Пограничные межсетевые экраны и маршрутизация - статическая против динамической маршрутизации

Граничная топология для крупного предприятия http://www.freeimagehosting.net/uploads/d24ede3b2f.png

Предположим, у вас есть предприятие с небольшим присутствием в Интернете в виде DNS-сервера, веб-сервера и VPN-сервера, все в DMZ (в данном случае невидимая пара переключателей, подключенных непосредственно к межсетевым экранам). . Внутри корпоративной сети также есть 20 000 узлов, разбросанных по множеству зданий, с множеством маршрутизаторов, виртуальных локальных сетей и т. Д. На предприятии полно очень важных, очень занятых людей, которым нравится иметь возможность без промедления зайти на facebook ... Все становится понятным; DMZ имеет статические симметричные NAT, и все остальные могут совместно использовать исходящие IP-адреса из пула, выделенного для этой цели.

Граница представляет собой пару маршрутизаторов, соединенных друг с другом и межсетевыми экранами через пару гигабитных коммутаторов Ethernet, а также с поставщиками услуг Интернета через городской Ethernet и подключенными к поставщикам услуг Интернета через городской Ethernet. Пограничные маршрутизаторы обмениваются маршрутами с интернет-провайдерами через eBGP и друг с другом через iBGP. Внутренняя сеть имеет разнообразные маршруты к любой точке сети и использует протокол динамической маршрутизации для управления переключением при отказе и распределением маршрутов.

Межсетевые экраны подключены к ядру предприятия через пару маршрутизаторов в центре обработки данных.

У меня такой вопрос:

Статические маршруты или протоколы динамической маршрутизации?

статические маршруты:

Каждый набор устройств имеет статические маршруты и использует некоторый механизм, такой как VRRP или HSRP, для управления аварийным переключением L2 <-> L3. Межсетевые экраны будут указывать на виртуальный адрес пограничных маршрутизаторов для корпоративного маршрута по умолчанию, внутренние маршрутизаторы будут указывать на виртуальный адрес межсетевых экранов для своего маршрута по умолчанию, а межсетевые экраны будут указывать на виртуальный адрес внутренних маршрутизаторов для 10.0 .0.0 / 8.
динамическая маршрутизация:

Используйте iBGP между межсетевыми экранами и граничными маршрутизаторами и OSPF / EIGRP между межсетевым экраном и внутренними маршрутизаторами.

Я видел, что люди используют модель статической маршрутизации гораздо чаще, чем модель динамической маршрутизации. У меня вопрос - почему?

Каковы лучшие практики для такой топологии? Или это просто вопрос религиозного характера?

firewall routing

Примечание: все нижеприведенное предполагает, что у вас один сайт с двумя цепями ISP. Пожалуйста, дайте мне знать, если это не так.

Для маршрутизации между ядром вашего предприятия и вашей DMZ статическая маршрутизация кажется вполне подходящей; маршрут по умолчанию, указывающий на брандмауэры, маршрут для ваших внутренних подсетей (10.0.0.0/8, судя по звукам), обратно к вашим основным маршрутизаторам. (Хотя существует точка зрения, согласно которой Интернет не должен быть маршрутизируемым из вашей базовой сети; подробнее об этом в приложении в конце). Тем не менее, если вы подытожите аккуратно, при запуске OSPF не будет больших накладных расходов, EIGRP или даже EBGP между вашим ядром и вашей DMZ. Часто это зависит от личных предпочтений инженера.

Что касается маршрутизации между вашей DMZ и вашими поставщиками, есть два аспекта:

Как ваши интернет-провайдеры связываются с вами
Как вы подключаетесь к Интернету через своих интернет-провайдеров

Относительно (1): есть ли у вас независимое от провайдера адресное пространство, позволяющее вашему VPN-серверу и веб-серверу быть представлены обоими интернет-провайдерами? Предполагая, что это так, я бы предположил, что запуск EBGP для ваших провайдеров - неплохая идея - это позволяет вам влиять на то, какой ISP предпочтителен для вашего входящего трафика, с помощью различных атрибутов BGP. Если ваши серверы находятся в адресном пространстве конкретного провайдера, то нет никакой пользы от динамического объявления маршрутов вашим интернет-провайдерам; они также могут статически направлять вас к вам.

