ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్‌వర్క్ భద్రత. ప్రథమ భాగము

మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్‌వర్క్ భద్రత. ప్రథమ భాగము

ఈ కథనం “మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఎలా నియంత్రించాలి” అనే కథనాల శ్రేణిలో మూడవది. సిరీస్‌లోని అన్ని కథనాల కంటెంట్‌లు మరియు లింక్‌లను కనుగొనవచ్చు ఇక్కడ.

మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్‌వర్క్ భద్రత. ప్రథమ భాగము

భద్రతా ప్రమాదాలను పూర్తిగా తొలగించడం గురించి మాట్లాడటంలో అర్థం లేదు. సూత్రప్రాయంగా, మేము వాటిని సున్నాకి తగ్గించలేము. మేము నెట్‌వర్క్‌ను మరింత సురక్షితమైనదిగా చేయడానికి ప్రయత్నిస్తున్నప్పుడు, మా పరిష్కారాలు మరింత ఖరీదైనవిగా మారుతున్నాయని కూడా మనం అర్థం చేసుకోవాలి. మీరు మీ నెట్‌వర్క్‌కు అర్ధమయ్యే ఖర్చు, సంక్లిష్టత మరియు భద్రత మధ్య ట్రేడ్-ఆఫ్‌ను కనుగొనాలి.

వాస్తవానికి, భద్రతా రూపకల్పన మొత్తం నిర్మాణంలో సేంద్రీయంగా విలీనం చేయబడింది మరియు ఉపయోగించిన భద్రతా పరిష్కారాలు నెట్‌వర్క్ అవస్థాపన యొక్క స్కేలబిలిటీ, విశ్వసనీయత, నిర్వహణ, ...ని ప్రభావితం చేస్తాయి, వీటిని కూడా పరిగణనలోకి తీసుకోవాలి.

కానీ ఇప్పుడు మనం నెట్‌వర్క్‌ని సృష్టించడం గురించి మాట్లాడటం లేదని నేను మీకు గుర్తు చేస్తాను. మా ప్రకారం ప్రారంభ పరిస్థితులు మేము ఇప్పటికే డిజైన్‌ను ఎంచుకున్నాము, పరికరాలను ఎంచుకున్నాము మరియు అవస్థాపనను సృష్టించాము మరియు ఈ దశలో, వీలైతే, మనం "జీవించాలి" మరియు గతంలో ఎంచుకున్న విధానం యొక్క సందర్భంలో పరిష్కారాలను కనుగొనాలి.

నెట్‌వర్క్ స్థాయిలో భద్రతకు సంబంధించిన నష్టాలను గుర్తించడం మరియు వాటిని సహేతుకమైన స్థాయికి తగ్గించడం ఇప్పుడు మా పని.

నెట్‌వర్క్ సెక్యూరిటీ ఆడిట్

మీ సంస్థ ISO 27k ప్రక్రియలను అమలు చేసినట్లయితే, భద్రతా ఆడిట్‌లు మరియు నెట్‌వర్క్ మార్పులు ఈ విధానంలోని మొత్తం ప్రక్రియలకు సజావుగా సరిపోతాయి. కానీ ఈ ప్రమాణాలు ఇప్పటికీ నిర్దిష్ట పరిష్కారాల గురించి కాదు, కాన్ఫిగరేషన్ గురించి కాదు, డిజైన్ గురించి కాదు... స్పష్టమైన-కట్ సలహాలు లేవు, మీ నెట్‌వర్క్ ఎలా ఉండాలో వివరంగా నిర్దేశించే ప్రమాణాలు లేవు, ఇది ఈ టాస్క్ యొక్క సంక్లిష్టత మరియు అందం.

నేను అనేక నెట్‌వర్క్ భద్రతా తనిఖీలను హైలైట్ చేస్తాను:

  • పరికరాల కాన్ఫిగరేషన్ ఆడిట్ (గట్టిపడటం)
  • భద్రతా డిజైన్ ఆడిట్
  • యాక్సెస్ ఆడిట్
  • ప్రక్రియ ఆడిట్

సామగ్రి కాన్ఫిగరేషన్ ఆడిట్ (గట్టిపడటం)

మీ నెట్‌వర్క్ భద్రతను ఆడిట్ చేయడానికి మరియు మెరుగుపరచడానికి చాలా సందర్భాలలో ఇది ఉత్తమ ప్రారంభ స్థానం అని తెలుస్తోంది. IMHO, ఇది పారెటో నియమానికి మంచి ప్రదర్శన (20% ప్రయత్నం 80% ఫలితాన్ని ఉత్పత్తి చేస్తుంది మరియు మిగిలిన 80% ప్రయత్నం 20% ఫలితాన్ని మాత్రమే ఉత్పత్తి చేస్తుంది).

