Jessaie de comprendre la mise en réseau et en regardant les différents routeurs, pare-feu et commutateurs, je suis tombé sur Cisco ASA que beaucoup utilisent pour les capacités de pare-feu et de routage , donc si vous utilisez un ASA, vous n « avez pas nécessairement besoin d » un routeur ou d « un commutateur l3?
Réponse
Il est bon de utilisez des périphériques pour ce pour quoi ils sont conçus.
Les routeurs sont bons pour les protocoles de routage et en utiliser un où vous vous connectez au FAI (et peut-être exécutez BGP) est correct.
Les commutateurs sont bons et rentable pour fournir un grand nombre de ports daccès à vos utilisateurs.
Un pare-feu avec état est généralement requis au milieu pour se protéger contre les attaques. Les ASA peuvent acheminer ou relier le trafic, mais leur objectif est de créer un pare-feu, un NAT et (parfois) un VPN de site à site. La seule raison pour laquelle ils acheminent ou pontent est de faire passer les paquets à travers la logique du pare-feu.
Une pièce manquante est: quel périphérique va agir en tant que transitaire DHCP et passerelle par défaut pour tous ces commutateurs internes? Si le commutateur était un commutateur L3, il pourrait le faire. Dans un petit réseau, lASA pourrait le faire. Une entreprise moyenne ajouterait une couche de hiérarchie: un commutateur L3 pour le routage interne avec un tas de commutateurs L2 pour des ports daccès bon marché.
Alors quun appareil Cisco peut agir comme serveur DHCP, il est recommandé davoir le Cisco transfère DHCP vers un serveur dédié.
Vous devez également fournir un DNS. Avoir votre propre résolveur DNS avec filtrage des domaines malveillants est bon pour la sécurité.
Pour la redondance: doublez tous les appareils. Mais comprenez que chaque port daccès ne se connecte quà un seul commutateur daccès. La complexité de lajout de redondance entraîne des pannes de configuration humaine, mais elles sont généralement plus courtes car vous disposez du matériel à restaurer sur site. Les pannes liées au matériel sont rares, mais vous ne voulez pas être en panne pendant une journée à attendre que TAC vous expédie quelque chose. C’est aussi bien de pouvoir redémarrer un appareil à la fois sans provoquer de panne (notez l’exception switchport).
Un autre point sur l’utilisation des ASA comme routeurs: les pare-feu avec état refusent le trafic «asymétrique». Vous devez donc les utiliser aux points détranglement où vous faites en sorte que le trafic les traverse dans les deux sens. C’est également la raison pour laquelle les ASA redondants sont déployés dans des «clusters» où deux boîtes physiques agissent comme une boîte logique dans le point d’étranglement.
Edit: il est également important de considérer la «couche financière» du modèle OSI:
(Prix par port de 10 Go)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Vous nachetez pas un ASA coûteux alors quun commutateur L3 à prix modéré fera laffaire.
Réponse
Fondamentalement, le pare-feu est un dispositif de sécurité où le trafic entrant et sortant est contrôlé, restreint, inspecté et surveillé. Le pare-feu fonctionne sur les couches 3, 4 et 7 du modèle OSI. Il a également des capacités de routage.
Cela dépend totalement des exigences de lentreprise de ce que tous les appareils doivent être utilisés dans la configuration.