ፕሮሆስተር > ጦማር > አስተዳደር > የአውታረ መረብ መሠረተ ልማትዎን እንዴት እንደሚቆጣጠሩ። ምዕራፍ ሶስት. የአውታረ መረብ ደህንነት. ክፍል አንድ

የአውታረ መረብ መሠረተ ልማትዎን እንዴት እንደሚቆጣጠሩ። ምዕራፍ ሶስት. የአውታረ መረብ ደህንነት. ክፍል አንድ

ይህ መጣጥፍ “የአውታረ መረብ መሠረተ ልማትዎን እንዴት እንደሚቆጣጠሩ” ከሚለው ተከታታይ መጣጥፍ ሦስተኛው ነው። በተከታታይ እና አገናኞች ውስጥ የሁሉም መጣጥፎች ይዘቶች ሊገኙ ይችላሉ። እዚህ.

የአውታረ መረብ መሠረተ ልማትዎን እንዴት እንደሚቆጣጠሩ። ምዕራፍ ሶስት. የአውታረ መረብ ደህንነት. ክፍል አንድ

የደህንነት ስጋቶችን ሙሉ በሙሉ ስለማስወገድ ማውራት ምንም ፋይዳ የለውም. በመርህ ደረጃ, ወደ ዜሮ ልንቀንስ አንችልም. ኔትወርኩን የበለጠ አስተማማኝ ለማድረግ በምንጥርበት ጊዜ የመፍትሄዎቻችን ዋጋ ከጊዜ ወደ ጊዜ እየጨመረ መምጣቱንም መረዳት አለብን። ለአውታረ መረብዎ ትርጉም በሚሰጥ ወጪ፣ ውስብስብነት እና ደህንነት መካከል የንግድ ልውውጥ ማግኘት አለቦት።

እርግጥ የደህንነት ዲዛይን በአጠቃላይ አርክቴክቸር ውስጥ ኦርጋኒክ በሆነ መልኩ የተዋሃደ ሲሆን ጥቅም ላይ የሚውሉት የደህንነት መፍትሄዎች የአውታረ መረብ መሠረተ ልማትን መስፋፋት, አስተማማኝነት, አስተዳደርን, ... ላይ ተጽእኖ ያሳድራሉ, ይህ ደግሞ ግምት ውስጥ መግባት አለበት.

ግን ላስታውስህ አሁን እየተነጋገርን ያለነው ኔትወርክ ስለመፍጠር አይደለም። እንደእኛ የመጀመሪያ ሁኔታዎች ቀደም ሲል ንድፉን መርጠናል, መሳሪያዎቹን መርጠናል እና መሠረተ ልማቶችን ፈጠርን, እና በዚህ ደረጃ, ከተቻለ, "መኖር" እና ቀደም ሲል በተመረጠው አቀራረብ ውስጥ መፍትሄዎችን መፈለግ አለብን.

የእኛ ተግባር አሁን በኔትወርክ ደረጃ ከደህንነት ጋር ተያይዘው የሚመጡትን አደጋዎች መለየት እና ወደ ምክንያታዊ ደረጃ መቀነስ ነው።

የአውታረ መረብ ደህንነት ኦዲት

ድርጅትዎ የ ISO 27k ሂደቶችን ተግባራዊ ካደረገ የደህንነት ኦዲቶች እና የአውታረ መረብ ለውጦች በዚህ አካሄድ ውስጥ ካለው አጠቃላይ ሂደቶች ጋር መጣጣም አለባቸው። ነገር ግን እነዚህ መመዘኛዎች አሁንም ስለ ልዩ መፍትሄዎች አይደሉም, ስለ ውቅር, ስለ ንድፍ አይደለም ... ግልጽ ምክሮች የሉም, አውታረ መረብዎ ምን መሆን እንዳለበት በዝርዝር የሚገልጹ ደረጃዎች የሉም, ይህ የዚህ ተግባር ውስብስብ እና ውበት ነው.