బాటమ్ లైన్ ఏమిటంటే, పరికరాలను కాన్ఫిగర్ చేసేటప్పుడు భద్రత కోసం "ఉత్తమ పద్ధతులు" గురించి విక్రేతల నుండి మేము సాధారణంగా సిఫార్సులను కలిగి ఉంటాము. దీనిని "గట్టిపడటం" అంటారు.

ఈ సిఫార్సుల ఆధారంగా మీరు తరచుగా ప్రశ్నాపత్రాన్ని (లేదా మీరే సృష్టించుకోండి) కనుగొనవచ్చు, ఇది మీ పరికరాల కాన్ఫిగరేషన్ ఈ “ఉత్తమ అభ్యాసాలకు” ఎంతవరకు కట్టుబడి ఉందో గుర్తించడంలో మీకు సహాయపడుతుంది మరియు ఫలితానికి అనుగుణంగా, మీ నెట్‌వర్క్‌లో మార్పులు చేస్తుంది. . ఇది ఎటువంటి ఖర్చు లేకుండా చాలా సులభంగా భద్రతా ప్రమాదాలను గణనీయంగా తగ్గించడానికి మిమ్మల్ని అనుమతిస్తుంది.

కొన్ని సిస్కో ఆపరేటింగ్ సిస్టమ్‌లకు అనేక ఉదాహరణలు.

సిస్కో IOS కాన్ఫిగరేషన్ గట్టిపడటం
సిస్కో IOS-XR కాన్ఫిగరేషన్ గట్టిపడటం
సిస్కో NX-OS కాన్ఫిగరేషన్ గట్టిపడటం
సిస్కో బేస్‌లైన్ సెక్యూరిటీ చెక్ లిస్ట్

ఈ పత్రాల ఆధారంగా, ప్రతి రకమైన పరికరాల కోసం కాన్ఫిగరేషన్ అవసరాల జాబితాను సృష్టించవచ్చు. ఉదాహరణకు, Cisco N7K VDC కోసం ఈ అవసరాలు ఇలా ఉండవచ్చు కాబట్టి.

ఈ విధంగా, మీ నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో వివిధ రకాల క్రియాశీల పరికరాల కోసం కాన్ఫిగరేషన్ ఫైల్‌లను సృష్టించవచ్చు. తర్వాత, మాన్యువల్‌గా లేదా ఆటోమేషన్‌ని ఉపయోగించి, మీరు ఈ కాన్ఫిగరేషన్ ఫైల్‌లను "అప్‌లోడ్" చేయవచ్చు. ఈ ప్రక్రియను ఆటోమేట్ చేయడం ఎలా అనేది ఆర్కెస్ట్రేషన్ మరియు ఆటోమేషన్‌పై కథనాల యొక్క మరొక సిరీస్‌లో వివరంగా చర్చించబడుతుంది.

సెక్యూరిటీ డిజైన్ ఆడిట్

సాధారణంగా, ఎంటర్‌ప్రైజ్ నెట్‌వర్క్ కింది విభాగాలను ఒక రూపంలో లేదా మరొక రూపంలో కలిగి ఉంటుంది:

  • DC (పబ్లిక్ సర్వీసెస్ DMZ మరియు ఇంట్రానెట్ డేటా సెంటర్)
  • ఇంటర్నెట్ సదుపాయం
  • రిమోట్ యాక్సెస్ VPN
  • WAN అంచు
  • బ్రాంచ్
  • క్యాంపస్ (కార్యాలయం)
  • కోర్

నుండి తీసుకోబడిన శీర్షికలు సిస్కో సేఫ్ మోడల్, కానీ ఈ పేర్లకు మరియు ఈ మోడల్‌కు ఖచ్చితంగా జతచేయడం అవసరం లేదు. ఇంకా, నేను సారాంశం గురించి మాట్లాడాలనుకుంటున్నాను మరియు ఫార్మాలిటీలలో కూరుకుపోకూడదు.

ఈ సెగ్మెంట్లలో ప్రతిదానికి, భద్రతా అవసరాలు, నష్టాలు మరియు, తదనుగుణంగా, పరిష్కారాలు భిన్నంగా ఉంటాయి.

