Wybranie najodpowiedniejszej topologii sieci według potrzeb

[puntigamerek]

Witajcie,
Na początku przepraszam, jeśli wybrałem złe miejsce na tego typu post.
Jestem właśnie przed etapem zamówienia sprzętu. Kasa jest, akcepty z góry są, dlatego zastanawiam się nad utworzeniem topologii z urządzeniami i łączami redundantnymi. Jako firma wielooddziałowa, zatrudniająca 150 osób w centrali +200 w oddziałach, mająca telefonię voip oraz kilka dedykowanych rozwiązań aplikacyjnych, popełniłem dwa koncepcyjne rysunki.

1. 2.

routery 2911, asa 5510, core 3750, access 2960

W obu koncepcjach zastanawiam się czy WANy podłączać do routerów czy do firewalli. Jedni mówią, że firewall powinien być za routerem (DMZ), drudzy, że fw powinien być na froncie. Dmz zawsze można utworzyć. Tutaj proszę Was o jakieś sugestie a nie odpowiedzi, żę tak a nie tak. Zastanawiam się nad obciążeniem poszczególnych elementów infrastruktury jak i prostocie konfiguracji HA.

Przy zastosowaniu jak na rys.1 routery będą wpuszczały nawet niechciany ruch, który filtrowałyby dopiero firewalle, ale czy niechciany ruch nie będzie bezsensownie obciążał switchy agregacyjnych 3750 (core) ? Na nich będzie w tym miejscu przełączanie, czy routing? Czy w ogóle taka koncepcja podłączenia ma sens? Czy nie lepiej podłączyć tego tak jak na rys.2.
W obu przykładach wchodzi w grę zamiana kolejności urządzeń WAN.
Obie koncepcje na początku mają działać na mechaniźmie HSRP, docelowo chcę oprzeć jednak o PfR. Wybór najlepszego mechanizmu HA oraz loadbalancingu pozostawiam na etap po wybraniu odpowiedniej topologii.

Pozdrawiam!

[Kyniu]

W obu koncepcjach zastanawiam się czy WANy podłączać do routerów czy do firewalli. Jedni mówią, że firewall powinien być za routerem (DMZ), drudzy, że fw powinien być na froncie.

Zacznijmy od tego że Internet podłączamy do warstwy dostępowej a nie do rdzenia - nazywa się to fachowo Internet Edge. Routery mają robić routing a nie filtrację więc tę zostaw firewall'am za routerami. To znaczy od WAN patrząc najpierw routery potem firewall.

Teraz druga sprawa to switche dostępowe podłączasz do dystrybucji/rdzenia (u Ciebie rdzenia bo masz dwie warstwy nie trzy) a nie dostępowe do dostępowych i jak na rysunku 2 podłączasz każdy ze switchy dostępowych do każdego ze switchy w rdzeniu, w rdzeniu robisz stack i konfigurujesz cross stack etherchannel.

Analogicznie do Internet Edge robisz Data Center Edge czyli wydzielona warstwa dostępowa ale ze switchami dedykowanymi do DC i między switche DC a rdzeń wstawiasz ogniomurek - pamiętaj - użytkownikom w LAN nie ufasz tak samo a nawet jeszcze bardziej niż światu zewnętrznemu. Dzisiaj większość zagrożeń generują użyszkodnicy.

[puntigamerek]

Zacznijmy od tego że Internet podłączamy do warstwy dostępowej a nie do rdzenia - nazywa się to fachowo Internet Edge

Nie rozumiem. Pisząc warstwę dostępową, masz na myśli router, jak na rys1?

Routery mają robić routing a nie filtrację więc tę zostaw firewall'am za routerami. To znaczy od WAN patrząc najpierw routery potem firewall.

Czyli tak?:

..switche dostępowe podłączasz do dystrybucji/rdzenia (u Ciebie rdzenia bo masz dwie warstwy nie trzy) a nie dostępowe do dostępowych..

Switche dostępowe są podłączone do core'a. Jedynie między sobą są zestackowane

w rdzeniu robisz stack i konfigurujesz cross stack etherchannel.

Etherchannel miedzy sw dostępowymi a core' ? Nie będzie tutaj STP, ktory jeden port zablokuje?

