ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్వర్క్ భద్రత. ప్రథమ భాగము
మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి. అధ్యాయం మూడు. నెట్వర్క్ భద్రత. ప్రథమ భాగము
ఈ కథనం “మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్ను ఎలా నియంత్రించాలి” అనే కథనాల శ్రేణిలో మూడవది. సిరీస్లోని అన్ని కథనాల కంటెంట్లు మరియు లింక్లను కనుగొనవచ్చు ఇక్కడ.
భద్రతా ప్రమాదాలను పూర్తిగా తొలగించడం గురించి మాట్లాడటంలో అర్థం లేదు. సూత్రప్రాయంగా, మేము వాటిని సున్నాకి తగ్గించలేము. మేము నెట్వర్క్ను మరింత సురక్షితమైనదిగా చేయడానికి ప్రయత్నిస్తున్నప్పుడు, మా పరిష్కారాలు మరింత ఖరీదైనవిగా మారుతున్నాయని కూడా మనం అర్థం చేసుకోవాలి. మీరు మీ నెట్వర్క్కు అర్ధమయ్యే ఖర్చు, సంక్లిష్టత మరియు భద్రత మధ్య ట్రేడ్-ఆఫ్ను కనుగొనాలి.
వాస్తవానికి, భద్రతా రూపకల్పన మొత్తం నిర్మాణంలో సేంద్రీయంగా విలీనం చేయబడింది మరియు ఉపయోగించిన భద్రతా పరిష్కారాలు నెట్వర్క్ అవస్థాపన యొక్క స్కేలబిలిటీ, విశ్వసనీయత, నిర్వహణ, ...ని ప్రభావితం చేస్తాయి, వీటిని కూడా పరిగణనలోకి తీసుకోవాలి.
కానీ ఇప్పుడు మనం నెట్వర్క్ని సృష్టించడం గురించి మాట్లాడటం లేదని నేను మీకు గుర్తు చేస్తాను. మా ప్రకారం ప్రారంభ పరిస్థితులు మేము ఇప్పటికే డిజైన్ను ఎంచుకున్నాము, పరికరాలను ఎంచుకున్నాము మరియు అవస్థాపనను సృష్టించాము మరియు ఈ దశలో, వీలైతే, మనం "జీవించాలి" మరియు గతంలో ఎంచుకున్న విధానం యొక్క సందర్భంలో పరిష్కారాలను కనుగొనాలి.
నెట్వర్క్ స్థాయిలో భద్రతకు సంబంధించిన నష్టాలను గుర్తించడం మరియు వాటిని సహేతుకమైన స్థాయికి తగ్గించడం ఇప్పుడు మా పని.
నెట్వర్క్ సెక్యూరిటీ ఆడిట్
మీ సంస్థ ISO 27k ప్రక్రియలను అమలు చేసినట్లయితే, భద్రతా ఆడిట్లు మరియు నెట్వర్క్ మార్పులు ఈ విధానంలోని మొత్తం ప్రక్రియలకు సజావుగా సరిపోతాయి. కానీ ఈ ప్రమాణాలు ఇప్పటికీ నిర్దిష్ట పరిష్కారాల గురించి కాదు, కాన్ఫిగరేషన్ గురించి కాదు, డిజైన్ గురించి కాదు... స్పష్టమైన-కట్ సలహాలు లేవు, మీ నెట్వర్క్ ఎలా ఉండాలో వివరంగా నిర్దేశించే ప్రమాణాలు లేవు, ఇది ఈ టాస్క్ యొక్క సంక్లిష్టత మరియు అందం.
నేను అనేక నెట్వర్క్ భద్రతా తనిఖీలను హైలైట్ చేస్తాను:
పరికరాల కాన్ఫిగరేషన్ ఆడిట్ (గట్టిపడటం)
భద్రతా డిజైన్ ఆడిట్
యాక్సెస్ ఆడిట్
ప్రక్రియ ఆడిట్
సామగ్రి కాన్ఫిగరేషన్ ఆడిట్ (గట్టిపడటం)
మీ నెట్వర్క్ భద్రతను ఆడిట్ చేయడానికి మరియు మెరుగుపరచడానికి చాలా సందర్భాలలో ఇది ఉత్తమ ప్రారంభ స్థానం అని తెలుస్తోంది. IMHO, ఇది పారెటో నియమానికి మంచి ప్రదర్శన (20% ప్రయత్నం 80% ఫలితాన్ని ఉత్పత్తి చేస్తుంది మరియు మిగిలిన 80% ప్రయత్నం 20% ఫలితాన్ని మాత్రమే ఉత్పత్తి చేస్తుంది).