భద్రతా రూపకల్పన కోణం నుండి మీరు ఎదుర్కొనే సమస్యల కోసం వాటిలో ప్రతి ఒక్కటి విడిగా చూద్దాం. వాస్తవానికి, ఈ వ్యాసం పూర్తి చేసినట్లు నటించదని నేను మళ్ళీ పునరావృతం చేస్తున్నాను, ఇది నిజంగా లోతైన మరియు బహుముఖ అంశంలో సాధించడం సులభం కాదు (అసాధ్యం కాకపోతే), కానీ ఇది నా వ్యక్తిగత అనుభవాన్ని ప్రతిబింబిస్తుంది.

ఖచ్చితమైన పరిష్కారం లేదు (కనీసం ఇంకా లేదు). ఇది ఎల్లప్పుడూ ఒక రాజీ. కానీ ఒక విధానాన్ని లేదా మరొక విధానాన్ని ఉపయోగించాలనే నిర్ణయం దాని లాభాలు మరియు నష్టాలు రెండింటినీ అర్థం చేసుకోవడంతో స్పృహతో తీసుకోవడం చాలా ముఖ్యం.

డేటా సెంటర్

భద్రతా కోణం నుండి అత్యంత క్లిష్టమైన విభాగం.
మరియు, ఎప్పటిలాగే, ఇక్కడ కూడా సార్వత్రిక పరిష్కారం లేదు. ఇది అన్ని నెట్వర్క్ అవసరాలపై ఎక్కువగా ఆధారపడి ఉంటుంది.

ఫైర్‌వాల్ అవసరమా లేదా?

సమాధానం స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది, కానీ ప్రతిదీ కనిపించేంత స్పష్టంగా లేదు. మరియు మీ ఎంపిక మాత్రమే ప్రభావితం చేయవచ్చు ధర.

ఉదాహరణకు 1. ఆలస్యమవుతుంది.

కొన్ని నెట్‌వర్క్ సెగ్‌మెంట్‌ల మధ్య తక్కువ జాప్యం తప్పనిసరి అవసరం అయితే, ఉదాహరణకు, ఎక్స్‌ఛేంజ్ విషయంలో ఇది నిజం, అప్పుడు మేము ఈ విభాగాల మధ్య ఫైర్‌వాల్‌లను ఉపయోగించలేము. ఫైర్‌వాల్‌లలో జాప్యంపై అధ్యయనాలను కనుగొనడం కష్టం, కానీ కొన్ని స్విచ్ మోడల్‌లు 1 mksec కంటే తక్కువ లేదా క్రమాన్ని అందించగలవు, కాబట్టి మైక్రోసెకన్‌లు మీకు ముఖ్యమైనవి అయితే, ఫైర్‌వాల్‌లు మీ కోసం కాదని నేను భావిస్తున్నాను.

ఉదాహరణకు 2. ప్రదర్శన.

టాప్ L3 స్విచ్‌ల నిర్గమాంశ సాధారణంగా అత్యంత శక్తివంతమైన ఫైర్‌వాల్‌ల త్రూపుట్ కంటే ఎక్కువ పరిమాణంలో ఉంటుంది. అందువల్ల, అధిక-తీవ్రత ట్రాఫిక్ విషయంలో, ఫైర్‌వాల్‌లను దాటవేయడానికి మీరు ఈ ట్రాఫిక్‌ను అనుమతించవలసి ఉంటుంది.

ఉదాహరణకు 3. విశ్వసనీయత.

ఫైర్‌వాల్‌లు, ముఖ్యంగా ఆధునిక NGFW (నెక్స్ట్-జనరేషన్ FW) సంక్లిష్ట పరికరాలు. అవి L3/L2 స్విచ్‌ల కంటే చాలా క్లిష్టంగా ఉంటాయి. వారు పెద్ద సంఖ్యలో సేవలు మరియు కాన్ఫిగరేషన్ ఎంపికలను అందిస్తారు, కాబట్టి వారి విశ్వసనీయత చాలా తక్కువగా ఉండటంలో ఆశ్చర్యం లేదు. సేవా కొనసాగింపు నెట్‌వర్క్‌కు కీలకం అయితే, మీరు మెరుగైన లభ్యతకు దారితీసే వాటిని ఎంచుకోవలసి ఉంటుంది - ఫైర్‌వాల్‌తో భద్రత లేదా సాధారణ ACLలను ఉపయోగించి స్విచ్‌లపై (లేదా వివిధ రకాల ఫాబ్రిక్‌లు) నిర్మించిన నెట్‌వర్క్ యొక్క సరళత.

