我有2个控制中心站点,每个站点具有2个全网状设计的N7K,以及2个Nexus 5548UP作为内部服务器场聚合和2个ASA防火墙,分别挂在每个N5K Agg上。两个站点均具有镜像设计。我们的用户需要直接访问内部服务器场应用程序,我们还需要一个安全边界来处理来自内部服务器应用程序的出站连接请求。另外,我需要在Agg内托管专用DMZ,以将入站连接请求与我们归类为较低安全区域的区域隔离开来(N7K CORE将使用vrf:Global指向较低安全网络子网的路由)。

通常将用户视为较低的安全区域,但是此设计用于托管大型电网的控制系统。考虑到这一点,我也不想直接将用户连接到N5K Agg,以允许SITE1服务器场Agg掉线以允许SITE 2托管应用程序(当前,我们将用户连接到与应用程序相同的物理交换机) 。我想提供一种经典的数据中心设计,其中用户从HA L3 CORE(4 x N7K Full Mesh)路由到服务器场。但是,由于它们被认为与“内部服务器”具有相同的安全级别,因此我想将它们隔离到托管在N7K CORE上的私有VPN云中。由于N7K支持MPLS,因此这将是最合乎逻辑的,但是我的当前设计在Nexus 5548聚合中为内部服务器设置了L2 / L3边界,因为防火墙也已连接到那里。 Nexus 5K不支持MPLS,但支持VRF Lite。 N5K还以完整的网格连接到每个站点的本地N7K。

要利用N5K和N7K之间的所有4条链路,我要么需要配置pt到pt L3链路,否则就会使将内部用户流量与核心资源与需要转发防火墙的流量隔离开来,或者我可以利用5K之间的FabricPath和7K,并使用vrf lite,其中唯一的FabricPath VLAN将是4个节点与防火墙外部VLAN之间的接口SVI,用于连接N7K的vrf:全局路由表。这可能是过大的,因为这些必须获得许可,但是我们有独特的安全性要求,因此成本往往是一个小问题。

对于路由,我将在防火墙中安装默认路由以指向N7K vrf:全局,它将运行OSPF或EIGRP并学习到其他较低安全性网络的路由。对于“高安全区”,我将安装一个vrf:在所有N5K和N7K上都安装内部,最有可能运行BGP,因为N7K上的MPLS需要使用MP-BGP。这只会学习SITE2内部服务器场和内部用户的路由(我们的应用程序需要站点之间的L3才能防止脑裂)。我还必须非常小心,不允许vrf:Global与vrf:内部交换路由,因为这将造成状态防火墙在两个vrf之间提供L3连接的不对称噩梦。在本地站点N5K和防火墙上使用简单的默认路由,在N7K中使用指向内部服务器子网的汇总路由,可以防止该问题。
由于我是Nexus设备特别是FabricPath的新手,所以我不确定应该以这种方式实现,因为Fabricpath实际上是为了扩展VMotion和服务器到服务器流量的L2等。 VDC。 N5K只会使用FabricPath,而不会使用任何形式的L3。

由于这很可能不是典型的设计,因此我希望收到任何反馈。



评论

您当前正在N7k上运行MPLS吗?您是否(或您的规模要求)要求将N5k用作L3网关,或者可以将路由通过vPC / FP集中在N7k上,集中到N5k?是由运营商控制的“全局路由”云,还是由运营商提供的MPLS VPN(L2或L3?)?
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。

#1 楼

也许我读错了,您允许用户和内部服务器位于同一安全区域,而您所需要的只是用户和内部服务器在不同的2层域中?不要仅为此目的创建vrf并在vrf之间进行路由。必须有更简单的方法,例如使用不同的layer3 Vlan + ACL。

在7K上,您为用户提供1个vlan 100,为内部服务器提供1个vlan 200,在用户vlan界面上,您可以只需添加ACL以仅允许您希望用户访问的位置即可。我认为可以进行设置,如果您发现环境中不支持此功能,请告诉我,我们可以讨论。

如果要运行结构路径,可以使用4个5k- 7k链接用于运行结构路径,您可以为5k和7K之间的主干VLAN 100和200添加一个链接。

#2 楼

看起来很复杂。不用束缚ASA,而是将它们串联(在两者之间,它使物理接口要求加倍,但您的公司显然有钱)。只需具有访问和聚合(核心)设计。获取路由器进行路由,将交换机转换为交换机。

这就是我所拥有的全部...希望对您有帮助吗?