网络 – Cisco ASA和多个VLAN

我目前管理6个Cisco ASA设备(2对5510和1对5550).它们都工作得非常好而且稳定,所以这更像是一个最佳实践建议问题,而不是“OMG它已经破坏了帮助我解决它”.

我的网络分为多个VLAN.几乎每个服务角色都有自己的VLAN,因此数据库服务器将拥有自己的VLAN,APP服务器和Cassandra节点.

流量管理仅允许特定的,拒绝休息基础(因此默认策略是放弃所有流量).我这样做是通过为每个网络接口创建两个ACL,例如:

> access-list dc2-850-db-in ACL,以“in”方向应用于dc2-850-db接口
> access-list dc2-850-db-out以“out”方向应用于dc2-850-db接口的ACL

这一切都非常紧张并按预期工作,但我想知道这是否是最好的方式去?目前我已经达到了我有超过30个VLAN的地步,我必须说它在某些方面变得有点混乱来管理它们.

可能像普通/共享ACL这样的东西可以帮助我从其他ACL继承,但AFAIK没有这样的东西……

任何建议都非常感谢.

最佳答案
对于您有Cisco ASA设备(2对5510和1对5550).这意味着您正在远离使用acls的数据包过滤,并转向ASA中基于防火墙区域的技术.

创建类映射,策略映射和服务策略.

网络对象将让您的生活更轻松.

防火墙技术的趋势是

包过滤 – 包检测 – ip检查(状态检查) – Zonebasedfirewall

这些技术随着面积的增加而变得更加混乱.

有一本书,你可能想阅读.

意外的行政人员 – 这真的对我很有帮助.

看看它并从两个不同的方向移动.

使用ASA你应该没有问题.

在过去,我做了800系列ip检查和ZBF,然后比较了它们的优点,他们在ASA中使用相同的技术从包过滤到高级ip检查.

转载注明原文:网络 – Cisco ASA和多个VLAN - 代码日志