CCIE.pl

Witam,

Moja obecna konfiguracja w firmie jest następująca:

INTERNET ---- FIREWALL ---- LAN

W sieci LAN posiadam wiele vlanów pomiędzy którymi routuje na FIREWALLU(router on the stick)
Pojawiły się możliwości finansowe i mogę zakupić trochę sprzętu. Postanowiłem zakupić router i ASA z cisco ale pojawiły sie pewne wątpliwości. Wiedząc, że ASA ma tylko 3 vlany jak w poniższej konfiguracji zaimplementowac router on the stick ?

INTERNET --- ROUTER --- ASA ---- LAN

dodam że VPNy które posiadam aktualnie także chciałbym wrzucic na barki ASA więc odpada tryb transparentny, poza tym chciałbym korzystac z modułów IPS.

Nie wiem czy dobrze myślę bo być może konfiguracja powinna byc taka:

INTERNET ---- ROUTER ---- ASA ---- L3 SW (do routingu vlanów) ---- LAN

ale tu z kolei będę musiał maskować adresy wewnętrzne na L3SW więc na asa nie będę miał szczegółowej informacji o tym które komputery w sieci lan rozrabiają itd.

Jak więc rozwiązać tą infrastrukturę abym pogodził ze sobą te wszystkie wymagania ?

Pozdrawiam
Krzysiek

Witaj,

Skąd informacja, że ASA ma 3 vlany? Tylko 5505 ma 3 vlany. Z licencją Security Plus masz do 20. Wyższe ASA mają większe limity:
http://www.cisco.com/c/en/us/products/s ... rison.html

Dlaczego chcesz robić NAT na L3SW? Zrób na ASA.

Faktycznie, jesli asa w wyższych modelach ma więcej vlanow to nat postawię na niej i to ona będzie mi routować pomiędzy vlanami.

Jedno pytanko - jakie jest w tym przypadku best practise - vpn na asa czy na routerze brzegowym ?

czy masz jednego ISP czy więcej? Bo jak jednego i tylko routing statyczny (default na ISP) i tylko 1 adres IP publiczny do dyspozycji, to raczej postawiłbym ASA'ę na styku z Internetem (z uwagi na vpn i moduł ips)

a w takiej konfiguracji instalowanie router'a (czyli między ASA a SW) to raczej w wypadku jeśli ruch między niektórymi vlan'ami nie musi przechodzić przez firewall'a.

mam 2 dostawców netu i aktualnie mam ffailover pomiedzy nimi. A moze zrobic tak, że:
router(vpn,failover, router on the stick)-----ASA(transparent IPS) --- LAN

jak masz rozwiązane przełączenie się między operatorami obecnie?
czy przełącznik ma możliwość tworzenia 'interface vlan'?

obecnie moim routerem jest linux naa którym w tle działa skrypt przełącający default gateway w momencie awari któregos z dostawców na adres drugiego.

czy rezygnacja z router'a na rzecz lepszej ASA wchodzi w grę?

oczywiscie - generalnie chciałbym zrobić sieć tak jak sie należy - mam finanse żeby kupić to co potrzeba ale zastanawiam się jak to zrobić najlepiej.

trzeba zastanowić się czy nie zrobić tak, że postawić na brzegu sieci ASA'ę z taką architekturą:
outside:
2 subinterfejsy lub dwa fizyczne porty - dual ISP (poczytaj jakie są opcje) + backup gateway dla VPN w profilu xml - nie wiem czy to wystarczy na Twoją sieć.

inside: albo jeden wspólny + na switchu L3 routowanie vlanów; albo inside trunk (router on the stick) z izolacją każdego vlanu z osobna

ewentualnie jakiś kompromis - część vlanów na przełaczniku L3 a reszta w DMZ ma ASA

to samo albo b.podobnie byś pewnie ogarnął na jakimś routerze, ale ja tam bym wolał pobawić się ASA'ą...

Dzieki za podpowiedzi - poczytam i się zastanowię - chyba faktycznie sama asa wystarczy, bo w zasadzie nie widzę zastosowania dla dodatkowego routera na brzegu - z bgp na razie nie korzystam i pewnie jeszcze długo nie będę.

Pozdrawiam