በርካታ ሊሆኑ የሚችሉ የአውታረ መረብ ደህንነት ኦዲቶችን አጉላለሁ፡-

  • የመሳሪያ ውቅር ኦዲት (ጠንካራነት)
  • የደህንነት ንድፍ ኦዲት
  • መዳረሻ ኦዲት
  • ሂደት ኦዲት

የመሳሪያ ውቅር ኦዲት (ጠንካራነት)

በአብዛኛዎቹ ሁኔታዎች ይህ የአውታረ መረብዎን ደህንነት ለኦዲት እና ለማሻሻል ጥሩው መነሻ ይመስላል። IMHO፣ ይህ የፓሬቶ ህግ ጥሩ ማሳያ ነው (20% ጥረቱ 80% ውጤቱን ያስገኛል፣ እና የተቀረው 80% ጥረት ውጤቱ 20% ብቻ ነው)።

ዋናው ነገር መሳሪያውን ሲያዋቅር ለደህንነት ሲባል "ምርጥ ልምዶችን" በተመለከተ ብዙውን ጊዜ ከአቅራቢዎች ምክሮች አሉን. ይህ "ማጠንጠን" ይባላል.

በተጨማሪም በእነዚህ ምክሮች ላይ በመመርኮዝ ብዙ ጊዜ መጠይቅ ማግኘት (ወይም እራስዎ መፍጠር ይችላሉ) ይህም የመሳሪያዎ ውቅር እነዚህን "ምርጥ ልምዶች" ምን ያህል እንደሚያከብር እና በውጤቱ መሰረት በአውታረ መረብዎ ላይ ለውጦችን እንዲያደርጉ ይረዳዎታል. . ይህ በቀላሉ ያለምንም ወጪ የደህንነት ስጋቶችን በከፍተኛ ሁኔታ እንዲቀንሱ ያስችልዎታል።

ለአንዳንድ የሲስኮ ኦፕሬቲንግ ሲስተሞች ብዙ ምሳሌዎች።

Cisco IOS ውቅር ማጠንከሪያ
Cisco IOS-XR ውቅር ማጠናከር
Cisco NX-ስርዓተ ክወና ማጠናከር
Cisco Baseline የደህንነት ማረጋገጫ ዝርዝር

በእነዚህ ሰነዶች ላይ በመመስረት ለእያንዳንዱ ዓይነት መሳሪያዎች የማዋቀሪያ መስፈርቶች ዝርዝር ሊፈጠር ይችላል. ለምሳሌ፣ ለሲስኮ N7K VDC እነዚህ መስፈርቶች ሊመስሉ ይችላሉ። እንደዚህ.

በዚህ መንገድ የውቅረት ፋይሎች በኔትወርክ መሠረተ ልማት ውስጥ ለተለያዩ ንቁ መሳሪያዎች ሊፈጠሩ ይችላሉ። በመቀጠል, በእጅ ወይም አውቶማቲክን በመጠቀም, እነዚህን የማዋቀሪያ ፋይሎች "መስቀል" ይችላሉ. ይህንን ሂደት እንዴት በራስ-ሰር ማድረግ እንደሚቻል በኦርኬስትራ እና አውቶማቲክ ሌሎች ተከታታይ መጣጥፎች ውስጥ በዝርዝር ይብራራል ።

የደህንነት ንድፍ ኦዲት

በተለምዶ የድርጅት አውታረመረብ የሚከተሉትን ክፍሎች በአንድ ወይም በሌላ መልኩ ይይዛል።

  • ዲሲ (የሕዝብ አገልግሎቶች DMZ እና Intranet Data Center)
  • የበይነመረብ መዳረሻ
  • የርቀት መዳረሻ VPN
  • WAN ጠርዝ
  • ቅርንጫፍ
  • ካምፓስ (ቢሮ)
  • ዋና

የተወሰዱ ርዕሶች Cisco SAFE ሞዴል, ግን አስፈላጊ አይደለም, በእርግጥ, ከእነዚህ ስሞች እና ከዚህ ሞዴል ጋር በትክክል መያያዝ. አሁንም ስለ ዋናው ነገር ማውራት እፈልጋለሁ እና በስርዓተ-ፆታ ውስጥ ላለመሸነፍ።

ለእያንዳንዳቸው እነዚህ ክፍሎች, የደህንነት መስፈርቶች, አደጋዎች እና, በዚህ መሰረት, መፍትሄዎች የተለያዩ ይሆናሉ.

