design sieci

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
heliox
member
member
Posty: 49
Rejestracja: 15 sie 2013, 15:31

design sieci

#1

#1 Post autor: heliox »

Witam,

Moja obecna konfiguracja w firmie jest następująca:

INTERNET ---- FIREWALL ---- LAN

W sieci LAN posiadam wiele vlanów pomiędzy którymi routuje na FIREWALLU(router on the stick)
Pojawiły się możliwości finansowe i mogę zakupić trochę sprzętu. Postanowiłem zakupić router i ASA z cisco ale pojawiły sie pewne wątpliwości. Wiedząc, że ASA ma tylko 3 vlany jak w poniższej konfiguracji zaimplementowac router on the stick ?

INTERNET --- ROUTER --- ASA ---- LAN

dodam że VPNy które posiadam aktualnie także chciałbym wrzucic na barki ASA więc odpada tryb transparentny, poza tym chciałbym korzystac z modułów IPS.

Nie wiem czy dobrze myślę bo być może konfiguracja powinna byc taka:

INTERNET ---- ROUTER ---- ASA ---- L3 SW (do routingu vlanów) ---- LAN

ale tu z kolei będę musiał maskować adresy wewnętrzne na L3SW więc na asa nie będę miał szczegółowej informacji o tym które komputery w sieci lan rozrabiają itd.

Jak więc rozwiązać tą infrastrukturę abym pogodził ze sobą te wszystkie wymagania ?

Pozdrawiam
Krzysiek

Awatar użytkownika
mx_krzak
CCIE
CCIE
Posty: 798
Rejestracja: 18 lis 2005, 00:19
Lokalizacja: Wrocław

#2

#2 Post autor: mx_krzak »

Witaj,

Skąd informacja, że ASA ma 3 vlany? Tylko 5505 ma 3 vlany. Z licencją Security Plus masz do 20. Wyższe ASA mają większe limity:
http://www.cisco.com/c/en/us/products/s ... rison.html

Dlaczego chcesz robić NAT na L3SW? Zrób na ASA.
Z każdym upadkiem nabieramy większego doświadczenia.......to nie upadek czyni nas przegranymi, lecz brak chęci do powstania....

heliox
member
member
Posty: 49
Rejestracja: 15 sie 2013, 15:31

#3

#3 Post autor: heliox »

Faktycznie, jesli asa w wyższych modelach ma więcej vlanow to nat postawię na niej i to ona będzie mi routować pomiędzy vlanami.

Jedno pytanko - jakie jest w tym przypadku best practise - vpn na asa czy na routerze brzegowym ?

borekbp
wannabe
wannabe
Posty: 233
Rejestracja: 29 sie 2005, 23:31

Re: design sieci

#4

#4 Post autor: borekbp »

czy masz jednego ISP czy więcej? Bo jak jednego i tylko routing statyczny (default na ISP) i tylko 1 adres IP publiczny do dyspozycji, to raczej postawiłbym ASA'ę na styku z Internetem (z uwagi na vpn i moduł ips)

a w takiej konfiguracji instalowanie router'a (czyli między ASA a SW) to raczej w wypadku jeśli ruch między niektórymi vlan'ami nie musi przechodzić przez firewall'a.

heliox
member
member
Posty: 49
Rejestracja: 15 sie 2013, 15:31

#5

#5 Post autor: heliox »

mam 2 dostawców netu i aktualnie mam ffailover pomiedzy nimi. A moze zrobic tak, że:
router(vpn,failover, router on the stick)-----ASA(transparent IPS) --- LAN

borekbp
wannabe
wannabe
Posty: 233
Rejestracja: 29 sie 2005, 23:31

#6

#6 Post autor: borekbp »

jak masz rozwiązane przełączenie się między operatorami obecnie?
czy przełącznik ma możliwość tworzenia 'interface vlan'?

heliox
member
member
Posty: 49
Rejestracja: 15 sie 2013, 15:31

#7

#7 Post autor: heliox »

obecnie moim routerem jest linux naa którym w tle działa skrypt przełącający default gateway w momencie awari któregos z dostawców na adres drugiego.

borekbp
wannabe
wannabe
Posty: 233
Rejestracja: 29 sie 2005, 23:31

#8

#8 Post autor: borekbp »

czy rezygnacja z router'a na rzecz lepszej ASA wchodzi w grę?

heliox
member
member
Posty: 49
Rejestracja: 15 sie 2013, 15:31

#9

#9 Post autor: heliox »

oczywiscie - generalnie chciałbym zrobić sieć tak jak sie należy - mam finanse żeby kupić to co potrzeba ale zastanawiam się jak to zrobić najlepiej.

borekbp
wannabe
wannabe
Posty: 233
Rejestracja: 29 sie 2005, 23:31

#10

#10 Post autor: borekbp »

trzeba zastanowić się czy nie zrobić tak, że postawić na brzegu sieci ASA'ę z taką architekturą:
outside:
2 subinterfejsy lub dwa fizyczne porty - dual ISP (poczytaj jakie są opcje) + backup gateway dla VPN w profilu xml - nie wiem czy to wystarczy na Twoją sieć.

inside: albo jeden wspólny + na switchu L3 routowanie vlanów; albo inside trunk (router on the stick) z izolacją każdego vlanu z osobna

ewentualnie jakiś kompromis - część vlanów na przełaczniku L3 a reszta w DMZ ma ASA

to samo albo b.podobnie byś pewnie ogarnął na jakimś routerze, ale ja tam bym wolał pobawić się ASA'ą...

heliox
member
member
Posty: 49
Rejestracja: 15 sie 2013, 15:31

#11

#11 Post autor: heliox »

Dzieki za podpowiedzi - poczytam i się zastanowię - chyba faktycznie sama asa wystarczy, bo w zasadzie nie widzę zastosowania dla dodatkowego routera na brzegu - z bgp na razie nie korzystam i pewnie jeszcze długo nie będę.

Pozdrawiam

ODPOWIEDZ