Left, Right, Center Left, Center, Right Center, Left, Right

Академия

Мы -- официальная сетевая академия Cisco (ID: 20027250)

Хочешь сказать спасибо?

Нравится наш проект?

Хотите нас поддержать (сказать "спасибо")?

Можете воспользоваться для этого следующими кошельками webmoney

R432847347204

Z150172555537

Подписка на новости

Вопрос недели

В какое время Вам будет удобно заниматься?



 

Вход в систему







Забыли пароль?
Регистрация
Статьи

Про виртуальные сети (часть 13). Cisco Zone-Based Forewall (ZFW) в виртуальной сети

Статьи

Антон /cisco-lab.by/ - Вторник, 03 Сентябрь 2013

В прошлой статье из цикла о виртуальных сетях мы рассматривали один из очень надежных и важных механизмов безопасности – файрвол на основе инструмента CBAC (Context-Based Access Control). Фактически данный механизм помогает контролировать какому трафику разрешено проходить из доверенной части сети во внешнюю через файрвол и возвращаться обратно. Таким образом, сеть надежно защищена, потому что сессии могут быть инициированы только из доверенной части сети. На внешний интерейс мы можем повесить самый надежный список доступа (access-list): «access-list 101 deny ip any any». Для задач подключения небольшого офиса к сети Интернет такого функционала хватит. В то же время, если у нас появляется такая часть сети, как DMZ (DeMilitarized Zone), то сложность правил у нас возрастает и нам требуется более гибкий механизм, который будет учитывать аж 6 потоков трафика (inside – outside, outside – inside, inside – dmz, dmz – inside, outside – dmz, dmz – outside). Цель данной статьи познакомить Вас с таким механизмом и дать представление о его настройке в виртуальных сетях. Название его, а точнее аббревиатура, в разных источниках разная: это и Cisco ZBF, и Cisco ZFW. Полное же название его выглядит так: Cisco Zone-Based Firewall.

То ли про ZFW, то ли про ZBF

 

Про виртуальные сети (часть 12). Файрвол CBAC в виртуальной сети

Статьи

Антон /cisco-lab.by/ - Вторник, 06 Август 2013

Тема безопасности, будь то реальные сети или виртуальные, - это очень благодатная почва. И не зря, ведь сохранность и конфиденциальность корпоративной информации является залогом успешного ведения бизнеса, а значит и прибыли компании. Мы обсудили с Вами уже много тем, связанных с сетевой безопасностью. В первую очередь, это были темы, связанные с созданием VPN и трансляцией сетевых адресов NAT. Но мы ни разу не говорили про файрволл (firewall), который реализован в маршрутизаторе Cisco (Cisco IOS Firewall feature set). Мы решили исправить этот недостаток и поделиться с тобой информаций о том, как работает в виртуальной среде Cisco IOS Firewall CBAC (Context-based access control).

Итак, поехали…

 

Про виртуальные сети (часть 11). Технология F VRF: что, как и зачем?

Статьи

Антон /cisco-lab.by/ - Суббота, 06 Июль 2013

В нашем цикле статей про виртуальные сети мы обсудили уже довольно много различных технологий и протоколов, их особенностей функционирования и настройки в виртуальных сетях. Однако еще больше нам предстоит обсудить, так как мы находим все больше новой информации о виртуальных сетях, которой хотим с Вами поделиться.

В данной статье мы поведем речь о стыке виртуальных и реальных сетей, а именно о технологии F FRW (Front VRF). Есть еще одна технология, которая называется I VRF, но о ней мы говорить отдельно не будем, так как она не многим отличается от данной технологии. Итак, технология F VRF предполагает концепцию построения сети, где часть интерфейсов находиться в глобальной таблице маршрутизации, а часть в VRF. Причем та часть, которая находиться в таблице виртуального маршрутизатора VRF, смотрит во внешнюю сеть. Вот что думает сам производитель Cisco Systems по этому поводу.

Что это нам дает?

