Sugestão a respeito de uma infraestrutura

[danillodias]

Boa noite a todos, gostaria da ajuda de vocês a escolher a melhor maneira para construção de uma infraestrutura.

O meu objetivo é ligar dois campus por meio de uma fibra e fazer que o campus B consiga ter acesso as aplicações que rodarão em um servidor localizado no Campus A. A ligação dessa fibra será por meio de dois switches layer 3 Cisco com módulo VPN-IPSEC, onde no Campus A terá a seguinte infraestrutura: Firewall com 3 NICS, onde uma delas receberá a Internet, outra será uma DMZ com o servidor de aplicação e na última placa será conectada ao switch. No outro campus terá apenas máquinas ligadas ao switch.
Esses switches terão VLANs e precisarão se comunicar com o Servidor do Campus A, uma VPN vinda da Internet também precisará se conectar ao servidor. Pensando na segurança o servidor estaria na DMZ para que não haja acesso a rede interna.

Gostaria de saber a sugestão de qual modelo escolher para os switches e como poderia ser feita a configuração para a comunicação do Campus B acessar o servidor do Campus A através da fibra rodando VPN-IPSEC. Que tipo de regras teria no Switch para fazer esse tipo de roteamento e também quais regras teria no firewall para encaminhar para o servidor.

Segue o arquivo com uma ilustração de como supostamente seria essa infraestrutura.

Agradeço a colaboração de todos.

[Edson]

Salve!

Me perdõe, mas não entendi onde entra a VPN-IPSEC entre os campus.
Essa fibra que interligará os sites é de algum provedor? É compartilhada?

Qual a distância entre os prédios?

No meu ponto de visto, se vc tiver switches com capacidade para L3, faria uma conexão entre os switches com uma rede /30, com isso faria roteamento entre os campus, poderia ser estático, pois não acredito que hajam muitas redes ou com um protocolo simples, tipo RIPv2 para não complicar mto o negócio.

[danillodias]

É uma fibra compartilhada sim, e o Contratante quer um nível de segurança bem elevado… a distância entre os Campus é entre 15 – 20km. Na verdade os campus tem q se comunicar de uma forma eficiente para que o Campus B tenha acesso as aplicações do Campus A.

[Edson]

Ah saquei, nesse caso acho que você precisará de um firewall em cada ponta, ou ainda um roteador, pois acredito que a maioria dos switches L3 não suporta a criação de túneis VPN IPSEC.
Se o intuito dessa ligação for única e somente para acessar a aplicação do servidor A, não seria mais barato fazer o acesso via Internet? Afinal o servidor vai estar em uma DMZ com acesso público.

[Edson]

Bom, pelo que vi aqui rapidamente, só o 6500 com o módulo para VPN poderia fazer esse túnel site-2-site.
Nesse caso, acho interessante usar outros dois hosts pfSense, adquirir um ASA ou um firewall de outro fabricante e em último caso apelar para um roteador mesmo.

Fecha a VPN site-2-site usando essa fibra como conexão, faz o roteamento estático para o seu host e boa diversão

[danillodias]

Valeu, estou com outras ideias aqui… assim q definir posto aqui pra vcs darem uma opinada!

[Fernando Avelino]

Sinceramente, o módulo de criptografia do 6500 é uma bela merda e cheio de bugs, a gente usava no banco e tivemos que tirar a criptografia dos links, alem de vc ter que rotear por uma vlan etc… se for criptografar com modulo de 6500 usa o ASA SM.

[Igor Mendonça]

@Fernando
As WiSM também eram assim. 1000x uma WLC5500 caro do que uma WiSM de graça.

[danillodias]

Valeu a dica, pensei direitinho e em vez de investir em um switch desses acho que seria melhor montar uma infra com switch e roteador. Um router da linha 1900 (encarregado de fazer as ACLS e fechar as VPNS de fora da rede e um Switch da linha ME 3400 fazendo a ligação das redes por meio de fibra e usando criptografia nesse meio. No final um switch de acesso para ligar as estações, assim como mostra a foto anexada.

[Edson]

Fala aí!

Parece bacana, fiquei curioso sobre o ME3400, que tipo de criptografia ele suporta?
Dei uma olhada por cima e não vi nada relacionado: http://www.cisco.com/c/en/us/products/collateral/switches/me-3400-series-ethernet-access-switches/prod_bulletin0900aecd8052f3d5.html

[Daniel.Matozinhos]

Fala aí…

Pelo que eu entendi:

1 – Vc quer criptografar somente o tráfego para o servidor de aplicação?
2 – Ou quer criptografar TODO o tráfego de um campus para o outro (inclusive para o servidor de aplicação)?

Se a primeira pergunta endereça sua necessidade, você já pensou em utilizar o IPSec incluso no sistema operacional (já que é Windows server 2008) e nas estações???? Já implementei e testei essa funcionalidade, e funciona á contento e terás mais performance do que direcionar este tráfego por uma VPN (já que irá utilizar o link de fibra). Além disso, seu custo será zero (uma vez que é uma funcionalidade nativa do S.O). Segue link de sugestão:

http://www.mcsesolution.com/Windows-Server-2008/configurando-o-ipsec-no-windows-server-2008.html
https://www.youtube.com/watch?v=OtIKLxn-ceo

Agora se a segunda pergunta endereça sua necessidade, tu vai ter que posicionar um baita equipamento (em termos de Hardware) entre as pontas, dependendo do volume do tráfego, para criptografia/decriptografia. Por isso, veja bem a sua real necessidade, para que atenda somente o tráfego desejado.

Qualquer dúvida, a disposição.

[Autor]

Posts