ከደህንነት ዲዛይን እይታ አንጻር ሊያጋጥሙዎት ለሚችሉ ችግሮች እያንዳንዳቸውን ለየብቻ እንመልከታቸው። በርግጥ ደግሜ እደግመዋለሁ ይህ ጽሁፍ በምንም መልኩ የተሟላ መስሎ አይታይም ይህም በዚህ በእውነት ጥልቅ እና ዘርፈ ብዙ ርዕሰ ጉዳይ ላይ ለመድረስ ቀላል አይደለም (ከማይቻል) ግን የግል ልምዴን የሚያንፀባርቅ ነው።

ፍጹም መፍትሔ የለም (ቢያንስ ገና)። ሁሌም መግባባት ነው። ነገር ግን አንዱን ወይም ሌላ ዘዴን ለመጠቀም ውሳኔው ሁለቱንም ጥቅሞቹን እና ጉዳቶቹን በመረዳት በንቃት መወሰዱ አስፈላጊ ነው.

የውሂብ ማዕከል

ከደህንነት እይታ አንጻር በጣም ወሳኝ ክፍል.
እና, እንደተለመደው, እዚህም ምንም ዓለም አቀፋዊ መፍትሄ የለም. ሁሉም በኔትወርክ መስፈርቶች ላይ በእጅጉ የተመካ ነው.

ፋየርዎል አስፈላጊ ነው ወይስ አይደለም?

መልሱ ግልጽ የሆነ ይመስላል, ነገር ግን ሁሉም ነገር የሚመስለውን ያህል ግልጽ አይደለም. እና ምርጫዎ ብቻ ሳይሆን ተጽእኖ ሊኖረው ይችላል ዋጋ.

ምሳሌ 1. መዘግየቶች።

ዝቅተኛ መዘግየት በአንዳንድ የአውታረ መረብ ክፍሎች መካከል አስፈላጊ መስፈርት ከሆነ, ለምሳሌ, በመለዋወጥ ሁኔታ ውስጥ እውነት ነው, ከዚያም በእነዚህ ክፍሎች መካከል ፋየርዎሎችን መጠቀም አንችልም. በፋየርዎል ውስጥ መዘግየት ላይ ጥናቶችን ማግኘት ከባድ ነው፣ ነገር ግን ጥቂት የማብሪያ ሞዴሎች ከ1 mkሰከንድ ባነሰ ወይም በቅደም ተከተል መዘግየት ሊሰጡ ይችላሉ፣ ስለዚህ ማይክሮ ሰከንድ ለእርስዎ አስፈላጊ ከሆኑ ፋየርዎሎች ለእርስዎ አይደሉም።

ምሳሌ 2. አፈፃፀም ፡፡

የላይ ኤል 3 ማብሪያ / ማጥፊያዎች ፍሰት ብዙውን ጊዜ በጣም ኃይለኛ ከሆኑት ፋየርዎሎች መጠን ከፍ ያለ ነው። ስለዚህ፣ ከፍተኛ ትራፊክ በሚበዛበት ጊዜ፣ ይህ ትራፊክ ፋየርዎል እንዲያልፍ መፍቀድ ሊኖርብዎት ይችላል።

ምሳሌ 3. አስተማማኝነት

ፋየርዎል፣ በተለይም ዘመናዊ NGFW (ቀጣይ ትውልድ ኤፍ ደብሊው) ውስብስብ መሣሪያዎች ናቸው። ከ L3/L2 መቀየሪያዎች በጣም የተወሳሰቡ ናቸው. ብዙ ቁጥር ያላቸው አገልግሎቶችን እና የውቅረት አማራጮችን ይሰጣሉ, ስለዚህ አስተማማኝነታቸው በጣም ዝቅተኛ መሆኑ አያስገርምም. የአገልግሎት ቀጣይነት ለኔትወርኩ ወሳኝ ከሆነ ወደተሻለ ተደራሽነት የሚያመራውን መምረጥ ሊኖርብዎ ይችላል - ደህንነት በፋየርዎል ወይም በስዊች (ወይም በተለያዩ የጨርቃ ጨርቅ ዓይነቶች) ላይ የተገነባው ኔትወርክ ቀላልነት መደበኛ ኤሲኤሎችን በመጠቀም።

