புரோஹோஸ்டர் > Блог > நிர்வாகம் > உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது. அத்தியாயம் மூன்று. பிணைய பாதுகாப்பு. பகுதி ஒன்று

உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது. அத்தியாயம் மூன்று. பிணைய பாதுகாப்பு. பகுதி ஒன்று

இந்தக் கட்டுரை "உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது" என்ற தொடர் கட்டுரைகளில் மூன்றாவது கட்டுரையாகும். தொடரில் உள்ள அனைத்து கட்டுரைகளின் உள்ளடக்கங்கள் மற்றும் இணைப்புகளைக் காணலாம் இங்கே.

உங்கள் நெட்வொர்க் உள்கட்டமைப்பை எவ்வாறு கட்டுப்படுத்துவது. அத்தியாயம் மூன்று. பிணைய பாதுகாப்பு. பகுதி ஒன்று

பாதுகாப்பு அபாயங்களை முற்றிலுமாக நீக்குவது பற்றி பேசுவதில் அர்த்தமில்லை. கொள்கையளவில், அவற்றை பூஜ்ஜியமாகக் குறைக்க முடியாது. நெட்வொர்க்கை மேலும் மேலும் பாதுகாப்பானதாக்க நாம் பாடுபடும்போது, ​​​​எங்கள் தீர்வுகள் மேலும் மேலும் விலை உயர்ந்து வருகின்றன என்பதையும் நாம் புரிந்து கொள்ள வேண்டும். உங்கள் நெட்வொர்க்கிற்கு அர்த்தமுள்ளதாக இருக்கும் செலவு, சிக்கலான தன்மை மற்றும் பாதுகாப்பு ஆகியவற்றுக்கு இடையேயான வர்த்தகத்தை நீங்கள் கண்டுபிடிக்க வேண்டும்.

நிச்சயமாக, பாதுகாப்பு வடிவமைப்பு ஒட்டுமொத்த கட்டமைப்பில் இயல்பாக ஒருங்கிணைக்கப்பட்டுள்ளது மற்றும் பயன்படுத்தப்படும் பாதுகாப்பு தீர்வுகள் நெட்வொர்க் உள்கட்டமைப்பின் அளவிடுதல், நம்பகத்தன்மை, மேலாண்மை, ... ஆகியவற்றை பாதிக்கிறது, இது கணக்கில் எடுத்துக்கொள்ளப்பட வேண்டும்.

ஆனால் இப்போது நாங்கள் ஒரு பிணையத்தை உருவாக்குவது பற்றி பேசவில்லை என்பதை நான் உங்களுக்கு நினைவூட்டுகிறேன். எங்கள் படி ஆரம்ப நிலைமைகள் நாங்கள் ஏற்கனவே வடிவமைப்பைத் தேர்ந்தெடுத்து, உபகரணங்களைத் தேர்ந்தெடுத்து, உள்கட்டமைப்பை உருவாக்கியுள்ளோம், இந்த கட்டத்தில், முடிந்தால், "வாழ வேண்டும்" மற்றும் முன்னர் தேர்ந்தெடுக்கப்பட்ட அணுகுமுறையின் சூழலில் தீர்வுகளைக் கண்டறிய வேண்டும்.

நெட்வொர்க் மட்டத்தில் பாதுகாப்புடன் தொடர்புடைய அபாயங்களைக் கண்டறிந்து அவற்றை நியாயமான நிலைக்குக் குறைப்பதே எங்கள் பணி.

நெட்வொர்க் பாதுகாப்பு தணிக்கை

உங்கள் நிறுவனம் ISO 27k செயல்முறைகளை செயல்படுத்தியிருந்தால், பாதுகாப்பு தணிக்கைகள் மற்றும் நெட்வொர்க் மாற்றங்கள் இந்த அணுகுமுறையில் உள்ள ஒட்டுமொத்த செயல்முறைகளில் தடையின்றி பொருந்த வேண்டும். ஆனால் இந்த தரநிலைகள் இன்னும் குறிப்பிட்ட தீர்வுகளைப் பற்றியது அல்ல, உள்ளமைவைப் பற்றியது அல்ல, வடிவமைப்பைப் பற்றியது அல்ல... தெளிவான ஆலோசனைகள் இல்லை, உங்கள் நெட்வொர்க் எப்படி இருக்க வேண்டும் என்பதை விரிவாகக் கூறும் தரநிலைகள் எதுவும் இல்லை, இதுவே இந்தப் பணியின் சிக்கலான தன்மை மற்றும் அழகு.

