Megpróbálom megérteni a hálózatot, és amikor a különböző útválasztókat, tűzfalakat és kapcsolókat néztem, találkoztam a Cisco ASA-val, amelyet sokan használnak tűzfalakra és útválasztási képességekre , tehát ha ASA-t használ, akkor nem feltétlenül szükséges router vagy l3 kapcsoló?
Válasz
Jó használja az eszközöket arra, amire tervezték.
Az útválasztók jól tudják irányítani a protokollokat, és helyesen használnak olyat, ahol csatlakoznak az internetszolgáltatóhoz (és esetleg a BGP-t futtatják).
A kapcsolók jók és költséghatékony, ha nagyszámú hozzáférési portot biztosít a felhasználók számára.
A támadások elleni védelemhez általában közepes állapotú tűzfalra van szükség. Az ASA-k irányíthatják vagy áthidalhatják a forgalmat, de célja tűzfal, NAT és (néha) helyek közötti VPN. Az egyetlen ok, amiért átirányítják vagy áthidalják, az az, hogy a csomagokat a tűzfal logikáján keresztül juttassák el.
Az egyik hiányzó elem a következő: melyik eszköz fog DHCP továbbítóként és alapértelmezett átjáróként működni mindazon belső kapcsolóportoknál? Ha a kapcsoló L3 kapcsoló volt, akkor meg tudta csinálni. Egy kis hálózatban az ASA megtehette. Egy közepes vállalat hozzáadna egy hierarchiát: egy L3 kapcsolót a belső útvonalhoz, egy csomó L2 kapcsolóval az olcsó hozzáférési portokhoz.
Bár a cisco eszköz működhet DHCP szerverként, ajánlott a A Cisco továbbítja a DHCP-t egy dedikált szerverre.
Meg kell adnia a DNS-t is. Ha saját DNS-megoldója van rosszindulatú programok és domainek szűrésével, az biztonságot jelent.
Redundancia esetén: duplázza meg az összes eszközt. De értse meg, hogy minden hozzáférési port csak egy hozzáférési kapcsolóhoz csatlakozik. A redundancia hozzáadásának bonyolultsága okozza az emberi konfiguráció kieséseit, de általában rövidebbek, mert rendelkezik a hardverrel a helyreállításhoz. A hardver által okozott üzemzavarok ritkák, de nem akar egy napot lefelé várni, amíg a TAC szállít valamit. Az is jó, hogy egyszerre egy eszközt újraindíthatunk anélkül, hogy kimaradnánk (vegye figyelembe a switchport kivételt).
Még egy pont az ASA-k útválasztóként való használatáról: az állapotos tűzfalak megtagadják az „aszimmetrikus” forgalmat. Tehát olyan állomásokon kell használnia őket, ahol érvényesíti, hogy a forgalom átmenjen rajtuk mindkét irányba. Ezért is telepítik a redundáns ASA-kat a „fürtökbe”, ahol két fizikai doboz egy logikai dobozként működik a fojtópontban.
Szerkesztés: az OSI modell „pénzügyi rétegét” is figyelembe kell venni:
(Ár 10 gigás portonként)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Nem vásárol olyan drága ASA-t, ahol egy közepes árú L3 kapcsoló megteszi. p> Alapvetően a tűzfal olyan biztonsági eszköz, ahol a bejövő és a kimenő forgalmat ellenőrzik, korlátozzák, ellenőrzik és ellenőrzik. A tűzfal az OSI modell 3., 4. és 7. rétegén működik. Az útválasztási képességekkel is rendelkezik.
Teljesen az üzleti követelményektől függ, hogy az összes eszközt mit kell használni a beállításhoz.