web-dev-qa-db-ja.com

境界ファイアウォールとルーティング-静的ルーティングと動的ルーティング

大企業向けの境界トポロジhttp://www.freeimagehosting.net/uploads/d24ede3b2f.png

DNSサーバー、Webサーバー、VPNサーバーの形で小さなインターネットプレゼンスを持つ企業がすべてDMZ(この場合は非表示)にあるとします。ファイアウォールに直接接続されたスイッチのペア)また、エンタープライズネットワーク内には20,000のノードがあり、多くの建物に分散しており、多くのルーターやVLANなどがあります。企業は非常に重要で忙しい人々でいっぱいです。遅滞なくFacebookにアクセスできます...すべてがネイトされます; DMZには静的対称NATがあり、他のすべての人はこの目的のために確保されたプールから発信IPアドレスを共有できます。

境界は、ギグイーサネットスイッチのペアを介して相互に接続されたルーターのペアであり、メトロイーサネットを介してISPに接続され、メトロイーサネットを介してISPに接続されています。ボーダールーターは、eBGPを介してISPと、iBGPを介して相互にルートを交換します。内部ネットワークには、ネットワーク内の任意のポイントへのさまざまなルートがあり、動的ルーティングプロトコルを使用してフェイルオーバーとルート配布を管理します。

ファイアウォールは、データセンター内のルーターのペアを介してエンタープライズコアに接続されています。

私の質問はこれです:

静的ルートまたは動的ルーティングプロトコル?

  • 静的ルート:

    デバイスの各セットには静的ルートがあり、VRRPやHSRPなどのメカニズムを使用してL2 <-> L3フェイルオーバーを管理します。ファイアウォールは、エンタープライズデフォルトルートの境界ルーターの仮想アドレスを指し、内部ルーターは、デフォルトルートのファイアウォールの仮想アドレスを指し、ファイアウォールは、10.0の内部ルーターの仮想アドレスを指します。 .0.0/8。

  • 動的ルーティング:

    ファイアウォールと境界ルーターの間ではiBGPを使用し、ファイアウォールと内部ルーターの間ではOSPF/EIGRPを使用します。

私は、人々が動的ルーティングモデルよりもはるかに頻繁に静的ルートモデルを使用するのを見てきました。私の質問は-なぜですか?

この種のトポロジのベストプラクティスは何ですか?それとも、これは単なる宗教的な問題ですか?

firewallrouting
6
chris

外部ルーターをHSRP/VRRPペアに配置します。 ASを取得します。 ISPでBGPを開始します。

そうすれば、環境内のどこでも、パスは静的になります。フェイルオーバーが必要なだけです。これは、VRRP/HSRPとA/AまたはA/S構成のファイアウォールで実現されます。

代替案は、より乱雑で、および/または堅牢性が低くなります。

  • 全体を通してダイナミックは不必要な面倒です。
  • ファイアウォールでの静的なアウトバウンドは、両方のアップリンクを同時に使用することを困難/柔軟性がない/不可能にします。
  • インバウンドの冗長性は、PePLink/Ecessa/EdgeXOSのような恨みのない苦痛の世界になります。
1
Max Alginin

注:以下のすべては、2つのISP回線を備えた単一のサイトがあることを前提としています。そうでない場合はお知らせください。

エンタープライズコアとDMZ間のルーティングには、静的ルーティングが完全に適切であるように思われます。ファイアウォールを指すデフォルトルート、内部サブネットのルート(10.0.0.0/8、その音から)、コアルーターに戻るルート。 (インターネットはコアネットワークからルーティング可能であってはならないという考え方がありますが、それについては最後の補遺で詳しく説明します。)とはいえ、きちんと要約すると、OSPFの実行に大きなオーバーヘッドはありません。コアとDMZ間のEIGRPまたはEBGP。多くの場合、エンジニアの個人的な好みに依存します。

DMZとプロバイダー間のルーティングに関しては、次の2つの側面があります。

  1. ISPがあなたにルーティングする方法
  2. ISP経由でインターネットにルーティングする方法

(1)について:プロバイダーに依存しないアドレス空間があり、VPNサーバーとWebサーバーを両方のISPから提示できるようになっていますか?これが事実であると仮定すると、プロバイダーに対してEBGPを実行することは悪い考えではないことをお勧めします。これにより、さまざまなBGP属性を使用して、着信トラフィックに優先されるISPに影響を与えることができます。サーバーがプロバイダー固有のアドレス空間にある場合、ISPにルートを動的にアドバタイズするメリットはありません。静的にルーティングすることもできます。

(2)について:エッジルーターのHSRP/VRRPアドレスへのデフォルトの静的ルートが機能します。オブジェクトトラッキング(シスコプラットフォーム上)を使用して、おそらく既知のIPにpingを実行することにより、各ルータにローカルに接続されたISP回線の「正常性」を判断できます。追跡対象オブジェクトがダウンした場合、HSRP/VRRP優先度を下げて、トラフィックを他のリンクにフェイルオーバーするようにルータを設定できます。

とは言うものの、デフォルトの使用は非常に粗雑であり、ISPが大規模なコンテンツプロバイダー(akamai、BBCなど)と直接ピアリングすることはできません。これが役立つ可能性がある場合は、EBGPピアリングを使用すると、ISP接続をより詳細に把握できます。多くは、「顧客」ルートを受け入れることを可能にする標準コミュニティを提供します。つまり、ISPの直接接続された顧客に対して特定のルートがありますが、完全なインターネットBGPテーブルのコピーを維持する必要はありません。

余談ですが、あなたの説明を見ると、欠落している可能性のあるインフラストラクチャの1つはインターネットプロキシであるようです。内部ホストがインターネットに直接ルーティングできないようにすることについては、多くのことが言われています。アウトバウンドトラフィックの大部分がWebブラウジングのみである場合、DMZに1つ(フェイルオーバーの場合は2つ)のプロキシをインストールすることで、内部ネットワークにDMZへのデフォルトルートを設定する必要をなくすことができます。 DMZサブネット(プロキシが存在する場所)にルーティングするだけで、インターネットの到達可能性がDMZに制限されます。いくつかの利点:

  1. 一元化されたポリシー制御。これにより、管理/セキュリティ担当者が不適切または高リスクと見なすサイトへのアクセスを制限できます。
  2. これは、ユーザーのワークステーションに侵入して「電話をかける」マルウェアの能力を制限します。インターネットアドレスに直接ルーティングしようとすると、接続できなくなります。プロキシを使用しようとするものはすべて、許可されたポート(80/443)のみを使用する必要があります。適切なブラックリストプロバイダーにサブスクライブすると、プロキシによって露出をさらに減らすことができます。

素晴らしい質問です。 :)

1
Murali Suriar

静的アプローチにより、トラフィックが2つのISPにルーティングされる方法をよりきめ細かく制御できます。 ISPの速度に応じて、またはアクセスするサービスに応じて、非対称ルーティングを使用できます。

ほとんどのファイアウォール/アプライアンスは非常に単純な手順を提供するため、レプリケーション/フェイルオーバーのセットアップは非常に簡単です(少なくともCiscoでは)。

0
Laurent Etiemble