L3 核心到防火墙问题

网络工程 路由 防火墙 网络 网络核心 设计
2021-07-16 17:14:29

我需要一些关于实现我需要设计的网络的网络核心层的建议。我已经发现一些类似的问题已经问过(和回答过),但没有一个真正给我一个明确的答案——尽管可能也没有明确的明确答案。

设计

Internet <--> Fortigate <--4x1G--> Core <--2x10G--> 接入交换机

  • 当前的网络设计包括防火墙 (Fortigate 100D)、一对堆叠的“网络核心”L3 交换机 (Netgear M4300) 配置为冗余,然后是用于最终用户设备的交换机接入层(Spine 和 Leaf off the core) .
  • 交换机通过 10G LAG 连接。
  • 该网络使用 6-8 个 VLAN。
  • 这些 VLAN 中只有 2-3 个需要相互之间/到互联网的 VLAN 间路由。
  • 在高峰负载期间的任一时间,网络上通常有大约 200 台设备。

问题

我的问题是决定是使用“核心”交换机还是 Fortigate 防火墙作为网络中的默认网关/L3 交换机。据我的研究表明,为此目的使用“核心”(选项 A)具有线速路由的好处,同时失去了 L7/IPS/其他花哨的功能,需要使用 ACL 来代替;而使用 Fortigate(选项 B)基本上可以扭转这些优点/缺点。

所以我的问题如下:

  1. 如果实施选项 B,将需要路由(通过 4x1G LAG)的 VLAN 中继到 Fortigate;就性能损失而言,线速路由的损失真的有那么大吗?
  2. 据我了解,如果流量的目的地是同一 VLAN 内的设备(作为源)并且不需要跨越到不同的 VLAN 或子网,则数据包将不会通过默认网关/L3 交换机;这个对吗?
  3. 撇开功能/实用性不谈,就安全性和性能而言,哪个选项被认为是最佳实践?
  4. 有点不相关 - 如果我需要使用 Fortigate 作为 VPN 网关以允许远程连接到网络,那么在部署选项 A 时促进这一点的最佳实践是什么?我是否只是创建一个从 Fortigate 返回到核心的单独物理连接并将 VPN 流量分配给它?

感谢您抽出时间提供帮助,非常感谢。:)

亲切的问候

更新

VLAN内容如下:

  1. [路由] 企业 VLAN:工作站、打印机、服务器等(大多数设备都在这里)
  2. [路由] 无线 VLAN
  3. [路由] 生产 VLAN(媒体服务器、流媒体设备等)
  4. PBX VLAN(40-50 数字电话)
  5. 金融/法律 VLAN(NAS、金融工作站)
  6. DMZ VLAN(网络服务器)
  7. Studio VLAN(10G 链路上的高带宽 4K 视频编辑)
  8. [选项 A] VLAN 到防火墙/互联网

L3 路由的主要需求当然是访问互联网。但是,我确实希望在上面列出的前三个 VLAN 之间建立一些互连。

虽然我在 VLAN 间路由上不一定需要 L7/IPS 功能,但 Fortigate 允许使用基于用户的规则(Radius、LDAP、本地身份验证等)控制 L3 路由,这很有吸引力。例如,我可以使用 LDAP 组来允许特定用户访问另一个 VLAN 的部分,同时拒绝其他用户 - 假设您无线连接到无线 VLAN 并使用 Fortigate 进行身份验证,您的设备现在可以访问公司的部分虚拟局域网。

我正在寻找可靠答案的主要主要问题是线速路由相对于 CPU 绑定路由(问题 1)的实际好处,并确认我对非 L3 绑定流量的假设(问题 2)。

4个回答

你的问题没有明确的客观答案。以下是您问题的具体答案:

  1. 如果实施选项 B,将需要路由(通过 4x1G LAG)的 VLAN 中继到 Fortigate;就性能损失而言,线速路由的损失真的有那么大吗?

这个很难客观回答。只有你才能确定它有多大。

  1. 据我了解,如果流量的目的地是同一 VLAN 内的设备(作为源)并且不需要跨越到不同的 VLAN 或子网,则数据包将不会通过默认网关/L3 交换机;这个对吗?

正确的。

  1. 撇开功能/实用性不谈,就安全性和性能而言,哪个选项被认为是最佳实践?

这是安全性和性能之间的权衡。没有“最佳实践”。每个人的要求不一样。

  1. 有点不相关 - 如果我需要使用 Fortigate 作为 VPN 网关以允许远程连接到网络,那么在部署选项 A 时促进这一点的最佳实践是什么?我是否只是创建一个从 Fortigate 返回到核心的单独物理连接并将 VPN 流量分配给它?

您可以,也可以创建多个 VPN 组(根据您的安全要求)并调整您的 ACL 以允许对每个组进行适当的访问。

它们只是一般原则的评论,但也许它可以帮助您:

我倾向于非常重视简单性。我会考虑根据他们的访问权限将机器分成 VLAN,可能根据允许访问的人将服务器分成两个或三个 VLAN(例如 LEGALSERVERS、GENSERVERS、PUBLICWEB)......然后访问是每个 VLAN 而不是部分 -的 VLAN。

视频内容让我认为您最好使用 L3 交换机进行 VLAN 间路由。

我喜欢连接外部世界的一根(或两根)物理电线,我可以轻松地将其拉出。(如果有访客 wifi,请使用它)。内部的交换机集群,单个(对)或电线到防火墙,然后链接到世界。

VLAN 6 DMZ 上有工作站吗?

希望这有点用。

我知道这种设计是折叠或压缩的核心。核心层和分布层在某种意义上是一层。在大多数情况下,我已经看到折叠的核心进行路由。如果您阅读标准,他们会说将路由限制到分布层甚至接入层,但您的情况不是标准的三层设计。设计可以像意见一样,每个人都有意见。我个人在折叠核心设计的核心路由。

Q1:线速路由。当设备路由流量时,它会交换每个要路由的数据包中的目标地址,即目标地址在其广播域之外。在您的情况下,流量将限制为 4 Gbps,可能会更少,因为 FG-100D 不是为更高负载而设计的。这是否可以接受是您的决定。

Q2:每个VLAN形成一个广播域。这是使用 VLAN (恕我直言) 来隔离广播的主要优点 - 而不是强制执行安全性。对于 VLAN 内流量,将不会联系路由器。每个工作站/发送器使用它的网络地址、网络掩码和目标地址来确定是否必须将数据包发送到路由器或是否可以在本地找到目标。在这种情况下,硬件地址是通过 arp 广播找到的;路由器不会参与传输。

其它你可能感兴趣的问题
上一篇NAT同步tcp连接打开 下一篇强制 VLAN 流量通过指定接口