මෙම ලිපිය "ඔබේ ජාල යටිතල පහසුකම් පාලනය කරන්නේ කෙසේද" යන ලිපි මාලාවේ තුන්වැන්නයි. ලිපි මාලාවේ සියලුම ලිපිවල අන්තර්ගතය සහ සබැඳි සොයා ගත හැක මෙහි.

ආරක්‍ෂක අවදානම් සම්පූර්ණයෙන් ඉවත් කිරීම ගැන කතා කිරීමෙන් පලක් නැත. ප්‍රතිපත්තිමය වශයෙන්, අපට ඒවා ශුන්‍යයට අඩු කළ නොහැක. ජාලය වඩ වඩාත් ආරක්ෂිත කිරීමට අප වෙහෙසෙන විට අපගේ විසඳුම් එන්න එන්නම මිල අධික වන බව ද අප තේරුම් ගත යුතුය. ඔබේ ජාලය සඳහා අර්ථවත් වන පිරිවැය, සංකීර්ණත්වය සහ ආරක්ෂාව අතර වෙළඳාමක් සොයා ගැනීමට ඔබට අවශ්‍ය වේ.

ඇත්ත වශයෙන්ම, ආරක්ෂක සැලසුම සමස්ත ගෘහ නිර්මාණ ශිල්පයට ඓන්ද්‍රීයව ඒකාබද්ධ කර ඇති අතර භාවිතා කරන ආරක්ෂක විසඳුම් ජාල යටිතල ව්‍යුහයේ පරිමාණය, විශ්වසනීයත්වය, කළමනාකරණය, ... කෙරෙහි බලපාන අතර එය ද සැලකිල්ලට ගත යුතුය.

නමුත් දැන් අපි කතා කරන්නේ ජාලයක් නිර්මාණය කිරීම ගැන නොවන බව මම ඔබට මතක් කරමි. අපගේ අනුව ආරම්භක කොන්දේසි අපි දැනටමත් සැලසුම තෝරාගෙන, උපකරණ තෝරාගෙන, යටිතල පහසුකම් නිර්මාණය කර ඇති අතර, මෙම අදියරේදී, හැකි නම්, අපි කලින් තෝරාගත් ප්රවේශයේ සන්දර්භය තුළ "ජීවත්" සහ විසඳුම් සෙවිය යුතුය.

දැන් අපගේ කාර්යය වන්නේ ජාල මට්ටමින් ආරක්ෂාව හා සම්බන්ධ අවදානම් හඳුනාගෙන ඒවා සාධාරණ මට්ටමකට අඩු කිරීමයි.

ජාල ආරක්ෂණ විගණනය

ඔබේ සංවිධානය ISO 27k ක්‍රියාවලීන් ක්‍රියාත්මක කර ඇත්නම්, ආරක්ෂක විගණන සහ ජාල වෙනස් කිරීම් මෙම ප්‍රවේශය තුළ ඇති සමස්ත ක්‍රියාවලීන්ට බාධාවකින් තොරව ගැලපේ. නමුත් මෙම ප්‍රමිතීන් තවමත් නිශ්චිත විසඳුම් ගැන නොවේ, වින්‍යාස කිරීම ගැන නොවේ, සැලසුම් කිරීම ගැන නොවේ ... පැහැදිලි උපදෙස් නොමැත, ඔබේ ජාලය කෙබඳු විය යුතුද යන්න විස්තරාත්මකව නියම කරන ප්‍රමිතීන් නොමැත, මෙය මෙම කාර්යයේ සංකීර්ණත්වය සහ අලංකාරයයි.

හැකි ජාල ආරක්ෂණ විගණන කිහිපයක් මම ඉස්මතු කරමි:

• උපකරණ වින්‍යාස විගණනය (දැඩි කිරීම)
• ආරක්ෂක සැලසුම් විගණනය
• ප්රවේශ විගණනය
• ක්රියාවලිය විගණනය

උපකරණ වින්‍යාස විගණනය (දැඩි කිරීම)

බොහෝ අවස්ථාවලදී මෙය විගණනය කිරීම සහ ඔබේ ජාලයේ ආරක්ෂාව වැඩිදියුණු කිරීම සඳහා හොඳම ආරම්භක ලක්ෂ්යය බව පෙනේ. IMHO, මෙය පැරේටෝගේ නියමයේ හොඳ නිරූපණයකි (උත්සාහයෙන් 20% ප්‍රතිඵලයෙන් 80% ක් නිපදවයි, ඉතිරි 80% උත්සාහයෙන් ප්‍රතිඵලයෙන් 20% ක් පමණි).

