VPN RAおよびL2Lトンネルのファイアウォールの配置

以下のためにリモートアクセス（RA）とのLAN-to-LAN（L2L）VPN、私は現在のCisco VPNのペアを操作するインターネットエッジの外側にルータとは何かにPIX 535sの内部ペアに結び付けられ内部に縛ら3005のコンセントレータ実際の内部ネットワークへの通過が許可される前のファイアウォール外部インターフェース。VPN 3005とPIX 535はどちらもASA-5545Xプラットフォームに置き換えられています。これらのファイアウォールは、主要なインターネットトラフィック用ではなく、VPN専用です。また、プライベートラインを介してデータセンターに入るトラフィックの内部ファイアウォールとしても機能します。

VPNファイアウォール（5545）の内部インターフェースが別のサブネットにある場合、セキュリティ境界のために、VPNトラフィックと潜在的に他のプライベートライントラフィックを処理する単一のファイアウォールに内部ファイアウォールACLを組み合わせて、ルーティングの問題を回避します。メインのインターネットファイアウォールから、またはそれは本当に重要ではないのですか？ OSPFは現在、インターネットファイアウォール（w / default-originate）およびVPN 3005で実行されています。このデータセンターはWebトラフィックの主要なDCであるので（パンとバター）、配置の潜在的な問題を排除する必要があります。少しでもこれに干渉する可能性のあるVPNファイアウォール。

** 5545の内部インターフェイスが最初にL2エッジスイッチに到達し、次にAGGスイッチにトランク接続してセキュリティを向上させるか、内部回線を直接Aggレイヤにドロップする必要があります。また、プライベートライントラフィックがさらに別のインターフェイスを通過する可能性があることも考慮してください。 5545の将来。

問題となっているASA-5545X *について、L3接続の関連部分のみを以下に示します。

                     インターネット
                        |
               エッジRTR +エッジRTR
                        |
5545 *（VPN /内部fw）+ 5540（DCのトラフィックの送受信用のインターネットfw）
                        |
                  Agg-1 + Agg-2
                        |
                       等

L2スイッチのペアは、Aggスイッチに到達する前にすべてのエッジデバイスを接続します。
ファイアウォールの外側のパブリックIPスペース、内側はプライベート。
（各ファイアウォールは、示されていない個別のフェイルオーバーペアの一部です。5545および5540
相互作用はありません。）

ベストプラクティスと見なすことができる回答またはコメントを探すこと、またはあなたが見つけたものは、典型的なエンタープライズネットワークで最もうまく機能します。

5545の内部インターフェイスが最初にL2エッジスイッチに到達し、次にセキュリティを向上させるためにaggスイッチにトランク接続するか、または内部を直接Aggレイヤにドロップする場合、プライベートライントラフィックが5545未来

L2がACLを実行するとは言わなかったので、違いはわかりません。ASAの内側でディストリビューションレイヤにタグ付けを実行すると思います。私のファイアウォールは、ファイアウォールの各セットとaggスイッチの間でHSRP / VRRPを実行する専用のVLANを持つ集約スイッチに直接接続します。

プライベートライントラフィックについては、ASAを使用していませんが、IOS ZBFのようなゾーン構成があり、VPNトラフィックがパケットフィルタリングを経由せずにプライベートライントラフィックとの間で送受信されないようにすることができます。

5540へのデフォルトルートポイントのように聞こえ、より具体的なルートを使用して、内部VPNアクセスプールと専用回線アドレスに到達します。5545には5540を指すデフォルトルートがあり、VPNトラフィックがインターネット（VPNクライアントでトンネルを分割するかどうかわからない）や内部アドレススペースへの他のルートに直接ヒットしても問題ありません。

だから私はあなたの計画に実際の問題を見ることはできません。しかし、私の上記の仮定のいくつかは間違っているかもしれません

私があなたのシナリオについて理解していることから、同じ内部サブネット上に2つの異なるファイアウォール内部インターフェースがあるかどうかは問題ではありません。この決定を行うときは、次のことに留意する必要があります。

1. それらを同じサブネット上に置くと、構成がより簡単で簡単になりますか？
2. 何らかの方法で別のサブネット上にいる場合に役立ちますか？
3. 適切なルーティングを行い、接続シナリオのパスを理解しましたか？たとえば、内部トラフィックは宛先に到達する前にどのデバイスを通過しますか？
4. ドメイン間ルーティングが発生していないことを確認するために、ファイアウォールのすべてのルールをすべて正しく設定しましたか？つまり、他のデバイス（他のファイアウォール）に属する同じサブネット上のトラフィックはルーティングされません。これは、あなたが心配しているセットアップで最も重要なことかもしれません。この場合も、必要なトラフィックパスによって異なります。

私はASAを同様のシナリオで展開しましたが、慎重な計画とメンテナンスにより、すべて順調に進みました。

外部インターフェイスの場合、最初に、MD5を使用してOSPFプロセスを保護します。このインターフェイスをL2集約スイッチに接続します。

内部インターフェイスでは、次の点について説明します。-技術的には、L3スイッチに接続して、役割または負荷をネットワークデバイス間で分割し、通常のファイアウォールにも対応します（ある時点で問題が発生する場合） L2集約デバイス、少なくとも下からファイアウォールまでのネットワークが機能している）-このシナリオでは、ASAがVPNを使用しているため、内部をL2集約スイッチに接続することもできます。これらのL2集約スイッチがないと、5545はネットワークにとって役に立たなくなります。それでも、この選択では、すべてのファイアウォールの物理インターフェイスが1つの物理デバイスに接続されるため、監視対象のインターフェイスについて考える必要があります。結論：より良い論理とトラブルシューティングのためのポートと容量がある場合、内部をL3ボトムスイッチに直接接続します。

最後にあなたの最初の質問に関して：私は内側のインターフェースを他の内側のファイアウォールとの共有ネットワークとして使用しました（同じセキュリティトラフィックコマンドでいくつかの詳細と専用ネットワークとして実行することができます。ネットワークの。

この場合のVPN L2Lフィルタリングは、グループポリシーACLではなくファイアウォール（ASA 5545）で行われる（そして、トンネルグループに適用される）ので、最後の1つを好みます。（私にとっては）管理、表示、トラブルシューティングが簡単で、ASAのよりデリケートなトラフィックヘアピンシナリオから遠ざけられます。