சாத்தியமான பல நெட்வொர்க் பாதுகாப்பு தணிக்கைகளை நான் முன்னிலைப்படுத்துவேன்:

  • உபகரணங்கள் கட்டமைப்பு தணிக்கை (கடினப்படுத்துதல்)
  • பாதுகாப்பு வடிவமைப்பு தணிக்கை
  • அணுகல் தணிக்கை
  • செயல்முறை தணிக்கை

உபகரணங்கள் உள்ளமைவு தணிக்கை (கடினப்படுத்துதல்)

பெரும்பாலான சந்தர்ப்பங்களில் இது உங்கள் நெட்வொர்க்கின் பாதுகாப்பை தணிக்கை செய்வதற்கும் மேம்படுத்துவதற்கும் சிறந்த தொடக்க புள்ளியாக உள்ளது. IMHO, இது பரேட்டோ விதியின் ஒரு நல்ல நிரூபணம் (20% முயற்சி 80% முடிவை உருவாக்குகிறது, மீதமுள்ள 80% முயற்சி 20% முடிவை மட்டுமே தருகிறது).

உபகரணங்களை உள்ளமைக்கும் போது பாதுகாப்புக்கான "சிறந்த நடைமுறைகள்" தொடர்பாக விற்பனையாளர்களிடமிருந்து பரிந்துரைகளை நாங்கள் வழக்கமாகக் கொண்டுள்ளோம் என்பதே இதன் முக்கிய அம்சமாகும். இது "கடினப்படுத்துதல்" என்று அழைக்கப்படுகிறது.

இந்த பரிந்துரைகளின் அடிப்படையில் நீங்கள் அடிக்கடி ஒரு கேள்வித்தாளைக் காணலாம் (அல்லது ஒன்றை நீங்களே உருவாக்கலாம்), இது உங்கள் உபகரணங்களின் உள்ளமைவு இந்த "சிறந்த நடைமுறைகளுடன்" எவ்வளவு சிறப்பாக இணங்குகிறது என்பதைத் தீர்மானிக்க உதவும், மேலும் இதன் விளைவாக, உங்கள் நெட்வொர்க்கில் மாற்றங்களைச் செய்யலாம். . இது பாதுகாப்பு அபாயங்களைக் கணிசமாகக் குறைக்க உங்களை அனுமதிக்கும், கிட்டத்தட்ட எந்தச் செலவும் இல்லை.

சில சிஸ்கோ இயக்க முறைமைகளுக்கு பல எடுத்துக்காட்டுகள்.

சிஸ்கோ IOS கட்டமைப்பு கடினப்படுத்துதல்
சிஸ்கோ IOS-XR உள்ளமைவு கடினப்படுத்துதல்
சிஸ்கோ NX-OS கட்டமைப்பு கடினப்படுத்துதல்
சிஸ்கோ அடிப்படை பாதுகாப்பு சரிபார்ப்பு பட்டியல்

இந்த ஆவணங்களின் அடிப்படையில், ஒவ்வொரு வகை உபகரணங்களுக்கும் உள்ளமைவு தேவைகளின் பட்டியலை உருவாக்க முடியும். எடுத்துக்காட்டாக, Cisco N7K VDCக்கு இந்தத் தேவைகள் இப்படித் தோன்றலாம் எனவே.

இந்த வழியில், உங்கள் நெட்வொர்க் உள்கட்டமைப்பில் பல்வேறு வகையான செயலில் உள்ள உபகரணங்களுக்கு உள்ளமைவு கோப்புகளை உருவாக்கலாம். அடுத்து, கைமுறையாக அல்லது ஆட்டோமேஷனைப் பயன்படுத்தி, நீங்கள் இந்த உள்ளமைவு கோப்புகளை "பதிவேற்றலாம்". இந்த செயல்முறையை எவ்வாறு தானியக்கமாக்குவது என்பது ஆர்கெஸ்ட்ரேஷன் மற்றும் ஆட்டோமேஷன் பற்றிய கட்டுரைகளின் மற்றொரு தொடரில் விரிவாக விவாதிக்கப்படும்.

பாதுகாப்பு வடிவமைப்பு தணிக்கை

பொதுவாக, ஒரு நிறுவன நெட்வொர்க் பின்வரும் பிரிவுகளை ஒரு வடிவத்தில் அல்லது மற்றொரு வடிவத்தில் கொண்டுள்ளது:

  • DC (பொது சேவைகள் DMZ மற்றும் இன்ட்ராநெட் தரவு மையம்)
  • இணைய அணுகல்
  • தொலைநிலை அணுகல் VPN
  • WAN விளிம்பு
  • கிளை
  • வளாகம் (அலுவலகம்)
  • கோர்

இதிலிருந்து எடுக்கப்பட்ட தலைப்புகள் சிஸ்கோ பாதுகாப்பானது மாதிரி, ஆனால் இந்த பெயர்கள் மற்றும் இந்த மாதிரியுடன் துல்லியமாக இணைக்கப்பட வேண்டிய அவசியமில்லை. இன்னும், நான் சாராம்சத்தைப் பற்றி பேச விரும்புகிறேன், சம்பிரதாயங்களில் சிக்கிக் கொள்ளவில்லை.

