Yritän ymmärtää verkostoitumista ja tarkastellessani eri reitittimiä, palomuureja ja kytkimiä törmäsin Cisco ASA: han, jota monet käyttävät palomuureihin ja reititysominaisuuksiin , joten jos käytät ASA: ta, et välttämättä tarvitse reititintä tai l3-kytkintä?
Vastaa
On hyvä käytä laitteita siihen, mihin ne on suunniteltu.
Reitittimet pystyvät reitittämään protokollia ja käyttämään sellaista, jossa muodostat yhteyden Internet-palveluntarjoajaan (ja ehkä ajaa BGP: tä).
Kytkimet ovat hyviä ja kustannustehokas tarjoamaan käyttäjille suuren määrän pääsyportteja.
Keskellä tarvitaan yleensä tilallinen palomuuri suojaamaan hyökkäyksiltä. ASA: t voivat reitittää tai yhdistää liikennettä, mutta niiden tarkoituksena on palomuuri, NAT ja (joskus) paikasta toiseen-VPN. Ainoa syy, miksi he reitittävät tai yhdistävät, ovat pakettien saaminen palomuurilogiikan kautta.
Yksi puuttuva osa on: mikä laite toimii DHCP-huolintana ja oletusyhdyskäytävänä kaikille niille sisäisille kytkentäporteille? Jos kytkin oli L3-kytkin, se voisi tehdä sen. Pienessä verkossa ASA voisi tehdä sen. Keskisuuri yritys lisäisi hierarkiakerroksen: L3-kytkin sisäiseen reititykseen ja joukko L2-kytkimiä halpoja pääsyportteja varten.
Vaikka cisco-laite voi toimia DHCP-palvelimena, on suositeltavaa, että Cisco välittää DHCP: n erilliselle palvelimelle.
Sinun on annettava myös DNS. Oman DNS-resolverin käyttäminen haittaohjelmien ja verkkotunnusten suodattamisella on turvallisuuden kannalta hyvä asia.
Redundanssia varten: tuplaa kaikki laitteet. Mutta ymmärrä, että jokainen pääsoportti kytketään vain yhteen pääsykytkimeen. Redundanssin lisäämisen monimutkaisuus aiheuttaa ihmisen kokoonpanon keskeytyksiä, mutta ne ovat yleensä lyhyempiä, koska sinulla on laitteisto palauttamiseksi paikan päällä. Laitteistohäiriöt ovat harvinaisia, mutta et halua olla päivässä odottamassa, että TAC lähettää sinulle jotain. On myös mukavaa pystyä käynnistämään yksi laite uudelleen kerrallaan aiheuttamatta katkoksia (huomioi switchport-poikkeus).
Yksi asia ASA: n käytöstä reitittiminä: tilavat palomuurit estävät epäsymmetrisen liikenteen. Joten sinun on käytettävä niitä vastapisteissä, joissa noudatat, että liikenne kulkee niiden läpi molempiin suuntiin. Siksi myös redundantteja ASA: ita käytetään ”klustereissa”, joissa kaksi fyysistä laatikkoa toimivat yhtenä loogisena laatikkona vastakohdassa.
Muokkaa: on myös tärkeää ottaa huomioon OSI-mallin ”taloudellinen taso”:
(Hinta per 10 gigaporttia)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive
Et osta kallista ASA: ta, jossa kohtuuhintainen L3-kytkin toimii.
Vastaa
Pohjimmiltaan palomuuri on turvalaite, jossa saapuvaa ja lähtevää liikennettä ohjataan, rajoitetaan, tarkastetaan ja valvotaan. Palomuuri toimii OSI-mallin kerroksella 3, kerroksella 4 ja kerroksella 7. Sillä on myös reititysominaisuudet.
Se riippuu täysin liiketoiminnan vaatimuksista, mitä kaikkia laitteita on käytettävä asennuksessa.