బాటమ్ లైన్ ఏమిటంటే, పరికరాలను కాన్ఫిగర్ చేసేటప్పుడు భద్రత కోసం "ఉత్తమ పద్ధతులు" గురించి విక్రేతల నుండి మేము సాధారణంగా సిఫార్సులను కలిగి ఉంటాము. దీనిని "గట్టిపడటం" అంటారు.
ఈ సిఫార్సుల ఆధారంగా మీరు తరచుగా ప్రశ్నాపత్రాన్ని (లేదా మీరే సృష్టించుకోండి) కనుగొనవచ్చు, ఇది మీ పరికరాల కాన్ఫిగరేషన్ ఈ “ఉత్తమ అభ్యాసాలకు” ఎంతవరకు కట్టుబడి ఉందో గుర్తించడంలో మీకు సహాయపడుతుంది మరియు ఫలితానికి అనుగుణంగా, మీ నెట్వర్క్లో మార్పులు చేస్తుంది. . ఇది ఎటువంటి ఖర్చు లేకుండా చాలా సులభంగా భద్రతా ప్రమాదాలను గణనీయంగా తగ్గించడానికి మిమ్మల్ని అనుమతిస్తుంది.
కొన్ని సిస్కో ఆపరేటింగ్ సిస్టమ్లకు అనేక ఉదాహరణలు.
ఈ పత్రాల ఆధారంగా, ప్రతి రకమైన పరికరాల కోసం కాన్ఫిగరేషన్ అవసరాల జాబితాను సృష్టించవచ్చు. ఉదాహరణకు, Cisco N7K VDC కోసం ఈ అవసరాలు ఇలా ఉండవచ్చు కాబట్టి.
ఈ విధంగా, మీ నెట్వర్క్ ఇన్ఫ్రాస్ట్రక్చర్లో వివిధ రకాల క్రియాశీల పరికరాల కోసం కాన్ఫిగరేషన్ ఫైల్లను సృష్టించవచ్చు. తర్వాత, మాన్యువల్గా లేదా ఆటోమేషన్ని ఉపయోగించి, మీరు ఈ కాన్ఫిగరేషన్ ఫైల్లను "అప్లోడ్" చేయవచ్చు. ఈ ప్రక్రియను ఆటోమేట్ చేయడం ఎలా అనేది ఆర్కెస్ట్రేషన్ మరియు ఆటోమేషన్పై కథనాల యొక్క మరొక సిరీస్లో వివరంగా చర్చించబడుతుంది.
సెక్యూరిటీ డిజైన్ ఆడిట్
సాధారణంగా, ఎంటర్ప్రైజ్ నెట్వర్క్ కింది విభాగాలను ఒక రూపంలో లేదా మరొక రూపంలో కలిగి ఉంటుంది:
DC (పబ్లిక్ సర్వీసెస్ DMZ మరియు ఇంట్రానెట్ డేటా సెంటర్)
ఇంటర్నెట్ సదుపాయం
రిమోట్ యాక్సెస్ VPN
WAN అంచు
బ్రాంచ్
క్యాంపస్ (కార్యాలయం)
కోర్
నుండి తీసుకోబడిన శీర్షికలు సిస్కో సేఫ్ మోడల్, కానీ ఈ పేర్లకు మరియు ఈ మోడల్కు ఖచ్చితంగా జతచేయడం అవసరం లేదు. ఇంకా, నేను సారాంశం గురించి మాట్లాడాలనుకుంటున్నాను మరియు ఫార్మాలిటీలలో కూరుకుపోకూడదు.
ఈ సెగ్మెంట్లలో ప్రతిదానికి, భద్రతా అవసరాలు, నష్టాలు మరియు, తదనుగుణంగా, పరిష్కారాలు భిన్నంగా ఉంటాయి.