ከላይ በተጠቀሱት ምሳሌዎች ውስጥ እርስዎ (እንደተለመደው) ስምምነትን መፈለግ አለብዎት። የሚከተሉትን መፍትሄዎች ተመልከት:

  • በመረጃ ማእከሉ ውስጥ ፋየርዎሎችን ላለመጠቀም ከወሰኑ በተቻለ መጠን በፔሚሜትር ዙሪያ ያለውን ተደራሽነት እንዴት እንደሚገድቡ ማሰብ አለብዎት ። ለምሳሌ, ከኢንተርኔት (ለደንበኛ ትራፊክ) አስፈላጊ የሆኑትን ወደቦች ብቻ መክፈት እና አስተዳደራዊ ወደ የውሂብ ማእከል ከዘለለ አስተናጋጆች ብቻ መክፈት ይችላሉ. በመዝለል አስተናጋጆች ላይ ሁሉንም አስፈላጊ ቼኮች (ማረጋገጫ/ፈቃድ፣ ፀረ-ቫይረስ፣ ምዝግብ ማስታወሻ፣...) ያከናውኑ።
  • በPSEFABRIC ውስጥ ከተገለጸው እቅድ ጋር ተመሳሳይ በሆነ የውሂብ ማዕከል አውታረመረብ ምክንያታዊ ክፍፍልን ወደ ክፍሎች መጠቀም ይችላሉ ምሳሌ p002. በዚህ አጋጣሚ ማዘዋወር የሚዘገይ ወይም ከፍተኛ መጠን ያለው ትራፊክ በአንድ ክፍል ውስጥ ወደ "ውስጥ" እንዲሄድ (በ p002, VRF ሁኔታ) እና በፋየርዎል ውስጥ በማይገባ መንገድ መዋቀር አለበት. በተለያዩ ክፍሎች መካከል ያለው ትራፊክ በፋየርዎል ውስጥ ማለፍ ይቀጥላል. እንዲሁም በፋየርዎል ውስጥ ያለውን ትራፊክ ወደ ሌላ አቅጣጫ እንዳይቀይር በቪአርኤፍ መካከል የሚፈሰውን መንገድ መጠቀም ይችላሉ።
  • እንዲሁም ፋየርዎልን በግልፅ ሁነታ መጠቀም ይችላሉ እና እነዚህ ምክንያቶች (የማዘግየት/አፈጻጸም) ጉልህ ላልሆኑባቸው VLANs ብቻ። ነገር ግን ለእያንዳንዱ ሻጭ ከዚህ ሞጁል አጠቃቀም ጋር የተያያዙ ገደቦችን በጥንቃቄ ማጥናት ያስፈልግዎታል
  • የአገልግሎት ሰንሰለት አርክቴክቸር ለመጠቀም ማሰብ ይፈልጉ ይሆናል። ይህ አስፈላጊው ትራፊክ በፋየርዎል ውስጥ እንዲያልፍ ያስችላል። በንድፈ ሀሳብ ጥሩ ይመስላል፣ ግን ይህን መፍትሄ በምርት ውስጥ አይቼው አላውቅም። የአገልግሎት ሰንሰለቱን ለሲስኮ ACI/Juniper SRX/F5 LTM ከ 3 ዓመታት በፊት ሞከርን ፣ ግን በዚያን ጊዜ ይህ መፍትሄ ለእኛ “ድፍረት” ይመስል ነበር።

የመከላከያ ደረጃ

አሁን ትራፊክን ለማጣራት የትኞቹን መሳሪያዎች መጠቀም እንደሚፈልጉ ለሚለው ጥያቄ መልስ መስጠት ያስፈልግዎታል. ብዙውን ጊዜ በNGFW ውስጥ አንዳንድ ባህሪያት እዚህ አሉ (ለምሳሌ፡- እዚህ):