අවසාන කරුණ නම්, උපකරණ වින්‍යාස කිරීමේදී ආරක්ෂාව සඳහා “හොඳම භාවිතයන්” සම්බන්ධයෙන් සාමාන්‍යයෙන් වෙළෙන්දන්ගෙන් අපට නිර්දේශ තිබීමයි. මෙය "දැඩි කිරීම" ලෙස හැඳින්වේ.

මෙම නිර්දේශ මත පදනම්ව ඔබට බොහෝ විට ප්‍රශ්නාවලියක් (හෝ ඔබම නිර්මාණය කර ගන්න) සොයා ගත හැක, එමඟින් ඔබේ උපකරණවල වින්‍යාසය මෙම “හොඳම භාවිතයන්” සමඟ කෙතරම් හොඳින් අනුකූලද යන්න තීරණය කිරීමට සහ ප්‍රති result ලය අනුව ඔබේ ජාලයේ වෙනස්කම් සිදු කිරීමට උපකාරී වේ. . මෙය ඔබට කිසිදු වියදමකින් තොරව ආරක්ෂිත අවදානම් සැලකිය යුතු ලෙස අඩු කිරීමට ඉඩ සලසයි.

සමහර Cisco මෙහෙයුම් පද්ධති සඳහා උදාහරණ කිහිපයක්.

Cisco IOS වින්‍යාසය දැඩි කිරීම
Cisco IOS-XR වින්‍යාසය දැඩි කිරීම
Cisco NX-OS වින්‍යාසය දැඩි කිරීම
Cisco Baseline Security Check List

මෙම ලේඛන මත පදනම්ව, එක් එක් වර්ගයේ උපකරණ සඳහා වින්යාස අවශ්යතා ලැයිස්තුවක් නිර්මාණය කළ හැකිය. උදාහරණයක් ලෙස, Cisco N7K VDC සඳහා මෙම අවශ්‍යතා පෙනෙනු ඇත එසේ.

මේ ආකාරයට, ඔබේ ජාල යටිතල ව්‍යුහයේ විවිධ වර්ගයේ ක්‍රියාකාරී උපකරණ සඳහා වින්‍යාස ගොනු නිර්මාණය කළ හැකිය. ඊළඟට, අතින් හෝ ස්වයංක්රීයකරණය භාවිතයෙන්, ඔබට මෙම වින්යාස ගොනු "උඩුගත" කළ හැකිය. මෙම ක්‍රියාවලිය ස්වයංක්‍රීය කරන්නේ කෙසේද යන්න වාද්‍ය වෘන්දය සහ ස්වයංක්‍රීයකරණය පිළිබඳ තවත් ලිපි මාලාවක විස්තරාත්මකව සාකච්ඡා කෙරේ.

ආරක්ෂක සැලසුම් විගණනය

සාමාන්‍යයෙන්, ව්‍යවසාය ජාලයක එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින් පහත කොටස් අඩංගු වේ:

• DC (රාජ්‍ය සේවා DMZ සහ Intranet දත්ත මධ්‍යස්ථානය)
• අන්තර්ජාල පිවිසුම
• දුරස්ථ ප්රවේශ VPN
• WAN දාරය
• ශාඛාව
• මණ්ඩපය (කාර්යාලය)
• Core

මාතෘකා උපුටා ගන්නා ලදී Cisco SAFE ආකෘතිය, නමුත් ඇත්ත වශයෙන්ම, මෙම නම් සහ මෙම ආකෘතියට නිශ්චිතවම සම්බන්ධ කිරීම අවශ්ය නොවේ. තවමත්, මට අවශ්‍ය වන්නේ සාරය ගැන කතා කිරීමට මිස විධිමත් කටයුතුවලට නොගැලපේ.

මෙම එක් එක් කොටස සඳහා, ආරක්ෂක අවශ්යතා, අවදානම් සහ, ඒ අනුව, විසඳුම් වෙනස් වේ.