పై ఉదాహరణల విషయంలో, మీరు చాలా మటుకు (ఎప్పటిలాగే) రాజీని కనుగొనవలసి ఉంటుంది. కింది పరిష్కారాల వైపు చూడండి:

  • మీరు డేటా సెంటర్ లోపల ఫైర్‌వాల్‌లను ఉపయోగించకూడదని నిర్ణయించుకుంటే, చుట్టుకొలత చుట్టూ యాక్సెస్‌ను వీలైనంత వరకు ఎలా పరిమితం చేయాలో మీరు ఆలోచించాలి. ఉదాహరణకు, మీరు ఇంటర్నెట్ నుండి అవసరమైన పోర్ట్‌లను మాత్రమే తెరవగలరు (క్లయింట్ ట్రాఫిక్ కోసం) మరియు జంప్ హోస్ట్‌ల నుండి మాత్రమే డేటా సెంటర్‌కు అడ్మినిస్ట్రేటివ్ యాక్సెస్. జంప్ హోస్ట్‌లలో, అవసరమైన అన్ని తనిఖీలను నిర్వహించండి (ప్రామాణీకరణ/ప్రామాణీకరణ, యాంటీవైరస్, లాగింగ్, ...)
  • మీరు PSEFABRICలో వివరించిన పథకం వలె డేటా సెంటర్ నెట్‌వర్క్ యొక్క తార్కిక విభజనను విభాగాలుగా ఉపయోగించవచ్చు ఉదాహరణ p002. ఈ సందర్భంలో, ఆలస్యం-సెన్సిటివ్ లేదా అధిక-తీవ్రత ట్రాఫిక్ ఒక విభాగంలో (p002, VRF విషయంలో) "లోపల" వెళ్లే విధంగా మరియు ఫైర్‌వాల్ గుండా వెళ్లకుండా రూటింగ్ తప్పనిసరిగా కాన్ఫిగర్ చేయబడాలి. వివిధ విభాగాల మధ్య ట్రాఫిక్ ఫైర్‌వాల్ ద్వారా కొనసాగుతుంది. ఫైర్‌వాల్ ద్వారా ట్రాఫిక్‌ను దారి మళ్లించడాన్ని నివారించడానికి మీరు VRFల మధ్య లీక్ అయ్యే మార్గాన్ని కూడా ఉపయోగించవచ్చు
  • మీరు ఫైర్‌వాల్‌ను పారదర్శక మోడ్‌లో కూడా ఉపయోగించవచ్చు మరియు ఈ కారకాలు (జాప్యం/పనితీరు) గణనీయంగా లేని VLANల కోసం మాత్రమే ఉపయోగించవచ్చు. కానీ మీరు ప్రతి విక్రేత కోసం ఈ మోడ్ యొక్క ఉపయోగంతో అనుబంధించబడిన పరిమితులను జాగ్రత్తగా అధ్యయనం చేయాలి
  • మీరు సర్వీస్ చైన్ ఆర్కిటెక్చర్‌ని ఉపయోగించడాన్ని పరిగణించాలనుకోవచ్చు. ఇది అవసరమైన ట్రాఫిక్‌ను మాత్రమే ఫైర్‌వాల్ గుండా వెళ్ళడానికి అనుమతిస్తుంది. సిద్ధాంతపరంగా బాగుంది, కానీ నేను ఉత్పత్తిలో ఈ పరిష్కారాన్ని ఎప్పుడూ చూడలేదు. మేము సుమారు 5 సంవత్సరాల క్రితం Cisco ACI/Juniper SRX/F3 LTM కోసం సర్వీస్ చైన్‌ని పరీక్షించాము, కానీ ఆ సమయంలో ఈ పరిష్కారం మాకు "ముడి"గా అనిపించింది.