  • ሁኔታዊ ፋየርዎልንግ (ነባሪ)
  • የመተግበሪያ ፋየርዎልንግ
  • ስጋትን መከላከል (ፀረ-ቫይረስ፣ ፀረ ስፓይዌር እና ተጋላጭነት)
  • URL ማጣራት።
  • የውሂብ ማጣሪያ (የይዘት ማጣሪያ)
  • የፋይል ማገድ (የፋይል ዓይነቶችን ማገድ)
  • dos ጥበቃ

እና ሁሉም ነገር ግልጽ አይደለም. የመከላከያ ደረጃው ከፍ ባለ ቁጥር የተሻለ ይመስላል። ግን ያንን ግምት ውስጥ ማስገባት አለብዎት

  • ከላይ ያሉት የፋየርዎል ተግባራት በበዙ ቁጥር በተፈጥሮው የበለጠ ውድ ይሆናል (ፍቃዶች፣ ተጨማሪ ሞጁሎች)
  • አንዳንድ ስልተ ቀመሮችን መጠቀም የፋየርዎልን ፍሰት በእጅጉ ሊቀንሰው እና መዘግየቶችን ሊጨምር ይችላል፣ ለምሳሌ ይመልከቱ እዚህ
  • እንደ ማንኛውም ውስብስብ መፍትሄ ውስብስብ የመከላከያ ዘዴዎችን መጠቀም የመፍትሄዎን አስተማማኝነት ሊቀንስ ይችላል, ለምሳሌ የመተግበሪያ ፋየርዎልን ሲጠቀሙ አንዳንድ በጣም ደረጃቸውን የጠበቁ የስራ መተግበሪያዎችን (ዲኤንኤስ, smb) ማገድ አጋጥሞኛል.

እንደ ሁልጊዜው ለአውታረ መረብዎ ምርጡን መፍትሄ ማግኘት አለብዎት.

ምን ዓይነት የጥበቃ ተግባራት ያስፈልጋሉ የሚለውን ጥያቄ በትክክል መመለስ አይቻልም. በመጀመሪያ ፣ ምክንያቱም እርስዎ በሚያስተላልፉት ወይም በሚያከማቹት እና ለመጠበቅ በሚሞክሩት ውሂብ ላይ የተመሠረተ ነው። በሁለተኛ ደረጃ, በእውነቱ, ብዙውን ጊዜ የደህንነት መሳሪያዎች ምርጫ በአቅራቢው ላይ እምነት እና እምነት ነው. ስልተ ቀመሮችን አታውቁም, ምን ያህል ውጤታማ እንደሆኑ አታውቅም, እና ሙሉ ለሙሉ መፈተሽ አትችልም.

ስለዚህ, ወሳኝ በሆኑ ክፍሎች ውስጥ, ጥሩ መፍትሄ ከተለያዩ ኩባንያዎች ቅናሾችን መጠቀም ሊሆን ይችላል. ለምሳሌ በፋየርዎል ላይ ጸረ-ቫይረስን ማንቃት ይችላሉ፣ ነገር ግን የጸረ-ቫይረስ ጥበቃን (ከሌላ አምራች) በአስተናጋጆች ላይ ይጠቀሙ።

መከፋፈል

እየተነጋገርን ያለነው ስለ የመረጃ ማእከል አውታረመረብ አመክንዮአዊ ክፍፍል ነው። ለምሳሌ፣ ወደ VLANs እና ንኡስ መረቦች መከፋፈል እንዲሁ አመክንዮአዊ ክፍፍል ነው፣ ነገር ግን ግልጽነቱ ምክንያት አንመለከተውም። እንደ FW የደህንነት ዞኖች፣ ቪአርኤፍዎች (እና ከተለያዩ አቅራቢዎች ጋር በተገናኘ የእነሱን ተመሳሳይነት)፣ አመክንዮአዊ መሳሪያዎችን (PA VSYS፣ Cisco N7K VDC፣ Cisco ACI Tenant፣ ...) ያሉ አካላትን ከግምት ውስጥ በማስገባት የሚስብ ክፍል።

የእንደዚህ አይነት አመክንዮአዊ ክፍፍል እና በአሁኑ ጊዜ በፍላጎት ላይ ያለው የመረጃ ማእከል ንድፍ ምሳሌ ተሰጥቷል። የ PSEFABRIC ፕሮጀክት p002.

