پرو هوسٽر > بلاگ > انتظاميه > توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو پهريون

توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو پهريون

هي آرٽيڪل مضمونن جي هڪ سيريز ۾ ٽيون آهي "توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي." سيريز ۾ سڀني مضمونن جو مواد ۽ لنڪ ملي سگھن ٿا هتي.

توهان جي نيٽ ورڪ انفراسٽرڪچر جو ڪنٽرول ڪيئن ڪجي. باب ٽيون. نيٽ ورڪ سيڪيورٽي. حصو پهريون

سيڪيورٽي خطرن کي مڪمل طور تي ختم ڪرڻ بابت ڳالهائڻ جو ڪو به مقصد ناهي. اصول ۾، اسان انهن کي صفر تائين گهٽائي نٿا سگهون. اسان کي اهو پڻ سمجهڻ جي ضرورت آهي ته جيئن اسان نيٽ ورڪ کي وڌيڪ ۽ وڌيڪ محفوظ بڻائڻ جي ڪوشش ڪندا آهيون، اسان جا حل وڌيڪ ۽ وڌيڪ قيمتي ٿي رهيا آهن. توهان کي قيمت، پيچيدگي، ۽ سيڪيورٽي جي وچ ۾ واپار بند ڳولڻ جي ضرورت آهي جيڪا توهان جي نيٽ ورڪ لاء احساس پيدا ڪري ٿي.

يقينن، سيڪيورٽي ڊيزائن کي مجموعي طور تي مجموعي فن تعمير ۾ ضم ڪيو ويو آهي ۽ استعمال ٿيل حفاظتي حل نيٽ ورڪ انفراسٽرڪچر جي اسپيبلٽي، اعتبار، انتظام، ... تي اثر انداز ڪن ٿا، جنهن کي پڻ حساب ۾ رکڻ گهرجي.

پر مان توهان کي ياد ڏياران ٿو ته هاڻي اسان نيٽ ورڪ ٺاهڻ جي ڳالهه نه ڪري رهيا آهيون. اسان جي مطابق شروعاتي حالتون اسان اڳ ۾ ئي ڊزائن کي چونڊيو آهي، سامان چونڊيو آهي، ۽ انفراسٽرڪچر ٺاهيو آهي، ۽ هن مرحلي تي، جيڪڏهن ممڪن هجي، اسان کي "رهجي" گهرجي ۽ اڳئين چونڊيل طريقي جي حوالي سان حل ڳولڻ گهرجي.

اسان جو ڪم هاڻي نيٽورڪ سطح تي سيڪيورٽي سان لاڳاپيل خطرن کي سڃاڻڻ ۽ انهن کي مناسب سطح تي گهٽائڻ آهي.

نيٽ ورڪ سيڪيورٽي آڊٽ

جيڪڏهن توهان جي تنظيم ISO 27k عملن تي عمل ڪيو آهي، ته پوءِ سيڪيورٽي آڊٽ ۽ نيٽ ورڪ تبديلين کي هن طريقي جي اندر جي مجموعي عملن ۾ بيحد مناسب ٿيڻ گهرجي. پر اهي معيار اڃا تائين مخصوص حلن جي باري ۾ نه آهن، نه ترتيب جي باري ۾، نه ڊزائن جي باري ۾... نه ڪي واضح صلاحون آهن، نه ڪي معيار جيڪي تفصيل سان بيان ڪن ٿا ته توهان جو نيٽ ورڪ ڪهڙو هجڻ گهرجي، اها آهي هن ڪم جي پيچيدگي ۽ خوبصورتي.