ආරක්ෂක සැලසුම් දෘෂ්ටි කෝණයකින් ඔබට මුහුණ දීමට සිදු විය හැකි ගැටළු සඳහා අපි ඒ සෑම එකක්ම වෙන වෙනම බලමු. ඇත්ත වශයෙන්ම, මම නැවත නැවතත් පවසන්නේ මෙම ලිපිය සම්පූර්ණ යැයි මවාපාන්නේ නැත, එය මෙම සැබවින්ම ගැඹුරු සහ බහුවිධ මාතෘකාව තුළ සාක්ෂාත් කර ගැනීම පහසු (නොහැකි නම්) නොවේ, නමුත් එය මගේ පෞද්ගලික අත්දැකීම් පිළිබිඹු කරයි.

පරිපූර්ණ විසඳුමක් නොමැත (අවම වශයෙන් තවමත් නැත). එය සැමවිටම සම්මුතියකි. නමුත් එක් ප්‍රවේශයක් හෝ වෙනත් ප්‍රවේශයක් භාවිතා කිරීමට තීරණය කිරීම එහි වාසි සහ අවාසි යන දෙකම අවබෝධ කර ගනිමින් දැනුවත්ව ගැනීම වැදගත්ය.

දත්ත මධ්යස්ථානය

ආරක්ෂිත දෘෂ්ටි කෝණයකින් වඩාත්ම තීරණාත්මක කොටස.
තවද, සුපුරුදු පරිදි, මෙහි ද විශ්වීය විසඳුමක් නොමැත. ඒ සියල්ල ජාල අවශ්යතා මත දැඩි ලෙස රඳා පවතී.

ගිනි පවුරක් අවශ්‍යද නැද්ද?

පිළිතුර පැහැදිලි බව පෙනේ, නමුත් සෑම දෙයක්ම පෙනෙන තරම් පැහැදිලි නැත. ඔබේ තේරීම පමණක් නොව බලපෑම් කළ හැකිය මිල.

නිදසුනක් 1. ප්රමාදයි.

සමහර ජාල කොටස් අතර අඩු ප්‍රමාදය අත්‍යවශ්‍ය අවශ්‍යතාවයක් නම්, උදාහරණයක් ලෙස, හුවමාරුවකදී සත්‍ය නම්, අපට මෙම කොටස් අතර ෆයර්වෝල් භාවිතා කිරීමට නොහැකි වනු ඇත. ෆයර්වෝල් වල ප්‍රමාදය පිළිබඳ අධ්‍යයනයන් සොයා ගැනීම අපහසුය, නමුත් ස්විච් ආකෘති කිහිපයකට 1 mksec ට වඩා අඩු හෝ අඩු ප්‍රමාදයක් ලබා දිය හැක, එබැවින් මයික්‍රො තත්පර ඔබට වැදගත් නම්, ෆයර්වෝල් ඔබට සුදුසු නොවේ.

නිදසුනක් 2. කාර්ය සාධනය.

ඉහළ L3 ස්විචවල ප්‍රතිදානය සාමාන්‍යයෙන් බලවත්ම ෆයර්වෝලවල ප්‍රතිදානයට වඩා විශාලත්වයේ අනුපිළිවෙලකි. එමනිසා, අධික තීව්‍රතා තදබදයකදී, ඔබට බොහෝ විට මෙම ගමනාගමනයට ෆයර්වෝල් මඟ හැරීමට ඉඩ දීමට සිදුවනු ඇත.

නිදසුනක් 3. විශ්වසනීයත්වය

ෆයර්වෝල්, විශේෂයෙන්ම නවීන NGFW (ඊළඟ පරම්පරාවේ FW) සංකීර්ණ උපාංග වේ. ඒවා L3/L2 ස්විචයන්ට වඩා බෙහෙවින් සංකීර්ණ වේ. ඔවුන් සේවා සහ වින්‍යාස විකල්ප විශාල ප්‍රමාණයක් ලබා දෙයි, එබැවින් ඒවායේ විශ්වසනීයත්වය බෙහෙවින් අඩු වීම පුදුමයක් නොවේ. ජාලයට සේවා අඛණ්ඩතාව ඉතා වැදගත් නම්, ඔබට වඩා හොඳ ලබා ගත හැකි දේ තෝරා ගැනීමට සිදු විය හැකිය - ෆයර්වෝලයක් සහිත ආරක්ෂාව හෝ සාමාන්‍ය ACL භාවිතා කරමින් ස්විච (හෝ විවිධ රෙදි වර්ග) මත ගොඩනගා ඇති ජාලයක සරල බව.

