Para acesso remoto (RA) e VPN LAN-to-LAN (L2L) , atualmente eu opero um par de concentradores Cisco VPN 3005 vinculados a roteadores de borda da Internet no lado externo e interno vinculados a um par interno de PIX 535s no que é o firewall fora da interface antes de poder passar para nossas redes internas reais. O VPN 3005s e o PIX 535s estão sendo substituídos pela plataforma ASA-5545X. Esses firewalls não são para o tráfego primário da Internet, apenas VPN, e também podem servir como firewalls internos para o tráfego que entra no datacenter por linhas privadas.
Com as ACLs do firewall interno sendo combinadas em um único firewall que atende ao tráfego da VPN e potencialmente outro tráfego de linha privada, para limites de segurança e para eliminar possíveis problemas de roteamento, a interface interna do firewall da VPN (5545) deve permanecer em uma sub-rede separada do firewall principal da Internet ou isso realmente não importa? No momento, o OSPF está sendo executado no firewall da Internet (com origem padrão) e na VPN 3005. Como esse data center é o nosso controlador de domínio primário para tráfego da Web - nosso pão com manteiga -, devo eliminar quaisquer problemas em potencial com a colocação do Firewalls de VPN que podem interferir nisso, mesmo que de maneira mínima.
** Se a interface interna do 5545 pousar primeiro nos comutadores de borda L2 e depois entrar nos comutadores agg para melhor segurança ou apenas ter a queda interna diretamente na camada Agg, também considerando que o tráfego de linha privada pode passar por outra interface no 5545 no futuro.
Somente as partes relevantes da conectividade L3 são mostradas abaixo com o ASA-5545X * que está em questão.
Internet | Edge rtr + Edge rtr | 5545 * (VPN / transmissão interna) + 5540 (Internet para tráfego de entrada / saída de DC) | AGG-1 + AGG-2 | etc Um par de switches L2 conecta todos os dispositivos de borda antes de alcançar os switches Agg. Espaço IP público fora dos firewalls, privado por dentro. (Cada firewall faz parte de um par de failover separado não mostrado; o 5545 e o 5540 não tem interação.)
Procurando respostas / comentários que possam ser considerados práticas recomendadas ou o que você encontrou funciona melhor em uma rede corporativa típica.