xunil2 10 Geschrieben 22. Januar 2010 Melden Teilen Geschrieben 22. Januar 2010 Hallo liebes Cisco Board, ich bräuchte mal eure Hilfe zur Reflektion meiner Netzwerkplanung. Ich habe folgendes Szenario (Netzplan siehe Grafik) Aufbau einer 3-Tier Webapplikation dazu folgendes Netzwerkdesign. 2 Cisco Asa 55xx / Failover (Active/Standby) 2 Cisco 29xx für die DMZ 2 Cisco 29xx für das Netz in dem Application und Datenbankserver stehen. In der DMZ stehen die Webserver die die Anfragen auf die Applikation Server weiterleiten. Diese wiederum brauchen Zugriff auf die Datenbankserver. Momentan tendiere ich zu 2 Zonen. Eine DMZ in der die Webserver stehen und eine Netz in dem die Applikation-Server stehen. Trunking an den ASA´s habe ich noch nicht vorgesehen (eure Meinung ist gefragt). Von der DMZ in das interne Netz sollen nur ausgewählte Ports erlaubt sein. Was ich euch Fragen möchte ist folgendes: 1. Würdet Ihr mit VLAN´s arbeiten DMZ/internes Netz und dies über die ASA trunken (Sicherheit?) 2. HA (Switche) und Failover (ASA) soll gesichert sein. Switche redundant, die ASA´s sollen als Active/Standby konfiguriert werden. Funktioniert dies so wie ich es mir vorstelle/ was ist zu beachten. Jo, dies sind so die Fragen die ich hätte, mein Problem ist das ich meine Vorstellungen gegen niemanden reflektieren kann und das gante sicher sein soll. Ich denke ist ein ganz nettes Szenario und genau das richtige fürs WE:) liebe grüße Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 23. Januar 2010 Melden Teilen Geschrieben 23. Januar 2010 trunken: ja, sofern das kein bandbreienproblem gibt. Aber sicher nicht DMZ und Application/Datenbank VLANS auf allen Switches :) Wenn du eh schon 4 Switches hast, dann mach die Anbindung genauso wie auf der zeichnung. Ob dann Application un Datenbankserver im gleichen VLAN sind oder nicht ist wohl Geschmackssache und hängt sicher auch von der Anwendung ab Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 23. Januar 2010 Melden Teilen Geschrieben 23. Januar 2010 Hi, du musst aber aufpassen - was die Aktiv - Passiv Firewall betrifft - wenn am "Aktiv" Link nicht am Switch der Link wegbricht - schaltet die Firewall nicht um. Da ggf. mit Keepalives arbeiten - die durch die Struktur gehen Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 23. Januar 2010 Melden Teilen Geschrieben 23. Januar 2010 failovermessages gehen über alle LAN Interfaces Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 23. Januar 2010 Melden Teilen Geschrieben 23. Januar 2010 Es passiert aber nix - wenn der Link zum Datenbankserver wegbricht - dann schaltet er nicht auf die andere Firewall... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 24. Januar 2010 Melden Teilen Geschrieben 24. Januar 2010 der hängt doch eh an 2 Switchen dran die jeweils miteinander und an beiden FWs dranhängen Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 24. Januar 2010 Melden Teilen Geschrieben 24. Januar 2010 hi, ne wenn du dir die Zeichnung ansiehts - ist das nicht so - je Firewall nur ein Switch. Zitieren Link zu diesem Kommentar
xunil2 10 Geschrieben 25. Januar 2010 Autor Melden Teilen Geschrieben 25. Januar 2010 @otaku19 (failover) bezüglich des failovers, brauche ich mir also keine sorgen zu machen? hatte befürchtungen, dass wenn der switch der an der aktive fw angeschlossen ist wegbricht, dass dann der verkehr ins nirvana läuft. @otaku19 (vlans, trunking) habe ich dich richtig verstanden, dass ich keine vlans für dmz und applikation netz aufsetzen soll. problem ist das ich alle interfaces (so wie auf der zeichnung) an der asa komplett ausreize (inkl. management interface). wo soll ich Deiner / eurer Meinung nach vlans aufsetzen? Vielen Dank schon einmal für eure bisherigen Beiträge !!! Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 @blackbox ich sehe hier kein problem, welcher Link soll denn down gehen (oder einfach keine Daten transferieren) um Probleme zu verursachen ? @xunil so wie dein plan hier aussieht sind DMZ und Applikationsserver nicht am selben Switch...welchen Sinn würde heir also ein Trunk ergeben ? Du könntest vielleicht noch Appliaktion und Datenbaknserver in 2 Netze (aber am gleichen Switch) trennen. Dazu muss halt erhoben werden ob das die Appliaktion "verträgt". ich sehe auf der ASA 4 Links, der Link zwischen beiden ASAs kann zB das Managementinterface sein. Du schreibst allerdings noch nicht welches Modell du da genau hast Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 Hi, wenn der Switch1 - wie vor kurzen bei einem Kunden von uns - einfach noch alle Links hatte - aber keine Daten mehr "transportiert" - dann passiert dort einfach nix. Die Firewalls müssen auch an beide "Switche" - sonst hast du nur eine gefühlte Sicherheit. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 wenn der link zwischen ASA und Switch1 nix mehr tut, dann erkennt die ASA das und kann umschalten, schließlich sieht die aktive ASA keine Meldungen mehr von der standby ASA auf diesem LAN interface. Zu den Servern durchgehend die Verbindung prüfen könnte man mit ip sla ? Glaube das lässt sich doch auch so einbinden das es die ASA zum umschalten bewegt. Nur muss dann der Server ebenfalls diesen Interfacefehler detektieren und auf sein backupinterface umschalten Zitieren Link zu diesem Kommentar
xunil2 10 Geschrieben 25. Januar 2010 Autor Melden Teilen Geschrieben 25. Januar 2010 bedeutet das, dass ich die asa´s (5510) nicht direkt miteinander verbinden muss? bin davon ausgegangen, dass ich beide direkt miteinander verbinden muss. so wie ich eure Beiträge interpretiere, werde ich keine vlans benutzen d.h. 1 interface für application / datenbankserver netz 2 interfaces um die asa an jeweils beide dmz switch anzuschliesen 1 interface um die asa ans internet anzubinden boah ich danke euch jetzt für eure unterstützung ist echt ein super board hier Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 o doch, die müssen "quasi direkt" verbunden werden, willst ja schließlich sicher state tables übertragen können, dazu wird ein dezidierter Link benötigt. Im Normalfall reicht dazu aber der 100mbit Managementport aus, auch als LAN failover link. IIRC muss dann aber ein Switch dazwischen sein...weiß nicht mehr genau Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.