ඉහත උදාහරණ සම්බන්ධයෙන්, ඔබට බොහෝ විට (සාමාන්‍ය පරිදි) සම්මුතියක් සොයා ගැනීමට සිදුවනු ඇත. පහත විසඳුම් දෙස බලන්න:

• දත්ත මධ්‍යස්ථානය තුළ ෆයර්වෝල් භාවිතා නොකිරීමට ඔබ තීරණය කරන්නේ නම්, පරිමිතිය වටා ප්‍රවේශය හැකිතාක් සීමා කරන්නේ කෙසේදැයි ඔබ සිතා බැලිය යුතුය. උදාහරණයක් ලෙස, ඔබට අන්තර්ජාලයෙන් අවශ්‍ය වරායන් පමණක් විවෘත කළ හැකිය (සේවාදායක ගමනාගමනය සඳහා) සහ දත්ත මධ්‍යස්ථානයට පරිපාලන ප්‍රවේශය ජම්ප් සත්කාරක වලින් පමණි. ජම්ප් සත්කාරක මත, අවශ්‍ය සියලුම චෙක්පත් සිදු කරන්න (සත්‍යාපනය/අවසර දීම, ප්‍රති-වයිරස, ලොග් වීම, ...)
• ඔබට PSEFABRIC හි විස්තර කර ඇති යෝජනා ක්‍රමයට සමාන දත්ත මධ්‍යස්ථාන ජාලයේ තාර්කික කොටසක් කොටස් වලට භාවිතා කළ හැක. උදාහරණයක් p002. මෙම අවස්ථාවෙහිදී, ප්‍රමාද-සංවේදී හෝ අධි-තීව්‍රතාවයෙන් යුත් ගමනාගමනය එක් කොටසකට (p002, VRF හි) "ඇතුළට" යන ආකාරයට සහ ෆයර්වෝලය හරහා නොයන ආකාරයට මාර්ගගත කිරීම වින්‍යාසගත කළ යුතුය. විවිධ කොටස් අතර ගමනාගමනය ගිනි පවුර හරහා දිගටම සිදුවනු ඇත. ෆයර්වෝල් හරහා ගමනාගමනය යළි හරවා යැවීම වැළැක්වීම සඳහා ඔබට VRF අතර කාන්දු වන මාර්ගය භාවිතා කළ හැකිය
• ඔබට විනිවිද පෙනෙන ආකාරයෙන් ෆයර්වෝලයක් භාවිතා කළ හැකි අතර මෙම සාධක (ප්‍රමාදය/කාර්ය සාධනය) සැලකිය යුතු නොවන VLAN සඳහා පමණි. නමුත් ඔබ එක් එක් වෙළෙන්දා සඳහා මෙම මාදිලිය භාවිතා කිරීම හා සම්බන්ධ සීමාවන් හොඳින් අධ්‍යයනය කළ යුතුය
• ඔබට සේවා දාම ගෘහ නිර්මාණ ශිල්පයක් භාවිතා කිරීම සලකා බැලීමට අවශ්‍ය විය හැකිය. මෙය අවශ්‍ය ගමනාගමනයට පමණක් ෆයර්වෝලය හරහා යාමට ඉඩ සලසයි. න්‍යායාත්මකව හොඳ පෙනුමක් ඇති නමුත් නිෂ්පාදනයේදී මෙම විසඳුම මම කිසි විටෙකත් දැක නැත. අපි මීට වසර 5 කට පමණ පෙර Cisco ACI/Juniper SRX/F3 LTM සඳහා සේවා දාමය පරීක්ෂා කළ නමුත් එම අවස්ථාවේදී මෙම විසඳුම අපට "බොරළු" ලෙස පෙනුනි.

ආරක්ෂණ මට්ටම

දැන් ඔබට තදබදය පෙරීමට භාවිතා කිරීමට අවශ්‍ය මෙවලම් මොනවාද යන ප්‍රශ්නයට පිළිතුරු දිය යුතුය. NGFW හි සාමාන්‍යයෙන් පවතින විශේෂාංග කිහිපයක් මෙන්න (උදාහරණයක් ලෙස, මෙහි):

• රාජ්ය ෆයර්වෝලින් (පෙරනිමි)
• යෙදුම් ෆයර්වෝලින්
• තර්ජන වැළැක්වීම (ප්‍රති-වයිරස, ප්‍රති-ඔත්තු මෘදුකාංග සහ අවදානම්)
• URL පෙරීම
• දත්ත පෙරීම (අන්තර්ගත පෙරහන)
• ගොනු අවහිර කිරීම (ගොනු වර්ග අවහිර කිරීම)
• dos ආරක්ෂාව

