Toon posts:

[PIX 515E] VLAN secure?

Pagina: 1
Acties:

dinsdag 26 april 2005 11:12

Acties:
  • Movinghead
  • Registratie: November 2001
  • Laatst online: 01-06-2025

Movinghead

ing.

Topicstarter
Ik ben op dit moment bezig met een nieuwe PIX, dit om onze oude (2x Cisco PIX501) in september te gaan vervangen. De PIX die ik op het oog heb is de 515E.

Nu heb ik in mijn netwerk 3 leg perimeter, bestaande uit Rood, Geel, Groen met daarin de horende veiligheids lagen,

Rood is Wan

Geel en Groen, zijn 2 omgeving groen is voor kantoor, geel is voor testomgevingen, die 2 omgevingen worden apart gefiltert en hebben aparte verbindingen met de switches die vervolgens een VLAN maken van van die 2 zodat ik op alle netwerk geel en groen heb.

Nu zie ik dat de PIX 515E ook VLAN ondersteund, dit zou als voordeel hebben dat ik maar 1 515E hoeft te hebben met eventueel een FailOver kit,

Maar de vraag is, is het dan wel Secure, kan ik tegen die 2 VLANs aparte ACLs zetten?
Zie ik ze dus als 2 interfaces die ik kan filteren,

please advice

dinsdag 26 april 2005 11:54

Acties:
  • teigetjuh
  • Registratie: September 2000
  • Niet online

teigetjuh

Het is mogelijk om met verschillende vlan te werken, maar ik denk dat je beter een extra kaart in je 515E kan steken zodat je fysiek 3 of 4 interfaces hebt. dat werkt een stuk prettiger... bij heftig verkeer/routing problemen trek je niet alles plat maar alleen dat segment aan die interface....

dinsdag 26 april 2005 13:25

Acties:
  • Movinghead
  • Registratie: November 2001
  • Laatst online: 01-06-2025

Movinghead

ing.

Topicstarter
teigetjuh schreef op dinsdag 26 april 2005 @ 11:54:
Het is mogelijk om met verschillende vlan te werken, maar ik denk dat je beter een extra kaart in je 515E kan steken zodat je fysiek 3 of 4 interfaces hebt. dat werkt een stuk prettiger... bij heftig verkeer/routing problemen trek je niet alles plat maar alleen dat segment aan die interface....
Dan zou een 515E met DMZ aan de orde komen, dan heb ik fysiek 3 interfaces.

1 voor Wan
2 voor Geel (DMZ Interface)
3 voor Groen

woensdag 27 april 2005 13:39

Acties:
  • teigetjuh
  • Registratie: September 2000
  • Niet online

teigetjuh

Inderdaad. Overigens kun je met een 515E tot 6 interfaces gaan.... (kwestie van een quad fastethernet kaart) Das is leuk als je meerdere netwerken wil scheiden.

donderdag 28 april 2005 20:18

Acties:
  • snakeye
  • Registratie: Januari 2000
  • Laatst online: 21:00

snakeye

Movinghead ja dat kan. In de pix is elke vlan gewoon een interface wat je kan configureren als een normaal interface. Je kan op een 515E unresticted max 10 interfaces hebben (inclusief vlans).

Dit is vanaf versie 7 uitgebreid (welke net paar weken uit is) tot 25 geloof ik


Hou er rekening mee dat dat dit bij een resticted versie minder is. Ik zou ook gewoon gelijk een quad kaart erin stopen zoveel kosten die dingen niet.

Atari 2600 @ 1,1 Hz, 1 Bits speaker, 16 Kb mem, 8 kleuren..

vrijdag 29 april 2005 08:59

Acties:
  • teigetjuh
  • Registratie: September 2000
  • Niet online

teigetjuh

snakeye schreef op donderdag 28 april 2005 @ 20:18:
Movinghead ja dat kan. In de pix is elke vlan gewoon een interface wat je kan configureren als een normaal interface. Je kan op een 515E unresticted max 10 interfaces hebben (inclusief vlans).

Dit is vanaf versie 7 uitgebreid (welke net paar weken uit is) tot 25 geloof ik


Hou er rekening mee dat dat dit bij een resticted versie minder is. Ik zou ook gewoon gelijk een quad kaart erin stopen zoveel kosten die dingen niet.
Ik weet niet wat ie van vlans vind qua aantal, maar de 515e kan (geloof ik) maar 6 fysieke interfaces aan. De 525 die kan wel 10 fysieke interfaces aan.

dinsdag 28 juni 2005 19:59

Acties:
  • Movinghead
  • Registratie: November 2001
  • Laatst online: 01-06-2025

Movinghead

ing.