இந்த ஒவ்வொரு பிரிவுக்கும், பாதுகாப்புத் தேவைகள், அபாயங்கள் மற்றும் அதற்கேற்ப, தீர்வுகள் வேறுபட்டதாக இருக்கும்.

பாதுகாப்பு வடிவமைப்புக் கண்ணோட்டத்தில் நீங்கள் சந்திக்கும் சிக்கல்களுக்கு அவை ஒவ்வொன்றையும் தனித்தனியாகப் பார்ப்போம். நிச்சயமாக, நான் மீண்டும் மீண்டும் சொல்கிறேன், இந்த கட்டுரை முழுமையானதாக பாசாங்கு செய்யவில்லை, இது இந்த உண்மையான ஆழமான மற்றும் பன்முகத்தன்மை கொண்ட தலைப்பில் அடைய எளிதானது அல்ல (சாத்தியமற்றது என்றால்), ஆனால் இது எனது தனிப்பட்ட அனுபவத்தை பிரதிபலிக்கிறது.

சரியான தீர்வு இல்லை (குறைந்தது இன்னும் இல்லை). அது எப்போதும் ஒரு சமரசம். ஆனால் ஒரு அணுகுமுறை அல்லது மற்றொரு அணுகுமுறையைப் பயன்படுத்துவதற்கான முடிவு அதன் நன்மை தீமைகள் இரண்டையும் புரிந்துகொண்டு உணர்வுபூர்வமாக எடுக்கப்படுவது முக்கியம்.

தகவல் மையம்

பாதுகாப்புக் கண்ணோட்டத்தில் மிகவும் முக்கியமான பிரிவு.
மேலும், வழக்கம் போல், இங்கே உலகளாவிய தீர்வு எதுவும் இல்லை. இது அனைத்தும் பிணைய தேவைகளைப் பொறுத்தது.

ஃபயர்வால் தேவையா இல்லையா?

பதில் வெளிப்படையானது என்று தோன்றுகிறது, ஆனால் எல்லாம் தோன்றும் அளவுக்கு தெளிவாக இல்லை. உங்கள் தேர்வு மட்டும் பாதிக்கப்படலாம் விலை.

உதாரணம் 1. தாமதங்கள்.

சில பிணையப் பிரிவுகளுக்கு இடையே குறைந்த தாமதம் இன்றியமையாத தேவையாக இருந்தால், எடுத்துக்காட்டாக, பரிமாற்றத்தின் விஷயத்தில் உண்மையாக இருந்தால், இந்த பிரிவுகளுக்கு இடையே ஃபயர்வால்களைப் பயன்படுத்த முடியாது. ஃபயர்வால்களில் தாமதம் பற்றிய ஆய்வுகளைக் கண்டறிவது கடினம், ஆனால் சில சுவிட்ச் மாடல்கள் 1 mksec ஐ விட குறைவான அல்லது வரிசைப்படி தாமதத்தை வழங்க முடியும், எனவே மைக்ரோ செகண்டுகள் உங்களுக்கு முக்கியமானதாக இருந்தால், ஃபயர்வால்கள் உங்களுக்கு ஏற்றவை அல்ல என்று நினைக்கிறேன்.

உதாரணம் 2. செயல்திறன்.

டாப் எல்3 சுவிட்சுகளின் த்ரோபுட் பொதுவாக மிகவும் சக்திவாய்ந்த ஃபயர்வால்களின் த்ரோபுட்டை விட அதிக அளவில் இருக்கும். எனவே, அதிக தீவிரம் கொண்ட போக்குவரத்தின் விஷயத்தில், ஃபயர்வால்களை புறக்கணிக்க இந்த போக்குவரத்தை நீங்கள் பெரும்பாலும் அனுமதிக்க வேண்டியிருக்கும்.

உதாரணம் 3. நம்பகத்தன்மை.

ஃபயர்வால்கள், குறிப்பாக நவீன NGFW (அடுத்த தலைமுறை FW) சிக்கலான சாதனங்கள். அவை L3/L2 சுவிட்சுகளை விட மிகவும் சிக்கலானவை. அவை அதிக எண்ணிக்கையிலான சேவைகள் மற்றும் உள்ளமைவு விருப்பங்களை வழங்குகின்றன, எனவே அவற்றின் நம்பகத்தன்மை மிகவும் குறைவாக இருப்பதில் ஆச்சரியமில்லை. நெட்வொர்க்கிற்கு சேவைத் தொடர்ச்சி முக்கியமானதாக இருந்தால், சிறந்த கிடைக்கும் தன்மையை நீங்கள் தேர்வு செய்ய வேண்டியிருக்கும் - ஃபயர்வாலுடன் கூடிய பாதுகாப்பு அல்லது வழக்கமான ACLகளைப் பயன்படுத்தி சுவிட்சுகளில் (அல்லது பல்வேறு வகையான துணிகள்) கட்டப்பட்ட நெட்வொர்க்கின் எளிமை.