Analogicznie do Internet Edge robisz Data Center Edge czyli wydzielona warstwa dostępowa ale ze switchami dedykowanymi do DC i między switche DC a rdzeń wstawiasz ogniomurek

Tutaj rozumiem, że jeśli użyje switchy 3750, które są w stanie działać na L3, to dostęp do DC (od strony lanu) mogę oprzeć o ACLki (miedzy wlanami).
Powiedz mi, jeśli możesz, czy w opcji rys.1, gdzie i FW i routery podłączam do Core'a, jest to dobre rozwiązanie? Czy lepiej pozostać przy rys z tego posta?

Niestety okablowanie pionowe (oparte na swiatlowodzie) ogranicza mi w tej chwili ilość linków na 8 (4 + redundancja). Czy oba linki podłączyć do tego samego (mastera) switcha accesowego, czy po jednym do obu?

[lbromirs]

Można pisać dużo.

Przejrzałeś CVD? Jakiego rozwiązania VPN chcesz użyć - na routerach (które?) czy na ASAch? Jest masa rzeczy, do których można się przyczepić, ale najpierw określ podstawowe warunki projektowe od strony WANu, Internetu, ale również dostępu klientów, ich bezpieczeństwa (macie politykę bezpieczeństwa?), na koniec jeszcze wymagań QoS.

Co do produktów - myślałbym raczej o ASA 5512 a nie starutkiej 5510. O 3750X a nie 3750 i o 2960S a nie 2960.

No i na koniec - czemu tej pracy nie wykonuje dla Ciebie jeden z naszych Partnerów?

[Kyniu]

Nie rozumiem. Pisząc warstwę dostępową, masz na myśli router, jak na rys1?

To kolega nie zna modelu warstwowego (rdzeń, dystrybucja, dostęp)? No to może ten rysunek co nieco objaśni:



Ponieważ masz stosunkowo prostą i małą sieć można ją zredukować do dwóch warstw - rdzeń i dostęp. Mam nadzieję koledzy nie powiesza na mnie za to psów.

Zresztą rację ma Łukasz. Napisz z jakiego jesteś miasta, poszukaj na Partner Locator jakiegoś partnera w okolicy albo poczekaj może tu się zgłosi do Ciebie jakiś kolega inżynier pracujący u partnera w Twojej okolicy, usiądziecie sobie na spokojnie, omówicie wszystkie zagadnienia bo tak to możemy jeszcze długo dyskutować.

[puntigamerek]

Co do produktów ...

Oczywiscie, w szczegółach wygląda to tak:WS-C2960S-48LPS-L, WS-C3750X-24T-S, ASA5510-SEC-BUN-K9, CISCO2911/K9.

Przejrzałeś CVD?

Przeglądałem, ale nie wiem w jakie ramy powinienem się wpasować..to podstawowy problem

VPN - na ASAch, IPsec,
Brak specyficznych wymagań QoS. Oczywiście voip oraz pewne usługi będą priorytetyzowane, ale nie jest to nic nadzwyczajnego.
Nie mamy polityki bezpieczeństwa w tej chwili.

Od strony WANu: (2 x 20mbit)
Połączenie z siecią Internet oraz siecią rozległą WAN zapewnić mają dwa rutery Cisco 2911 z uruchomioną funkcjonalnością inteligentnego balansowania ruchem pomiędzy ruterami oraz łączami doprowadzonymi do firmy (PfR)
Konfiguracja złożona z dwóch urządzen ma zapewnić utrzymanie łączności z Internetem oraz siecią WAN w przypadku całkowitej awarii jednego z ruterów.
Zadnego BGP w tej chwili nie chcemy uruchamiać. Świadczymy usługi dla klienta wewnętrznego.

Przełącznik rdzeniowy pełnić będzie funkcje bezpieczeostwa dla ruchu w sieci LAN oraz ma umożliwiać stworzenie polityk dostępu do poszczególnych zasobów w sieci.

Czy te informacje są pomocne, aby odpowiedzieć chociażby na pytanie o to czy wybrać topologię z rys.1 czy 3 i/lub jakie są (mogą być) minusy topologii z rys1?

To kolega nie zna modelu warstwowego (rdzeń, dystrybucja, dostęp)?

W takim razie już sam nie wiem, czy za "dostęp" uważać przełączniki i uzytkownika końcowego w organizacji (tego wewnątrz), czy jak inaczej? Zmylił mnie tekst kolegi, że "Internet podłączamy do warstwy dostępowej"...
Jestem z Wwy.

Dzieki!

[lbromirs]

Co do produktów ...

Oczywiscie, w szczegółach wygląda to tak:WS-C2960S-48LPS-L, WS-C3750X-24T-S, ASA5510-SEC-BUN-K9, CISCO2911/K9.