مان ڪيترن ئي ممڪن نيٽ ورڪ سيڪيورٽي آڊٽ کي اجاگر ڪندس:

  • سامان جي ترتيب جي چڪاس (سخت ڪرڻ)
  • سيڪيورٽي ڊيزائن آڊٽ
  • آڊٽ تائين رسائي
  • عمل جي چڪاس

سامان جي ٺاھ جوڙ آڊٽ (سخت ڪرڻ)

اهو لڳي ٿو ته اڪثر ڪيسن ۾ اهو آهي بهترين شروعاتي نقطي آڊيٽنگ ۽ بهتر ڪرڻ لاءِ توهان جي نيٽ ورڪ جي سيڪيورٽي. IMHO، هي Pareto جي قانون جو هڪ سٺو مظاهرو آهي (20٪ ڪوششون 80٪ نتيجو پيدا ڪري ٿو، ۽ باقي 80٪ ڪوشش صرف 20٪ نتيجو پيدا ڪري ٿو).

هيٺئين لائن اها آهي ته اسان وٽ عام طور تي وينڊرز کان سفارشون هونديون آهن "بهترين عملن" جي حوالي سان سيڪيورٽي لاءِ جڏهن سامان ترتيب ڏيو. اهو "سختي" سڏيو ويندو آهي.

توهان انهن سفارشن جي بنياد تي هڪ سوالنامو پڻ ڳولي سگهو ٿا (يا پنهنجو پاڻ ٺاهيو)، جيڪو توهان کي اهو طئي ڪرڻ ۾ مدد ڏيندو ته توهان جي سامان جي ترتيب ڪيتري حد تائين انهن ”بهترين عملن“ سان مطابقت رکي ٿي ۽، نتيجي جي مطابق، توهان جي نيٽ ورڪ ۾ تبديليون آڻيو. . اهو توهان کي اجازت ڏيندو ته حفاظتي خطرن کي خاص طور تي گھٽائڻ آساني سان، عملي طور تي بغير ڪنهن قيمت جي.

ڪجھ سسڪو آپريٽنگ سسٽم لاءِ ڪيترائي مثال.

سسڪو IOS ڪنفيگريشن سخت
سسڪو IOS-XR ڪنفيگريشن سخت
سسڪو NX-OS ڪنفيگريشن سخت
سسکو بيس لائين سيڪيورٽي چيڪ لسٽ

انهن دستاويزن جي بنياد تي، هر قسم جي سامان لاء ترتيب جي گهرج جي هڪ فهرست ٺاهي سگهجي ٿي. مثال طور، هڪ Cisco N7K VDC لاءِ اهي ضرورتون نظر اچن ٿيون پوء.

هن طريقي سان، توهان جي نيٽ ورڪ جي بنيادي ڍانچي ۾ مختلف قسم جي فعال سامان لاء ترتيب واري فائلون ٺاهي سگھجن ٿيون. اڳيون، دستي طور تي يا آٽوميشن استعمال ڪندي، توھان ڪري سگھو ٿا ”اپلوڊ“ ھي ٺاھ جوڙ فائلون. هن عمل کي ڪيئن خودڪار ڪرڻ جي باري ۾ تفصيل سان بحث ڪيو ويندو آرٽيڪل جي هڪ ٻئي سيريز ۾ آرڪيسٽريشن ۽ آٽوميشن.

سيڪيورٽي ڊيزائن آڊٽ

عام طور تي، هڪ انٽرنيشنل نيٽ ورڪ هڪ فارم يا ٻئي ۾ هيٺين حصن تي مشتمل آهي:

  • ڊي سي (عوامي خدمتون DMZ ۽ انٽرنيٽ ڊيٽا سينٽر)
  • انٽرنيٽ رسائي
  • ريموٽ رسائي VPN
  • وان کنڊ
  • شاخ
  • ڪيمپس (آفيس)
  • بنيادي

کان ورتل عنوان Cisco SAFE ماڊل، پر اهو ضروري ناهي، يقينا، انهن نالن ۽ هن نموني سان صحيح طور تي ڳنڍيل هجي. اڃان تائين، مان مضمون جي باري ۾ ڳالهائڻ چاهيان ٿو ۽ رسم الخط ۾ ڦاسي نه وڃان.

