ProHoster > Blag > Riarachán > Conas smacht a fháil ar do bhonneagar líonra. Caibidil a trí. Slándála líonra. Cuid a haon

Conas smacht a fháil ar do bhonneagar líonra. Caibidil a trí. Slándála líonra. Cuid a haon

Is é an t-alt seo an tríú cuid i sraith alt "Conas Rialú a Dhéanamh ar Do Bhonneagar Líonra." Is féidir teacht ar a bhfuil sna hailt go léir sa tsraith agus naisc anseo.

Conas smacht a fháil ar do bhonneagar líonra. Caibidil a trí. Slándála líonra. Cuid a haon

Níl aon phointe ag caint faoi rioscaí slándála a dhíchur go hiomlán. I bprionsabal, ní féidir linn iad a laghdú go nialas. Ní mór dúinn a thuiscint freisin, agus muid ag iarraidh an líonra a dhéanamh níos sláine agus níos mó, go bhfuil ár réitigh ag éirí níos costasaí agus níos mó. Ní mór duit comhbhabhtáil a aimsiú idir costas, castacht agus slándáil a dhéanann ciall do do líonra.

Ar ndóigh, tá dearadh slándála comhtháite go horgánach san ailtireacht iomlán agus bíonn tionchar ag na réitigh slándála a úsáidtear ar scalability, iontaofacht, soláimhsitheacht, ... an bhonneagair líonra, a chaithfear a chur san áireamh freisin.

Ach lig dom a mheabhrú duit nach bhfuilimid ag caint faoi líonra a chruthú anois. De réir ár coinníollacha tosaigh tá an dearadh roghnaithe againn cheana féin, roghnaigh muid an trealamh, agus chruthaigh muid an bonneagar, agus ag an gcéim seo, más féidir, ba cheart dúinn “beo” agus teacht ar réitigh i gcomhthéacs an chur chuige a roghnaíodh roimhe seo.

Is é an tasc atá againn anois ná na rioscaí a bhaineann le slándáil ar leibhéal an líonra a aithint agus iad a laghdú go leibhéal réasúnta.

Iniúchadh slándála líonra

Má tá próisis ISO 27k curtha i bhfeidhm ag d’eagraíocht, ba cheart go n-oirfeadh iniúchtaí slándála agus athruithe líonra gan stró ar na próisis iomlána laistigh den chur chuige seo. Ach ní bhaineann na caighdeáin seo le réitigh ar leith, ní le cumraíocht, ní le dearadh... Níl aon chomhairle shoiléir ann, níl aon chaighdeáin ann a shonraíonn go mion cad ba cheart do do líonra a bheith cosúil, is é seo castacht agus áilleacht an taisc seo.

Thabharfainn suntas do roinnt iniúchtaí féideartha ar shlándáil líonra:

  • iniúchadh cumraíochta trealaimh (cruaite)
  • iniúchadh dearadh slándála
  • iniúchadh rochtana
  • iniúchadh próisis

Iniúchadh cumraíochta trealaimh (cruaite)

Dealraíonn sé gurb é seo an pointe tosaigh is fearr i bhformhór na gcásanna chun slándáil do líonra a iniúchadh agus a fheabhsú. IMHO, is léiriú maith é seo ar dhlí Pareto (táirgeann 20% den iarracht 80% den toradh, agus ní thugann an 80% eile den iarracht ach 20% den toradh).

Is é an rud is bun ná go mbíonn moltaí againn ó dhíoltóirí de ghnáth maidir le “na cleachtais is fearr” maidir le slándáil agus trealamh á chumrú. Tugtar “hardening” air seo.

Is minic freisin go bhfaighidh tú ceistneoir (nó cruthaigh tú féin) bunaithe ar na moltaí seo, a chabhróidh leat a chinneadh cé chomh maith agus a chomhlíonann cumraíocht do threalamh na “cleachtais is fearr” seo agus, i gcomhréir leis an toradh, athruithe a dhéanamh ar do líonra. . Ligfidh sé seo duit rioscaí slándála a laghdú go suntasach go héasca, gan mórán costas.