భద్రతా రూపకల్పన కోణం నుండి మీరు ఎదుర్కొనే సమస్యల కోసం వాటిలో ప్రతి ఒక్కటి విడిగా చూద్దాం. వాస్తవానికి, ఈ వ్యాసం పూర్తి చేసినట్లు నటించదని నేను మళ్ళీ పునరావృతం చేస్తున్నాను, ఇది నిజంగా లోతైన మరియు బహుముఖ అంశంలో సాధించడం సులభం కాదు (అసాధ్యం కాకపోతే), కానీ ఇది నా వ్యక్తిగత అనుభవాన్ని ప్రతిబింబిస్తుంది.
ఖచ్చితమైన పరిష్కారం లేదు (కనీసం ఇంకా లేదు). ఇది ఎల్లప్పుడూ ఒక రాజీ. కానీ ఒక విధానాన్ని లేదా మరొక విధానాన్ని ఉపయోగించాలనే నిర్ణయం దాని లాభాలు మరియు నష్టాలు రెండింటినీ అర్థం చేసుకోవడంతో స్పృహతో తీసుకోవడం చాలా ముఖ్యం.
డేటా సెంటర్
భద్రతా కోణం నుండి అత్యంత క్లిష్టమైన విభాగం.
మరియు, ఎప్పటిలాగే, ఇక్కడ కూడా సార్వత్రిక పరిష్కారం లేదు. ఇది అన్ని నెట్వర్క్ అవసరాలపై ఎక్కువగా ఆధారపడి ఉంటుంది.
ఫైర్వాల్ అవసరమా లేదా?
సమాధానం స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది, కానీ ప్రతిదీ కనిపించేంత స్పష్టంగా లేదు. మరియు మీ ఎంపిక మాత్రమే ప్రభావితం చేయవచ్చు ధర.
ఉదాహరణకు 1. ఆలస్యమవుతుంది.
కొన్ని నెట్వర్క్ సెగ్మెంట్ల మధ్య తక్కువ జాప్యం తప్పనిసరి అవసరం అయితే, ఉదాహరణకు, ఎక్స్ఛేంజ్ విషయంలో ఇది నిజం, అప్పుడు మేము ఈ విభాగాల మధ్య ఫైర్వాల్లను ఉపయోగించలేము. ఫైర్వాల్లలో జాప్యంపై అధ్యయనాలను కనుగొనడం కష్టం, కానీ కొన్ని స్విచ్ మోడల్లు 1 mksec కంటే తక్కువ లేదా క్రమాన్ని అందించగలవు, కాబట్టి మైక్రోసెకన్లు మీకు ముఖ్యమైనవి అయితే, ఫైర్వాల్లు మీ కోసం కాదని నేను భావిస్తున్నాను.
ఉదాహరణకు 2. ప్రదర్శన.
టాప్ L3 స్విచ్ల నిర్గమాంశ సాధారణంగా అత్యంత శక్తివంతమైన ఫైర్వాల్ల త్రూపుట్ కంటే ఎక్కువ పరిమాణంలో ఉంటుంది. అందువల్ల, అధిక-తీవ్రత ట్రాఫిక్ విషయంలో, ఫైర్వాల్లను దాటవేయడానికి మీరు ఈ ట్రాఫిక్ను అనుమతించవలసి ఉంటుంది.
ఉదాహరణకు 3. విశ్వసనీయత.
ఫైర్వాల్లు, ముఖ్యంగా ఆధునిక NGFW (నెక్స్ట్-జనరేషన్ FW) సంక్లిష్ట పరికరాలు. అవి L3/L2 స్విచ్ల కంటే చాలా క్లిష్టంగా ఉంటాయి. వారు పెద్ద సంఖ్యలో సేవలు మరియు కాన్ఫిగరేషన్ ఎంపికలను అందిస్తారు, కాబట్టి వారి విశ్వసనీయత చాలా తక్కువగా ఉండటంలో ఆశ్చర్యం లేదు. సేవా కొనసాగింపు నెట్వర్క్కు కీలకం అయితే, మీరు మెరుగైన లభ్యతకు దారితీసే వాటిని ఎంచుకోవలసి ఉంటుంది - ఫైర్వాల్తో భద్రత లేదా సాధారణ ACLలను ఉపయోగించి స్విచ్లపై (లేదా వివిధ రకాల ఫాబ్రిక్లు) నిర్మించిన నెట్వర్క్ యొక్క సరళత.