තවද සෑම දෙයක්ම පැහැදිලි නැත. ආරක්ෂාව ඉහළ මට්ටමක පවතින තරමට වඩා හොඳ බව පෙනේ. නමුත් ඔබ එයද සලකා බැලිය යුතුය

• ඔබ භාවිතා කරන ඉහත ෆයර්වෝල් ක්‍රියාකාරකම් වැඩි වන තරමට එය ස්වභාවිකව මිල අධික වනු ඇත (බලපත්‍ර, අතිරේක මොඩියුල)
• සමහර ඇල්ගොරිතම භාවිතා කිරීමෙන් ෆයර්වෝල් ප්‍රතිදානය සැලකිය යුතු ලෙස අඩු කළ හැකි අතර ප්‍රමාද වැඩි කරයි, උදාහරණයක් ලෙස බලන්න මෙහි
• ඕනෑම සංකීර්ණ විසඳුමක් මෙන්, සංකීර්ණ ආරක්ෂණ ක්‍රම භාවිතා කිරීමෙන් ඔබේ විසඳුමේ විශ්වසනීයත්වය අඩු කළ හැකිය, උදාහරණයක් ලෙස, යෙදුම් ෆයර්වෝල් කිරීම භාවිතා කරන විට, තරමක් සම්මත ක්‍රියාකාරී යෙදුම් (dns, smb) අවහිර කිරීම මට හමු විය.

සෑම විටම මෙන්, ඔබ ඔබේ ජාලය සඳහා හොඳම විසඳුම සොයා ගත යුතුය.

කුමන ආරක්ෂණ කාර්යයන් අවශ්‍ය විය හැකිද යන ප්‍රශ්නයට නිශ්චිතවම පිළිතුරු දිය නොහැක. පළමුව, එය ඇත්ත වශයෙන්ම රඳා පවතින්නේ ඔබ සම්ප්‍රේෂණය කරන හෝ ගබඩා කරන සහ ආරක්ෂා කිරීමට උත්සාහ කරන දත්ත මත ය. දෙවනුව, යථාර්ථයේ දී, බොහෝ විට ආරක්ෂක මෙවලම් තෝරාගැනීම වෙළෙන්දා කෙරෙහි විශ්වාසය හා විශ්වාසය පිළිබඳ කාරණයකි. ඔබ ඇල්ගොරිතම නොදන්නා අතර, ඒවා කොතරම් ඵලදායීදැයි ඔබ නොදන්නා අතර ඔබට ඒවා සම්පූර්ණයෙන්ම පරීක්ෂා කළ නොහැක.

එබැවින්, තීරණාත්මක කොටස් වලදී, හොඳ විසඳුමක් වන්නේ විවිධ සමාගම්වල දීමනා භාවිතා කිරීමයි. උදාහරණයක් ලෙස, ඔබට ෆයර්වෝලයේ ප්‍රති-වයිරස සක්‍රීය කළ හැකිය, නමුත් දේශීයව ධාරකවල ප්‍රති-වයිරස ආරක්ෂාව (වෙනත් නිෂ්පාදකයෙකුගෙන්) භාවිතා කළ හැකිය.

ඛණ්ඩනය

අපි කතා කරන්නේ දත්ත මධ්‍යස්ථාන ජාලයේ තාර්කික ඛණ්ඩනය ගැන ය. උදාහරණයක් ලෙස, VLANs සහ subnets වලට කොටස් කිරීම ද තාර්කික ඛණ්ඩනයකි, නමුත් එහි පැහැදිලි බව නිසා අපි එය සලකා බලන්නේ නැත. FW ආරක්ෂක කලාප, VRFs (සහ විවිධ වෙළෙන්දන් සම්බන්ධයෙන් ඔවුන්ගේ ප්‍රතිසමයන්), තාර්කික උපාංග (PA VSYS, Cisco N7K VDC, Cisco ACI කුලී නිවැසියන්, ...), වැනි ආයතන සැලකිල්ලට ගනිමින් සිත්ගන්නාසුලු ඛණ්ඩනය.

එවැනි තාර්කික ඛණ්ඩනයකට උදාහරණයක් සහ දැනට ඉල්ලුමේ පවතින දත්ත මධ්‍යස්ථාන සැලසුම ලබා දී ඇත PSEFABRIC ව්‍යාපෘතියේ p002.