Topicstarter
Om nu geen ander topic te openen vul ik het hier gelijk aan..


Situatieschetsje


2x Cisco 1760 ADSL met HSRP
1x Cisco PIX 515E UR met 2 InterFaces
1x Cisco PIX 515E FAILOVER
2x Core Switches Cisco Catalyst 3750 via OSFP met 6Gbit ISL

x aantal Cisco Catalyst 2950T

Alles is volledig redundant

code:
1
2
3
4
5

Cisco1760          PIX515E                   Cisco3750
      |               | ------------------------|
      |-------------                            |
      |               | ---------FO-------------|
Cisco1760                                   Cisco3750



Nu komen er ongeveer 25 VLAN's


Nu worden die VLAN's op Layer 3 dmv OSPF op die 3750's geswitches.

Nu heb ik eigenlijk 2 opties.

De clients moeten naar de gateway.

logisch is eerst de de core switches > dan firewall > dan router >

Nu kan ik ervoor kiezen dat ik op de PIX 25 subnets aanmaak aan de inside kant, en dat zo de Coreswitches in laat lopen en dat deze het verdelen

Maar ik zou ook kunnen kiezen om op die PIX ook VLAN ondersteuning te gebruiken, en dat de clients direct naar de PIX gaan.


Die 25 vlan's bestaan uit

- Manament VLAN (hangen alle switches in)
- Server VLAN
- Printer VLAN

en dan de client VLAN's

het is belangrijk dat de client VLAN's niet met elkaar mogen praten maar alleen met de "services" (servers etc)
en natuurlijk het internet op mogen.

Wat is verstandig hier te doen die PIX VLAN laten doen. Of het zo de Core in te sturen?

[ Voor 11% gewijzigd door Movinghead op 28-06-2005 20:02 ]

woensdag 29 juni 2005 10:42

Acties:
  • teigetjuh
  • Registratie: September 2000
  • Niet online

teigetjuh

Je kan met ACL's voldoende je VLAN's afschermen. Persoonlijk zou ik de VLAN-routering door de 3750's laten doen (HSRP kan hier ook helpen) en een apart vlan voor connectivity naar je pix. Mocht je dan later nog een proxy willen neerzetten kun je ook die extra afscheremn voor verkeer van binnen-uit.

woensdag 29 juni 2005 11:07

Acties:

Verwijderd

Als het nog niet in de configuratie zit, en je er nog niet mee werkt, doe me dan een lol en
reserveer alvast een vlan voor VOIP.

Deze overstap zal in de toekomst waarschijnlijk door het management aangedragen worden, en
aangezien je al met cisco hardware werkt, is dit redelijk eenvoudig te realiseren (mits de switches QOS ondersteunen).

woensdag 29 juni 2005 12:19

Acties:
  • Movinghead
  • Registratie: November 2001
  • Laatst online: 01-06-2025

Movinghead

ing.

Topicstarter
teigetjuh schreef op woensdag 29 juni 2005 @ 10:42:
Je kan met ACL's voldoende je VLAN's afschermen. Persoonlijk zou ik de VLAN-routering door de 3750's laten doen (HSRP kan hier ook helpen) en een apart vlan voor connectivity naar je pix. Mocht je dan later nog een proxy willen neerzetten kun je ook die extra afscheremn voor verkeer van binnen-uit.
Dat van HSRP op de switches wil nog niet passen, de PIX is volledig redudant en heeft 1 IP op inside. Deze is zowel te bereiken via de 1e coreswitch en de 2e. en als core 1 uitvalt schakelt de PIX naar failover omdat een interface wegvalt en gaat het verkeer via core 2.
OSPF zorgt dan voor mijn routering.

Of mis ik nu een stap?


Ik heb al een VLAN meegenomen voor routering naar het WAN
Verwijderd schreef op woensdag 29 juni 2005 @ 11:07:
Als het nog niet in de configuratie zit, en je er nog niet mee werkt, doe me dan een lol en
reserveer alvast een vlan voor VOIP.

Deze overstap zal in de toekomst waarschijnlijk door het management aangedragen worden, en
aangezien je al met cisco hardware werkt, is dit redelijk eenvoudig te realiseren (mits de switches QOS ondersteunen).
Dit zal ik zeker meenemen. De 2950T en de 3750 kunnen hiermee overweg.

Ik had hier al rekening mee gehouden door 1760's te pakken deze kunnen namelijk met VOIP overweg en hebben hier 2 modules voor.

[ Voor 4% gewijzigd door Movinghead op 29-06-2005 12:19 ]

Pagina: 1
Reageer