انهن حصن مان هر هڪ لاء، سيڪيورٽي گهرجن، خطرن ۽، مطابق، حل مختلف هوندا.

اچو ته انهن مان هر هڪ کي الڳ الڳ مسئلن لاءِ ڏسون جيڪي توهان کي سيڪيورٽي ڊيزائن جي نقطي نظر کان منهن ڏئي سگھن ٿا. يقينن، مان ٻيهر ورجائي ٿو ته هي مضمون ڪنهن به طريقي سان مڪمل نه آهي، جنهن کي حاصل ڪرڻ آسان نه آهي (جيڪڏهن ناممڪن نه هجي) هن واقعي تمام گهڻي ۽ گھڻائي واري موضوع ۾، پر اهو منهنجي ذاتي تجربو کي ظاهر ڪري ٿو.

ڪو به ڀرپور حل نه آهي (گهٽ ۾ گهٽ اڃا تائين نه). اهو هميشه هڪ سمجهوتو آهي. پر اهو ضروري آهي ته هڪ طريقو يا ٻيو استعمال ڪرڻ جو فيصلو شعوري طور ڪيو وڃي، ان جي نفعو ۽ نقصان ٻنهي کي سمجهڻ سان.

ڊيٽا جو مرڪز

حفاظت جي نقطي نظر کان سڀ کان وڌيڪ نازڪ حصو.
۽، هميشه وانگر، هتي ڪو به عالمگير حل ناهي. اهو سڀ ڪجهه منحصر آهي نيٽ ورڪ جي گهرج تي.

فائر وال ضروري آهي يا نه؟

اهو لڳي ٿو ته جواب واضح آهي، پر هر شيء بلڪل واضح ناهي جيئن اهو لڳي سگهي ٿو. ۽ توهان جي پسند کي متاثر ڪري سگهجي ٿو نه رڳو قيمت.

مثال 1. دير.

جيڪڏهن گهٽ ويڪرائي ڪجهه نيٽ ورڪ حصن جي وچ ۾ هڪ لازمي گهربل آهي، جيڪا مثال طور، بدلي جي صورت ۾ صحيح آهي، پوء اسان انهن حصن جي وچ ۾ فائر وال استعمال ڪرڻ جي قابل نه هوندا. فائر والز ۾ دير جي باري ۾ مطالعو ڳولڻ ڏکيو آهي، پر ڪجھ سوئچ ماڊل 1 mksec کان گھٽ يا آرڊر تي ويڪرائي فراهم ڪري سگھن ٿا، تنهنڪري مان سمجهان ٿو ته جيڪڏهن مائڪرو سيڪنڊ توهان لاءِ اهم آهن، ته پوءِ فائر والز توهان لاءِ نه آهن.

مثال 2. ڪارڪردگي

مٿين L3 سوئچز جو انٽرپٽ عام طور تي طاقتور فائر والز جي انپٽ کان وڌيڪ مقدار جو آرڊر هوندو آهي. تنهن ڪري، تيز-شدت واري ٽرئفڪ جي صورت ۾، توهان کي به گهڻو ڪري هن ٽرئفڪ کي فائر والز کي نظرانداز ڪرڻ جي اجازت ڏيڻي پوندي.

مثال 3. اعتبار

فائر وال، خاص طور تي جديد NGFW (Next-generation FW) پيچيده ڊوائيسز آهن. اهي L3/L2 سوئچز کان وڌيڪ پيچيده آهن. اهي خدمتون ۽ ترتيب جي اختيارن جو هڪ وڏو تعداد مهيا ڪن ٿا، تنهنڪري اهو تعجب ناهي ته انهن جي اعتبار تمام گهٽ آهي. جيڪڏهن خدمت جو تسلسل نيٽ ورڪ لاءِ نازڪ آهي، ته پوءِ توهان کي اهو چونڊڻو پوندو ته بهتر دستيابي جو سبب ڇا ٿيندو - فائر وال سان سيڪيورٽي يا هڪ نيٽ ورڪ جي سادگي جيڪا سوئچز (يا مختلف قسم جا ڪپڙا) تي ٺاهيل آهي باقاعده ACLs استعمال ڪندي.

