L3 上的专用 Internet 路由器或 VRF?

网络工程 路由 安全
2022-02-13 13:04:13

我需要在我们的设备上路由公共网络。

我计划使用现有的 4500X 并创建一个新的 vrf PUBLIC。已有其他 vrf 处理内部流量。

[ISP RTR]+---/30-Network---+
                           |
                           +
                    [4500X vrf PUB]+---/28-Network---+[My Firewall]+---+[4500X vrf INT]
                           +
                           |
[ISP RTR]+---/30-Network---+

由于vrf,我在路由分离方面很好。但是对于面向公众的 SVI/路由端口的这种设置的安全性,我有些担心。

  • 我将通过在入站接口上应用的 ACL 解决这个问题,拒绝所有流量到 vrf PUBLIC 路由器接口本身以保护 4500X。(除了通常的RFC1918、RFC3330、RFC5735、反欺骗等过滤)
  • 所有 vty 上的入站 ACL 仅允许私有地址空间访问它。

很高兴阅读您的专业知识:

  • 这是常见的设置吗?还是在安全性方面真的很糟糕?
  • 这足以确保交换机可以从外部访问吗?
  • 购买专用路由器是否更常见/推荐/强制?

实际上这是为了省钱(不是购买新硬件)并使用现有的冗余基础设施(它是一个 4500X VSS 系统),以便在两个 VSS 成员上传播 WAN 链接。

杰克

0个回答
没有发现任何回复~
其它你可能感兴趣的问题
上一篇OSPF ABR 路由器的环回网络是否应该向骨干区域通告? 下一篇通过 VPN 远程上传大于 10GB 的超大文件的最有效方法