రక్షణ స్థాయి

ఇప్పుడు మీరు ట్రాఫిక్‌ను ఫిల్టర్ చేయడానికి ఏ సాధనాలను ఉపయోగించాలనుకుంటున్నారు అనే ప్రశ్నకు సమాధానం ఇవ్వాలి. NGFWలో సాధారణంగా ఉండే కొన్ని ఫీచర్లు ఇక్కడ ఉన్నాయి (ఉదాహరణకు, ఇక్కడ):

  • స్టేట్‌ఫుల్ ఫైర్‌వాల్లింగ్ (డిఫాల్ట్)
  • అప్లికేషన్ ఫైర్‌వాల్లింగ్
  • ముప్పు నివారణ (యాంటీవైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
  • URL ఫిల్టరింగ్
  • డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
  • ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)
  • రక్షణ

మరియు ప్రతిదీ స్పష్టంగా లేదు. రక్షణ స్థాయి ఎంత ఎక్కువ ఉంటే అంత మంచిది అని అనిపిస్తుంది. కానీ మీరు దానిని కూడా పరిగణించాలి

  • మీరు పైన పేర్కొన్న ఫైర్‌వాల్ ఫంక్షన్‌లను ఎంత ఎక్కువగా ఉపయోగిస్తే, అది సహజంగానే ఖరీదైనది (లైసెన్సులు, అదనపు మాడ్యూల్స్)
  • కొన్ని అల్గారిథమ్‌ల ఉపయోగం ఫైర్‌వాల్ నిర్గమాంశను గణనీయంగా తగ్గిస్తుంది మరియు ఆలస్యాన్ని కూడా పెంచుతుంది, ఉదాహరణకు చూడండి ఇక్కడ
  • ఏదైనా సంక్లిష్ట పరిష్కారం వలె, సంక్లిష్ట రక్షణ పద్ధతుల ఉపయోగం మీ పరిష్కారం యొక్క విశ్వసనీయతను తగ్గిస్తుంది, ఉదాహరణకు, అప్లికేషన్ ఫైర్‌వాల్లింగ్‌ని ఉపయోగిస్తున్నప్పుడు, నేను కొన్ని ప్రామాణికమైన పని చేసే అప్లికేషన్‌లను నిరోధించడాన్ని ఎదుర్కొన్నాను (dns, smb)

ఎప్పటిలాగే, మీరు మీ నెట్‌వర్క్ కోసం ఉత్తమ పరిష్కారాన్ని కనుగొనాలి.

ఏ రక్షణ విధులు అవసరమవుతాయి అనే ప్రశ్నకు ఖచ్చితంగా సమాధానం ఇవ్వడం అసాధ్యం. మొదటిది, ఎందుకంటే ఇది మీరు ప్రసారం చేస్తున్న లేదా నిల్వ చేసే మరియు రక్షించడానికి ప్రయత్నిస్తున్న డేటాపై ఆధారపడి ఉంటుంది. రెండవది, వాస్తవానికి, తరచుగా భద్రతా సాధనాల ఎంపిక విక్రేతపై విశ్వాసం మరియు విశ్వాసానికి సంబంధించిన విషయం. మీకు అల్గారిథమ్‌లు తెలియవు, అవి ఎంత ప్రభావవంతంగా ఉన్నాయో మీకు తెలియదు మరియు మీరు వాటిని పూర్తిగా పరీక్షించలేరు.

అందువల్ల, క్లిష్టమైన విభాగాలలో, వివిధ కంపెనీల ఆఫర్‌లను ఉపయోగించడం మంచి పరిష్కారం. ఉదాహరణకు, మీరు ఫైర్‌వాల్‌పై యాంటీవైరస్‌ని ప్రారంభించవచ్చు, కానీ స్థానికంగా హోస్ట్‌లలో యాంటీవైరస్ రక్షణను (మరొక తయారీదారు నుండి) ఉపయోగించవచ్చు.

విభజన

మేము డేటా సెంటర్ నెట్‌వర్క్ యొక్క లాజికల్ సెగ్మెంటేషన్ గురించి మాట్లాడుతున్నాము. ఉదాహరణకు, VLANలు మరియు సబ్‌నెట్‌లలోకి విభజన చేయడం కూడా లాజికల్ సెగ్మెంటేషన్, కానీ దాని స్పష్టమైన కారణంగా మేము దానిని పరిగణించము. FW సెక్యూరిటీ జోన్‌లు, VRFలు (మరియు వివిధ విక్రేతలకు సంబంధించి వాటి అనలాగ్‌లు), లాజికల్ పరికరాలు (PA VSYS, Cisco N7K VDC, Cisco ACI టెనెంట్, ...), వంటి ఎంటిటీలను పరిగణనలోకి తీసుకుని ఆసక్తికరమైన విభజన

అటువంటి లాజికల్ సెగ్మెంటేషన్ మరియు ప్రస్తుతం డిమాండ్‌లో ఉన్న డేటా సెంటర్ డిజైన్‌కి ఉదాహరణ ఇవ్వబడింది PSEFABRIC ప్రాజెక్ట్ యొక్క p002.