மேலே உள்ள எடுத்துக்காட்டுகளின் விஷயத்தில், நீங்கள் பெரும்பாலும் (வழக்கம் போல்) ஒரு சமரசத்தைக் கண்டுபிடிக்க வேண்டும். பின்வரும் தீர்வுகளைப் பாருங்கள்:

  • தரவு மையத்திற்குள் ஃபயர்வால்களைப் பயன்படுத்த வேண்டாம் என்று நீங்கள் முடிவு செய்தால், முடிந்தவரை சுற்றளவைச் சுற்றியுள்ள அணுகலை எவ்வாறு கட்டுப்படுத்துவது என்பது பற்றி நீங்கள் சிந்திக்க வேண்டும். எடுத்துக்காட்டாக, இணையத்திலிருந்து தேவையான போர்ட்களை மட்டும் திறக்க முடியும் (கிளையன்ட் ட்ராஃபிக்கிற்கு) மற்றும் தரவு மையத்திற்கான நிர்வாக அணுகல் ஜம்ப் ஹோஸ்ட்களிடமிருந்து மட்டுமே. ஜம்ப் ஹோஸ்ட்களில், தேவையான அனைத்து சோதனைகளையும் செய்யவும் (அங்கீகாரம்/அங்கீகாரம், வைரஸ் தடுப்பு, பதிவு செய்தல், ...)
  • PSEFABRIC இல் விவரிக்கப்பட்டுள்ள திட்டத்தைப் போலவே தரவு மைய நெட்வொர்க்கின் தருக்கப் பகிர்வை நீங்கள் பிரிவுகளாகப் பயன்படுத்தலாம். உதாரணம் p002. இந்த வழக்கில், தாமத உணர்திறன் அல்லது அதிக தீவிரம் கொண்ட போக்குவரத்து ஒரு பிரிவிற்குள் செல்லும் (p002, VRF வழக்கில்) மற்றும் ஃபயர்வால் வழியாக செல்லாத வகையில் ரூட்டிங் கட்டமைக்கப்பட வேண்டும். பல்வேறு பிரிவுகளுக்கு இடையேயான போக்குவரத்து ஃபயர்வால் வழியாக தொடர்ந்து செல்லும். ஃபயர்வால் மூலம் போக்குவரத்தைத் திருப்பிவிடுவதைத் தவிர்க்க, VRFகளுக்கு இடையே கசியும் வழியையும் நீங்கள் பயன்படுத்தலாம்
  • நீங்கள் ஃபயர்வாலை வெளிப்படையான பயன்முறையில் பயன்படுத்தலாம் மற்றும் இந்த காரணிகள் (தாமதம்/செயல்திறன்) குறிப்பிடத்தக்கதாக இல்லாத VLANகளுக்கு மட்டுமே. ஆனால் ஒவ்வொரு விற்பனையாளருக்கும் இந்த மோட் பயன்பாட்டுடன் தொடர்புடைய கட்டுப்பாடுகளை நீங்கள் கவனமாக படிக்க வேண்டும்
  • சேவை சங்கிலி கட்டமைப்பைப் பயன்படுத்துவதை நீங்கள் பரிசீலிக்க விரும்பலாம். இது தேவையான போக்குவரத்தை மட்டுமே ஃபயர்வால் வழியாக செல்ல அனுமதிக்கும். கோட்பாட்டில் அழகாக இருக்கிறது, ஆனால் தயாரிப்பில் இந்த தீர்வை நான் பார்த்ததில்லை. சிஸ்கோ ஏசிஐ/ஜூனிபர் எஸ்ஆர்எக்ஸ்/எஃப்5 எல்டிஎம் சேவைச் சங்கிலியை சுமார் 3 ஆண்டுகளுக்கு முன்பு நாங்கள் சோதித்தோம், ஆனால் அந்த நேரத்தில் இந்தத் தீர்வு எங்களுக்கு “கச்சா” என்று தோன்றியது.

