Próbuję zrozumieć działanie sieci i patrząc na różne routery, zapory i przełączniki, natknąłem się na Cisco ASA, którego wielu używa jako zapory i możliwości routingu , więc jeśli używasz ASA, niekoniecznie potrzebujesz routera lub przełącznika L3?
Odpowiedź
Dobrze jest używaj urządzeń zgodnie z ich przeznaczeniem.
Routery dobrze radzą sobie z protokołami routingu, a używanie takiego, w którym łączysz się z dostawcą usług internetowych (i być może uruchamiasz BGP), jest poprawne.
Przełączniki są dobre i opłacalne, ponieważ zapewnia użytkownikom dużą liczbę portów dostępu.
Stanowa zapora ogniowa jest zwykle wymagana w środku, aby chronić przed atakami. ASA mogą kierować lub mostkować ruch, ale ich celem jest zapora ogniowa, NAT i (czasami) VPN typu lokacja-lokacja. Jedynym powodem, dla którego trasują lub mostkują, jest przepuszczenie pakietów przez logikę zapory.
Jeden brakujący element to: jakie urządzenie będzie działać jako przekazujący DHCP i domyślna brama dla wszystkich tych wewnętrznych portów przełączników? Gdyby przełącznik był przełącznikiem L3, mógłby to zrobić. W małej sieci ASA może to zrobić. Średnie przedsiębiorstwo dodałoby warstwę hierarchii: przełącznik L3 do routingu wewnętrznego z kilkoma przełącznikami L2 dla tanich portów dostępu.
Chociaż urządzenie cisco może działać jako serwer DHCP, zaleca się Cisco przekazuje DHCP do dedykowanego serwera.
Musisz także podać DNS. Posiadanie własnego resolvera DNS z filtrowaniem domen złośliwego oprogramowania jest dobre dla bezpieczeństwa.
W celu zapewnienia nadmiarowości: podwoj wszystkie urządzenia. Ale zrozum, że każdy port dostępu łączy się tylko z jednym przełącznikiem dostępu. Złożoność dodawania redundancji powoduje przestoje w konfiguracji człowieka, ale są one generalnie krótsze, ponieważ masz sprzęt do odzyskania na miejscu. Awarie spowodowane przez sprzęt są rzadkie, ale nie chcesz spędzać dnia w oczekiwaniu, aż TAC coś Ci wyśle. Fajnie jest też móc ponownie uruchamiać jedno urządzenie na raz bez powodowania przestojów (zwróć uwagę na wyjątek Switchport).
Jeszcze jedna kwestia dotycząca używania ASA jako routerów: zapory stanowe blokują ruch „asymetryczny”. Musisz więc używać ich w wąskich punktach, w których wymuszasz, że ruch przechodzi przez nie w obu kierunkach. Z tego powodu nadmiarowe ASA są wdrażane w „klastrach”, w których dwie fizyczne skrzynki działają jak jedna logiczna skrzynka w przewodzie.
Edycja: ważne jest również, aby wziąć pod uwagę „warstwę finansową” modelu OSI:
(Cena za 10-gigabitowy port)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Nie kupujesz drogiego ASA, w którym wystarczy umiarkowana cena przełącznika L3.
Odpowiedź
Zasadniczo firewall to urządzenie zabezpieczające, w którym ruch przychodzący i wychodzący jest kontrolowany, ograniczany, kontrolowany i monitorowany. Firewall działa w warstwie 3, 4 i 7 modelu OSI. Ma również funkcje routingu.
To całkowicie zależy od wymagań biznesowych, jakie wszystkie urządzenia muszą być użyte podczas konfiguracji.