మీ నెట్‌వర్క్ యొక్క తార్కిక భాగాలను నిర్వచించిన తర్వాత, వివిధ విభాగాల మధ్య ట్రాఫిక్ ఎలా కదులుతుందో, ఏ పరికరాలపై ఫిల్టరింగ్ నిర్వహించబడుతుందో మరియు ఏ మార్గాల ద్వారా మీరు వివరించవచ్చు.

మీ నెట్‌వర్క్‌కు స్పష్టమైన తార్కిక విభజన లేనట్లయితే మరియు వివిధ డేటా ప్రవాహాల కోసం భద్రతా విధానాలను వర్తింపజేయడానికి నియమాలు అధికారికీకరించబడకపోతే, మీరు ఈ లేదా ఆ యాక్సెస్‌ని తెరిచినప్పుడు, మీరు ఈ సమస్యను పరిష్కరించవలసి వస్తుంది మరియు అధిక సంభావ్యతతో మీరు ప్రతిసారీ విభిన్నంగా పరిష్కరిస్తుంది.

తరచుగా విభజన FW భద్రతా మండలాలపై మాత్రమే ఆధారపడి ఉంటుంది. అప్పుడు మీరు ఈ క్రింది ప్రశ్నలకు సమాధానం ఇవ్వాలి:

  • మీకు ఏ భద్రతా మండలాలు అవసరం
  • మీరు ఈ జోన్‌లలో ప్రతిదానికి ఏ స్థాయి రక్షణను వర్తింపజేయాలనుకుంటున్నారు
  • డిఫాల్ట్‌గా ఇంట్రా-జోన్ ట్రాఫిక్ అనుమతించబడుతుందా?
  • కాకపోతే, ప్రతి జోన్‌లో ఎలాంటి ట్రాఫిక్ ఫిల్టరింగ్ విధానాలు వర్తింపజేయబడతాయి
  • ప్రతి జత జోన్‌లకు ఏ ట్రాఫిక్ ఫిల్టరింగ్ విధానాలు వర్తించబడతాయి (మూలం/గమ్యం)

TCAM

రూటింగ్ మరియు యాక్సెస్‌ల కోసం తగినంత TCAM (టెర్నరీ కంటెంట్ అడ్రస్ చేయగల మెమరీ) ఒక సాధారణ సమస్య. IMHO, పరికరాలను ఎన్నుకునేటప్పుడు ఇది చాలా ముఖ్యమైన సమస్యలలో ఒకటి, కాబట్టి మీరు ఈ సమస్యను తగిన స్థాయి సంరక్షణతో చికిత్స చేయాలి.

ఉదాహరణ 1. ఫార్వార్డింగ్ టేబుల్ TCAM.

పరిగణలోకి తీసుకుందాం పాలో ఆల్టో 7 కె ఫైర్వాల్
మేము IPv4 ఫార్వార్డింగ్ టేబుల్ పరిమాణం* = 32K అని చూస్తాము
అంతేకాకుండా, అన్ని VSYSలకు ఈ సంఖ్యలో మార్గాలు సాధారణం.

మీ డిజైన్ ప్రకారం మీరు 4 VSYSని ఉపయోగించాలని నిర్ణయించుకున్నారని అనుకుందాం.
ఈ VSYSలలో ప్రతి ఒక్కటి BGP ద్వారా మీరు BBగా ఉపయోగించే క్లౌడ్ యొక్క రెండు MPLS PEలకు కనెక్ట్ చేయబడింది. ఈ విధంగా, 4 VSYS అన్ని నిర్దిష్ట మార్గాలను ఒకదానితో ఒకటి మార్పిడి చేసుకుంటాయి మరియు దాదాపు ఒకే రకమైన మార్గాలతో (కానీ వేర్వేరు NHలు) ఫార్వార్డింగ్ పట్టికను కలిగి ఉంటాయి. ఎందుకంటే ప్రతి VSYS 2 BGP సెషన్‌లను కలిగి ఉంటుంది (అదే సెట్టింగ్‌లతో), ఆపై MPLS ద్వారా స్వీకరించబడిన ప్రతి మార్గం 2 NHని కలిగి ఉంటుంది మరియు తదనుగుణంగా, ఫార్వార్డింగ్ టేబుల్‌లో 2 FIB ఎంట్రీలు ఉంటాయి. డేటా సెంటర్‌లో ఇది మాత్రమే ఫైర్‌వాల్ అని మరియు ఇది అన్ని మార్గాల గురించి తెలుసుకోవాలని మేము అనుకుంటే, మా డేటా సెంటర్‌లోని మొత్తం మార్గాల సంఖ్య 32K/(4 * 2) = 4K కంటే ఎక్కువ ఉండకూడదని దీని అర్థం.