Roinnt samplaí do roinnt córais oibriúcháin Cisco.

Cruadhú Cumraíochta Cisco IOS
Cruadhú Cumraíochta Cisco IOS-XR
Cruadhú Cumraíochta Cisco NX-OS
Cisco Liosta Seiceála Slándála Bunlíne

Bunaithe ar na doiciméid seo, is féidir liosta de na ceanglais chumraíochta a chruthú do gach cineál trealaimh. Mar shampla, le haghaidh Cisco N7K VDC d’fhéadfadh cuma na riachtanas seo a bheith orthu mar sin.

Ar an mbealach seo, is féidir comhaid cumraíochta a chruthú le haghaidh cineálacha éagsúla trealaimh ghníomhacha i do bhonneagar líonra. Ansin, de láimh nó trí úsáid a bhaint as uathoibriú, is féidir leat na comhaid cumraíochta seo a “uaslódáil”. Déanfar conas an próiseas seo a uathoibriú a phlé go mion i sraith eile alt ar cheolfhoirneacht agus uathoibriú.

Iniúchadh dearadh slándála

Go hiondúil, bíonn na codanna seo a leanas i líonra fiontair i bhfoirm amháin nó i bhfoirm eile:

  • DC (seirbhísí poiblí DMZ agus lárionad sonraí inlín)
  • rochtain ar an idirlíon
  • Rochtain cianda VPN
  • imeall WAN
  • Brainse
  • Campas (Oifig)
  • Core

Teidil a tógadh ó Cisco SÁBHÁILTE samhail, ach ní gá, ar ndóigh, a cheangal go beacht leis na hainmneacha seo agus leis an múnla seo. Fós féin, ba mhaith liom labhairt ar an bunúsach agus gan a bheith bogged síos i foirmiúlachtaí.

I gcás gach ceann de na míreanna seo, beidh riachtanais slándála, rioscaí agus, dá réir sin, réitigh difriúil.

Breathnaímid ar gach ceann acu ar leithligh le haghaidh na bhfadhbanna a d’fhéadfadh teacht ort ó thaobh dearadh slándála de. Ar ndóigh, deirim arís nach ligeann an t-alt seo ar bhealach ar bith go bhfuil sé iomlán, rud nach bhfuil sé éasca (mura bhfuil sé dodhéanta) a bhaint amach san ábhar fíor-dhomhain agus ilghnéitheach seo, ach léiríonn sé mo thaithí phearsanta.

Níl aon réiteach foirfe (ar a laghad nach bhfuil fós). Is comhréiteach i gcónaí é. Ach tá sé tábhachtach go ndéanfaí an cinneadh chun cur chuige amháin nó eile a úsáid go comhfhiosach, le tuiscint ar na buntáistí agus na míbhuntáistí a bhaineann leis.

Ionad sonraí

An chuid is tábhachtaí ó thaobh sábháilteachta de.
Agus, mar is gnách, níl aon réiteach uilíoch anseo ach an oiread. Braitheann sé go léir go mór ar na riachtanais líonra.

An bhfuil balla dóiteáin riachtanach nó nach bhfuil?

Is cosúil go bhfuil an freagra soiléir, ach níl gach rud chomh soiléir agus a d'fhéadfadh sé a bheith cosúil. Agus is féidir tionchar a imirt ar do rogha ní hamháin praghas.

Sampla 1. Moill.

Más bunriachtanas é latency íseal idir roinnt deighleoga líonra, atá, mar shampla, fíor i gcás malartaithe, ansin ní bheidh muid in ann ballaí dóiteáin a úsáid idir na codanna sin. Tá sé deacair staidéir a fháil ar latency i mballaí dóiteáin, ach is beag múnlaí lasc is féidir le latency níos lú ná nó ar ord 1 mksec a sholáthar, mar sin is dóigh liom má tá micreasoicindí tábhachtach duit, ansin níl ballaí dóiteáin ar do shon.

Sampla 2. Feidhmíocht.

