Saat ini saya mengelola 6 perangkat Cisco ASA (2 pasang 5510-an dan 1 pasang 5550-an). Mereka semua bekerja dengan sangat baik dan stabil sehingga ini lebih merupakan pertanyaan saran praktik terbaik daripada "OMG rusak bantu saya memperbaikinya".
Jaringan saya terbagi menjadi beberapa VLAN. Hampir setiap peran layanan memiliki VLAN sendiri sehingga server DB akan memiliki VLAN, server APP, node Cassandra sendiri.
Lalu lintas dikelola dengan izin khusus, tolak dasar istirahat khusus (jadi kebijakan default adalah untuk menghapus semua lalu lintas). Saya melakukan ini dengan membuat dua ACL per antarmuka jaringan, misalnya .:
- akses-daftar dc2-850-db-in ACL yang diterapkan pada antarmuka dc2-850-db dalam arah "in"
- ACL akses-daftar dc2-850-db-out yang diterapkan pada antarmuka dc2-850-db dalam arah "keluar"
Semuanya cukup ketat dan berfungsi seperti yang diharapkan, namun saya bertanya-tanya apakah ini cara terbaik untuk dilakukan? Saat ini saya sampai pada titik di mana saya memiliki lebih dari 30 VLAN dan saya harus mengatakan itu menjadi sedikit membingungkan di beberapa titik untuk mengelola mereka.
Mungkin sesuatu seperti ACL umum / bersama akan membantu di sini yang dapat saya warisi dari ACL lain tetapi AFAIK tidak ada hal seperti itu ...
Setiap saran sangat dihargai.
private vlans
? Alternatif lain mungkin memecah unit bisnisVRFs
. Salah satu dari mereka mungkin membantu mengelola beberapa ledakan persyaratan ACL. Jujur saja, sulit untuk mengomentari pertanyaan ini karena sangat tergantung pada bisnis dan alasan teknis untuk desain yang ada