مٿين مثالن جي صورت ۾، توهان کي گهڻو ڪري (هميشه وانگر) هڪ سمجھوتو ڳولڻو پوندو. هيٺ ڏنل حلن کي ڏسو:

  • جيڪڏهن توهان ڊيٽا سينٽر اندر فائر والز استعمال نه ڪرڻ جو فيصلو ڪيو ٿا، ته پوءِ توهان کي سوچڻ جي ضرورت آهي ته ڪيئن ممڪن حد تائين پردي جي چوڌاري پهچ کي محدود ڪجي. مثال طور، توهان انٽرنيٽ تان صرف ضروري بندرگاهن (ڪلائنٽ ٽريفڪ لاءِ) ۽ انتظامي رسائي صرف جمپ هوسٽس مان ڊيٽا سينٽر تائين کولائي سگهو ٿا. جمپ ميزبان تي، سڀني ضروري چيڪن کي انجام ڏيو (تصديق / اختيار، اينٽي وائرس، لاگنگ، ...)
  • توھان استعمال ڪري سگھوٿا ڊيٽا سينٽر نيٽ ورڪ جي منطقي ورهاڱي کي حصن ۾، ساڳي طرح PSEFABRIC ۾ بيان ڪيل اسڪيم مثال p002. انهي صورت ۾، روٽنگ کي اهڙي طرح ترتيب ڏيڻ گهرجي ته دير سان حساس يا تيز شدت واري ٽرئفڪ هڪ حصي ۾ "اندر" وڃي ٿي (p002، VRF جي صورت ۾) ۽ فائر وال جي ذريعي نه وڃي. مختلف حصن جي وچ ۾ ٽريفڪ فائر وال ذريعي جاري رهندي. توھان پڻ استعمال ڪري سگھوٿا وي آر ايف جي وچ ۾ لڪائڻ واري رستي کي فائر وال ذريعي ٽريفڪ کي ريٽائر ڪرڻ کان بچڻ لاءِ
  • توهان پڻ استعمال ڪري سگهو ٿا فائر وال شفاف موڊ ۾ ۽ صرف انهن VLANs لاءِ جتي اهي عنصر (ويڪرائي/ڪارڪردگي) اهم نه آهن. پر توهان کي هر وينڊر لاءِ هن موڊ جي استعمال سان لاڳاپيل پابندين جو احتياط سان مطالعو ڪرڻ جي ضرورت آهي
  • توھان شايد غور ڪرڻ چاھيو ٿا خدمت زنجير فن تعمير. اهو صرف ضروري ٽرئفڪ کي فائر وال ذريعي گذرڻ جي اجازت ڏيندو. نظريي ۾ سٺي لڳندي آهي، پر مون ڪڏهن به هن حل کي پيداوار ۾ نه ڏٺو آهي. اسان اٽڪل 5 سال اڳ Cisco ACI/Juniper SRX/F3 LTM لاءِ سروس چين کي آزمايو، پر ان وقت اهو حل اسان کي ”خامو“ لڳي رهيو هو.

