drożenie Firewalla w sieci lokalnej

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
Awatar użytkownika
myszasty
wannabe
wannabe
Posty: 175
Rejestracja: 02 lip 2007, 09:16

drożenie Firewalla w sieci lokalnej

#1

#1 Post autor: myszasty »

Hej,
Mam delikatną zagwozdkę jak wdrożyć firewalla w sieci lokalnej.
Topologia wygląda następująco
2xcat6500 (w VSS) na którym terminowany jest cały LAN (VLANy, routing) i do tego dostałem polecenie aby wpiąć asa5555x tak, aby filtrować ruch z kilku vlanów.
ASA w założeniach ma działać w trybie mixed, w contextach i tu pojawia się problem jak przekierować ruch z odpowiednich vlanów do asy.. (wpięcie jej w ścieżkę raczej nie wchodzi w grę)

Dzięki za sugestię :)
Na górę
Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

#2

#2 Post autor: drozdov »

Hej

Ciezko bedzie filtrowac ruch jezeli firewall nie bedzie "w sciezce"

Mozesz zrobic to tak ze:
1) terminujesz na firewallu L3 i potem routingiem wypychasz w strone 6500
2) zostawiasz L3 na przelaczniku a potem konfigurujesz dwa vlany per network i uruchamiasz firewall w trybie transparent. W jednym vlanie masz hosty a w drugim brame domyslna na Cat6500. Vlany sie spotykaja na Firewallu i tu sie przydaja konteksty
3) Jak chcesz L3 ze strony hostow terminowac na 6500, potem pchac przez firewall i potem znowu do 6500 to polecam VRF Lite. Torzysz dwie tablice routingu i laczysz je przez firewall.
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)
Na górę
Awatar użytkownika
zet69
wannabe
wannabe
Posty: 138
Rejestracja: 20 cze 2007, 08:53

#3

#3 Post autor: zet69 »

drozdov pisze: 3) Jak chcesz L3 ze strony hostow terminowac na 6500, potem pchac przez firewall i potem znowu do 6500 to polecam VRF Lite. Torzysz dwie tablice routingu i laczysz je przez firewall.
Czesc,
moglbys rozwinac bardziej 3ci punkt? W tych dwoch VRFach jest ta sama adresacja na switchu? ASA pracuje wtedy w transparent?
Na górę
Awatar użytkownika
drozdov
CCIE
CCIE
Posty: 511
Rejestracja: 13 sie 2005, 23:34
Lokalizacja: Zurych

#4

#4 Post autor: drozdov »

zet69 pisze: Czesc,
moglbys rozwinac bardziej 3ci punkt? W tych dwoch VRFach jest ta sama adresacja na switchu? ASA pracuje wtedy w transparent?
Hej

Jasne. Majac VRF-Lite mozesz miec dwie niezalezne tablice routingu z wlasnymi procesami itp.
Zalozmy ze nie mamy na ta chwile firewalla. Na switchu 6500 na jednym VRF jakis uruchamiamy protokol routingu i na drugim tez. Dodajemy do jednego i drugiego VRF interfejsy mamy dwie niezalezne tablice routingu ktore sie nie widza. Teraz mozemy dwa interfejsy z roznych VRFow spiac ze soba kablem tak jak dwa rozne urzadzenia. Jezeli jest odpowiednia konfiguracja to i masz np routing dynamiczny to relacja sasiedztwa powinna sie normalnie zestawic. To jest po krotce zasada dzialania.

Tu znowu modele wdrozenia sa dwa:
1) Tryb transparent na ASA i wtedy relacja sasiedztwa zestawia sie pomiedzy jednym a drugim VRF
2) Tryb routed ale wtedy uruchamiasz routing na ASA

PS. Ja mialem problem z tym ze interfejsy SVI na Cat6500 mialy te same mac adresy. Co powodowalo ze relacja sasiedztwa sie nie zestawiala. Zmiana MAC na interfejsie SVI rozwiazala problem.
Zdobywanie certów jest jak zbieranie pokemonów: Wszystkie są fajne ale każdy chce mieć Pikachu :)
Na górę
ODPOWIEDZ

Wróć do „Security”