Eu tenho 2 Sites do Centro de Controle, cada um com 2 N7Ks em um design de malha completa e 2 Nexus 5548UP como Agregação Interna de Farm de Servidores e 2 Firewalls ASA pendurados em cada N5K Agg. Ambos os sites têm um design de imagem espelhada. Temos usuários que precisam de acesso direto aos Aplicativos de Farm de Servidores Internos e também precisamos de um limite de segurança para solicitações de conexão de saída dos Aplicativos de Servidor Interno. Além disso, preciso hospedar DMZs privadas no Agg para isolar as solicitações de conexão de entrada daquilo que classificamos como zonas de segurança mais baixa (o N7K CORE utilizará vrf: Global para rotas para diminuir as sub-redes da rede de segurança).
Normalmente, o usuário seria considerado zonas seguras inferiores, mas esse design é para hospedar um sistema de controle para uma grande rede de energia. Com isso em mente, também não quero conectar os usuários diretamente ao N5K Agg para permitir que o SITE1 Server Farm Agg seja desativado, permitindo que o SITE 2 hospede os aplicativos (atualmente, conectamos os usuários ao mesmo comutador físico dos aplicativos) . Eu gostaria de fornecer um design clássico de Data Center em que os Usuários direcionem para o Farm de Servidores a partir do HA L3 CORE (malha completa de 4 x N7K). No entanto, como eles são considerados o mesmo nível de segurança dos "Servidores Internos", desejo isolá-los em uma Nuvem VPN privada hospedada no N7K CORE. Como o N7K suporta MPLS, isso seria o mais lógico, no entanto, meu design atual tem o limite L2 / L3 para os servidores internos na agregação Nexus 5548, já que os firewalls também estão conectados lá. O Nexus 5K não suporta MPLS, mas suporta VRF Lite. Os N5Ks também são conectados em uma malha completa aos N7K locais em cada local.
Para utilizar todos os 4 links entre os N5K e os N7K, eu preciso configurar os links pt para pt L3, o que representa a idéia de isolar o tráfego de Usuários Internos do Core do tráfego que precisa encaminhar o firewall ou eu posso utilizar o FabricPath entre os 5K. e 7K e use o vrf lite, onde os únicos vLans do FabricPath seriam os SVI da interface entre os 4 nós e a vlan externa do firewall para conectar a tabela vrf: Global Routing do N7K. Provavelmente, isso é um exagero, já que eles precisam ser licenciados, mas temos requisitos de segurança exclusivos, portanto, o custo tende a ser um pequeno problema.
Para o roteamento, eu instalaria uma rota padrão no firewall para apontar para N7K vrf: Global, que executaria OSPF ou EIGRP e aprenderia rotas para outras redes de segurança mais baixa. Para a High Secure Zone, eu instalaria um vrf: Internal em todos os N5K e N7K e, provavelmente, executaria o BGP, pois o MPLS no N7K requer o uso do MP-BGP. Isso aprenderia apenas rotas para o SITE2 Internal Server Farm e para os usuários internos (nossos aplicativos precisam de L3 entre sites para impedir a divisão do cérebro). Também preciso tomar muito cuidado para não permitir que o vrf: Global troque rotas com o vrf: Internal, pois isso criaria um pesadelo assimétrico com os Stateful Firewalls, fornecendo conexão L3 entre os 2 vrf's. Uma rota padrão simples no site local N5K e Firewall e uma rota de resumo no N7K apontando para as sub-redes internas do servidor evitarão esse problema.
Como alternativa, considerei construir outro VDC fora do N7K para fornecer FHRP e mover os firewalls para o VDC. O N5K usaria apenas o FabricPath e nenhum L3 de qualquer tipo.
Como esse provavelmente não é um design típico, eu gostaria de receber algum feedback sobre isso.