تحفظ جي سطح

هاڻي توهان کي ان سوال جو جواب ڏيڻو پوندو ته توهان ٽرئفڪ کي فلٽر ڪرڻ لاءِ ڪهڙا اوزار استعمال ڪرڻ چاهيو ٿا. هتي ڪجھ خاصيتون آهن جيڪي عام طور تي NGFW ۾ موجود آهن (مثال طور، هتي):

  • رياستي فائر والنگ (ڊفالٽ)
  • ايپليڪيشن فائر والنگ
  • خطري جي روڪٿام (اينٽي وائرس، اينٽي اسپائي ويئر، ۽ ڪمزوري)
  • URL فلٽرنگ
  • ڊيٽا فلٽرنگ (مواد فلٽرنگ)
  • فائل بلاڪنگ (فائل جا قسم بلاڪنگ)
  • dos تحفظ

۽ نه ته سڀ ڪجهه واضح آهي. اهو لڳي ٿو ته تحفظ جي اعلي سطح، بهتر. پر توهان کي پڻ غور ڪرڻ گهرجي

  • مٿي ڏنل فائر وال جا وڌيڪ افعال جيڪي توهان استعمال ڪندا آهيو، اوترو وڌيڪ قيمتي هوندو قدرتي طور تي (لائسنس، اضافي ماڊلز)
  • ڪجھ الگورتھم جو استعمال خاص طور تي فائر وال جي ذريعي گھٽائي سگھي ٿو ۽ دير وڌائي سگھي ٿو، مثال طور ڏسو هتي
  • ڪنهن به پيچيده حل وانگر، پيچيده تحفظ جي طريقن جو استعمال توهان جي حل جي اعتبار کي گهٽائي سگهي ٿو، مثال طور، جڏهن ايپليڪيشن فائر والنگ استعمال ڪندي، مون کي ڪجهه ڪافي معياري ڪم ڪندڙ ايپليڪيشنن (dns، smb) کي بلاڪ ڪرڻ جو سامنا ٿيو.

هميشه وانگر، توهان کي پنهنجي نيٽ ورڪ لاء بهترين حل ڳولڻ جي ضرورت آهي.

ان سوال جو قطعي جواب ڏيڻ ناممڪن آهي ته ڪهڙن حفاظتي ڪمن جي ضرورت پوندي. پهرين، ڇو ته اهو يقينن ان ڊيٽا تي منحصر آهي جيڪو توهان منتقل ڪري رهيا آهيو يا محفوظ ڪرڻ ۽ بچائڻ جي ڪوشش ڪري رهيا آهيو. ٻيو، حقيقت ۾، اڪثر حفاظتي اوزار جو انتخاب وينڊر تي ايمان ۽ اعتماد جو معاملو آهي. توهان نه ڄاڻندا آهيو الگورتھم، توهان کي خبر ناهي ته اهي ڪيترا اثرائتو آهن، ۽ توهان انهن کي مڪمل طور تي جانچ نه ٿا ڪري سگهو.

تنهن ڪري، نازڪ حصن ۾، هڪ سٺو حل ٿي سگهي ٿو مختلف ڪمپنين کان آڇون استعمال ڪرڻ لاء. مثال طور، توهان فائر وال تي اينٽي وائرس کي فعال ڪري سگهو ٿا، پر مقامي طور تي ميزبان تي اينٽي وائرس تحفظ (ٻي ٺاهيندڙ کان) پڻ استعمال ڪريو.

ڀاڱو ڪرڻ

اسان ڊيٽا سينٽر نيٽ ورڪ جي منطقي ڀاڱي جي باري ۾ ڳالهائي رهيا آهيون. مثال طور، VLANs ۽ subnets ۾ ورهاڱي پڻ منطقي ڀاڱيداري آهي، پر اسان ان جي واضع هجڻ جي ڪري ان تي غور نه ڪنداسين. دلچسپ ڀاڱيداريون اڪائونٽ ۾ رکندي اهڙين ادارن جهڙوڪ FW سيڪيورٽي زونز، VRFs (۽ مختلف وينڊرز جي حوالي سان انهن جا اينالاگ)، منطقي ڊوائيسز (PA VSYS، Cisco N7K VDC، Cisco ACI Tenant، ...)، ...

اهڙي منطقي ورهاست جو هڪ مثال ۽ موجوده وقت ۾ گهربل ڊيٽا سينٽر ڊيزائن ۾ ڏنل آهي PSEFABRIC منصوبي جو p002.