పై ఉదాహరణల విషయంలో, మీరు చాలా మటుకు (ఎప్పటిలాగే) రాజీని కనుగొనవలసి ఉంటుంది. కింది పరిష్కారాల వైపు చూడండి:
మీరు డేటా సెంటర్ లోపల ఫైర్వాల్లను ఉపయోగించకూడదని నిర్ణయించుకుంటే, చుట్టుకొలత చుట్టూ యాక్సెస్ను వీలైనంత వరకు ఎలా పరిమితం చేయాలో మీరు ఆలోచించాలి. ఉదాహరణకు, మీరు ఇంటర్నెట్ నుండి అవసరమైన పోర్ట్లను మాత్రమే తెరవగలరు (క్లయింట్ ట్రాఫిక్ కోసం) మరియు జంప్ హోస్ట్ల నుండి మాత్రమే డేటా సెంటర్కు అడ్మినిస్ట్రేటివ్ యాక్సెస్. జంప్ హోస్ట్లలో, అవసరమైన అన్ని తనిఖీలను నిర్వహించండి (ప్రామాణీకరణ/ప్రామాణీకరణ, యాంటీవైరస్, లాగింగ్, ...)
మీరు PSEFABRICలో వివరించిన పథకం వలె డేటా సెంటర్ నెట్వర్క్ యొక్క తార్కిక విభజనను విభాగాలుగా ఉపయోగించవచ్చు ఉదాహరణ p002. ఈ సందర్భంలో, ఆలస్యం-సెన్సిటివ్ లేదా అధిక-తీవ్రత ట్రాఫిక్ ఒక విభాగంలో (p002, VRF విషయంలో) "లోపల" వెళ్లే విధంగా మరియు ఫైర్వాల్ గుండా వెళ్లకుండా రూటింగ్ తప్పనిసరిగా కాన్ఫిగర్ చేయబడాలి. వివిధ విభాగాల మధ్య ట్రాఫిక్ ఫైర్వాల్ ద్వారా కొనసాగుతుంది. ఫైర్వాల్ ద్వారా ట్రాఫిక్ను దారి మళ్లించడాన్ని నివారించడానికి మీరు VRFల మధ్య లీక్ అయ్యే మార్గాన్ని కూడా ఉపయోగించవచ్చు
మీరు ఫైర్వాల్ను పారదర్శక మోడ్లో కూడా ఉపయోగించవచ్చు మరియు ఈ కారకాలు (జాప్యం/పనితీరు) గణనీయంగా లేని VLANల కోసం మాత్రమే ఉపయోగించవచ్చు. కానీ మీరు ప్రతి విక్రేత కోసం ఈ మోడ్ యొక్క ఉపయోగంతో అనుబంధించబడిన పరిమితులను జాగ్రత్తగా అధ్యయనం చేయాలి
మీరు సర్వీస్ చైన్ ఆర్కిటెక్చర్ని ఉపయోగించడాన్ని పరిగణించాలనుకోవచ్చు. ఇది అవసరమైన ట్రాఫిక్ను మాత్రమే ఫైర్వాల్ గుండా వెళ్ళడానికి అనుమతిస్తుంది. సిద్ధాంతపరంగా బాగుంది, కానీ నేను ఉత్పత్తిలో ఈ పరిష్కారాన్ని ఎప్పుడూ చూడలేదు. మేము సుమారు 5 సంవత్సరాల క్రితం Cisco ACI/Juniper SRX/F3 LTM కోసం సర్వీస్ చైన్ని పరీక్షించాము, కానీ ఆ సమయంలో ఈ పరిష్కారం మాకు "ముడి"గా అనిపించింది.