ඔබගේ ජාලයේ තාර්කික කොටස් නිර්වචනය කිරීමෙන් පසුව, ඔබට විවිධ කොටස් අතර ගමනාගමනය ගමන් කරන ආකාරය විස්තර කළ හැකිය, කුමන උපාංග මත පෙරීම සිදු කරන්නේද සහ කුමන ආකාරයෙන්ද යන්න.

ඔබේ ජාලයට පැහැදිලි තාර්කික කොටසක් නොමැති නම් සහ විවිධ දත්ත ප්‍රවාහ සඳහා ආරක්ෂක ප්‍රතිපත්ති යෙදීමේ නීති රීති විධිමත් කර නොමැති නම්, මෙයින් අදහස් කරන්නේ ඔබ මෙම හෝ එම ප්‍රවේශය විවෘත කරන විට, ඔබට මෙම ගැටළුව විසඳීමට බල කෙරෙනු ඇති අතර ඉහළ සම්භාවිතාවකින් ඔබට සෑම අවස්ථාවකදීම එය වෙනස් ලෙස විසඳනු ඇත.

බොහෝ විට ඛණ්ඩනය FW ආරක්ෂක කලාප මත පමණක් පදනම් වේ. එවිට ඔබට පහත ප්‍රශ්නවලට පිළිතුරු සැපයිය යුතුය:

• ඔබට අවශ්ය ආරක්ෂක කලාප මොනවාද?
• ඔබට මෙම එක් එක් කලාපයට යෙදීමට අවශ්‍ය කුමන මට්ටමේ ආරක්ෂාවක්ද?
• පෙරනිමියෙන් කලාප අභ්‍යන්තර ගමනාගමනයට අවසර ලැබේද?
• එසේ නොවේ නම්, එක් එක් කලාපය තුළ කුමන රථවාහන පෙරීමේ ප්‍රතිපත්ති යොදනු ඇත්ද
• එක් එක් කලාප යුගල සඳහා යොදන රථවාහන පෙරීමේ ප්‍රතිපත්ති මොනවාද (මූලාශ්‍රය/ගමනාන්තය)

TCAM

පොදු ගැටළුවක් වන්නේ මාර්ගගත කිරීම සහ ප්‍රවේශයන් සඳහා ප්‍රමාණවත් නොවන TCAM (තෘතීය අන්තර්ගත ආමන්ත්‍රණය කළ හැකි මතකය) ය. IMHO, උපකරණ තෝරාගැනීමේදී මෙය වඩාත් වැදගත් ගැටළු වලින් එකකි, එබැවින් ඔබ මෙම ගැටළුව නිසි සැලකිල්ලෙන් සැලකිය යුතුය.

උදාහරණය 1. TCAM වගුව යොමු කිරීම.

අපි සලකා බලමු Palo Alto 7k ගිනි පවුර
IPv4 යොමු කිරීමේ වගු ප්‍රමාණය* = 32K බව අපට පෙනේ
එපමණක් නොව, සියලුම VSYS සඳහා මෙම මාර්ග ගණන පොදු වේ.

ඔබගේ සැලසුම අනුව ඔබ VSYS 4ක් භාවිතා කිරීමට තීරණය කරයි යැයි සිතමු.
මෙම එක් එක් VSYSs BGP හරහා ඔබ BB ලෙස භාවිතා කරන වලාකුළේ MPLS PE දෙකකට සම්බන්ධ වේ. මේ අනුව, 4 VSYS සියලු නිශ්චිත මාර්ග එකිනෙකා සමඟ හුවමාරු කර ගන්නා අතර ආසන්න වශයෙන් එකම මාර්ග කට්ටල (නමුත් විවිධ NHs) සමඟ ඉදිරියට යැවීමේ වගුවක් ඇත. නිසා සෑම VSYS එකකම BGP සැසි 2ක් (එකම සිටුවම් සහිතව) ඇත, එවිට MPLS හරහා ලැබෙන සෑම මාර්ගයකටම NH 2ක් ඇති අතර, ඒ අනුව, Forwarding Table හි FIB ඇතුළත් කිරීම් 2ක් ඇත. දත්ත මධ්‍යස්ථානයේ ඇති එකම ෆයර්වෝලය මෙය යැයි අපි උපකල්පනය කරන්නේ නම් සහ එය සියලු මාර්ග ගැන දැන සිටිය යුතු නම්, මෙයින් අදහස් කරන්නේ අපගේ දත්ත මධ්‍යස්ථානයේ මුළු මාර්ග ගණන 32K/(4 * 2) = 4K ට වඩා වැඩි නොවිය හැකි බවයි.

