সিসকো এএসএ এবং একাধিক ভিএলএএন

আমি বর্তমানে 6 সিসকো এএসএ ডিভাইসগুলি পরিচালনা করি (5510s এর 2 জোড়া এবং 5550 এর 1 জোড়া)। তারা সকলেই বেশ সুন্দরভাবে কাজ করে এবং স্থিতিশীল হয় তাই এটি সর্বোত্তম-অনুশীলনের পরামর্শের প্রশ্নের চেয়ে আরও বেশি হয় "ওএমজি এটি ভেঙে আমাকে এটি ঠিক করতে সহায়তা করে"।

আমার নেটওয়ার্ক একাধিক ভিএলএন-তে বিভক্ত। খুব সুন্দর প্রতিটি সেবার রোলের নিজস্ব ভিএলএএন থাকে তাই ডিবি সার্ভারগুলির নিজস্ব ভিএলএএন, অ্যাপ্লিকেশন সার্ভার, ক্যাসান্দ্রা নোড থাকতে পারে।

ট্র্যাফিক কেবলমাত্র অনুমতিপ্রাপ্ত, বিশ্রামের মূল বিষয়গুলি অস্বীকারের উপর পরিচালিত হচ্ছে (সুতরাং ডিফল্ট নীতিটি সমস্ত ট্র্যাফিক বাদ দেয়)। নেটওয়ার্ক ইন্টারফেস প্রতি দুটি এসিএল তৈরি করে আমি এটি করি: যেমন:

• অ্যাক্সেস-তালিকা dc2-850-db-in ACL যেটি "ইন" দিকের dc2-850-db ইন্টারফেসে প্রয়োগ করা হচ্ছে
• অ্যাক্সেস-তালিকা dc2-850-db-out ACL যা "আউট" দিকনির্দেশে dc2-850-db ইন্টারফেসে প্রয়োগ করা হচ্ছে

এটি সবই বেশ আঁটসাঁট এবং প্রত্যাশার মতো কাজ করে, তবে আমি ভাবছিলাম যে এটি যাওয়ার সর্বোত্তম সম্ভাব্য উপায় কিনা? এই মুহুর্তে আমি এমন একটি পয়েন্টে পৌঁছেছি যেখানে আমার 30 টি ভিএলএন রয়েছে এবং আমি অবশ্যই বলব যে এটিগুলি পরিচালনা করার জন্য এটি কিছু পয়েন্টে কিছুটা বিভ্রান্ত হয়ে উঠছে।

সম্ভবত প্রচলিত / ভাগ করা এসিএলগুলির মতো কিছু এখানে সহায়তা করবে যা আমি অন্যান্য এসিএলদের কাছ থেকে উত্তরাধিকারী হতে পারি তবে আফাইক এমন কিছুই নেই ...

কোন পরামর্শ অনেক প্রশংসা।

আপনার জন্য সিসকো এএসএ ডিভাইস রয়েছে (5510 এর 2 জোড়া এবং 5550 এর 1 জোড়া)। এর অর্থ আপনি অ্যাকসিস সহ প্যাকেট ফিল্টারিং থেকে দূরে চলেছেন এবং এএসএতে ফায়ারওয়াল জোন ভিত্তিক কৌশলগুলিতে চলে যাচ্ছেন।

শ্রেণি-মানচিত্র, নীতি-মানচিত্র এবং পরিষেবা-নীতি তৈরি করুন।

নেটওয়ার্ক অবজেক্টগুলি আপনার জীবনকে সহজ করে তুলবে।

ফায়ারওয়াল কৌশলটি প্রবণতা হয়

প্যাকেট ফিল্টারিং - প্যাকেট পরিদর্শন - আইপি পরিদর্শন (রাষ্ট্রীয় পরিদর্শন) - জোনবেসডফায়ারওয়াল

অঞ্চলগুলি বৃদ্ধি হওয়ায় এটি কম বিভ্রান্তির জন্য এই কৌশলগুলি তৈরি করা হয়েছিল।

একটি বই আছে, আপনি পড়তে চাইবেন।

দুর্ঘটনাজনক প্রশাসক - এটি সত্যই আমাকে সহায়তা করেছিল।

এটি একবার দেখুন এবং অ্যাক্সিলগুলি থেকে দুটি পৃথক দিকে সরান।

এএসএ সহ আপনার কোনও সমস্যা হওয়া উচিত নয়।

অতীতে, আমি 800 সিরিজ আইপি পরিদর্শন এবং জেডবিএফ করেছি, তারপরে সেখানে সুবিধার তুলনা করেছি এবং তারা একই কৌশলটি প্যাকেট ফিল্টারিং থেকে অ্যাডভান্সড আইপি পরিদর্শনে সরিয়ে এএসএগুলিতে ব্যবহার করেছিল।

একটি খুব সাধারণ (এবং, স্বীকারোক্তি, কিছুটা ছল) সমাধানটি হ'ল প্রতিটি ভিএলএএন ইন্টারফেসকে যে ট্র্যাফিকের অনুমতি দেওয়ার দরকার হয় তার সাথে সামঞ্জস্য রেখে একটি সুরক্ষা-স্তরের বরাদ্দ দেওয়া হবে।

এরপরে আপনি সেট করতে পারেন same-security-traffic permit inter-interface, এভাবে একাধিক ডিভাইসগুলিতে একই ভিএলএএনকে বিশেষভাবে রুট এবং সুরক্ষিত করার প্রয়োজনকে বাধ্য করা।

এটি ভিএলএএন সংখ্যা হ্রাস করবে না, তবে এটি সম্ভবত আপনার 3 টি ফায়ারওয়াল জুড়ে পৌঁছে যাওয়া ভিএলএএনগুলির জন্য প্রয়োজনীয় এসিএলগুলির সংখ্যা অর্ধেক করে দেবে।

অবশ্যই, এটি আপনার পরিবেশে অর্থবোধ করে কিনা তা আমার জানার উপায় নেই।

আপনার কাছে কেন অভ্যন্তরীণ এবং বাহ্যিক উভয় অ্যাক্সেসের তালিকা? আপনার উত্সটি যতটা সম্ভব উত্সের কাছাকাছি ধরার চেষ্টা করা উচিত। এর অর্থ কেবলমাত্র অভ্যন্তরীণ প্রবেশের তালিকাগুলি হবে, আপনার মোট ACL এর সংখ্যা অর্ধেক করে। এটি সুযোগটি নিচে রাখতে সহায়তা করবে। যখন প্রতি প্রবাহে কেবলমাত্র একটি সম্ভাব্য অ্যাক্সেসের তালিকা থাকবে, আপনার এএসএ বজায় রাখা সহজ এবং আরও গুরুত্বপূর্ণ: বিষয়গুলি ভুল হয়ে গেলে সমস্যা সমাধান করা সহজ হবে।

এছাড়াও, সমস্ত ভিএলএএন'র একে অপরের কাছে পৌঁছানোর জন্য ফায়ারওয়াল পেরিয়ে যেতে হবে? এটি মারাত্মকভাবে থ্রুপুটকে সীমাবদ্ধ করে। মনে রাখবেন: একটি এএসএ একটি ফায়ারওয়াল, কোনও (ভাল) রাউটার নয়।