రక్షణ స్థాయి
ఇప్పుడు మీరు ట్రాఫిక్ను ఫిల్టర్ చేయడానికి ఏ సాధనాలను ఉపయోగించాలనుకుంటున్నారు అనే ప్రశ్నకు సమాధానం ఇవ్వాలి. NGFWలో సాధారణంగా ఉండే కొన్ని ఫీచర్లు ఇక్కడ ఉన్నాయి (ఉదాహరణకు, ఇక్కడ):
స్టేట్ఫుల్ ఫైర్వాల్లింగ్ (డిఫాల్ట్)
అప్లికేషన్ ఫైర్వాల్లింగ్
ముప్పు నివారణ (యాంటీవైరస్, యాంటీ-స్పైవేర్ మరియు దుర్బలత్వం)
URL ఫిల్టరింగ్
డేటా ఫిల్టరింగ్ (కంటెంట్ ఫిల్టరింగ్)
ఫైల్ బ్లాకింగ్ (ఫైల్ రకాలు నిరోధించడం)
రక్షణ
మరియు ప్రతిదీ స్పష్టంగా లేదు. రక్షణ స్థాయి ఎంత ఎక్కువ ఉంటే అంత మంచిది అని అనిపిస్తుంది. కానీ మీరు దానిని కూడా పరిగణించాలి
మీరు పైన పేర్కొన్న ఫైర్వాల్ ఫంక్షన్లను ఎంత ఎక్కువగా ఉపయోగిస్తే, అది సహజంగానే ఖరీదైనది (లైసెన్సులు, అదనపు మాడ్యూల్స్)
కొన్ని అల్గారిథమ్ల ఉపయోగం ఫైర్వాల్ నిర్గమాంశను గణనీయంగా తగ్గిస్తుంది మరియు ఆలస్యాన్ని కూడా పెంచుతుంది, ఉదాహరణకు చూడండి ఇక్కడ
ఏదైనా సంక్లిష్ట పరిష్కారం వలె, సంక్లిష్ట రక్షణ పద్ధతుల ఉపయోగం మీ పరిష్కారం యొక్క విశ్వసనీయతను తగ్గిస్తుంది, ఉదాహరణకు, అప్లికేషన్ ఫైర్వాల్లింగ్ని ఉపయోగిస్తున్నప్పుడు, నేను కొన్ని ప్రామాణికమైన పని చేసే అప్లికేషన్లను నిరోధించడాన్ని ఎదుర్కొన్నాను (dns, smb)
ఎప్పటిలాగే, మీరు మీ నెట్వర్క్ కోసం ఉత్తమ పరిష్కారాన్ని కనుగొనాలి.
ఏ రక్షణ విధులు అవసరమవుతాయి అనే ప్రశ్నకు ఖచ్చితంగా సమాధానం ఇవ్వడం అసాధ్యం. మొదటిది, ఎందుకంటే ఇది మీరు ప్రసారం చేస్తున్న లేదా నిల్వ చేసే మరియు రక్షించడానికి ప్రయత్నిస్తున్న డేటాపై ఆధారపడి ఉంటుంది. రెండవది, వాస్తవానికి, తరచుగా భద్రతా సాధనాల ఎంపిక విక్రేతపై విశ్వాసం మరియు విశ్వాసానికి సంబంధించిన విషయం. మీకు అల్గారిథమ్లు తెలియవు, అవి ఎంత ప్రభావవంతంగా ఉన్నాయో మీకు తెలియదు మరియు మీరు వాటిని పూర్తిగా పరీక్షించలేరు.
అందువల్ల, క్లిష్టమైన విభాగాలలో, వివిధ కంపెనీల ఆఫర్లను ఉపయోగించడం మంచి పరిష్కారం. ఉదాహరణకు, మీరు ఫైర్వాల్పై యాంటీవైరస్ని ప్రారంభించవచ్చు, కానీ స్థానికంగా హోస్ట్లలో యాంటీవైరస్ రక్షణను (మరొక తయారీదారు నుండి) ఉపయోగించవచ్చు.
విభజన
మేము డేటా సెంటర్ నెట్వర్క్ యొక్క లాజికల్ సెగ్మెంటేషన్ గురించి మాట్లాడుతున్నాము. ఉదాహరణకు, VLANలు మరియు సబ్నెట్లలోకి విభజన చేయడం కూడా లాజికల్ సెగ్మెంటేషన్, కానీ దాని స్పష్టమైన కారణంగా మేము దానిని పరిగణించము. FW సెక్యూరిటీ జోన్లు, VRFలు (మరియు వివిధ విక్రేతలకు సంబంధించి వాటి అనలాగ్లు), లాజికల్ పరికరాలు (PA VSYS, Cisco N7K VDC, Cisco ACI టెనెంట్, ...), వంటి ఎంటిటీలను పరిగణనలోకి తీసుకుని ఆసక్తికరమైన విభజన
అటువంటి లాజికల్ సెగ్మెంటేషన్ మరియు ప్రస్తుతం డిమాండ్లో ఉన్న డేటా సెంటర్ డిజైన్కి ఉదాహరణ ఇవ్వబడింది PSEFABRIC ప్రాజెక్ట్ యొక్క p002.