Tak jak pisałem, zamień sobie ASA 5510 na 5512 - dostaniesz za te same pieniądze coś wielokrotnie wydajniejszego, z większą ilością interfejsów (6 vs 4) i RAMu (4GB vs 2GB). Bardziej przyszłościowe.

VPN - na ASAch, IPsec,
Brak specyficznych wymagań QoS. Oczywiście voip oraz pewne usługi będą priorytetyzowane, ale nie jest to nic nadzwyczajnego.
Nie mamy polityki bezpieczeństwa w tej chwili.

To postaraj się chociaż stworzyć ramy z kierownictwem firmy - bez niej trudno uznać, że priorytety jakie wybierzesz konstruując sieć (dostępność, bezpieczeństwo użytkowników, serwerów, kto gdzie może się dostawać) będą wg. prezesa "właściwe". Oberwać możesz potem Ty, może on, mogą inni.

Co do techniki - jeśli oddziałów jest niewiele, VPNy na ASA są dobrym pomysłem. Na routerach będziesz miał więcej elastyczności + bardziej szczegółowy QoS.

Od strony WANu: (2 x 20mbit)
Połączenie z siecią Internet oraz siecią rozległą WAN zapewnić mają dwa rutery Cisco 2911 z uruchomioną funkcjonalnością inteligentnego balansowania ruchem pomiędzy ruterami oraz łączami doprowadzonymi do firmy (PfR)
Konfiguracja złożona z dwóch urządzen ma zapewnić utrzymanie łączności z Internetem oraz siecią WAN w przypadku całkowitej awarii jednego z ruterów.
Zadnego BGP w tej chwili nie chcemy uruchamiać. Świadczymy usługi dla klienta wewnętrznego.

BGP nie jest niczym szczególnym dzisiaj, ale oczywiście PfR ma sens absolutny i dużo pomoże.

Czy te informacje są pomocne, aby odpowiedzieć chociażby na pytanie o to czy wybrać topologię z rys.1 czy 3 i/lub jakie są (mogą być) minusy topologii z rys1?

Miałem to wczoraj jeszcze dopisać, ale dopisałem o Partnerach - niestety, z życia patrząc, prawdopodobnie skończysz z topologią jak na rysunku 1, z uwagi na ilość interfejsów/etc - bardzo często łączy się wszystko przez redundantne przełączniki. W przypadku HA na ASAch to nawet jest czasem dobry pomysł.

To kolega nie zna modelu warstwowego (rdzeń, dystrybucja, dostęp)?

W takim razie już sam nie wiem, czy za "dostęp" uważać przełączniki i uzytkownika końcowego w organizacji (tego wewnątrz), czy jak inaczej? Zmylił mnie tekst kolegi, że "Internet podłączamy do warstwy dostępowej"...
Jestem z Wwy.

W tym sensie segment styku z Internetem jest też warstwą dostępową - ale w tym szczególnym przypadku akurat do Internetu właśnie.

Co do Partnerów - polecam 'Gdzie mogę kupić Cisco' z:
http://ciscofaqpl.bromirski.net/index.p ... o_Cisco%3F

[wysoki]

Ponieważ masz stosunkowo prostą i małą sieć można ją zredukować do dwóch warstw - rdzeń i dostęp. Mam nadzieję koledzy nie powiesza na mnie za to psów.

Czemu mieliby to robić? Coraz częsciej widać ze robi sie płaską architekturę (2-tier), bo dzisiaj przez wirtualizację, cloudy, czy też aplikacje, który wymagają komunikacji między różnymi systemami, serwerami, itd, więcej ruchu jest horyzontalnego, niż jak to było za czasów Web1.0, gdzie była jedynie komunikacja klient-serwer.

[lbromirs]

Ponieważ masz stosunkowo prostą i małą sieć można ją zredukować do dwóch warstw - rdzeń i dostęp. Mam nadzieję koledzy nie powiesza na mnie za to psów.

Czemu mieliby to robić? Coraz częsciej widać ze robi sie płaską architekturę (2-tier), bo dzisiaj przez wirtualizację, cloudy, czy też aplikacje, który wymagają komunikacji między różnymi systemami, serwerami, itd, więcej ruchu jest horyzontalnego, niż jak to było za czasów Web1.0, gdzie była jedynie komunikacja klient-serwer.