Относительно (2): статический маршрут по умолчанию к адресу HSRP / VRRP на ваших пограничных маршрутизаторах будет работать; вы можете использовать отслеживание объектов (на платформах Cisco) для определения «работоспособности» локально подключенного канала ISP на каждом маршрутизаторе, возможно, путем проверки связи с хорошо известным IP-адресом. Если отслеживаемый объект выходит из строя, маршрутизатор может быть настроен на снижение его приоритета HSRP / VRRP, передавая трафик на другой канал.

Тем не менее, использование значения по умолчанию очень структурировано и не позволяет вам использовать какие-либо прямые пиринги, которые ваш интернет-провайдер может иметь с крупными поставщиками контента (например, akamai, BBC и т. Д.). Если это может быть полезно, пиринг EBGP позволит вам получить больше информации о подключении ваших интернет-провайдеров. Многие предлагают стандартные сообщества, которые позволяют вам принимать «клиентские» маршруты, то есть у вас есть определенные маршруты для любых напрямую подключенных клиентов вашего интернет-провайдера, но нет необходимости поддерживать копию полной таблицы BGP в Интернете.

В стороне: глядя на ваше описание, кажется, что одна часть инфраструктуры, которая может отсутствовать, - это интернет-прокси. Можно многое сказать о том, чтобы ваши внутренние хосты не могли напрямую подключаться к Интернету; Если большая часть исходящего трафика связана только с просмотром веб-страниц, установив один (или два, для переключения при отказе) прокси в вашей DMZ, вы можете избавиться от необходимости иметь во внутренней сети маршрут по умолчанию к DMZ. Просто выполните маршрутизацию к подсетям DMZ (где находится прокси), и доступ в Интернет будет ограничен вашей DMZ. Пара преимуществ:

Централизованное управление политиками; он позволяет вам ограничивать доступ к сайтам, которые ваше руководство / специалисты по безопасности рассматривают как неприемлемые или высокорисковые.
Это ограничивает способность любого вредоносного ПО, которое попадает на рабочие станции пользователей, «звонить домой». Все, что пытается направить напрямую на интернет-адреса, не сможет подключиться; все, что пытается использовать прокси, должно будет использовать только разрешенные порты (80/443), и если вы подпишетесь на хорошего поставщика черного списка, ваш прокси может еще больше уменьшить вашу уязвимость.

Отличный вопрос. :)

Поместите внешние маршрутизаторы в пару HSRP / VRRP. Получите AS. Начните использовать BGP со своими интернет-провайдерами.

Тогда везде внутри вашей среды пути будут статичными. Вам просто нужно иметь аварийное переключение, и это достигается с помощью VRRP / HSRP и межсетевых экранов в конфигурации A / A или A / S.

Альтернативы более беспорядочные и / или менее надежные:

Динамика во всем - ненужные хлопоты.
Статический исходящий трафик на брандмауэрах может затруднить / негибко / сделать невозможным одновременное использование обоих восходящих каналов.
Избыточность входящего трафика станет настоящим испытанием без таких кладжей, как PePLink / Ecessa / EdgeXOS.

Статический подход позволяет более детально управлять маршрутизацией трафика к двум вашим интернет-провайдерам. У вас может быть асимметричная маршрутизация в зависимости от скорости ваших интернет-провайдеров или в зависимости от того, к каким сервисам вы хотите получить доступ.

Репликацию / аварийное переключение довольно просто настроить, поскольку большинство брандмауэров / устройств предлагают очень простую процедуру (по крайней мере, на Cisco).