Использование Cisco FWSM в режиме transparent firewall

Опубликовано – 06.12.2012

 Добрый день, уважаемые читатели! Эта коротенькая заметка опирается на предыдущую статью Модернизация ядра сети передачи данных и предназначена для освещения некоторых подводных камней использования FWSM в transparent mode.

 В кратце напомню суть вопроса. Имеется сеть, подобная приведенному ниже рисунку — две площадки, соединенные оптическими каналами связи, куча серверных vlan и требования по обеспечению отказоустойчивости и безопасности.


Серверные сети должны закрываться межсетевым экраном. Мной было принято решение использовать transparent mode плат FWSM, так как в моей ситуации, это режим позволял без особых услилий обеспечить работу протоколов защиты шлюза по умолчанию (таких как GLBP и HSRP) и организовать внедрение пакетной фильтрации незаметно для сервисов. Ну, что-то получилось, что-то нет, новые идеи появлялись и исчезали, возникали обстоятельства непреодолимой силы, но в итоге я получил 6 серверных vlan, помещенных в один контекст. Текущая ситуация такова, что, в inside vlan находятся сервера, outside vlan прописан на SUP коммутатора.

 Итак, несколько принципов, которые намного облегчат вашу жизнь при использовании такой схемы:

  1.  При организации failover на FWSM в режиме Active/Standby, на SUP организуйте HSRP таким образом, что Active router и Active FW располагались на одном коммутаторе. Очевидная вроде как вещь, но всё-таки.
  2.  Не забывайте явно разрешать хождение пакетов BPDU через FWSM.

    !
    interface Vlan10
    nameif myvlan_inside
    bridge-group 1
    security-level 100
    !
    interface Vlan110
    nameif myvlan_outside
    bridge-group 1
    security-level 0
    !
    interface BVI1
    ip address 192.168.1.4 255.255.255.0
    !
    access-list BPDU_Permit ethertype permit bpdu
    access-group BPDU_Permit in interface myvlan_inside
    access-group BPDU_Permit in interface myvlan_outside
    !

     Сиё нехитрое действие защитит вас от штормов в сети и прочих неприятностей, связанных с некорректной работой STP.
  3.  Если в сети не используется multicast (а в корпоративных сетях это обычно так и есть) отключите monitor модуля FWSM! Этим вы значительно снизите «шум» на транковых портах коммутаторов доступа. Этот монитор выглядит примерно так:

    srv-core-1#show monitor
    Session 1
    ---------
    Type : Service Module Session
    Modules allowed : 1-9
    Modules active : 7
    BPDUs allowed : Yes


     Отключается командой:
    srv-core-1(config)#no monitor session service module 7

 И настоятельно рекомендую почитать Deploying the Cisco Catalyst 6500 Firewall Services Module in Transparent Mode. Документ хоть и старый, 2008 года, но до сих пор не потерял своей актуальности.

 Так же хочу порекомендовать к прочтению статью Single TCP Flow Performance on Firewall Services Module (FWSM), посвященную оптимизации производительности FWSM.




 Уважайте труд автора, сохраняйте копирайты.
Реклама на сайте висит не просто так и если статья Вам понравилась, с ее помощью Вы можете отблагодарить автора за проделанную работу. Спасибо!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*