Nie rozumiem w ogóle tego przywiązania do trzech warstw, bo Cisco nigdy nie twierdziło, że MUSZĄ być trzy warstwy. Mogą być, jeśli sieć jest odpowiednio duża lub fizyczne wymagania sprawiają, że ma to sens.

[ouidad]

Nie rozumiem w ogóle tego przywiązania do trzech warstw, bo Cisco nigdy nie twierdziło, że MUSZĄ być trzy warstwy. Mogą być, jeśli sieć jest odpowiednio duża lub fizyczne wymagania sprawiają, że ma to sens.

Łukasz - to jest bardziej kwestia tego, że czyta się mnóstwo rzeczy, gdzie takie podejście się praktykuje i później wielu podchodzi zbyt schematycznie do zagadnienia zapominając o starej dobrej radzie - że najlepszym rozwiązaniem jest to , które jest najlepsze w danej sytuacji.

[gangrena]

Głosowałbym za 3 opcją, która jest mixem dwóch wymienionych. Topologia z koncepcji 1, ale WAN podłączony do ASA, zamiast do routerów. Ewentualnie jeżeli budżet by pozwolił, to jeszcze lepiej zmodyfikować opcję 2 ze względu na HA poprzez dołożenie dwóch przełączników pomiędzy routerami oraz firewallami.

[puntigamerek]

Topologia z koncepcji 1, ale WAN podłączony do ASA, zamiast do routerów

Co osiągnę wstawiając na front asę, zamiast urządzenie które powinno robić routing? Switch między routery a firewalle faktycznie przydałby się, aby osągnąć HA implementowania tego o co pytam niżej, mianowicie:

Jakie widzicie minusy takiej konfiguracji?


Koncepcja topologii logicznej: WAN 1 i 2 wchodzą do core'ow. Następnie na routerach (ruch idzie na nie) konfigurowane są wirtualne interfejsy (dla WAN 1 i 2) - działa HSRP. Nastepnie ruch poprzez przesłanie przez switche core'owe wpada na ASĘ. Na ASA działa NAT oraz zapinane są tunele (oddziały).
Na SW CORE'owych wydzielone są VLANy dla ruchu z WAN i routing (routery corowe to 3750X)


Co do koncepcji wydzielania 3 warstw - wydaje mi się, że jednak infrastruktura jest za mała, aby fizycznie wchodzić w taką topologię fizyczną... chociaz..

Cały myk w zamianie koncepcji dotyczy mechanizmów typu HSRP (VRRP i PfR), które do poprawnego działania wymagają switcha L2 "po środku"...
Zastanawiam się jeszcze nad wygospodarowaniem jednego switcha 2960 (w koncepcję 3., abym mógł osiągnąć topologię logiczną bliższą fizycznej - dla mnie to jest plus). LEcz w tym przypadku będę miał pojedynczy punkt awarii, ale gdyby udało się wyczarować jeszcze jednego 2960S.... ?

Czy koncepcja z początku mojego dzisiejszego posta jest w porządku? Jakie może nieść konsekwencje (chodzi o łatwość monitorowania i eliminowania awarii)

Mam jeszcze kilka dobrych dni na podjęcie ostatecznej decyzji.
Pozdrawiam

[gangrena]

Co osiągnę wstawiając na front asę, zamiast urządzenie które powinno robić routing?

Osiągniesz większe bezpieczeństwo routerów. ASA będzie robić routing niezależnie, w którym miejscu sieci ją postawisz, chyba, że zmienisz tryb pracy na transparent. Poza tym można w naturalny sposób robić tunelowanie GRE over IPSec do oddziałów terminując IPSec na ASA, stworzyć DMZ bez angażowania routerów i obniżania bezpieczeństwa reszty sieci, robić NAT od razu na pule publiczne. Wstawiając ASA za routery też można NAT na pule publiczne robić, ale trzeba mieć albo dodatkowe pule oprócz połączeniówek, albo podzielić pulę połączeniową na mniejsze podsieci.

Jakie widzicie minusy takiej konfiguracji?

Jednym z minusów takiej konfiguracji jest brak galwanicznego odseparowania sieci lokalnej od publicznej. Czyli trzeba bardziej uważać na błędy ludzkie. Oczywiście jeżeli wszystko jest poprawnie skonfigurowane, to nie będzie leakingu. Jednak bezpieczeństwo całego układu i tak jest mniejsze, gdyż można zaatakować np. switch z sieci publicznej. Jeżeli atak DoS się powiedzie, to negatywny wpływ będzie na całą sieć.