የአውታረ መረብዎን አመክንዮአዊ ክፍሎችን ከገለጹ በኋላ፣ ትራፊክ በተለያዩ ክፍሎች መካከል እንዴት እንደሚንቀሳቀስ፣ በየትኞቹ መሳሪያዎች ላይ ማጣሪያ እንደሚካሄድ እና በምን መንገድ እንደሚንቀሳቀስ መግለጽ ይችላሉ።

አውታረ መረብዎ ግልጽ የሆነ ምክንያታዊ ክፍልፋይ ከሌለው እና ለተለያዩ የውሂብ ፍሰቶች የደህንነት ፖሊሲዎችን የመተግበር ደንቦች መደበኛ ካልሆኑ ይህ ማለት ይህንን ወይም ያንን መዳረሻ ሲከፍቱ ይህንን ችግር ለመፍታት ይገደዳሉ እና በከፍተኛ ዕድል እርስዎ በእያንዳንዱ ጊዜ በተለየ መንገድ ይፈታል.

ብዙውን ጊዜ ክፍፍል በFW የደህንነት ዞኖች ላይ ብቻ የተመሰረተ ነው. ከዚያም የሚከተሉትን ጥያቄዎች መመለስ ያስፈልግዎታል:

  • ምን ዓይነት የደህንነት ዞኖች ያስፈልጉዎታል
  • በእያንዳንዳቸው በእነዚህ ዞኖች ላይ ምን ዓይነት የመከላከያ ደረጃ ማመልከት ይፈልጋሉ
  • የውስጠ-ዞን ትራፊክ በነባሪነት ይፈቀዳል?
  • ካልሆነ በእያንዳንዱ ዞን ውስጥ ምን የትራፊክ ማጣሪያ ፖሊሲዎች ይተገበራሉ
  • ለእያንዳንዱ ጥንድ ዞኖች (ምንጭ/መዳረሻ) ምን የትራፊክ ማጣሪያ ፖሊሲዎች ይተገበራሉ

TCAM

የተለመደው ችግር TCAM (Ternary Content Addressable Memory) በቂ ያልሆነ ነው፣ ለመዘዋወርም ሆነ ለመዳረሻዎች። IMHO, መሳሪያዎችን በሚመርጡበት ጊዜ ይህ በጣም አስፈላጊ ከሆኑ ጉዳዮች አንዱ ነው, ስለዚህ ይህንን ጉዳይ በተገቢው ደረጃ በጥንቃቄ ማከም ያስፈልግዎታል.

ምሳሌ 1. የማስተላለፊያ ሰንጠረዥ TCAM.

እስቲ እንመልከት ፡፡ ፓሎ አልቶ 7 ኪ ፋየርዎል
ያንን IPv4 ማስተላለፊያ ሰንጠረዥ መጠን * = 32 ኪ
ከዚህም በላይ ይህ የመንገድ ቁጥር ለሁሉም VSYSs የተለመደ ነው።

በንድፍዎ መሰረት 4 VSYS ለመጠቀም እንደወሰኑ እናስብ።
እያንዳንዳቸው VSYSs በBGP በኩል እንደ BB ከሚጠቀሙባቸው ሁለት MPLS PEs ጋር የተገናኙ ናቸው። ስለዚህ፣ 4 VSYS ሁሉንም ልዩ መንገዶች እርስ በእርስ ይለዋወጣሉ እና በግምት ተመሳሳይ መስመሮች (ነገር ግን የተለያዩ ኤንኤችኤስ) ያለው የማስተላለፍ ጠረጴዛ አላቸው። ምክንያቱም እያንዳንዱ VSYS 2 BGP ክፍለ ጊዜዎች አሉት (በተመሳሳይ መቼቶች)፣ ከዚያም በMPLS በኩል የተቀበለው እያንዳንዱ መንገድ 2 NH እና፣ በዚህ መሰረት፣ በማስተላለፊያ ሠንጠረዥ ውስጥ 2 FIB ግቤቶች አሉት። ይህ በመረጃ ማእከሉ ውስጥ ያለው ብቸኛው ፋየርዎል ነው ብለን ካሰብን እና ስለ ሁሉም መንገዶች ማወቅ አለበት ማለት ነው ፣ ይህ ማለት በእኛ የመረጃ ማእከል ውስጥ ያሉት አጠቃላይ መስመሮች ከ 32 ኪ / (4 * 2) = 4 ኪ.

