design sieci
design sieci
Witam,
Moja obecna konfiguracja w firmie jest następująca:
INTERNET ---- FIREWALL ---- LAN
W sieci LAN posiadam wiele vlanów pomiędzy którymi routuje na FIREWALLU(router on the stick)
Pojawiły się możliwości finansowe i mogę zakupić trochę sprzętu. Postanowiłem zakupić router i ASA z cisco ale pojawiły sie pewne wątpliwości. Wiedząc, że ASA ma tylko 3 vlany jak w poniższej konfiguracji zaimplementowac router on the stick ?
INTERNET --- ROUTER --- ASA ---- LAN
dodam że VPNy które posiadam aktualnie także chciałbym wrzucic na barki ASA więc odpada tryb transparentny, poza tym chciałbym korzystac z modułów IPS.
Nie wiem czy dobrze myślę bo być może konfiguracja powinna byc taka:
INTERNET ---- ROUTER ---- ASA ---- L3 SW (do routingu vlanów) ---- LAN
ale tu z kolei będę musiał maskować adresy wewnętrzne na L3SW więc na asa nie będę miał szczegółowej informacji o tym które komputery w sieci lan rozrabiają itd.
Jak więc rozwiązać tą infrastrukturę abym pogodził ze sobą te wszystkie wymagania ?
Pozdrawiam
Krzysiek
Moja obecna konfiguracja w firmie jest następująca:
INTERNET ---- FIREWALL ---- LAN
W sieci LAN posiadam wiele vlanów pomiędzy którymi routuje na FIREWALLU(router on the stick)
Pojawiły się możliwości finansowe i mogę zakupić trochę sprzętu. Postanowiłem zakupić router i ASA z cisco ale pojawiły sie pewne wątpliwości. Wiedząc, że ASA ma tylko 3 vlany jak w poniższej konfiguracji zaimplementowac router on the stick ?
INTERNET --- ROUTER --- ASA ---- LAN
dodam że VPNy które posiadam aktualnie także chciałbym wrzucic na barki ASA więc odpada tryb transparentny, poza tym chciałbym korzystac z modułów IPS.
Nie wiem czy dobrze myślę bo być może konfiguracja powinna byc taka:
INTERNET ---- ROUTER ---- ASA ---- L3 SW (do routingu vlanów) ---- LAN
ale tu z kolei będę musiał maskować adresy wewnętrzne na L3SW więc na asa nie będę miał szczegółowej informacji o tym które komputery w sieci lan rozrabiają itd.
Jak więc rozwiązać tą infrastrukturę abym pogodził ze sobą te wszystkie wymagania ?
Pozdrawiam
Krzysiek
Witaj,
Skąd informacja, że ASA ma 3 vlany? Tylko 5505 ma 3 vlany. Z licencją Security Plus masz do 20. Wyższe ASA mają większe limity:
http://www.cisco.com/c/en/us/products/s ... rison.html
Dlaczego chcesz robić NAT na L3SW? Zrób na ASA.
Skąd informacja, że ASA ma 3 vlany? Tylko 5505 ma 3 vlany. Z licencją Security Plus masz do 20. Wyższe ASA mają większe limity:
http://www.cisco.com/c/en/us/products/s ... rison.html
Dlaczego chcesz robić NAT na L3SW? Zrób na ASA.
Z każdym upadkiem nabieramy większego doświadczenia.......to nie upadek czyni nas przegranymi, lecz brak chęci do powstania....
Re: design sieci
czy masz jednego ISP czy więcej? Bo jak jednego i tylko routing statyczny (default na ISP) i tylko 1 adres IP publiczny do dyspozycji, to raczej postawiłbym ASA'ę na styku z Internetem (z uwagi na vpn i moduł ips)
a w takiej konfiguracji instalowanie router'a (czyli między ASA a SW) to raczej w wypadku jeśli ruch między niektórymi vlan'ami nie musi przechodzić przez firewall'a.
a w takiej konfiguracji instalowanie router'a (czyli między ASA a SW) to raczej w wypadku jeśli ruch między niektórymi vlan'ami nie musi przechodzić przez firewall'a.
trzeba zastanowić się czy nie zrobić tak, że postawić na brzegu sieci ASA'ę z taką architekturą:
outside:
2 subinterfejsy lub dwa fizyczne porty - dual ISP (poczytaj jakie są opcje) + backup gateway dla VPN w profilu xml - nie wiem czy to wystarczy na Twoją sieć.
inside: albo jeden wspólny + na switchu L3 routowanie vlanów; albo inside trunk (router on the stick) z izolacją każdego vlanu z osobna
ewentualnie jakiś kompromis - część vlanów na przełaczniku L3 a reszta w DMZ ma ASA
to samo albo b.podobnie byś pewnie ogarnął na jakimś routerze, ale ja tam bym wolał pobawić się ASA'ą...
outside:
2 subinterfejsy lub dwa fizyczne porty - dual ISP (poczytaj jakie są opcje) + backup gateway dla VPN w profilu xml - nie wiem czy to wystarczy na Twoją sieć.
inside: albo jeden wspólny + na switchu L3 routowanie vlanów; albo inside trunk (router on the stick) z izolacją każdego vlanu z osobna
ewentualnie jakiś kompromis - część vlanów na przełaczniku L3 a reszta w DMZ ma ASA
to samo albo b.podobnie byś pewnie ogarnął na jakimś routerze, ale ja tam bym wolał pobawić się ASA'ą...