توھان جي نيٽ ورڪ جي منطقي حصن کي بيان ڪرڻ کان پوء، توھان بيان ڪري سگھو ٿا ته ٽرئفڪ مختلف حصن جي وچ ۾ ڪيئن ھلندي آھي، ڪھڙي ڊوائيس تي فلٽرنگ ڪئي ويندي ۽ ڪھڙي ذريعي.

جيڪڏهن توهان جي نيٽ ورڪ ۾ واضح منطقي ورهاڱي نه آهي ۽ مختلف ڊيٽا جي وهڪري لاء سيڪيورٽي پاليسين لاڳو ڪرڻ جا ضابطا رسمي نه آهن، ان جو مطلب اهو آهي ته جڏهن توهان هن يا انهي رسائي کي کوليو ٿا، توهان کي اهو مسئلو حل ڪرڻ تي مجبور ڪيو ويندو، ۽ وڏي امڪان سان توهان ان کي هر وقت مختلف طريقي سان حل ڪندو.

اڪثر ڀاڱيداري صرف FW سيڪيورٽي زونن تي ٻڌل آهي. پوء توھان ھيٺ ڏنل سوالن جا جواب ڏيڻ جي ضرورت آھي:

  • توهان کي ڪهڙي سيڪيورٽي زون جي ضرورت آهي
  • توهان انهن علائقن مان هر هڪ تي ڪهڙي سطح جي تحفظ کي لاڳو ڪرڻ چاهيو ٿا
  • ڇا انٽرا زون ٽرئفڪ کي ڊفالٽ طور اجازت ڏني ويندي؟
  • جيڪڏهن نه، ته هر زون ۾ ڪهڙيون ٽريفڪ فلٽرنگ پاليسيون لاڳو ٿينديون
  • ڪهڙيون ٽرئفڪ فلٽرنگ پاليسيون لاڳو ٿينديون هر هڪ زون لاءِ (ذريعو/منزل)

TCAM

هڪ عام مسئلو آهي ناکافي TCAM (Ternary Content Addressable Memory)، ٻئي روٽنگ ۽ رسائي لاءِ. IMHO، اهو سڀ کان اهم مسئلن مان هڪ آهي جڏهن سامان چونڊيو، تنهنڪري توهان کي هن مسئلي کي مناسب درجي جي سنڀال سان علاج ڪرڻ جي ضرورت آهي.

مثال 1. فارورڊنگ ٽيبل TCAM.

اچو ته غور ڪريون پالو آلٽو 7k فائر وال
اسان ڏسون ٿا ته IPv4 فارورڊنگ ٽيبل سائيز * = 32K
ان کان علاوه، رستن جو هي تعداد سڀني VSYSs لاء عام آهي.

اچو ته فرض ڪريو ته توهان جي ڊيزائن جي مطابق توهان 4 VSYS استعمال ڪرڻ جو فيصلو ڪيو.
انهن مان هر هڪ VSYSs BGP ذريعي ڪلائوڊ جي ٻن MPLS PEs سان ڳنڍيل آهي جيڪي توهان BB طور استعمال ڪندا آهيو. اهڙيء طرح، 4 VSYS سڀني مخصوص رستن کي هڪ ٻئي سان مٽائي ٿو ۽ هڪ فارورڊنگ ٽيبل آهي تقريبن ساڳئي سيٽن جي رستن سان (پر مختلف NHs). ڇاڪاڻ ته هر VSYS وٽ 2 BGP سيشن آهن (ساڳي سيٽنگن سان)، پوءِ MPLS ذريعي حاصل ڪيل هر رستي ۾ 2 NH آهن ۽، مطابق، فارورڊنگ ٽيبل ۾ 2 FIB داخلائون. جيڪڏهن اسان فرض ڪريون ٿا ته اها ڊيٽا سينٽر ۾ واحد فائر وال آهي ۽ ان کي سڀني رستن جي باري ۾ ڄاڻڻ گهرجي، پوء ان جو مطلب اهو ٿيندو ته اسان جي ڊيٽا سينٽر ۾ رستن جو ڪل تعداد 32K / (4 * 2) = 4K کان وڌيڪ نه ٿي سگهي.

