Use uma sub-rede dedicada para conectar todos os roteadores / firewalls?

Navegue suas respostas
2

Eu tenho algumas caixas de roteador / firewall (pfSense, TMG 2010, ISA 2006) na minha rede que são stateful. Agora todos eles têm uma interface na mesma sub-rede que a maioria dos dispositivos e servidores de usuários finais. Eu estarei fazendo algumas mudanças e colocando alguns servidores em suas próprias sub-redes por trás desses firewalls, então estou pensando se devo configurar uma sub-rede dedicada para os roteadores rotearem pacotes entre si. Não há protocolos de roteamento, apenas rotas estáticas.

Estou tentando evitar o roteamento assíncrono, que pode ser um problema para firewalls com informações de estado, já que o tráfego flui em um caminho diferente para dentro e para fora da rede. Se o tráfego fluir de volta por um caminho diferente e o firewall nesse caminho não tiver um registro na tabela de estados, o tráfego poderá ficar bloqueado.

Minha pergunta básica é esta: esta é uma maneira ideal de abordar esse problema? Por que ou por que não? Não consegui encontrar muita coisa em termos de práticas recomendadas, mas essa abordagem deixaria apenas um roteador em cada sub-rede, para evitar a situação atual de diferentes máquinas com diferentes gateways padrão.

Atual 

Router 1              Router 2              Router 3
192.168.1.1/24 ------ 192.168.1.2/24 ------ 192.168.1.3/24 ------ All other devices
       |                     |                      |
       V                     V                      V
10.10.10.1/24         10.20.20.1/24         10.30.30.1/24

Proposta 

Router 1              Router 2              Router 3
192.168.1.1/24                                              ------ All other devices
10.200.200.1/24 ----- 10.200.200.2/24 ----- 10.200.200.3/24 ------ Routers/Firewalls only
       |                     |                      |
       V                     V                      V
10.10.10.1/24         10.20.20.1/24         10.30.30.1/24
    
por Oliver 08.07.2013 / 02:06

2 respostas

1

Na sequência do meu comentário, algo como isto 

      +----------+    +----------+   +----------+
      | Router 1 |    | Router 2 |   | Router 3 |
      +-------+--+    +----+-----+   +--+-------+
              |            |            |
              |            |            |10.200.200.0/24
              |            |            |
           +--v------------v------------v-+
           |           Router A           +-------------+
           +-+---------+---------------+--+             |
             |         |               |                |
             |         |               |                |
             |         |               |                |
+------------v-+ +-----v-------+ +-----v-------+ +------v------+
|192.168.1.0/24| |10.10.10.0/24| |10.20.20.0/24| |10.30.30.0/24|
+--------------+ +-------------+ +-------------+ +-------------+

Roteador 1 = 10.200.200.1

Roteador 2 = 10.200.200.2

Roteador 3 = 10.200.200.3

Roteador A = 10.200.200.254

Dessa forma, cada uma das redes na parte inferior tem apenas um roteador e, portanto, uma rota padrão. Os roteadores de borda precisam apenas de uma rota interna para acessar as sub-redes internas.

O roteador interno se torna mais complexo porque precisa estar ciente dos vários roteadores upstream e manter o controle das conexões para evitar o roteamento assíncrono. Os benefícios valem a pena Acredito: toda a complexidade está contida nesse roteador, com o resto sendo simples. E você pode ter controle total sobre as várias conexões nesse host. Por exemplo, você pode obter tráfego NAT de todas as três conexões para o mesmo servidor interno, mas o servidor não precisa saber nada disso, o servidor interno rastreará cada conexão e roteará o tráfego adequadamente para evitar assíncronas.

Isso é muito parecido com a configuração do meu trabalho, exceto que só temos duas conexões a montante. O roteador A é um par de caixas Linux executadas em H / A. O rastreamento das conexões é feito usando o Policy Based Routing. O melhor guia que encontrei para a PBR é: link

    
por 09.07.2013 / 01:16
0

Eu diria que você está introduzindo um nível extra (literalmente) de complexidade.

Estou assumindo que seus problemas de roteamento assíncrono vêm da situação, por exemplo, 192.168.1.55 envia um pacote para 10.20.20.55 , mas não tem uma rota para ele via 192.168.1.2 , enviando-o por padrão em 192.168.1.1 ele é redirecionado para 192.168.1.2 . O pacote de resposta então vai diretamente de 192.168.1.2 para a fonte original, então 192.168.1.1 só vê o cliente para os pacotes do servidor, não o servidor para os pacotes do cliente.

Em meus ambientes, evito o problema de firewall com o roteamento assíncrono, adicionando uma regra para permitir o roteamento de retorno (qualquer coisa dentro e fora da mesma interface == mesma camada 2 == allow). Você não está introduzindo nenhum problema de segurança, já que o src e o dst de um pacote estão na mesma camada 2 e podem falar diretamente um com o outro de qualquer maneira, você está apenas "encorajando" problemas de desempenho roteando de maneira insuficiente.

    
por 08.07.2013 / 03:55

Tags

Cisco VPN client - como automatizar o processo de VPN Projeto de correção do SCCM 2012 - não há subcoleções