我遇到的主要问题我一直在看的“微型核心”交换机始终具有较低的硬件内ACL限制,即使在我们当前的大小下,我们也可以很快达到该限制。我目前(希望)购买一对EX4300-32F内核,但是我看过其他型号,以及瞻博网络和Brocade ICX系列的其他选件。它们似乎都具有相同的低ACL限制。
这非常有意义,因为核心交换机需要能够保持线速路由,因此不想通过ACL牺牲太多处理。因此,我无法在核心交换机本身上完成所有防火墙工作。
但是,我们主要处理完全托管的服务器,而拥有集中式(有状态)防火墙对这种管理有很大帮助-我们可以没有客户直接互相交谈。如果可以的话,我想保持这种方式,但是我觉得大多数ISP网络都不会做这种事情,因此为什么在大多数情况下,在核心中进行路由很简单。 />
作为参考,以下是我理想中想要做的拓扑(但不确定明显适合FW的位置)。
Curent解决方案
现在,我们有了棒式路由器配置。这使我们能够一站式完成NAT,状态防火墙和VLAN路由。非常简单。
通过将L2一直扩展到我们网络的“顶部”(边界路由器),我可以继续使用(大致)相同的解决方案。但是后来我失去了内核可以为我提供的线速路由的所有好处。
IIRC的核心交换机可以执行464 Gbps的路由,而如果幸运的话,我的边界路由器将可以提供10或20 Gbps的路由。从技术上讲,这现在不是问题,而是增长的问题。我觉得好像我们现在不设计架构以利用核心路由功能一样,当我们规模更大并且需要利用该功能时,重做所有内容将很痛苦。我宁愿第一次就做对。
可能的解决方案
第3层访问Access
我认为也许可以将L3扩展到访问交换机,从而将防火墙规则分解为较小的段,然后将这些段适合访问交换机ACL的硬件限制。但是:据我所知,对于我来说,这些不是有状态ACL。对于我来说,访问L3 L3似乎更加不灵活。服务器迁移或将VM迁移到其他机柜会更加痛苦。
如果我要管理每个机架(仅六个)顶部的防火墙,无论如何我可能都希望自动化。因此,在这一点上,在主机级别自动管理防火墙并不是很大的飞跃。这样就避免了整个问题。
访问/核心之间的每个上行链路上的桥接/透明防火墙
这将涉及多个防火墙,并显着增加了所需的硬件。即使使用普通的旧Linux机顶盒作为防火墙,也可能比购买大型核心路由器更昂贵。
大型核心路由器
可以购买更大的设备来进行防火墙我需要并且具有更大的路由能力。但是确实没有预算,而且,如果我要使设备执行并非为它设计的功能,则可能必须选择更高的规格。比我本来应该的多。
没有集中式防火墙
由于我跳了圈,也许这不值得付出努力。这一直是一件好事,有时对于希望使用“硬件”防火墙的客户来说是一个卖点。
但是为“整个”网络设置集中式防火墙似乎是不可行的。那么,我想知道,当拥有专用服务器的客户拥有数百甚至数千台主机时,更大的ISP如何为他们提供硬件防火墙解决方案?
谁能想到解决此问题的方法吗?
UPDATE 2014-06-16:
基于@Ron的建议,我偶然发现了这篇文章很好地解释了我所面临的问题,也是解决该问题的好方法。
除非有其他建议,否则我想说这是产品推荐类型的问题,所以我
http://it20.info/2011/03/the-93-000-firewall-rules-problem-and-why-cloud-is-not-just -orchestration /
#1 楼
我会选择两种选择之一:每个租户虚拟防火墙
水平可扩展
向上旋转和向下旋转
相对不受未来拓扑/设计更改的影响
完全的客户分离/隔离
除非强制实施标准模板,否则您现在将要管理n个单独的防火墙
您现在要监视n个单独的防火墙
您现在要修补n个单独的防火墙
大型防火墙每个租户都具有路由实例/上下文的机箱/集群
部署悬挂在核心一侧的大型中央防火墙(集群),并使用内部和外部路由实例来路由流量一遍又一遍(例如:内部实例上的默认网关是防火墙,防火墙上的默认网关是核心上的外部实例,外部实例的默认是边界。)
优点:
单框管理并配置
要监控的单个框
要补丁的单个框
客户分离
缺点:
第一天的费用将更高
不缩小规模
根据配置,客户间流量可能会开始在边界路由器上进行路由
#2 楼
您正在运行哪些核心交换机?策略通常是在分布层完成的,如果您使用的是折叠的Core设计,则Core应该能够满足您的要求。另外,您是否喜欢状态全面检查或ACL。如果您需要遵守任何法规,acl可能还不够。就个人而言,我会使用防火墙,也许会寻找一个可以集群的防火墙,以便可以将每个集群集群在一起并维护集中管理的规则库,例如Sourcefire防火墙。
评论
您在网络中使用VRF-lite还是MPLS?核心交换机是什么品牌?@DanielDib尚未使用VRF或MPLS,但是我打算在此站点和另一个站点之间部署它。品牌还没有确定(仍在确定购买清单)...但是现在主要关注Juniper EX4300-32F或Brocade ICX 6610-48-PE
我投票决定关闭;原因是您要提出的问题会针对您的解决方案深入探讨非常具体的细节,例如选择哪个供应商的品牌/型号以及预算限制等,这将如何改变您为客户提供的产品...在此不适合所有这些,这些都是业务决策。您可以询问每种拓扑的优点和缺点,但是没有人能真正告诉您什么是最适合您的。
我对你的情况有两便士;您是否考虑过支持Cisco ASA之类的上下文的防火墙,甚至只支持虚拟防火墙?拥有一些VM主机,您可以通过两个接口为每个客户启用防火墙,其中一个接口作为默认网关落入客户VLAN,另一接口插入边缘路由器的面向公众的VLAN。只是一个想法(我更喜欢虚拟防火墙)。
我会认真看一下虚拟防火墙,例如Cisco ASA 1000V或Catbird(catbird.com)。这样,您可以在每个虚拟服务器上放置防火墙。将访问列表保留在核心路由器之外。