Is gnách go mbíonn tréchur na lasca L3 barr ord méadaíochta níos airde ná tréchur na mballaí dóiteáin is cumhachtaí. Mar sin, i gcás tráchta ard-déine, is dóichí go mbeidh ort ligean don trácht seo ballaí dóiteáin a sheachbhóthar.

Sampla 3. Iontaofacht.

Is feistí casta iad ballaí dóiteáin, go háirithe NGFW nua-aimseartha (FW den Chéad Ghlúin Eile). Tá siad i bhfad níos casta ná lasca L3/L2. Soláthraíonn siad líon mór seirbhísí agus roghanna cumraíochta, mar sin ní haon ionadh é go bhfuil a n-iontaofacht i bhfad níos ísle. Má tá leanúnachas seirbhíse ríthábhachtach don líonra, b'fhéidir go mbeidh ort a roghnú cad a bheidh mar thoradh ar infhaighteacht níos fearr - slándáil le balla dóiteáin nó simplíocht líonra a tógadh ar lasca (nó cineálacha éagsúla fabraicí) ag baint úsáide as ACLanna rialta.

I gcás na samplaí thuas, is dóichí go mbeidh ort (mar is gnách) teacht ar chomhréiteach. Féach i dtreo na réitigh seo a leanas:

  • má shocraíonn tú gan úsáid a bhaint as ballaí dóiteáin taobh istigh den ionad sonraí, ansin ní mór duit smaoineamh ar conas rochtain timpeall an imlíne a theorannú oiread agus is féidir. Mar shampla, ní féidir leat ach na calafoirt riachtanacha a oscailt ón Idirlíon (do thrácht na gcliant) agus rochtain riaracháin ar an ionad sonraí ó óstach léim amháin. Ar óstaigh léim, déan gach seiceáil riachtanach (fíordheimhniú / údarú, frithvíreas, logáil, ...)
  • is féidir leat deighilt loighciúil de líonra an ionaid sonraí a úsáid ina chodanna, cosúil leis an scéim a bhfuil cur síos uirthi in PSEFABRIC sampla p002. Sa chás seo, ní mór ródú a chumrú sa chaoi is go dtéann trácht atá íogair ó thaobh moille nó tráchta ard-déine “laistigh” de mhír amháin (i gcás p002, VRF) agus nach dtéann sé tríd an mballa dóiteáin. Leanfaidh an trácht idir codanna éagsúla ar aghaidh ag dul tríd an mballa dóiteáin. Is féidir leat sceitheadh ​​bealaigh idir VRFanna a úsáid freisin chun trácht a atreorú tríd an mballa dóiteáin a sheachaint
  • Is féidir leat balla dóiteáin a úsáid freisin i mód trédhearcach agus do na VLANanna sin amháin nach bhfuil na fachtóirí seo (latency/feidhmíocht) suntasach iontu. Ach ní mór duit staidéar a dhéanamh go cúramach ar na srianta a bhaineann le húsáid an mod seo do gach díoltóir
  • b'fhéidir gur mhaith leat smaoineamh ar ailtireacht slabhra seirbhíse a úsáid. Ní ligfidh sé seo ach do thrácht riachtanach dul tríd an mballa dóiteáin. Breathnaíonn go deas go teoiriciúil, ach ní fhaca mé an réiteach seo i dtáirgeadh. Thástáil muid an slabhra seirbhíse do Cisco ACI/Juniper SRX/F5 LTM thart ar 3 bliana ó shin, ach ag an am sin bhí an chuma ar an réiteach seo “amh” dúinn.