మీ నెట్వర్క్ యొక్క తార్కిక భాగాలను నిర్వచించిన తర్వాత, వివిధ విభాగాల మధ్య ట్రాఫిక్ ఎలా కదులుతుందో, ఏ పరికరాలపై ఫిల్టరింగ్ నిర్వహించబడుతుందో మరియు ఏ మార్గాల ద్వారా మీరు వివరించవచ్చు.
మీ నెట్వర్క్కు స్పష్టమైన తార్కిక విభజన లేనట్లయితే మరియు వివిధ డేటా ప్రవాహాల కోసం భద్రతా విధానాలను వర్తింపజేయడానికి నియమాలు అధికారికీకరించబడకపోతే, మీరు ఈ లేదా ఆ యాక్సెస్ని తెరిచినప్పుడు, మీరు ఈ సమస్యను పరిష్కరించవలసి వస్తుంది మరియు అధిక సంభావ్యతతో మీరు ప్రతిసారీ విభిన్నంగా పరిష్కరిస్తుంది.
తరచుగా విభజన FW భద్రతా మండలాలపై మాత్రమే ఆధారపడి ఉంటుంది. అప్పుడు మీరు ఈ క్రింది ప్రశ్నలకు సమాధానం ఇవ్వాలి:
మీకు ఏ భద్రతా మండలాలు అవసరం
మీరు ఈ జోన్లలో ప్రతిదానికి ఏ స్థాయి రక్షణను వర్తింపజేయాలనుకుంటున్నారు
డిఫాల్ట్గా ఇంట్రా-జోన్ ట్రాఫిక్ అనుమతించబడుతుందా?
కాకపోతే, ప్రతి జోన్లో ఎలాంటి ట్రాఫిక్ ఫిల్టరింగ్ విధానాలు వర్తింపజేయబడతాయి
ప్రతి జత జోన్లకు ఏ ట్రాఫిక్ ఫిల్టరింగ్ విధానాలు వర్తించబడతాయి (మూలం/గమ్యం)
TCAM
రూటింగ్ మరియు యాక్సెస్ల కోసం తగినంత TCAM (టెర్నరీ కంటెంట్ అడ్రస్ చేయగల మెమరీ) ఒక సాధారణ సమస్య. IMHO, పరికరాలను ఎన్నుకునేటప్పుడు ఇది చాలా ముఖ్యమైన సమస్యలలో ఒకటి, కాబట్టి మీరు ఈ సమస్యను తగిన స్థాయి సంరక్షణతో చికిత్స చేయాలి.
ఉదాహరణ 1. ఫార్వార్డింగ్ టేబుల్ TCAM.
పరిగణలోకి తీసుకుందాం పాలో ఆల్టో 7 కె ఫైర్వాల్
మేము IPv4 ఫార్వార్డింగ్ టేబుల్ పరిమాణం* = 32K అని చూస్తాము
అంతేకాకుండా, అన్ని VSYSలకు ఈ సంఖ్యలో మార్గాలు సాధారణం.
మీ డిజైన్ ప్రకారం మీరు 4 VSYSని ఉపయోగించాలని నిర్ణయించుకున్నారని అనుకుందాం.
ఈ VSYSలలో ప్రతి ఒక్కటి BGP ద్వారా మీరు BBగా ఉపయోగించే క్లౌడ్ యొక్క రెండు MPLS PEలకు కనెక్ట్ చేయబడింది. ఈ విధంగా, 4 VSYS అన్ని నిర్దిష్ట మార్గాలను ఒకదానితో ఒకటి మార్పిడి చేసుకుంటాయి మరియు దాదాపు ఒకే రకమైన మార్గాలతో (కానీ వేర్వేరు NHలు) ఫార్వార్డింగ్ పట్టికను కలిగి ఉంటాయి. ఎందుకంటే ప్రతి VSYS 2 BGP సెషన్లను కలిగి ఉంటుంది (అదే సెట్టింగ్లతో), ఆపై MPLS ద్వారా స్వీకరించబడిన ప్రతి మార్గం 2 NHని కలిగి ఉంటుంది మరియు తదనుగుణంగా, ఫార్వార్డింగ్ టేబుల్లో 2 FIB ఎంట్రీలు ఉంటాయి. డేటా సెంటర్లో ఇది మాత్రమే ఫైర్వాల్ అని మరియు ఇది అన్ని మార్గాల గురించి తెలుసుకోవాలని మేము అనుకుంటే, మా డేటా సెంటర్లోని మొత్తం మార్గాల సంఖ్య 32K/(4 * 2) = 4K కంటే ఎక్కువ ఉండకూడదని దీని అర్థం.