ఇప్పుడు, మనకు 2 డేటా సెంటర్‌లు (అదే డిజైన్‌తో) ఉన్నాయని ఊహిస్తే మరియు డేటా సెంటర్‌ల మధ్య VLANలను "విస్తరించిన" (ఉదాహరణకు, vMotion కోసం) ఉపయోగించాలనుకుంటే, రూటింగ్ సమస్యను పరిష్కరించడానికి, మేము తప్పనిసరిగా హోస్ట్ మార్గాలను ఉపయోగించాలి . కానీ దీనర్థం 2 డేటా సెంటర్‌ల కోసం మనకు 4096 కంటే ఎక్కువ హోస్ట్‌లు ఉండవు మరియు ఇది సరిపోకపోవచ్చు.

ఉదాహరణ 2. ACL TCAM.

మీరు L3 స్విచ్‌లపై (లేదా L3 స్విచ్‌లను ఉపయోగించే ఇతర పరిష్కారాలు, ఉదాహరణకు, సిస్కో ACI) ట్రాఫిక్‌ను ఫిల్టర్ చేయాలని ప్లాన్ చేస్తే, అప్పుడు పరికరాలను ఎన్నుకునేటప్పుడు మీరు TCAM ACLకి శ్రద్ధ వహించాలి.

మీరు Cisco Catalyst 4500 యొక్క SVI ఇంటర్‌ఫేస్‌లపై యాక్సెస్‌ని నియంత్రించాలనుకుంటున్నారని అనుకుందాం. తర్వాత, దీని నుండి చూడవచ్చు ఈ వ్యాసం, ఇంటర్‌ఫేస్‌లలో అవుట్‌గోయింగ్ (అలాగే ఇన్‌కమింగ్) ట్రాఫిక్‌ను నియంత్రించడానికి, మీరు 4096 TCAM లైన్‌లను మాత్రమే ఉపయోగించవచ్చు. TCAM3ని ఉపయోగిస్తున్నప్పుడు మీకు దాదాపు 4000 వేల ACEలు (ACL లైన్‌లు) లభిస్తాయి.

మీరు తగినంత TCAM సమస్యను ఎదుర్కొంటే, మొదటగా, మీరు ఆప్టిమైజేషన్ యొక్క అవకాశాన్ని పరిగణించాలి. కాబట్టి, ఫార్వార్డింగ్ టేబుల్ పరిమాణంలో సమస్య ఉన్నట్లయితే, మీరు మార్గాలను సమగ్రపరిచే అవకాశాన్ని పరిగణించాలి. యాక్సెస్‌లు, ఆడిట్ యాక్సెస్‌ల కోసం TCAM పరిమాణంలో సమస్య ఉన్నట్లయితే, పాత మరియు అతివ్యాప్తి చెందుతున్న రికార్డులను తీసివేయండి మరియు యాక్సెస్‌లను తెరవడం కోసం ప్రక్రియను సవరించవచ్చు (ఆడిటింగ్ యాక్సెస్‌లపై అధ్యాయంలో వివరంగా చర్చించబడుతుంది).

అధిక లభ్యత

ప్రశ్న ఏమిటంటే: నేను ఫైర్‌వాల్‌ల కోసం HAని ఉపయోగించాలా లేదా "సమాంతరంగా" రెండు స్వతంత్ర పెట్టెలను ఇన్‌స్టాల్ చేయాలా మరియు వాటిలో ఒకటి విఫలమైతే, ట్రాఫిక్‌ను రెండవదాని ద్వారా మార్చాలా?

సమాధానం స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది - HA ఉపయోగించండి. ఈ ప్రశ్న ఇప్పటికీ తలెత్తడానికి కారణం, దురదృష్టవశాత్తూ, సైద్ధాంతిక మరియు ప్రకటనలు 99 మరియు ఆచరణలో ప్రాప్యత యొక్క అనేక దశాంశ శాతాలు చాలా రోజీకి దూరంగా ఉన్నాయి. HA అనేది తార్కికంగా చాలా క్లిష్టమైన విషయం, మరియు వివిధ పరికరాలలో మరియు వివిధ విక్రేతలతో (మినహాయింపులు లేవు), మేము సమస్యలు మరియు బగ్‌లు మరియు సర్వీస్ స్టాప్‌లను గుర్తించాము.

