サーバースイッチに直接接続せずに、プライベートユーザーを信頼できるネットワーク内のアプリケーションに接続する方法
フルメッシュデザインのN7Kがそれぞれ2つあるコントロールセンターサイトが2つあり、内部サーバーファームの集約として2つのNexus 5548UPがあり、各N5K Aggで2つのASAファイアウォールがハングしています。どちらのサイトにも鏡像デザインがあります。内部サーバーファームアプリケーションに直接アクセスする必要のあるユーザーがいます。また、内部サーバーアプリケーションからの送信接続要求のセキュリティ境界も必要です。さらに、Agg内でプライベートDMZをホストして、インバウンド接続要求を低セキュリティゾーンとして分類するものから分離する必要があります(N7K COREは、低セキュリティネットワークサブネットへのルートにvrf:Globalを使用します)。 通常、ユーザーは安全性の低いゾーンと見なされますが、この設計は大規模な電力網の制御システムをホストするためのものです。これを念頭に置いて、ユーザーをN5K Aggに直接接続して、SITE1サーバーファームAggがダウンしてSITE 2がアプリケーションをホストできるようにすることも望まない(現在、ユーザーをアプリケーションと同じ物理スイッチに接続している) 。ユーザーがHA L3コア(4 x N7Kフルメッシュ)からサーバーファームにルーティングする従来のデータセンター設計を提供したいと思います。ただし、これらは「内部サーバー」と同じセキュリティレベルと見なされているため、N7K COREでホストされているプライベートVPNクラウドに分離したいと考えています。N7KはMPLSをサポートしているため、これが最も論理的ですが、現在の設計では、ファイアウォールも接続されているため、Nexus 5548アグリゲーションの内部サーバーのL2 / L3境界があります。Nexus 5KはMPLSをサポートしていませんが、VRF Liteをサポートしています。N5Kは、各サイトのローカルN7Kにもフルメッシュで接続されています。 N5KとN7Kの間の4つのリンクすべてを利用するには、ファイアウォールから転送する必要があるトラフィックから内部ユーザートラフィックをコアから分離するという考えにピトンホールするptからpt L3リンクを構成するか、5K間でFabricPathを利用できます。 7Kとvrf liteを使用します。N7Kのvrf:グローバルルーティングテーブルを接続するために、4つのノードとファイアウォールの外部VLANの間のインターフェイスSVIがFabricPath vlanだけになります。これらはライセンスを取得する必要があるため、これはおそらくやり過ぎですが、独自のセキュリティ要件があるため、コストは小さな問題になる傾向があります。 ルーティングの場合、ファイアウォールにデフォルトルートをインストールして、N7K vrf:Globalをポイントします。これにより、OSPFまたはEIGRPが実行され、他の低セキュリティネットワークへのルートが学習されます。ハイセキュアゾーンの場合、すべてのN5KとN7Kにvrf:Internalをインストールします。N7KのMPLSではMP-BGPを使用する必要があるため、ほとんどの場合BGPを実行します。これは、SITE2内部サーバーファームと内部ユーザーのルートのみを学習します(私たちのアプリケーションは、スプリットブレインを防ぐためにサイト間にL3が必要です)。また、vrf:Globalがvrf:Internalとルートを交換することを許可しないように細心の注意を払う必要があります。これにより、2つのvrf間のL3接続を提供するステートフルファイアウォールで非対称的な悪夢が生じるからです。ローカルサイトのN5Kとファイアウォールの単純なデフォルトルートと、内部サーバーサブネットを指すN7Kのサマリールートを使用すると、この問題を回避できます。 あるいは、N7Kから別のVDCを構築してFHRPを提供し、ファイアウォールをVDCに移動することを検討しました。N5Kは、FabricPathのみを使用し、いかなるL3も使用しません。 これは典型的な設計ではない可能性が高いので、これについてのフィードバックをいただければ幸いです。