Estou tentando entender a rede e ao olhar para os diferentes roteadores, firewalls e switches, encontrei o Cisco ASA que muitos usam para firewall e habilidades de roteamento , portanto, se você usa um ASA, não precisa necessariamente de um roteador ou switch l3?
Resposta
É bom use dispositivos para os quais foram projetados.
Os roteadores são bons em protocolos de roteamento e usar um no qual você se conecta ao ISP (e talvez execute o BGP) é o correto.
Os switches são bons e econômico por fornecer um grande número de portas de acesso para seus usuários.
Um firewall com monitoração de estado geralmente é necessário no meio para proteger contra ataques. O ASA pode rotear ou conectar o tráfego, mas sua finalidade é firewall, NAT e (às vezes) VPN site a site. A única razão pela qual eles fazem roteamento ou ponte é para obter os pacotes por meio da lógica do firewall.
Uma peça que está faltando é: qual dispositivo atuará como encaminhador DHCP e gateway padrão para todas as portas de switch internas? Se o switch fosse um switch L3, poderia fazer isso. Em uma pequena rede, o ASA poderia fazer isso. Uma empresa média adicionaria uma camada de hierarquia: um switch L3 para roteamento interno com um monte de switches L2 para portas de acesso baratas.
Embora um dispositivo Cisco possa atuar como servidor DHCP, é recomendado ter o A Cisco encaminha o DHCP para um servidor dedicado.
Você também precisa fornecer o DNS. Ter seu próprio resolvedor de DNS com filtragem de domínio de malware é bom para a segurança.
Para redundância: duplique todos os dispositivos. Mas entenda que cada porta de acesso se conecta apenas a um switch de acesso. A complexidade de adicionar redundância causa interrupções de configuração humana, mas geralmente são mais curtas porque você tem o hardware para recuperar no local. Interrupções causadas por hardware são raras, mas você não quer ficar um dia parado esperando que o TAC envie algo para você. Também é bom poder reinicializar um dispositivo por vez sem causar interrupções (observe a exceção switchport).
Outro ponto sobre o uso de ASA como roteadores: firewalls com estado negam tráfego “assimétrico”. Portanto, você precisa usá-los em pontos de estrangulamento, onde impõe que o tráfego os atravesse em ambas as direções. É também por isso que ASA redundantes são implantados em “clusters”, onde duas caixas físicas atuam como uma caixa lógica no ponto de estrangulamento.
Editar: também é importante considerar a “camada financeira” do modelo OSI:
(Preço por porta de 10 GB)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Você não compra um ASA caro onde um switch L3 de preço moderado servirá.
Resposta
Basicamente, o firewall é um dispositivo de segurança onde o tráfego de entrada e saída é controlado, restrito e inspecionado e monitorado. O firewall opera na camada 3, camada 4 e camada 7 do modelo OSI. Ele também tem recursos de roteamento.
Depende totalmente dos requisitos de negócios de que todos os dispositivos precisam ser usados na configuração.