ্যাব্রিকপথ ভ্লানগুলি 4 নোড এবং ফায়ারওয়ালের বাইরের ভ্লান N7K এর ভিআরএফ সংযোগের জন্য ইন্টারফেস হবে SVI: গ্লোবাল রাউটিং টেবিল। এগুলি সম্ভবত লাইসেন্স দিতে হবে বলে এটি সম্ভবত ওভারকিল, তবে আমাদের অনন্য সুরক্ষা প্রয়োজনীয়তা রয়েছে তাই ব্যয় একটি ছোট সমস্যা হিসাবে ঝুঁকে।
রাউটিংয়ের জন্য, আমি ফায়ারওয়ালে একটি ডিফল্ট রুট ইনস্টল করব এন 7 কে ভিআরএফ: গ্লোবাল যা ওএসপিএফ বা ইআইজিআরপি চালাবে এবং অন্যান্য নিম্ন সুরক্ষা নেটওয়ার্কগুলিতে শিখার রুট। হাই সিকিউর জোনের জন্য, আমি একটি ভিআরএফ ইনস্টল করব: সমস্ত এন 5 কে এবং এন 7 কে এর অভ্যন্তরীণ এবং এনজিও-তে এমপিএলএস এমপি-বিজিপি ব্যবহারের জন্য বেশিরভাগ পছন্দ বিজিপি চালাবে। এটি কেবলমাত্র SITE2 অভ্যন্তরীণ সার্ভার ফার্ম এবং অভ্যন্তরীণ ব্যবহারকারীদের জন্য রুটগুলি শিখবে (বিভক্ত মস্তিষ্ক প্রতিরোধের জন্য আমাদের অ্যাপ্লিকেশনগুলিতে সাইটের মধ্যে L3 প্রয়োজন)। ভিআরএফকে অনুমতি না দেওয়ার ক্ষেত্রেও আমাকে খুব যত্নবান হতে হবে: ভিআরএফের সাথে রুট বিনিময় থেকে গ্লোবাল: অভ্যন্তরীণ এর ফলে স্টেটফুল ফায়ারওয়ালসের সাথে 2 ভিআরএফ-এর মধ্যে এল 3 সংযোগ সরবরাহকারী একটি অসম্পূর্ণ দুঃস্বপ্ন তৈরি হবে। স্থানীয় সাইট N5K এবং ফায়ারওয়াল এ একটি সাধারণ ডিফল্ট রুট এবং N7K এর একটি সংক্ষিপ্ত রুট অভ্যন্তরীণ সার্ভার সাবনেটসকে নির্দেশ করে সেই সমস্যাটি প্রতিরোধ করবে।
পর্যায়ক্রমে, আমি এফএইচআরপি সরবরাহ করতে এবং ভিডিসিতে ফায়ারওয়ালগুলি সরানোর জন্য N7K এর বাইরে আরও একটি ভিডিসি তৈরির কথা বিবেচনা করেছি। N5K কেবলমাত্র ফ্যাব্রিকপথ এবং কোনও ধরণের L3 ব্যবহার করবে না।
এটি সম্ভবত সম্ভবত একটি সাধারণ নকশা নয়, আমি এ সম্পর্কে কোনও প্রতিক্রিয়ার প্রশংসা করব।
