Para el acceso remoto (RA) y LAN-to-LAN (L2L) VPN , actualmente opero un par de concentradores Cisco VPN 3005 conectados a enrutadores de borde de Internet en el exterior y el interior atado a un par interno de PIX 535 en lo que es el cortafuegos fuera de la interfaz antes de poder pasar a nuestras redes internas reales. Tanto la VPN 3005 como la PIX 535 están siendo reemplazadas por la plataforma ASA-5545X. Estos firewalls no son para nuestro tráfico primario de Internet, solo VPN, y también pueden servir como firewalls internos para el tráfico que ingresa al centro de datos a través de líneas privadas.
Con las ACL del firewall interno combinadas en un solo firewall que sirve el tráfico VPN y potencialmente otro tráfico de línea privada, para los límites de seguridad y para eliminar cualquier posible problema de enrutamiento, si la interfaz interna del firewall VPN (5545) permanece en una subred separada desde el firewall principal de Internet o realmente no importa? OSPF se está ejecutando actualmente en el firewall de Internet (w / default-originate) y la VPN 3005. Como este centro de datos es nuestro DC principal para el tráfico web, nuestro pan y mantequilla, debo eliminar cualquier problema potencial con la colocación del Cortafuegos de VPN que podrían interferir con esto incluso de la manera más leve.
** Si la interfaz interna del 5545 aterriza primero en los conmutadores de borde L2 y luego se conecta a los conmutadores agg para una mayor seguridad o simplemente deja que el interior caiga directamente en la capa Agg, también teniendo en cuenta que el tráfico de línea privada puede pasar por otra interfaz en el 5545 en el futuro.
Solo las partes relevantes de la conectividad L3 se muestran a continuación con el ASA-5545X * que está en cuestión.
Internet El | Edge rtr + Edge rtr El | 5545 * (VPN / Internal fw) + 5540 (Internet fw para tráfico de entrada / salida DC) El | Agg-1 + Agg-2 El | etc. Un par de interruptores L2 conectan todos los dispositivos de borde antes de llegar a los interruptores Agg. Espacio público de IP fuera de los firewalls, privado en el interior. (Cada firewall es parte de un par de conmutación por error diferente que no se muestra; los 5545 y 5540 no tener interacción)
Buscando respuestas / comentarios que podrían considerarse mejores prácticas o lo que ha encontrado funciona mejor en una red empresarial típica.