Cisco ASAと複数のVLAN

現在、6台のCisco ASAデバイス（5510の2ペアと5550の1ペア）を管理しています。これらはすべて非常にうまく動作し、安定しているため、「OMGが壊れているため、修正に役立つ」というよりは、ベストプラクティスのアドバイスの質問の方が多くなります。

ネットワークが複数のVLANに分割されています。ほとんどのサービスの役割には独自のVLANがあるため、DBサーバーには独自のVLAN、APPサーバー、Cassandraノードがあります。

トラフィックは、特定の許可のみ、残りの拒否のみの基本で管理されています（したがって、デフォルトのポリシーは、すべてのトラフィックをドロップすることです）。これを行うには、ネットワークインターフェイスごとに2つのACLを作成します。例：

• 「in」方向でdc2-850-dbインターフェイスに適用されるaccess-list dc2-850-db-in ACL
• 「out」方向でdc2-850-dbインターフェイスに適用されているaccess-list dc2-850-db-out ACL

それはすべてかなりタイトで期待どおりに機能しますが、これが最善の方法であるかどうか疑問に思っていましたか？ 現時点では、30を超えるVLANが存在するようになりましたが、それらを管理するためにいくつかの点で少し混乱していると言わざるを得ません。

おそらく、共通のACLや共有ACLのようなものが役に立ちますが、他のACLから継承できますが、そのようなことはありません...

アドバイスは大歓迎です。

Cisco ASAデバイスがある場合（5510の2ペアと5550の1ペア）。これは、ACLによるパケットフィルタリングから離れ、ASAのファイアウォールゾーンベースの技術に移行することを意味します。

クラスマップ、ポリシーマップ、およびサービスポリシーを作成します。

ネットワークオブジェクトはあなたの人生を容易にします。

ファイアウォール技術の傾向は

パケットフィルタリング-パケット検査-IP検査（ステートフル検査）-ゾーンベースのファイアウォール

これらの手法は、領域が増えるにつれて混乱が少なくなるように作成されました。

本がありますので、読みたいかもしれません。

偶発的な管理者-それは本当に私を助けました。

それを見て、ACLから2つの異なる方向に移動します。

ASAを使用すると、問題は発生しません。

以前、私は800シリーズのIP検査とZBFを作成してから、利点を比較し、ASAで同じ手法を使用して、パケットフィルタリングから高度なIP検査に移行しました。

1つの非常に単純な（そして、確かに少しのチート）ソリューションは、各VLANインターフェイスに、許可する必要があるトラフィックと一致するセキュリティレベルを割り当てることです。

次にを設定できるsame-security-traffic permit inter-interfaceため、複数のデバイス間で同じVLANを具体的にルーティングして保護する必要がなくなります。

VLANの数は減りませんが、3つのファイアウォールすべてを通過するVLANに必要なACLの数はおそらく半分になります。

もちろん、これがあなたの環境で理にかなっているかどうかを知る方法はありません。

インバウンドとアウトバウンドの両方のアクセスリストがあるのはなぜですか。できるだけソースの近くでトラフィックをキャッチする必要があります。これは、インバウンドアクセスリストのみを意味し、ACLの総数を半分にします。これは、スコープを低く保つのに役立ちます。フローごとに可能なアクセスリストが1つしかない場合、ASAは維持がより簡単になり、さらに重要なこととして、問題が発生した場合のトラブルシューティングが容易になります。

また、すべてのVLANが互いに到達するためにファイアウォールを通過する必要がありますか？これにより、スループットが大幅に制限されます。注意：ASAはファイアウォールであり、（優れた）ルーターではありません。