ఇప్పుడు, మనకు 2 డేటా సెంటర్లు (అదే డిజైన్తో) ఉన్నాయని ఊహిస్తే మరియు డేటా సెంటర్ల మధ్య VLANలను "విస్తరించిన" (ఉదాహరణకు, vMotion కోసం) ఉపయోగించాలనుకుంటే, రూటింగ్ సమస్యను పరిష్కరించడానికి, మేము తప్పనిసరిగా హోస్ట్ మార్గాలను ఉపయోగించాలి . కానీ దీనర్థం 2 డేటా సెంటర్ల కోసం మనకు 4096 కంటే ఎక్కువ హోస్ట్లు ఉండవు మరియు ఇది సరిపోకపోవచ్చు.
ఉదాహరణ 2. ACL TCAM.
మీరు L3 స్విచ్లపై (లేదా L3 స్విచ్లను ఉపయోగించే ఇతర పరిష్కారాలు, ఉదాహరణకు, సిస్కో ACI) ట్రాఫిక్ను ఫిల్టర్ చేయాలని ప్లాన్ చేస్తే, అప్పుడు పరికరాలను ఎన్నుకునేటప్పుడు మీరు TCAM ACLకి శ్రద్ధ వహించాలి.
మీరు Cisco Catalyst 4500 యొక్క SVI ఇంటర్ఫేస్లపై యాక్సెస్ని నియంత్రించాలనుకుంటున్నారని అనుకుందాం. తర్వాత, దీని నుండి చూడవచ్చు ఈ వ్యాసం, ఇంటర్ఫేస్లలో అవుట్గోయింగ్ (అలాగే ఇన్కమింగ్) ట్రాఫిక్ను నియంత్రించడానికి, మీరు 4096 TCAM లైన్లను మాత్రమే ఉపయోగించవచ్చు. TCAM3ని ఉపయోగిస్తున్నప్పుడు మీకు దాదాపు 4000 వేల ACEలు (ACL లైన్లు) లభిస్తాయి.
మీరు తగినంత TCAM సమస్యను ఎదుర్కొంటే, మొదటగా, మీరు ఆప్టిమైజేషన్ యొక్క అవకాశాన్ని పరిగణించాలి. కాబట్టి, ఫార్వార్డింగ్ టేబుల్ పరిమాణంలో సమస్య ఉన్నట్లయితే, మీరు మార్గాలను సమగ్రపరిచే అవకాశాన్ని పరిగణించాలి. యాక్సెస్లు, ఆడిట్ యాక్సెస్ల కోసం TCAM పరిమాణంలో సమస్య ఉన్నట్లయితే, పాత మరియు అతివ్యాప్తి చెందుతున్న రికార్డులను తీసివేయండి మరియు యాక్సెస్లను తెరవడం కోసం ప్రక్రియను సవరించవచ్చు (ఆడిటింగ్ యాక్సెస్లపై అధ్యాయంలో వివరంగా చర్చించబడుతుంది).
అధిక లభ్యత
ప్రశ్న ఏమిటంటే: నేను ఫైర్వాల్ల కోసం HAని ఉపయోగించాలా లేదా "సమాంతరంగా" రెండు స్వతంత్ర పెట్టెలను ఇన్స్టాల్ చేయాలా మరియు వాటిలో ఒకటి విఫలమైతే, ట్రాఫిక్ను రెండవదాని ద్వారా మార్చాలా?
సమాధానం స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది - HA ఉపయోగించండి. ఈ ప్రశ్న ఇప్పటికీ తలెత్తడానికి కారణం, దురదృష్టవశాత్తూ, సైద్ధాంతిక మరియు ప్రకటనలు 99 మరియు ఆచరణలో ప్రాప్యత యొక్క అనేక దశాంశ శాతాలు చాలా రోజీకి దూరంగా ఉన్నాయి. HA అనేది తార్కికంగా చాలా క్లిష్టమైన విషయం, మరియు వివిధ పరికరాలలో మరియు వివిధ విక్రేతలతో (మినహాయింపులు లేవు), మేము సమస్యలు మరియు బగ్లు మరియు సర్వీస్ స్టాప్లను గుర్తించాము.