አሁን 2 የመረጃ ማእከሎች አሉን ብለን ካሰብን (በተመሳሳይ ንድፍ) እና በዳታ ማእከሎች መካከል "የተዘረጋ" VLAN ን መጠቀም ከፈለግን (ለምሳሌ ለ vMotion) ከዚያም የማዞሪያ ችግርን ለመፍታት የአስተናጋጅ መንገዶችን መጠቀም አለብን . ነገር ግን ይህ ማለት ለ 2 የውሂብ ማእከሎች ከ 4096 በላይ ሊሆኑ የሚችሉ አስተናጋጆች ይኖረናል እና በእርግጥ ይህ በቂ ላይሆን ይችላል.

ምሳሌ 2. ACL TCAM.

በ L3 ማብሪያ / ማጥፊያዎች (ወይም L3 ማብሪያ / ማጥፊያዎችን የሚጠቀሙ ሌሎች መፍትሄዎችን ፣ ለምሳሌ ፣ Cisco ACI) ላይ ትራፊክ ለማጣራት ካቀዱ ፣ መሳሪያዎችን በሚመርጡበት ጊዜ ለ TCAM ACL ትኩረት መስጠት አለብዎት ።

በሲስኮ ካታሊስት 4500 የ SVI በይነገጾች ላይ መዳረሻን መቆጣጠር ትፈልጋለህ እንበል።ከዚያም ከ ማየት እንደሚቻለው። ይህ ዓምድበበይነገጾች ላይ የወጪ (እንዲሁም ገቢ) ትራፊክ ለመቆጣጠር 4096 TCAM መስመሮችን ብቻ መጠቀም ይችላሉ። TCAM3 ሲጠቀሙ ወደ 4000 ሺህ ኤሲኤሎች (ኤሲኤል መስመሮች) ይሰጥዎታል።

በቂ ያልሆነ የ TCAM ችግር ካጋጠመዎት, በመጀመሪያ, በእርግጥ, የማመቻቸት እድልን ግምት ውስጥ ማስገባት አለብዎት. ስለዚህ, የማስተላለፊያ ጠረጴዛው መጠን ላይ ችግር በሚፈጠርበት ጊዜ, መስመሮችን የመሰብሰብ እድልን ግምት ውስጥ ማስገባት አለብዎት. በTCAM ለተደራሽዎች መጠን ችግር ከተፈጠረ፣ ኦዲት ማግኘት፣ ጊዜ ያለፈባቸውን እና ተደራራቢ መዝገቦችን ማስወገድ እና ምናልባትም ተደራሽነትን ለመክፈት የአሰራር ሂደቱን ማሻሻል (በኦዲት ተደራሽነት ላይ በምዕራፉ ውስጥ በዝርዝር ይብራራል)።

ከፍተኛ ተገኝነት

ጥያቄው ለፋየርዎል HA መጠቀም አለብኝ ወይም ሁለት ገለልተኛ ሳጥኖችን “በትይዩ” መጫን አለብኝ እና ከመካከላቸው አንዱ ካልተሳካ ትራፊክን በሁለተኛው በኩል ማለፍ አለብኝ?