Leibhéal cosanta

Anois ní mór duit an cheist a fhreagairt cad iad na huirlisí is mian leat a úsáid chun an trácht a scagadh. Seo cuid de na gnéithe a bhíonn i láthair de ghnáth i NGFW (mar shampla, anseo):

  • ballaí dóiteáin stáit (réamhshocraithe)
  • ballaí dóiteáin iarratais
  • bagairt a chosc (antivirus, frith-spyware, agus leochaileacht)
  • Scagadh URL
  • scagadh sonraí (scagadh ábhair)
  • blocáil comhad (blocáil cineálacha comhaid)
  • cosaint dos

Agus níl gach rud soiléir ach an oiread. Dhealródh sé dá airde an leibhéal cosanta, is amhlaidh is fearr. Ach ní mór duit é sin a mheas freisin

  • Dá mhéad feidhmeanna balla dóiteáin thuas a úsáideann tú, is amhlaidh is costasaí a bheidh sé go nádúrtha (ceadúnais, modúil bhreise)
  • is féidir le húsáid roinnt halgartaim tréchur balla dóiteáin a laghdú go suntasach agus moilleanna a mhéadú freisin, féach mar shampla anseo
  • cosúil le haon réiteach casta, is féidir le húsáid modhanna casta cosanta iontaofacht do réitigh a laghdú, mar shampla, nuair a bhí ballaí dóiteáin feidhmchlár á n-úsáid agam, tháinig mé ar bhlocáil roinnt feidhmchlár oibre a bhí sách caighdeánach (dns, smb)

Mar is gnáth, ní mór duit teacht ar an réiteach is fearr do do líonra.

Ní féidir an cheist a fhreagairt go cinntitheach faoi na feidhmeanna cosanta a d’fhéadfadh a bheith ag teastáil. Ar an gcéad dul síos, toisc go mbraitheann sé ar ndóigh ar na sonraí atá á dtarchur nó á stóráil agat agus ag iarraidh a chosaint. Ar an dara dul síos, i ndáiríre, is minic a bhíonn rogha na n-uirlisí slándála ina ábhar creideamh agus muinín sa díoltóir. Níl a fhios agat na halgartaim, níl a fhios agat cé chomh héifeachtach agus atá siad, agus ní féidir leat iad a thástáil go hiomlán.

Mar sin, i ndeighleoga ríthábhachtacha, b'fhéidir gur réiteach maith é tairiscintí ó chuideachtaí éagsúla a úsáid. Mar shampla, is féidir leat antivirus a chumasú ar an mballa dóiteáin, ach freisin cosaint frithvíreas (ó mhonaróir eile) a úsáid go háitiúil ar na hóstach.

Deighilt

Táimid ag caint faoi dheighilt loighciúil líonra na n-ionad sonraí. Mar shampla, is deighilt loighciúil é deighilt isteach i VLANanna agus subnets freisin, ach ní mheasfaimid é mar gheall ar a soiléire. Deighilt suimiúil ag cur san áireamh eintitis ar nós criosanna slándála FW, VRFanna (agus a n-analógacha i ndáil le díoltóirí éagsúla), feistí loighciúil (PA VSYS, Cisco N7K VDC, Cisco ACI Tionónta, ...), ...

Tugtar sampla de dheighilt loighciúil den sórt sin agus dearadh lárionad sonraí a bhfuil éileamh air faoi láthair in p002 de thionscadal PSEFABRIC.

Tar éis duit na codanna loighciúla de do líonra a shainiú, is féidir leat cur síos a dhéanamh ansin ar an mbealach a ghluaiseann an trácht idir deighleoga éagsúla, ar na feistí a dhéanfar scagadh agus cad iad na modhanna.

Mura bhfuil críochdheighilt shoiléir loighciúil ag do líonra agus nach bhfuil na rialacha maidir le cur i bhfeidhm na mbeartas slándála ar shreabha éagsúla sonraí foirmiúil, ciallaíonn sé seo nuair a osclaíonn tú é seo nó an rochtain sin, go gcuirtear iallach ort an fhadhb seo a réiteach, agus go bhfuil dóchúlacht ard agat. Beidh sé a réiteach gach uair difriúil.