பாதுகாப்பு நிலை

போக்குவரத்தை வடிகட்ட நீங்கள் என்ன கருவிகளைப் பயன்படுத்த விரும்புகிறீர்கள் என்ற கேள்விக்கு இப்போது நீங்கள் பதிலளிக்க வேண்டும். பொதுவாக NGFW இல் இருக்கும் சில அம்சங்கள் இங்கே உள்ளன (உதாரணமாக, இங்கே):

  • மாநில ஃபயர்வால்லிங் (இயல்புநிலை)
  • பயன்பாடு ஃபயர்வால்லிங்
  • அச்சுறுத்தல் தடுப்பு (ஆன்டிவைரஸ், ஸ்பைவேர் எதிர்ப்பு மற்றும் பாதிப்பு)
  • URL வடிகட்டுதல்
  • தரவு வடிகட்டுதல் (உள்ளடக்க வடிகட்டுதல்)
  • கோப்பு தடுப்பு (கோப்பு வகைகளைத் தடுப்பது)
  • செய்ய பாதுகாப்பு

மேலும் எல்லாம் தெளிவாக இல்லை. அதிக அளவிலான பாதுகாப்பு, சிறந்தது என்று தோன்றுகிறது. ஆனால் நீங்கள் அதையும் கருத்தில் கொள்ள வேண்டும்

  • மேலே உள்ள ஃபயர்வால் செயல்பாடுகளில் நீங்கள் எவ்வளவு அதிகமாகப் பயன்படுத்துகிறீர்களோ, அவ்வளவு விலை அதிகமாக இருக்கும் (உரிமங்கள், கூடுதல் தொகுதிகள்)
  • சில வழிமுறைகளின் பயன்பாடு ஃபயர்வால் செயல்திறனை கணிசமாகக் குறைக்கலாம் மற்றும் தாமதத்தை அதிகரிக்கும், எடுத்துக்காட்டாக பார்க்கவும் இங்கே
  • எந்தவொரு சிக்கலான தீர்வையும் போலவே, சிக்கலான பாதுகாப்பு முறைகளின் பயன்பாடு உங்கள் தீர்வின் நம்பகத்தன்மையைக் குறைக்கலாம், எடுத்துக்காட்டாக, பயன்பாட்டு ஃபயர்வாலிங்கைப் பயன்படுத்தும் போது, ​​சில மிகவும் நிலையான வேலை செய்யும் பயன்பாடுகளை (dns, smb) தடுப்பதை எதிர்கொண்டேன்.

எப்போதும் போல, உங்கள் நெட்வொர்க்கிற்கான சிறந்த தீர்வை நீங்கள் கண்டுபிடிக்க வேண்டும்.

என்ன பாதுகாப்பு செயல்பாடுகள் தேவைப்படலாம் என்ற கேள்விக்கு திட்டவட்டமாக பதிலளிக்க முடியாது. முதலாவதாக, ஏனெனில் இது நிச்சயமாக நீங்கள் அனுப்பும் அல்லது சேமிக்கும் மற்றும் பாதுகாக்க முயற்சிக்கும் தரவைப் பொறுத்தது. இரண்டாவதாக, உண்மையில், பெரும்பாலும் பாதுகாப்பு கருவிகளைத் தேர்ந்தெடுப்பது விற்பனையாளர் மீதான நம்பிக்கை மற்றும் நம்பிக்கையின் விஷயமாகும். அல்காரிதம்கள் உங்களுக்குத் தெரியாது, அவை எவ்வளவு பயனுள்ளதாக இருக்கும் என்று உங்களுக்குத் தெரியாது, மேலும் அவற்றை முழுமையாகச் சோதிக்க முடியாது.

எனவே, முக்கியமான பிரிவுகளில், வெவ்வேறு நிறுவனங்களின் சலுகைகளைப் பயன்படுத்துவது ஒரு நல்ல தீர்வாக இருக்கலாம். எடுத்துக்காட்டாக, நீங்கள் ஃபயர்வாலில் ஆண்டிவைரஸை இயக்கலாம், ஆனால் ஹோஸ்ட்களில் உள்ளூரில் வைரஸ் தடுப்பு பாதுகாப்பையும் (வேறொரு உற்பத்தியாளரிடமிருந்து) பயன்படுத்தலாம்.

பிரிவு

தரவு மைய நெட்வொர்க்கின் தர்க்கரீதியான பிரிவைப் பற்றி நாங்கள் பேசுகிறோம். எடுத்துக்காட்டாக, VLANகள் மற்றும் சப்நெட்களில் பகிர்வதும் தர்க்கரீதியான பிரிவாகும், ஆனால் அதன் வெளிப்படையான தன்மை காரணமாக நாங்கள் அதை கருத்தில் கொள்ள மாட்டோம். FW பாதுகாப்பு மண்டலங்கள், VRFகள் (மற்றும் பல்வேறு விற்பனையாளர்கள் தொடர்பாக அவற்றின் ஒப்புமைகள்), தருக்க சாதனங்கள் (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), போன்ற நிறுவனங்களை கணக்கில் எடுத்துக்கொண்டு சுவாரஸ்யமான பிரிவு

அத்தகைய தருக்கப் பிரிவின் உதாரணம் மற்றும் தற்போது தேவைப்படும் தரவு மைய வடிவமைப்பு ஆகியவை கொடுக்கப்பட்டுள்ளன PSEFABRIC திட்டத்தின் p002.