දැන්, අප සතුව දත්ත මධ්‍යස්ථාන 2ක් (එකම සැලසුමක් සහිත) ඇතැයි උපකල්පනය කරන්නේ නම් සහ අපට දත්ත මධ්‍යස්ථාන අතර “දිගු කර ඇති” VLAN භාවිතා කිරීමට අවශ්‍ය නම් (උදාහරණයක් ලෙස, vMotion සඳහා), එවිට මාර්ගගත කිරීමේ ගැටලුව විසඳීමට, අපි සත්කාරක මාර්ග භාවිතා කළ යුතුය. . නමුත් මෙයින් අදහස් කරන්නේ දත්ත මධ්‍යස්ථාන 2ක් සඳහා අපට හැකි ධාරක 4096කට වඩා නොමැති බවත් ඇත්ත වශයෙන්ම මෙය ප්‍රමාණවත් නොවන බවත්ය.

උදාහරණ 2. ACL TCAM.

ඔබ L3 ස්විචයන් (හෝ L3 ස්විච භාවිතා කරන වෙනත් විසඳුම්, උදාහරණයක් ලෙස, Cisco ACI) මත තදබදය පෙරීමට අදහස් කරන්නේ නම්, උපකරණ තෝරාගැනීමේදී ඔබ TCAM ACL වෙත අවධානය යොමු කළ යුතුය.

ඔබට Cisco Catalyst 4500 හි SVI අතුරුමුහුණත් වෙත ප්‍රවේශය පාලනය කිරීමට අවශ්‍ය යැයි සිතමු. එවිට, දැකිය හැකි පරිදි මෙම ලිපිය, අතුරුමුහුණත් මත පිටතට යන (මෙන්ම පැමිණෙන) ගමනාගමනය පාලනය කිරීමට, ඔබට භාවිතා කළ හැක්කේ TCAM රේඛා 4096 ක් පමණි. TCAM3 භාවිතා කරන විට ඔබට ACE 4000 දහසක් (ACL රේඛා) ලබා දෙනු ඇත.

ප්‍රමාණවත් නොවන TCAM හි ගැටලුවට ඔබ මුහුණ දෙන්නේ නම්, පළමුව, ඇත්ත වශයෙන්ම, ඔබ ප්‍රශස්තිකරණය කිරීමේ හැකියාව සලකා බැලිය යුතුය. එබැවින්, යොමු කිරීමේ වගුවේ විශාලත්වය පිළිබඳ ගැටළුවක් ඇති විට, මාර්ග එකතු කිරීමේ හැකියාව සලකා බැලිය යුතුය. ප්‍රවේශයන්, විගණන ප්‍රවේශයන් සඳහා TCAM ප්‍රමාණයේ ගැටලුවක් ඇති වුවහොත්, යල් පැන ගිය සහ අතිච්ඡාදනය වන වාර්තා ඉවත් කරන්න, සහ ප්‍රවේශයන් විවෘත කිරීමේ ක්‍රියා පටිපාටිය සංශෝධනය කරන්න (විගණන ප්‍රවේශයන් පිළිබඳ පරිච්ඡේදයේ විස්තරාත්මකව සාකච්ඡා කරනු ඇත).

අධි මිළ ලබාගත හැකිය

ප්රශ්නය වන්නේ: මම ෆයර්වෝල් සඳහා HA භාවිතා කළ යුතුද නැතහොත් ස්වාධීන පෙට්ටි දෙකක් "සමාන්තරව" ස්ථාපනය කළ යුතු අතර, ඉන් එකක් අසමත් වුවහොත්, දෙවනුව ගමනාගමනය ගෙන යා යුතුද?

පිළිතුර පැහැදිලි බව පෙනේ - HA භාවිතා කරන්න. මෙම ප්‍රශ්නය තවමත් පැන නැගීමට හේතුව, අවාසනාවකට මෙන්, න්‍යායික සහ වෙළඳ ප්‍රචාරණ 99 සහ ප්‍රායෝගිකව ප්‍රවේශවීමේ දශම ප්‍රතිශත කිහිපයක් එතරම් රෝස පැහැයෙන් බැහැර වීමයි. HA යනු තාර්කිකව තරමක් සංකීර්ණ දෙයක් වන අතර විවිධ උපකරණ මත සහ විවිධ වෙළෙන්දන් සමඟ (ව්‍යතිරේකයක් නොමැත), අපි ගැටළු සහ දෝෂ සහ සේවා නැවතුම් අල්ලා ගත්තෙමු.