هاڻي، جيڪڏهن اسان فرض ڪريون ٿا ته اسان وٽ 2 ڊيٽا سينٽر آهن (ساڳئي ڊيزائن سان)، ۽ اسان ڊيٽا سينٽرن جي وچ ۾ VLANs "وڌيڪ" استعمال ڪرڻ چاهيون ٿا (مثال طور، vMotion لاءِ)، پوءِ روٽنگ جي مسئلي کي حل ڪرڻ لاءِ، اسان کي استعمال ڪرڻ گهرجن ميزبان رستا. . پر هن جو مطلب اهو آهي ته 2 ڊيٽا سينٽرن لاءِ اسان وٽ 4096 ممڪن ميزبانن کان وڌيڪ نه هوندا ۽ يقيناً اهو ڪافي نه هوندو.

مثال 2. ACL TCAM.

جيڪڏهن توهان L3 سوئچز تي ٽرئفڪ کي فلٽر ڪرڻ جو ارادو ڪيو (يا ٻيا حل جيڪي استعمال ڪن ٿا L3 سوئچز، مثال طور، Cisco ACI)، پوء جڏهن سامان چونڊيو توهان کي ڌيان ڏيڻ گهرجي TCAM ACL.

فرض ڪريو ته توهان Cisco Catalyst 4500 جي SVI انٽرفيس تي رسائي کي ڪنٽرول ڪرڻ چاهيو ٿا. پوءِ جيئن ڏسي سگهجي ٿو. هي آرٽيڪل, انٽرفيس تي نڪرڻ واري (۽ گڏوگڏ ايندڙ) ٽرئفڪ کي ڪنٽرول ڪرڻ لاء، توهان صرف 4096 TCAM لائين استعمال ڪري سگهو ٿا. جيڪو TCAM3 استعمال ڪندي توهان کي اٽڪل 4000 هزار ACEs (ACL لائينون) ڏيندو.

جيڪڏهن توهان کي ڪافي TCAM جي مسئلي سان منهن ڏيڻو آهي، ته پوء، سڀ کان پهريان، يقينا، توهان کي بهتر ڪرڻ جي امڪان تي غور ڪرڻ جي ضرورت آهي. تنهن ڪري، فارورڊنگ ٽيبل جي سائيز سان مسئلو جي صورت ۾، توهان کي مجموعي رستن جي امڪان تي غور ڪرڻ جي ضرورت آهي. رسائي لاءِ TCAM سائيز سان مسئلو جي صورت ۾، آڊٽ رسائي، پراڻي ۽ اوورليپنگ رڪارڊز کي هٽائڻ، ۽ ممڪن طور تي رسائي کي کولڻ جي طريقيڪار تي نظرثاني ڪريو (آڊيٽنگ رسائي تي باب ۾ تفصيل سان بحث ڪيو ويندو).

هاء

سوال اهو آهي ته: ڇا مان فائر والز لاءِ HA استعمال ڪريان يا ٻه آزاد باڪس انسٽال ڪريان “متوازي” ۽، جيڪڏهن انهن مان هڪ ناڪام ٿئي ته ٻئي ذريعي ٽرئفڪ کي روٽ ڪجي؟

اهو لڳي ٿو ته جواب واضح آهي - HA استعمال ڪريو. ان جو سبب اهو آهي ته اهو سوال اڃا به اڀري ٿو ته، بدقسمتي سان، نظرياتي ۽ اشتهارن جي 99 ۽ عملي طور تي رسائي جي ڪيترن ئي ڏهائي سيڪڙو تمام گهڻو گلابي کان پري آهي. HA منطقي طور تي ڪافي پيچيده شيءِ آھي، ۽ مختلف سامان تي، ۽ مختلف وينڊرز سان (ڪوبه استثنا نه ھو)، اسان مسئلا ۽ ڪيڙا پڪڙيا ۽ سروس اسٽاپ.