మీరు HA ఉపయోగిస్తే, మీకు వ్యక్తిగత నోడ్లను ఆఫ్ చేయడానికి, సేవను ఆపకుండా వాటి మధ్య మారడానికి మీకు అవకాశం ఉంటుంది, ఇది ముఖ్యమైనది, ఉదాహరణకు, నవీకరణలు చేసేటప్పుడు, కానీ అదే సమయంలో మీరు రెండు నోడ్ల సున్నా సంభావ్యతకు దూరంగా ఉంటారు అదే సమయంలో విరిగిపోతుంది మరియు తదుపరి అప్గ్రేడ్ విక్రేత వాగ్దానం చేసినంత సాఫీగా జరగదు (ప్రయోగశాల పరికరాలపై అప్గ్రేడ్ని పరీక్షించడానికి మీకు అవకాశం ఉంటే ఈ సమస్యను నివారించవచ్చు).
మీరు HAను ఉపయోగించకుంటే, డబుల్ ఫెయిల్యూర్ దృష్ట్యా మీ నష్టాలు చాలా తక్కువగా ఉంటాయి (మీకు 2 స్వతంత్ర ఫైర్వాల్లు ఉన్నందున), కానీ... సెషన్లు సమకాలీకరించబడవు, ఆపై మీరు ఈ ఫైర్వాల్ల మధ్య మారిన ప్రతిసారీ మీరు ట్రాఫిక్ను కోల్పోతారు. మీరు స్టేట్లెస్ ఫైర్వాల్లింగ్ని ఉపయోగించవచ్చు, కానీ అప్పుడు ఫైర్వాల్ను ఉపయోగించడం యొక్క పాయింట్ ఎక్కువగా పోతుంది.
అందువల్ల, ఆడిట్ ఫలితంగా మీరు ఒంటరి ఫైర్వాల్లను కనుగొన్నట్లయితే మరియు మీ నెట్వర్క్ యొక్క విశ్వసనీయతను పెంచడం గురించి మీరు ఆలోచిస్తున్నట్లయితే, HA, వాస్తవానికి, సిఫార్సు చేయబడిన పరిష్కారాలలో ఒకటి, కానీ మీరు దానితో సంబంధం ఉన్న ప్రతికూలతలను కూడా పరిగణనలోకి తీసుకోవాలి. ఈ విధానంతో మరియు, బహుశా, ప్రత్యేకంగా మీ నెట్వర్క్ కోసం, మరొక పరిష్కారం మరింత అనుకూలంగా ఉంటుంది.
నిర్వహణ సామర్థ్యం
సూత్రప్రాయంగా, HA నియంత్రణకు సంబంధించినది. 2 పెట్టెలను విడివిడిగా కాన్ఫిగర్ చేసి, కాన్ఫిగరేషన్లను సింక్లో ఉంచడంలో సమస్యతో వ్యవహరించే బదులు, మీరు వాటిని ఒక పరికరాన్ని కలిగి ఉన్నట్లే నిర్వహిస్తారు.
కానీ మీకు చాలా డేటా సెంటర్లు మరియు అనేక ఫైర్వాల్లు ఉండవచ్చు, అప్పుడు ఈ ప్రశ్న కొత్త స్థాయిలో తలెత్తుతుంది. మరియు ప్రశ్న కాన్ఫిగరేషన్ గురించి మాత్రమే కాదు, దాని గురించి కూడా
బ్యాకప్ కాన్ఫిగరేషన్లు
నవీకరణలు
నవీకరణలు
పర్యవేక్షణ
లాగింగ్
మరియు ఇవన్నీ కేంద్రీకృత నిర్వహణ వ్యవస్థల ద్వారా పరిష్కరించబడతాయి.
కాబట్టి, ఉదాహరణకు, మీరు పాలో ఆల్టో ఫైర్వాల్లను ఉపయోగిస్తుంటే, అప్పుడు పనోరమా అటువంటి పరిష్కారం.