ඔබ HA භාවිතා කරන්නේ නම්, ඔබට තනි නෝඩ් ක්‍රියා විරහිත කිරීමට, සේවාව නතර නොකර ඒවා අතර මාරු වීමට ඔබට අවස්ථාව ලැබේ, එය වැදගත් වේ, උදාහරණයක් ලෙස, වැඩිදියුණු කිරීම් සිදු කිරීමේදී, නමුත් ඒ සමඟම ඔබට නෝඩ් දෙකෙහිම ශුන්‍ය සම්භාවිතාවට වඩා බොහෝ දුරක් ඇත. එම අවස්ථාවේදීම බිඳ වැටෙනු ඇති අතර, ඊළඟ වැඩිදියුණු කිරීම වෙළෙන්දා පොරොන්දු වන පරිදි සුමටව සිදු නොවනු ඇත (රසායනාගාර උපකරණවල වැඩිදියුණු කිරීම පරීක්ෂා කිරීමට ඔබට අවස්ථාව තිබේ නම් මෙම ගැටළුව වළක්වා ගත හැකිය).

ඔබ HA භාවිතා නොකරන්නේ නම්, ද්විත්ව අසාර්ථකත්වයේ දෘෂ්ටි කෝණයෙන් ඔබේ අවදානම බෙහෙවින් අඩුය (ඔබට ස්වාධීන ෆයර්වෝල් 2 ක් ඇති බැවින්), නමුත්... සැසි සමමුහුර්ත කර නැත, එවිට ඔබ මෙම ෆයර්වෝල් අතර මාරු වන සෑම අවස්ථාවකම ඔබට ගමනාගමනය අහිමි වනු ඇත. ඔබට ඇත්ත වශයෙන්ම, අස්ථායී ෆයර්වෝල් භාවිතා කළ හැකිය, නමුත් පසුව ෆයර්වෝලයක් භාවිතා කිරීමේ කාරණය බොහෝ දුරට නැති වී යයි.

එබැවින්, විගණනයේ ප්‍රති result ලයක් ලෙස ඔබ හුදකලා ෆයර්වෝල් සොයාගෙන තිබේ නම් සහ ඔබේ ජාලයේ විශ්වසනීයත්වය වැඩි කිරීම ගැන ඔබ සිතන්නේ නම්, HA, ඇත්ත වශයෙන්ම, නිර්දේශිත විසඳුම් වලින් එකකි, නමුත් ඔබ ඒ හා සම්බන්ධ අවාසි ද සැලකිල්ලට ගත යුතුය. මෙම ප්රවේශය සමඟ සහ, සමහර විට, විශේෂයෙන් ඔබේ ජාලය සඳහා, තවත් විසඳුමක් වඩාත් සුදුසු වනු ඇත.

කළමනාකරණය කිරීමේ හැකියාව

ප්‍රතිපත්තිමය වශයෙන්, HA යනු පාලනය කිරීමේ හැකියාව ද වේ. පෙට්ටි 2 ක් වෙන වෙනම වින්‍යාස කිරීම සහ වින්‍යාසයන් සමමුහුර්තව තබා ගැනීමේ ගැටලුව සමඟ කටයුතු කරනවා වෙනුවට, ඔබ ඒවා එක් උපාංගයක් ඇති ආකාරයට කළමනාකරණය කරයි.

නමුත් සමහර විට ඔබට බොහෝ දත්ත මධ්‍යස්ථාන සහ බොහෝ ෆයර්වෝල් ඇත, එවිට මෙම ප්‍රශ්නය නව මට්ටමකින් පැන නගී. ප්‍රශ්නය වින්‍යාසය ගැන පමණක් නොව, ගැනද වේ

• උපස්ථ සැකසුම්
• යාවත්කාලීන
• වැඩිදියුණු කිරීම්
• අධීක්ෂණය
• ලොග් කිරීම

මධ්‍යගත කළමනාකරණ පද්ධති මගින් මේ සියල්ල විසඳිය හැකිය.

ඉතින්, උදාහරණයක් ලෙස, ඔබ Palo Alto ෆයර්වෝල් භාවිතා කරන්නේ නම්, එසේ නම් දර්ශණයක් එවැනි විසඳුමක් වේ.

දිගටම කරගෙන යාමට.

මූලාශ්රය: www.habr.com