我有 2 个控制中心站点，每个站点有 2 个采用全网状设计的 N7K，2 个 Nexus 5548UP 作为内部服务器群聚合和 2 个 ASA 防火墙，每个 N5K Agg 都挂在上面。两个站点都有镜像设计。我们有需要直接访问内部服务器场应用程序的用户，我们还需要为来自内部服务器应用程序的出站连接请求设置安全边界。此外，我需要在 Agg 中托管私有 DMZ，以将入站连接请求与我们归类为较低安全区域的区域隔离（N7K CORE 将使用 vrf：全局路由到较低安全网络子网）。

通常，用户会被视为较低的安全区域，但此设计用于托管大型电网的控制系统。考虑到这一点，我也不想将用户直接连接到 N5K Agg 以允许 SITE1 Server Farm Agg 关闭，从而允许 SITE 2 托管应用程序（目前我们将用户连接到与应用程序相同的物理交换机） . 我想提供一个经典的数据中心设计，其中用户从 HA L3 CORE（4 x N7K 全网状网络）路由到服务器群。但是，由于它们被认为与“内部服务器”具有相同的安全级别，因此我想将它们隔离到托管在 N7K CORE 上的私有 VPN 云中。由于 N7K 支持 MPLS，这将是最合乎逻辑的，但是，我当前的设计在 Nexus 5548 聚合中为内部服务器设置了 L2/L3 边界，因为防火墙也连接在那里。Nexus 5K 不支持 MPLS，但支持 VRF Lite。N5K 还以全网状连接到每个站点的本地 N7K。

要利用 N5K 和 N7K 之间的所有 4 个链接，我要么需要配置 pt 到 pt L3 链接，这将消除将内部用户流量从核心与需要转发出防火墙的流量隔离的想法，或者我可以在 5K 之间使用 FabricPath和 7K 并使用 vrf lite，其中唯一的 FabricPath vlan 将是 4 个节点和防火墙的外部 vlan 之间的接口 SVI，用于连接 N7K 的 vrf：全局路由表。这可能有点矫枉过正，因为这些必须获得许可，但我们有独特的安全要求，因此成本往往是一个小问题。

对于路由，我会在防火墙中安装一个默认路由，指向 N7K vrf: Global，它将运行 OSPF 或 EIGRP 并学习到其他安全性较低的网络的路由。对于高安全区，我会在所有 N5K 和 N7K 上安装 vrf：Internal，并且最有可能运行 BGP，因为 N7K 的 MPLS 需要使用 MP-BGP。这只会学习 SITE2 内部服务器群和内部用户的路由（我们的应用程序需要站点之间的 L3 以防止裂脑）。我还必须非常小心，不允许 vrf: Global 与 vrf: Internal 交换路由，因为这会造成不对称的噩梦，状态防火墙在 2 个 vrf 之间提供 L3 连接。本地站点 N5K 和防火墙的简单默认路由以及 N7K 中指向内部服务器子网的汇总路由将防止出现该问题。

或者，我考虑在 N7K 上建立另一个 VDC 以提供 FHRP 并将防火墙移至 VDC。N5K 将只使用 FabricPath 而没有任何类型的 L3。

由于这很可能不是典型的设计，我将不胜感激对此的任何反馈。