உங்கள் நெட்வொர்க்கின் தர்க்கரீதியான பகுதிகளை வரையறுத்த பிறகு, வெவ்வேறு பிரிவுகளுக்கு இடையில் போக்குவரத்து எவ்வாறு நகர்கிறது, எந்த சாதனங்களில் வடிகட்டுதல் செய்யப்படுகிறது மற்றும் எந்த வகையிலும் நீங்கள் விவரிக்கலாம்.

உங்கள் நெட்வொர்க்கில் தெளிவான தர்க்கரீதியான பகிர்வு இல்லை மற்றும் வெவ்வேறு தரவு ஓட்டங்களுக்கான பாதுகாப்புக் கொள்கைகளைப் பயன்படுத்துவதற்கான விதிகள் முறைப்படுத்தப்படவில்லை என்றால், நீங்கள் இந்த அல்லது அந்த அணுகலைத் திறக்கும்போது, ​​​​இந்தச் சிக்கலைத் தீர்க்க வேண்டிய கட்டாயத்தில் உள்ளீர்கள், மேலும் அதிக நிகழ்தகவுடன் நீங்கள் ஒவ்வொரு முறையும் வித்தியாசமாக தீர்க்கும்.

பெரும்பாலும் பிரிவு FW பாதுகாப்பு மண்டலங்களை மட்டுமே அடிப்படையாகக் கொண்டது. பின்னர் நீங்கள் பின்வரும் கேள்விகளுக்கு பதிலளிக்க வேண்டும்:

  • உங்களுக்கு என்ன பாதுகாப்பு வலயங்கள் தேவை
  • இந்த ஒவ்வொரு மண்டலத்திற்கும் எந்த அளவிலான பாதுகாப்பைப் பயன்படுத்த விரும்புகிறீர்கள்
  • மண்டலத்திற்குள் போக்குவரத்து இயல்பாக அனுமதிக்கப்படுமா?
  • இல்லையெனில், ஒவ்வொரு மண்டலத்திலும் என்ன போக்குவரத்து வடிகட்டுதல் கொள்கைகள் பயன்படுத்தப்படும்
  • ஒவ்வொரு ஜோடி மண்டலங்களுக்கும் என்ன போக்குவரத்து வடிகட்டுதல் கொள்கைகள் பயன்படுத்தப்படும் (மூலம்/இலக்கு)

TCAM

ரூட்டிங் மற்றும் அணுகல்களுக்கு போதுமான TCAM (டெர்னரி உள்ளடக்க முகவரியிடக்கூடிய நினைவகம்) ஒரு பொதுவான பிரச்சனை. IMHO, உபகரணங்களைத் தேர்ந்தெடுக்கும்போது இது மிக முக்கியமான சிக்கல்களில் ஒன்றாகும், எனவே நீங்கள் இந்த சிக்கலை சரியான அளவு கவனிப்புடன் நடத்த வேண்டும்.

எடுத்துக்காட்டு 1. TCAM அட்டவணையை முன்னனுப்புதல்.

கருத்தில் கொள்வோம் பாலோ ஆல்டோ 7 கே ஃபயர்வால்
IPv4 முன்னனுப்புதல் அட்டவணை அளவு* = 32K என்பதைக் காண்கிறோம்
மேலும், இந்த எண்ணிக்கையிலான வழிகள் அனைத்து VSYS களுக்கும் பொதுவானது.

உங்கள் வடிவமைப்பின் படி நீங்கள் 4 VSYS ஐப் பயன்படுத்த முடிவு செய்கிறீர்கள் என்று வைத்துக்கொள்வோம்.
இந்த VSYSகள் ஒவ்வொன்றும் நீங்கள் BB ஆகப் பயன்படுத்தும் கிளவுட்டின் இரண்டு MPLS PEகளுடன் BGP வழியாக இணைக்கப்பட்டுள்ளது. இவ்வாறு, 4 VSYS அனைத்து குறிப்பிட்ட வழிகளையும் ஒன்றோடொன்று பரிமாறிக் கொள்கிறது மற்றும் தோராயமாக ஒரே மாதிரியான வழித்தடங்களுடன் (ஆனால் வெவ்வேறு NHகள்) பகிர்தல் அட்டவணையைக் கொண்டுள்ளது. ஏனெனில் ஒவ்வொரு VSYS க்கும் 2 BGP அமர்வுகள் உள்ளன (அதே அமைப்புகளுடன்), பின்னர் MPLS வழியாகப் பெறப்பட்ட ஒவ்வொரு வழியும் 2 NH மற்றும், அதன்படி, பகிர்தல் அட்டவணையில் 2 FIB உள்ளீடுகள் உள்ளன. டேட்டா சென்டரில் உள்ள ஒரே ஃபயர்வால் இது தான், அது எல்லா வழிகளையும் தெரிந்து வைத்திருக்க வேண்டும் என்று கருதினால், நமது டேட்டா சென்டரில் உள்ள மொத்த வழிகளின் எண்ணிக்கை 32K/(4 * 2) = 4Kஐ விட அதிகமாக இருக்கக்கூடாது என்று அர்த்தம்.