جيڪڏهن توهان HA استعمال ڪريو ٿا، توهان کي موقعو هوندو ته انفرادي نوڊس کي بند ڪريو، انهن جي وچ ۾ سوئچ ڪرڻ کان سواءِ خدمت کي روڪيو، جيڪو اهم آهي، مثال طور، جڏهن اپ گريڊ ڪري رهيا آهيو، پر ساڳئي وقت توهان وٽ صفر امڪان کان پري آهي ته ٻنهي نوڊس. ساڳئي وقت ٽوڙي ڇڏيندو، ۽ اهو پڻ ته ايندڙ اپ گريڊ بلڪل آسان نه ٿيندو جيئن وينڊر واعدو ڪيو (اهو مسئلو بچي سگهجي ٿو جيڪڏهن توهان کي ليبارٽري سامان تي اپ گريڊ کي جانچڻ جو موقعو آهي).

جيڪڏهن توهان HA استعمال نٿا ڪريو، ته پوءِ ٻٽي ناڪامي جي نقطي نظر کان توهان جا خطرا تمام گهٽ آهن (جيئن ته توهان وٽ 2 آزاد فائر وال آهن)، پر پوءِ ... سيشن کي هم وقت سازي نه ڪئي ويندي آهي، پوءِ هر ڀيري جڏهن توهان انهن فائر والز جي وچ ۾ سوئچ ڪندا ته توهان ٽريفڪ وڃائي ويهندا. توهان ڪري سگهو ٿا، يقينا، رياستي فائر والنگ استعمال ڪريو، پر پوء فائر وال استعمال ڪرڻ جو نقطو گهڻو ڪري گم ٿي ويو آهي.

تنهن ڪري، جيڪڏهن آڊٽ جي نتيجي ۾ توهان اڪيلو فائر والز دريافت ڪيو آهي، ۽ توهان پنهنجي نيٽ ورڪ جي اعتبار کي وڌائڻ بابت سوچي رهيا آهيو، ته پوءِ HA، يقيناً، تجويز ڪيل حلن مان هڪ آهي، پر توهان کي ان سان لاڳاپيل نقصانن جو به خيال رکڻ گهرجي. هن طريقي سان ۽، شايد، خاص طور تي توهان جي نيٽ ورڪ لاء، ٻيو حل وڌيڪ مناسب هوندو.

انتظام ڪرڻ

اصول ۾، HA پڻ ڪنٽرول جي باري ۾ آهي. 2 باڪس الڳ الڳ ترتيب ڏيڻ ۽ ترتيبن کي هم وقت سازي ۾ رکڻ جي مسئلي کي حل ڪرڻ جي بدران، توهان انهن کي ايترو منظم ڪريو جيئن توهان وٽ هڪ ڊوائيس هجي.

پر شايد توهان وٽ ڪيترائي ڊيٽا سينٽر ۽ ڪيترائي فائر وال آهن، پوء اهو سوال هڪ نئين سطح تي پيدا ٿئي ٿو. ۽ سوال نه رڳو ترتيب جي باري ۾ آهي، پر پڻ بابت

  • بيڪ اپ ترتيبون
  • تازه ڪاريون
  • اپ گريڊ
  • نگراني
  • لاگنگ

۽ هي سڀ مرڪزي انتظام نظام جي ذريعي حل ڪري سگهجي ٿو.

تنهن ڪري، مثال طور، جيڪڏهن توهان پولو آلٽو فائر والز استعمال ڪري رهيا آهيو، پوء پينوراما اهڙو حل آهي.

جاري رکڻ لاء

جو ذريعو: www.habr.com

تبصرو شامل ڪريو