Go minic ní bhíonn deighilt bunaithe ach ar chriosanna slándála FW. Ansin caithfidh tú na ceisteanna seo a leanas a fhreagairt:

  • cad iad na criosanna slándála atá uait
  • cén leibhéal cosanta ar mhaith leat a chur i bhfeidhm ar gach ceann de na criosanna seo
  • an gceadófar trácht laistigh den chrios de réir réamhshocraithe?
  • mura bhfuil, cad iad na polasaithe scagtha tráchta a chuirfear i bhfeidhm laistigh de gach crios
  • cad iad na beartais scagacháin tráchta a chuirfear i bhfeidhm do gach péire crios (foinse/ceann scríbe)

TCAM

Fadhb choitianta is ea TCAM (Cuimhne Trínártha Inseolta Inneachar) do ródú agus do rochtain. IMHO, tá sé seo ar cheann de na saincheisteanna is tábhachtaí nuair a roghnú trealamh, mar sin ní mór duit chun déileáil leis an gceist seo leis an leibhéal cuí cúraim.

Sampla 1. Tábla ar Aghaidh TCAM.

déanaimis machnamh Palo Alto 7k balla dóiteáin
Feicimid go bhfuil méid tábla seoltaí IPv4 * = 32K
Ina theannta sin, tá an líon bealaí seo coitianta do gach VSYS.

Glacaimid leis, de réir do dhearadh, go gcinnfidh tú 4 VSYS a úsáid.
Tá gach ceann de na VSYSanna seo ceangailte trí BGP le dhá PE MPLS den scamall a úsáideann tú mar BB. Mar sin, malartaíonn 4 VSYS na bealaí sainiúla go léir lena chéile agus tá tábla cur ar aghaidh acu ina mbeidh na sraitheanna bealaí céanna thart ar (ach NHanna éagsúla). Mar tá 2 sheisiún BGP ag gach VSYS (leis na socruithe céanna), ansin tá 2 NH ag gach bealach a fhaightear trí MPLS agus, dá réir sin, 2 iontráil FIB sa Tábla Ar Aghaidh. Má ghlacaimid leis gurb é seo an t-aon bhalla dóiteáin sa lárionad sonraí agus go gcaithfidh sé a bheith eolach ar na bealaí go léir, ansin ciallóidh sé seo nach féidir le líon iomlán na mbealaí inár lárionad sonraí a bheith níos mó ná 32K/(4 * 2) = 4K.

Anois, má ghlacaimid leis go bhfuil 2 ionad sonraí againn (leis an dearadh céanna), agus ba mhaith linn VLANanna “sínte” a úsáid idir ionaid sonraí (mar shampla, le haghaidh vMotion), ansin chun an fhadhb ródaithe a réiteach, ní mór dúinn bealaí ósta a úsáid. . Ach ciallaíonn sé seo nach mbeidh níos mó ná 2 óstach féideartha againn le haghaidh 4096 ionad sonraí agus, ar ndóigh, b'fhéidir nach leor é seo.

Sampla 2. ACL TCAM.

Má tá sé ar intinn agat trácht a scagadh ar lasca L3 (nó réitigh eile a úsáideann lasca L3, mar shampla, Cisco ACI), ansin nuair a roghnaíonn tú trealamh ba chóir duit aird a thabhairt ar an TCAM ACL.

Cuir i gcás gur mhaith leat rochtain a rialú ar chomhéadain SVI an Cisco Catalyst 4500. Ansin, mar atá le feiceáil ó An t-alt seo, chun trácht atá ag dul as oifig (chomh maith le teacht isteach) ar chomhéadain a rialú, ní féidir leat ach 4096 líne TCAM a úsáid. Cé acu nuair a bheidh tú ag baint úsáide as TCAM3 tabharfaidh tú thart ar 4000 míle ACE (línte ACL).

Má tá tú ag tabhairt aghaidhe ar an bhfadhb TCAM neamhleor, ansin, ar an gcéad dul síos, ar ndóigh, ní mór duit smaoineamh ar an bhféidearthacht leas iomlán a bhaint. Mar sin, i gcás fadhb le méid an Tábla Ar Aghaidh, ní mór duit smaoineamh ar an bhféidearthacht bealaí a chomhiomlánú. I gcás fadhb le méid TCAM le haghaidh rochtana, rochtain iniúchta, bain amach taifid atá as dáta agus forluiteach, agus b'fhéidir athbhreithniú a dhéanamh ar an nós imeachta chun rochtain a oscailt (a phléitear go mion sa chaibidil ar rochtain iniúchta).