இப்போது, ​​எங்களிடம் 2 தரவு மையங்கள் (ஒரே வடிவமைப்புடன்) இருப்பதாகக் கருதினால், தரவு மையங்களுக்கு இடையில் VLANகளை "நீட்டி" பயன்படுத்த விரும்பினால் (எடுத்துக்காட்டாக, vMotion), ரூட்டிங் சிக்கலைத் தீர்க்க, ஹோஸ்ட் வழிகளைப் பயன்படுத்த வேண்டும் . ஆனால் இதன் பொருள் 2 தரவு மையங்களுக்கு எங்களிடம் 4096 க்கும் மேற்பட்ட ஹோஸ்ட்கள் இருக்காது, நிச்சயமாக, இது போதுமானதாக இருக்காது.

எடுத்துக்காட்டு 2. ACL TCAM.

எல் 3 சுவிட்சுகளில் (அல்லது எல் 3 சுவிட்சுகளைப் பயன்படுத்தும் பிற தீர்வுகள், எடுத்துக்காட்டாக, சிஸ்கோ ஏசிஐ) போக்குவரத்தை வடிகட்ட நீங்கள் திட்டமிட்டால், உபகரணங்களைத் தேர்ந்தெடுக்கும்போது நீங்கள் டிசிஏஎம் ஏசிஎல் க்கு கவனம் செலுத்த வேண்டும்.

நீங்கள் சிஸ்கோ கேடலிஸ்ட் 4500 இன் SVI இடைமுகங்களில் அணுகலைக் கட்டுப்படுத்த விரும்புகிறீர்கள் என்று வைத்துக்கொள்வோம். இந்த கட்டுரை, இடைமுகங்களில் வெளிச்செல்லும் (அத்துடன் உள்வரும்) போக்குவரத்தைக் கட்டுப்படுத்த, நீங்கள் 4096 TCAM வரிகளை மட்டுமே பயன்படுத்த முடியும். TCAM3 ஐப் பயன்படுத்தும் போது, ​​உங்களுக்கு சுமார் 4000 ஆயிரம் ACEகள் (ACL கோடுகள்) கிடைக்கும்.

போதுமான TCAM இன் சிக்கலை நீங்கள் எதிர்கொண்டால், முதலில், நிச்சயமாக, தேர்வுமுறைக்கான சாத்தியத்தை நீங்கள் கருத்தில் கொள்ள வேண்டும். எனவே, முன்னனுப்புதல் அட்டவணையின் அளவில் சிக்கல் ஏற்பட்டால், வழிகளை ஒருங்கிணைக்கும் சாத்தியத்தை நீங்கள் கருத்தில் கொள்ள வேண்டும். அணுகல்கள், தணிக்கை அணுகல்கள், காலாவதியான மற்றும் ஒன்றுடன் ஒன்று பதிவுகளை அகற்றுதல் மற்றும் அணுகல்களைத் திறப்பதற்கான செயல்முறையை மறுபரிசீலனை செய்யலாம் (தணிக்கை அணுகல்கள் பற்றிய அத்தியாயத்தில் விரிவாக விவாதிக்கப்படும்) TCAM அளவில் சிக்கல் இருந்தால்.

உயர் கிடைக்கும்

கேள்வி: நான் ஃபயர்வால்களுக்கு HA ஐப் பயன்படுத்த வேண்டுமா அல்லது இரண்டு சுயாதீன பெட்டிகளை "இணையாக" நிறுவ வேண்டுமா, அவற்றில் ஒன்று தோல்வியுற்றால், இரண்டாவது வழியாக போக்குவரத்தை வழிநடத்த வேண்டுமா?

பதில் வெளிப்படையானது என்று தோன்றுகிறது - HA ஐப் பயன்படுத்தவும். இந்தக் கேள்வி இன்னும் எழுவதற்குக் காரணம், துரதிர்ஷ்டவசமாக, கோட்பாட்டு மற்றும் விளம்பரம் 99 மற்றும் நடைமுறையில் அணுகல்தன்மையின் பல தசம சதவீதங்கள் மிகவும் ரோசியிலிருந்து வெகு தொலைவில் உள்ளன. HA என்பது தர்க்கரீதியாக மிகவும் சிக்கலான விஷயம், மற்றும் வெவ்வேறு உபகரணங்களில், மற்றும் வெவ்வேறு விற்பனையாளர்கள் (விதிவிலக்குகள் இல்லை), நாங்கள் சிக்கல்கள் மற்றும் பிழைகள் மற்றும் சேவை நிறுத்தங்கள் ஆகியவற்றைப் பிடித்தோம்.

