Ho 2 siti di Control Center ciascuno con 2 N7K in un design full mesh e 2 Nexus 5548UP come Internal Server Farm Aggregation e 2 ASA Firewall sospesi su ogni N5K Agg. Entrambi i siti hanno un design di immagine speculare. Abbiamo utenti che necessitano dell'accesso diretto alle applicazioni interne della server farm e abbiamo anche bisogno di un limite di sicurezza per le richieste di connessione in uscita dalle applicazioni interne del server. Inoltre, devo ospitare DMZ private all'interno di Agg per isolare le richieste di connessione in entrata da quelle che classifichiamo come zone di sicurezza inferiori (N7K CORE utilizzerà vrf: Global per le rotte verso le sottoreti della rete di sicurezza inferiore).
In genere l'utente verrebbe considerato zone sicure inferiori ma questo progetto è per l'hosting di un sistema di controllo per una grande rete elettrica. Con questo in mente, inoltre, non voglio connettere gli utenti direttamente a N5K Agg per consentire a SITE1 Server Farm Agg di scendere la funzionalità consentendo a SITE 2 di ospitare le applicazioni (attualmente colleghiamo gli utenti allo stesso switch fisico delle applicazioni) . Vorrei fornire un design classico del Data Center in cui gli utenti instradano alla Server Farm da HA L3 CORE (4 x N7K Full Mesh). Tuttavia, poiché sono considerati lo stesso livello di sicurezza dei "Server interni", voglio isolarli in un VPN Cloud privato ospitato su N7K CORE. Come supporto di N7K MPLS, questo sarebbe il più logico, tuttavia, il mio progetto attuale ha il limite L2 / L3 per i server interni nell'aggregazione Nexus 5548 poiché anche i firewall sono collegati lì. I Nexus 5K non supportano MPLS ma supportano VRF Lite. Gli N5K sono inoltre collegati a maglie piene agli N7K locali in ciascun sito.
Per utilizzare tutti e 4 i collegamenti tra gli N5K e gli N7K, ho bisogno di configurare i collegamenti L3 da pt a pt, il che rende impercettibile l'idea di isolare il traffico degli utenti interni dal Core dal traffico che ha bisogno di inoltrare il firewall, oppure posso usare FabricPath tra i 5K e 7K e usano vrf lite dove i soli vlan FabricPath sarebbero l'interfaccia SVI tra i 4 nodi e il vlan esterno del firewall per collegare la tabella vrf: Global Routing dell'N7K. Questo è probabilmente eccessivo poiché questi devono essere concessi in licenza, ma abbiamo requisiti di sicurezza unici, quindi il costo tende ad essere un piccolo problema.
Per il routing, installerei una route predefinita nel firewall per puntare a N7K vrf: Global che eseguiva OSPF o EIGRP e percorsi di apprendimento verso altre reti di sicurezza inferiori. Per High Secure Zone, installerei un vrf: interno su tutti gli N5K e gli N7K e molto simile eseguirà BGP poiché MPLS negli N7K richiede l'uso di MP-BGP. Ciò apprenderebbe solo percorsi per la server farm interna SITE2 e per gli utenti interni (le nostre applicazioni hanno bisogno di L3 tra i siti per prevenire la divisione del cervello). Devo anche fare molta attenzione a non consentire a vrf: Global di scambiare rotte con vrf: Internal in quanto ciò creerebbe un incubo assimetrico con Stateful Firewall che fornisce una connessione L3 tra i 2 vrf. Una semplice route predefinita nel sito locale N5K e Firewall e una route di riepilogo nell'N7K che punta alle sottoreti del server interno impediranno tale problema.
In alternativa, ho considerato la costruzione di un altro VDC dall'N7K per fornire FHRP e spostare i firewall nel VDC. L'N5K userebbe solo FabricPath e nessun L3 di alcun tipo.
Essendo questo molto probabilmente non è un design tipico, apprezzerei qualsiasi feedback su questo.