Ard Fáil

Is í an cheist: ar cheart dom HA a úsáid le haghaidh ballaí dóiteáin nó dhá bhosca neamhspleácha a shuiteáil “go comhthreomhar” agus, má theipeann ar cheann acu, an trácht tríd an dara ceann?

Is cosúil go bhfuil an freagra soiléir - bain úsáid as HA. Is é an fáth a n-eascraíonn an cheist seo fós ná, ar an drochuair, go bhfuil na céatadáin inrochtaineachta teoiriciúla agus fógraíochta 99 agus roinnt deachúlach i bhfad ó bheith chomh róshásta sin. Is rud casta go loighciúil é HA, agus ar threalamh éagsúla, agus le díoltóirí éagsúla (ní raibh aon eisceachtaí ann), ghlacamar fadhbanna agus bugs agus stadanna seirbhíse.

Má úsáideann tú HA, beidh deis agat nóid aonair a mhúchadh, aistriú eatarthu gan an tseirbhís a stopadh, rud atá tábhachtach, mar shampla, nuair a bhíonn uasghrádú á dhéanamh agat, ach ag an am céanna tá dóchúlacht i bhfad ó nialas agat go bhfuil an dá nóid. Beidh briseadh ag an am céanna, agus freisin go bhfuil an chéad cheann eile nach mbeidh an t-uasghrádú dul chomh réidh mar a geallúintí an díoltóir (is féidir an fhadhb seo a sheachaint má tá an deis agat an t-uasghrádú ar threalamh saotharlainne a thástáil).

Mura n-úsáideann tú HA, ansin ó thaobh teip dhúbailte tá do rioscaí i bhfad níos ísle (toisc go bhfuil 2 bhalla dóiteáin neamhspleácha agat), ach ós rud é ... ní dhéantar seisiúin a shioncronú, ansin gach uair a aistríonn tú idir na ballaí dóiteáin seo caillfidh tú trácht. Is féidir leat, ar ndóigh, úsáid a bhaint as ballaí dóiteáin gan stát, ach ansin cailltear go mór an pointe a bhaineann le balla dóiteáin a úsáid.

Dá bhrí sin, más rud é mar thoradh ar an iniúchadh a fuair tú amach ballaí dóiteáin uaigneach, agus go bhfuil tú ag smaoineamh ar iontaofacht do líonra a mhéadú, ansin HA, ar ndóigh, ar cheann de na réitigh mholta, ach ba cheart duit na míbhuntáistí a bhaineann leis a chur san áireamh freisin. Leis an gcur chuige seo agus, b'fhéidir, go sonrach do do líonra, bheadh ​​réiteach eile níos oiriúnaí.

Inbhainistitheacht

I bprionsabal, baineann HA freisin le hinrialtacht. In ionad 2 bhosca a chumrú ar leithligh agus déileáil leis an bhfadhb a bhaineann leis na cumraíochtaí a choinneáil i gcomhshioncronú, bainistíonn tú iad i bhfad amhail is dá mbeadh gléas amháin agat.

Ach b'fhéidir go bhfuil go leor ionaid sonraí agat agus go leor ballaí dóiteáin, ansin eascraíonn an cheist seo ar leibhéal nua. Agus tá an cheist ní hamháin faoi chumraíocht, ach freisin faoi

  • cumraíochtaí cúltaca
  • nuashonruithe
  • uasghrádú
  • monatóireacht
  • logáil

Agus is féidir é seo go léir a réiteach trí chórais bhainistíochta láraithe.

Mar sin, mar shampla, má tá tú ag baint úsáide as ballaí dóiteáin Palo Alto, ansin Féach ar is réiteach den sórt sin.

Le leanúint.

Foinse: will.com

Add a comment