நீங்கள் HA ஐப் பயன்படுத்தினால், தனிப்பட்ட முனைகளை முடக்கவும், சேவையை நிறுத்தாமல் அவற்றுக்கு இடையே மாறவும் உங்களுக்கு வாய்ப்பு கிடைக்கும், இது முக்கியமானது, எடுத்துக்காட்டாக, மேம்படுத்தும் போது, ​​ஆனால் அதே நேரத்தில் இரண்டு முனைகளிலும் பூஜ்ஜிய நிகழ்தகவு இருந்து வெகு தொலைவில் உள்ளது. அதே நேரத்தில் உடைந்து விடும், மேலும் விற்பனையாளர் உறுதியளித்தபடி அடுத்த மேம்படுத்தல் சீராக நடக்காது (ஆய்வக உபகரணங்களில் மேம்படுத்தலை சோதிக்க உங்களுக்கு வாய்ப்பு இருந்தால் இந்த சிக்கலைத் தவிர்க்கலாம்).

நீங்கள் HA ஐப் பயன்படுத்தவில்லை என்றால், இரட்டை தோல்வியின் பார்வையில் உங்கள் அபாயங்கள் மிகவும் குறைவாக இருக்கும் (உங்களிடம் 2 சுயாதீன ஃபயர்வால்கள் இருப்பதால்), ஆனால்... அமர்வுகள் ஒத்திசைக்கப்படவில்லை, ஒவ்வொரு முறையும் நீங்கள் இந்த ஃபயர்வால்களுக்கு இடையில் மாறும்போது நீங்கள் போக்குவரத்தை இழப்பீர்கள். நீங்கள் நிச்சயமாக, நிலையற்ற ஃபயர்வாலிங்கைப் பயன்படுத்தலாம், ஆனால் ஃபயர்வாலைப் பயன்படுத்துவதற்கான புள்ளி பெரும்பாலும் இழக்கப்படுகிறது.

எனவே, தணிக்கையின் விளைவாக நீங்கள் தனிமையான ஃபயர்வால்களைக் கண்டுபிடித்து, உங்கள் நெட்வொர்க்கின் நம்பகத்தன்மையை அதிகரிப்பது பற்றி யோசிக்கிறீர்கள் என்றால், HA, நிச்சயமாக, பரிந்துரைக்கப்பட்ட தீர்வுகளில் ஒன்றாகும், ஆனால் நீங்கள் அதனுடன் தொடர்புடைய குறைபாடுகளையும் கணக்கில் எடுத்துக்கொள்ள வேண்டும். இந்த அணுகுமுறை மற்றும், குறிப்பாக, உங்கள் நெட்வொர்க்கிற்கு, மற்றொரு தீர்வு மிகவும் பொருத்தமானதாக இருக்கும்.

மேலாண்மை

கொள்கையளவில், HA என்பதும் கட்டுப்படுத்தக்கூடியது. 2 பெட்டிகளைத் தனித்தனியாக உள்ளமைப்பதற்குப் பதிலாக, உள்ளமைவுகளை ஒத்திசைவில் வைத்திருப்பதில் உள்ள சிக்கலைச் சமாளிப்பதற்குப் பதிலாக, உங்களிடம் ஒரு சாதனம் இருப்பது போல அவற்றை நிர்வகிக்கலாம்.

ஆனால் உங்களிடம் பல தரவு மையங்கள் மற்றும் பல ஃபயர்வால்கள் இருக்கலாம், இந்த கேள்வி ஒரு புதிய மட்டத்தில் எழுகிறது. மற்றும் கேள்வி கட்டமைப்பு பற்றி மட்டும் அல்ல, ஆனால் பற்றி

  • காப்பு கட்டமைப்புகள்
  • புதுப்பிப்புகள்
  • மேம்படுத்துகிறது
  • கண்காணிப்பு
  • மரம் வெட்டுதல்

இவை அனைத்தையும் மையப்படுத்தப்பட்ட மேலாண்மை அமைப்புகளால் தீர்க்க முடியும்.

எனவே, எடுத்துக்காட்டாக, நீங்கள் பாலோ ஆல்டோ ஃபயர்வால்களைப் பயன்படுத்துகிறீர்கள் என்றால் பனோரமா இது போன்ற ஒரு தீர்வு.

தொடர வேண்டும்.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்