మీరు HA ఉపయోగిస్తే, మీకు వ్యక్తిగత నోడ్‌లను ఆఫ్ చేయడానికి, సేవను ఆపకుండా వాటి మధ్య మారడానికి మీకు అవకాశం ఉంటుంది, ఇది ముఖ్యమైనది, ఉదాహరణకు, నవీకరణలు చేసేటప్పుడు, కానీ అదే సమయంలో మీరు రెండు నోడ్‌ల సున్నా సంభావ్యతకు దూరంగా ఉంటారు అదే సమయంలో విరిగిపోతుంది మరియు తదుపరి అప్‌గ్రేడ్ విక్రేత వాగ్దానం చేసినంత సాఫీగా జరగదు (ప్రయోగశాల పరికరాలపై అప్‌గ్రేడ్‌ని పరీక్షించడానికి మీకు అవకాశం ఉంటే ఈ సమస్యను నివారించవచ్చు).

మీరు HAను ఉపయోగించకుంటే, డబుల్ ఫెయిల్యూర్ దృష్ట్యా మీ నష్టాలు చాలా తక్కువగా ఉంటాయి (మీకు 2 స్వతంత్ర ఫైర్‌వాల్‌లు ఉన్నందున), కానీ... సెషన్‌లు సమకాలీకరించబడవు, ఆపై మీరు ఈ ఫైర్‌వాల్‌ల మధ్య మారిన ప్రతిసారీ మీరు ట్రాఫిక్‌ను కోల్పోతారు. మీరు స్టేట్‌లెస్ ఫైర్‌వాల్లింగ్‌ని ఉపయోగించవచ్చు, కానీ అప్పుడు ఫైర్‌వాల్‌ను ఉపయోగించడం యొక్క పాయింట్ ఎక్కువగా పోతుంది.

అందువల్ల, ఆడిట్ ఫలితంగా మీరు ఒంటరి ఫైర్‌వాల్‌లను కనుగొన్నట్లయితే మరియు మీ నెట్‌వర్క్ యొక్క విశ్వసనీయతను పెంచడం గురించి మీరు ఆలోచిస్తున్నట్లయితే, HA, వాస్తవానికి, సిఫార్సు చేయబడిన పరిష్కారాలలో ఒకటి, కానీ మీరు దానితో సంబంధం ఉన్న ప్రతికూలతలను కూడా పరిగణనలోకి తీసుకోవాలి. ఈ విధానంతో మరియు, బహుశా, ప్రత్యేకంగా మీ నెట్‌వర్క్ కోసం, మరొక పరిష్కారం మరింత అనుకూలంగా ఉంటుంది.

నిర్వహణ సామర్థ్యం

సూత్రప్రాయంగా, HA నియంత్రణకు సంబంధించినది. 2 పెట్టెలను విడివిడిగా కాన్ఫిగర్ చేసి, కాన్ఫిగరేషన్‌లను సింక్‌లో ఉంచడంలో సమస్యతో వ్యవహరించే బదులు, మీరు వాటిని ఒక పరికరాన్ని కలిగి ఉన్నట్లే నిర్వహిస్తారు.

కానీ మీకు చాలా డేటా సెంటర్లు మరియు అనేక ఫైర్‌వాల్‌లు ఉండవచ్చు, అప్పుడు ఈ ప్రశ్న కొత్త స్థాయిలో తలెత్తుతుంది. మరియు ప్రశ్న కాన్ఫిగరేషన్ గురించి మాత్రమే కాదు, దాని గురించి కూడా

  • బ్యాకప్ కాన్ఫిగరేషన్‌లు
  • నవీకరణలు
  • నవీకరణలు
  • పర్యవేక్షణ
  • లాగింగ్

మరియు ఇవన్నీ కేంద్రీకృత నిర్వహణ వ్యవస్థల ద్వారా పరిష్కరించబడతాయి.

కాబట్టి, ఉదాహరణకు, మీరు పాలో ఆల్టో ఫైర్‌వాల్‌లను ఉపయోగిస్తుంటే, అప్పుడు పనోరమా అటువంటి పరిష్కారం.

కొనసాగించాలి.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి