Добрый день, уважаемые читатели! Эта коротенькая заметка опирается на предыдущую статью Модернизация ядра сети передачи данных и предназначена для освещения некоторых подводных камней использования FWSM в transparent mode.
В кратце напомню суть вопроса. Имеется сеть, подобная приведенному ниже рисунку — две площадки, соединенные оптическими каналами связи, куча серверных vlan и требования по обеспечению отказоустойчивости и безопасности.
Серверные сети должны закрываться межсетевым экраном. Мной было принято решение использовать transparent mode плат FWSM, так как в моей ситуации, это режим позволял без особых услилий обеспечить работу протоколов защиты шлюза по умолчанию (таких как GLBP и HSRP) и организовать внедрение пакетной фильтрации незаметно для сервисов. Ну, что-то получилось, что-то нет, новые идеи появлялись и исчезали, возникали обстоятельства непреодолимой силы, но в итоге я получил 6 серверных vlan, помещенных в один контекст. Текущая ситуация такова, что, в inside vlan находятся сервера, outside vlan прописан на SUP коммутатора.
Итак, несколько принципов, которые намного облегчат вашу жизнь при использовании такой схемы:
- При организации failover на FWSM в режиме Active/Standby, на SUP организуйте HSRP таким образом, что Active router и Active FW располагались на одном коммутаторе. Очевидная вроде как вещь, но всё-таки.
- Не забывайте явно разрешать хождение пакетов BPDU через FWSM.
!
interface Vlan10
nameif myvlan_inside
bridge-group 1
security-level 100
!
interface Vlan110
nameif myvlan_outside
bridge-group 1
security-level 0
!
interface BVI1
ip address 192.168.1.4 255.255.255.0
!
access-list BPDU_Permit ethertype permit bpdu
access-group BPDU_Permit in interface myvlan_inside
access-group BPDU_Permit in interface myvlan_outside
!
Сиё нехитрое действие защитит вас от штормов в сети и прочих неприятностей, связанных с некорректной работой STP. - Если в сети не используется multicast (а в корпоративных сетях это обычно так и есть) отключите monitor модуля FWSM! Этим вы значительно снизите «шум» на транковых портах коммутаторов доступа. Этот монитор выглядит примерно так:
srv-core-1#show monitor
Session 1
---------
Type : Service Module Session
Modules allowed : 1-9
Modules active : 7
BPDUs allowed : Yes
Отключается командой:
srv-core-1(config)#no monitor session service module 7
И настоятельно рекомендую почитать Deploying the Cisco Catalyst 6500 Firewall Services Module in Transparent Mode. Документ хоть и старый, 2008 года, но до сих пор не потерял своей актуальности.
Так же хочу порекомендовать к прочтению статью Single TCP Flow Performance on Firewall Services Module (FWSM), посвященную оптимизации производительности FWSM.
[ad name=»Google Adsense»]
Уважайте труд автора, сохраняйте копирайты.
Реклама на сайте висит не просто так и если статья Вам понравилась, с ее помощью Вы можете отблагодарить автора за проделанную работу. Спасибо!