Tengo 2 sitios del Centro de control, cada uno con 2 N7K en un diseño de malla completa y 2 Nexus 5548UP como agregación de granja de servidores internos y 2 firewalls ASA que cuelgan de cada Agg N5K. Ambos sitios tienen un diseño de imagen espejo. Tenemos usuarios que necesitan acceso directo a las aplicaciones internas de la granja de servidores y también necesitamos un límite de seguridad para las solicitudes de conexión salientes de las aplicaciones internas del servidor. Además, necesito alojar DMZ privadas dentro del Agg para aislar las solicitudes de conexión entrantes de lo que clasificamos como zonas de menor seguridad (el N7K CORE usará vrf: Global para rutas para reducir las subredes de la red de seguridad).
Por lo general, el usuario se consideraría zonas de menor seguridad, pero este diseño es para alojar un sistema de control para una gran red eléctrica. Teniendo esto en cuenta, tampoco quiero conectar a los usuarios directamente con el N5K Agg para permitir que SITE1 Server Farm Agg disminuya, permitiendo que el SITE 2 aloje las aplicaciones (actualmente conectamos a los usuarios al mismo conmutador físico que las aplicaciones) . Me gustaría proporcionar un diseño clásico de centro de datos en el que los usuarios se dirijan a la granja de servidores desde HA L3 CORE (4 x N7K Full Mesh). Sin embargo, como se consideran el mismo nivel de seguridad que los "Servidores internos", quiero aislarlos en una Nube VPN privada alojada en el N7K CORE. Como N7K admite MPLS, este sería el más lógico, sin embargo, mi diseño actual tiene el límite L2 / L3 para los servidores internos en la agregación Nexus 5548 ya que los firewalls también están conectados allí. Los Nexus 5K no son compatibles con MPLS, pero sí son compatibles con VRF Lite. Los N5K también están conectados en una malla completa a los N7K locales en cada sitio.
Para utilizar los 4 enlaces entre los N5K y los N7K, necesito configurar enlaces pt a pt L3 que engendran la idea de aislar el tráfico del Usuario interno del Núcleo del tráfico que necesita reenviar el firewall, o puedo utilizar FabricPath entre los 5K y 7K y use vrf lite donde los únicos vlans de FabricPath serían las SVI de interfaz entre los 4 nodos y el vlan externo del cortafuegos para conectar la vrf del N7K: tabla de enrutamiento global. Probablemente esto sea excesivo, ya que estos deben tener licencia, pero tenemos requisitos de seguridad únicos, por lo que el costo tiende a ser un problema menor.
Para el enrutamiento, instalaría una ruta predeterminada en el firewall para apuntar a N7K vrf: Global que ejecutaría OSPF o EIGRP y rutas de aprendizaje a otras redes de menor seguridad. Para la zona de alta seguridad, instalaría un vrf: interno en todos los N5K y N7K y lo más parecido sería ejecutar BGP ya que MPLS en N7K requiere el uso de MP-BGP. Esto solo aprendería rutas para la granja de servidores internos SITE2 y los usuarios internos (nuestras aplicaciones necesitan L3 entre sitios para evitar la división del cerebro). También tengo que tener mucho cuidado al no permitir que vrf: Global intercambie rutas con vrf: Internal, ya que esto crearía una pesadilla asimétrica con Stateful Firewall que proporciona conexión L3 entre los 2 vrf. Una ruta predeterminada simple en el sitio local N5K y Firewall y una ruta resumida en el N7K que apunta a las subredes del servidor interno evitarán ese problema.
Alternativamente, consideré construir otro VDC fuera del N7K para proporcionar FHRP y mover los firewalls al VDC. El N5K solo usaría FabricPath y no L3 de ningún tipo.
Siendo que este no es un diseño típico, agradecería cualquier comentario al respecto.