Jag försöker förstå nätverk och när jag tittar på olika routrar, brandväggar och switchar, stötte jag på Cisco ASA som många använder för brandvägg och routing-förmågor , så om du använder en ASA behöver du inte nödvändigtvis en router eller l3-switch?
Svar
Det är bra att använd enheter för vad de är designade för.
Routrar är bra på att routa protokoll och att använda en där du ansluter till ISP (och kanske kör BGP) är korrekt.
Omkopplare är bra och kostnadseffektivt för att tillhandahålla ett stort antal åtkomstportar för dina användare.
En statlig brandvägg krävs vanligtvis i mitten för att skydda mot attacker. ASA kan dirigera eller överbrygga trafik men deras syfte är att brandvägg, NAT och (ibland) webbplats-till-plats-VPN. Den enda anledningen till att de går eller överbryggar är att få paketen genom brandväggslogiken.
En saknad sak är: vilken enhet kommer att fungera som DHCP-vidarebefordrare och standardport för alla dessa interna switchportar? Om omkopplaren var en L3-omkopplare kunde den göra det. I ett litet nätverk kunde ASA göra det. Ett medelstort företag skulle lägga till ett lager av hierarki: en L3-switch för intern routing med en massa L2-switchar för billiga åtkomstportar.
Medan en cisco-enhet kan fungera som DHCP-server rekommenderas det att ha Cisco vidarebefordrar DHCP till en dedikerad server.
Du måste också ange DNS. Att ha din egen DNS-lösning med malware-domänfiltrering är bra för säkerheten.
För redundans: dubbla alla enheter. Men förstå att varje åtkomstport bara ansluter till en åtkomstbrytare. Komplexiteten med att lägga till redundans orsakar mänskliga konfigurationsavbrott, men de är i allmänhet kortare eftersom du har hårdvaran att återställa på plats. Maskinvaruavbrott är sällsynta men du vill inte vara nere en dag och vänta på att TAC ska skicka dig något. Det är också trevligt att kunna starta om en enhet i taget utan att orsaka avbrott (notera undantaget switchport).
En annan punkt om att använda ASA som routrar: statliga brandväggar förnekar ”asymmetrisk” trafik. Så du måste använda dem vid chokepoints där du tvingar att trafiken går igenom dem i båda riktningarna. Det är också därför redundanta ASA: er distribueras i ”kluster” där två fysiska rutor fungerar som en logisk ruta i chokepunkten.
Redigera: det är också viktigt att ta hänsyn till det ”ekonomiska lagret” i OSI-modellen:
(Pris per 10-gig-port)
Router capable of doing BGP with full internet routes: expensive Router capable of doing BGP with small number of routes: moderately expensive ASA: very expensive L3 switch: moderately expensive L2 switch: inexpensive Du köper inte en dyr ASA där en prisvärd L3-switch kommer att göra.
Svar
I grund och botten är brandvägg säkerhetsenhet där inkommande och utgående trafik kontrolleras, begränsas och inspekteras och övervakas. Firewall fungerar på Layer3, layer4 och layer7 av OSI-modellen. Det har också routningsfunktioner ..
Det beror helt på företagskraven vad alla enheter behöver användas vid installationen.