መልሱ ግልጽ የሆነ ይመስላል - HA ይጠቀሙ. ይህ ጥያቄ አሁንም የሚነሳበት ምክንያት፣ በሚያሳዝን ሁኔታ፣ የቲዎሬቲካል እና የማስታወቂያ 99 እና በርካታ የአስርዮሽ ተደራሽነት በመቶኛ በተግባር የተደራሽነት ከመሆን የራቀ መሆኑ ነው። HA በምክንያታዊነት በጣም የተወሳሰበ ነገር ነው ፣ እና በተለያዩ መሳሪያዎች ላይ ፣ እና ከተለያዩ ሻጮች ጋር (ምንም ልዩ ሁኔታዎች አልነበሩም) ችግሮች እና ስህተቶች እና የአገልግሎት ማቆሚያዎች ያዝን።

HA ን ከተጠቀሙ የነጠላ አንጓዎችን ለማጥፋት፣ አገልግሎቱን ሳያቋርጡ በመካከላቸው ይቀያይሩ፣ ለምሳሌ ማሻሻያ ሲያደርጉ በመካከላቸው ይቀያይሩ፣ ነገር ግን በተመሳሳይ ጊዜ የሁለቱም አንጓዎች የራቀ እድል ይኖርዎታል። በተመሳሳይ ጊዜ ይቋረጣል, እና እንዲሁም በሚቀጥለው ጊዜ ማሻሻያው ሻጩ ቃል በገባለት መልኩ አይሄድም (ይህን ችግር በላብራቶሪ መሳሪያዎች ላይ የመሞከር እድል ካገኙ ይህንን ችግር ማስወገድ ይቻላል).

HA ን ካልተጠቀምክ፡ ከድርብ ውድቀት አንጻር፡ ስጋቶችህ በጣም ያነሱ ናቸው (2 ገለልተኛ ፋየርዎል ስላለህ) ግን ከዚያ ወዲህ... ክፍለ-ጊዜዎች አልተመሳሰሉም፣ ከዚያ በእነዚህ ፋየርዎሎች መካከል በተቀያየርክ ቁጥር ትራፊክ ታጣለህ። በእርግጥ አገር አልባ ፋየርዎል መጠቀም ይችላሉ፣ነገር ግን ፋየርዎልን የመጠቀም ነጥቡ በአብዛኛው ጠፍቷል።

ስለዚህ በኦዲት ምክንያት ብቸኛ ፋየርዎል ካገኘህ እና የአውታረ መረብህን አስተማማኝነት ለመጨመር እያሰብክ ከሆነ HA በእርግጥ ከተጠቆሙት መፍትሄዎች አንዱ ነው, ነገር ግን ተያያዥነት ያላቸውን ጉዳቶች ግምት ውስጥ ማስገባት አለብህ. በዚህ አቀራረብ እና ምናልባትም, በተለይም ለአውታረ መረብዎ, ሌላ መፍትሄ የበለጠ ተስማሚ ይሆናል.

ማስተዳደር

በመርህ ደረጃ, HA እንዲሁ ስለ ቁጥጥር ነው. 2 ሳጥኖችን ለየብቻ ከማዋቀር እና አወቃቀሮችን በማመሳሰል ላይ ያለውን ችግር ከማስተናገድ ይልቅ አንድ መሳሪያ እንዳለህ አድርገው ያስተዳድሯቸዋል።

ግን ምናልባት ብዙ የውሂብ ማእከሎች እና ብዙ ፋየርዎሎች አሉዎት, ከዚያ ይህ ጥያቄ በአዲስ ደረጃ ይነሳል. እና ጥያቄው ስለ ውቅር ብቻ ሳይሆን ስለም ጭምር ነው

  • የመጠባበቂያ ውቅሮች
  • ዝማኔዎች
  • ማሻሻያዎች
  • ክትትል
  • ምዝግብ ማስታወሻ

እና ይህ ሁሉ በማዕከላዊ የአስተዳደር ስርዓቶች ሊፈታ ይችላል.

ስለዚህ, ለምሳሌ, የፓሎ አልቶ ፋየርዎሎችን እየተጠቀሙ ከሆነ, ከዚያ ፓኖራማ እንዲህ ያለ መፍትሔ ነው.

እንዲቀጥል.

ምንጭ: hab.com

አስተያየት ያክሉ