 
 

Про виртуальные сети (часть 10). Рассматриваем настройку VPN (только IPSec), то есть часть 2, в случае, когда маршрутизаторы получают адреса по DHCP (то есть dynamic crypto map)

Статьи

Антон /cisco-lab.by/ - Вторник, 12 Февраль 2013

В предыдущей статье про виртуальные сети мы рассматривали вопросы построения виртуальных частных сетей между виртуальными же маршрутизаторами. Звучит довольно забавно, и тем не менее, если перефразировать, то мы строили VPN между VRF на разных физических маршрутизаторах. Фокус статьи был установлен на GRE туннель, защищенный средствами IPSec. Бонусы, которые нам дает такой вид VPN, довольно очевидны. Один из таких, который сразу приходит на ум, - это поддержка Multicast трафика, что означает возможность работы протоколов маршрутизации через такой туннель, что дает возможность построения сквозной маршрутизации в сети без использования различных «костылей». Такой подход хорош, если мы связываем между собой крупные сайты с обширной внутренней адресацией, различными подсетями и так далее и тому подобное. А если мы хотим подключить отдельного пользователя, что называется в западной терминологии «teleworker» или небольшой офис, такой как «soho» (small office, home office) или небольшой филиал компании «Branch», то в строительстве таких GRE туннелей нам нет необходимости, так как нам не зачем поднимать между таким небольшим пользователем и головным офисом какой-либо протокол маршрутизации. Для данного варианта нам вполне хватит обычного шифрованного IPSec туннеля, без GRE. Еще одним кейсом, разбираемым в данной статье, будет тот факт, что IP-адреса некоторых маршрутизаторов получаются по DHCP, соответственно обычные криптомапы (crypto map) тут не подойдут. Необходимо создавать динамические, которые бы позволили реализовать данную задачу.

Как это сделать, а конкретно как построить IPSec VPN к виртуальному маршрутизатору и/или с него?

 

Про виртуальные сети. Внедряем WebVPN (SSLVPN)

Статьи

Вадим - Среда, 30 Январь 2013

 

Как говорилось ранее, что технология DMVPN не предусматривает удаленный доступ к сети дрейфующих пользователей, но это легко исправить взяв за основу WebVPN(SSL VPN) или IPSec VPN. Выбор на в этой статье упал на WebVPN (SSL VPN), поэтому сегодня в этой статье и будем рассматривать эту технологию.

Сама компания Cisco Systems позиционирует технологию WebVPN, как достойную замену IPSec VPN. Такую замену можно считать очень хорошей и целесообразной, учитывая проблемы, которые возникают при использовании IPSec VPN. Для организации безопасного соединения, WebVPN использует Secure Socket Layer Protocol и Transport Layer Security (SSL/TLS1). Для организации WebVPN можно использовать возможности Cisco IOS, Cisco VPN 3000 Concentrator или Cisco ASA 5500. На Cisco IOS очень много ограничений по использованию этой технологии, функционал очень сильно обрезан. Но тем не менее для начала рассмотрим работу технологии именно на Cisco IOS.

 

Каждому по SSL...

 
 

Про виртуальные сети. Внедряем DMVPN

Статьи

Вадим - Вторник, 29 Январь 2013

Зачастую любая крупная организация приходит к решению создать свою виртуальную частную сеть. Предпосылок для такого решения может быть очень много, в частности это желание защитить передаваемую корпоративную информацию от несанкционированного доступа и третьих лиц, ограничить доступ к корпоративным порталам, упростить обслуживание сетевой инфраструктуры, развитие построения доменной сети на базе VPN, построение своей IP телефонной сети и так далее. После принятия решения о построении VPN у системных администраторов возникает много вопросов потому как технологий и производителей, которые могут предложить решения на базе своих проприетарных и общих технологий очень много. В свое время Cisco рекламировала технологию DMVPN (англ. Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть) и компаний принявших решение в пользу этой технологии очень много.

В середине 2012 года на Cisco Expo 2012 была представлена технология Flex VPN, которая объединила плюсы прошлых решений для построения VPN. Было рекомендовано для новых внедрений, использовать все же новую технологию, но это не значит, что надо переделывать все существующие построенные сети на базе других технологий в виду некоторых нюансов. Для построения VPN на новой технологии должно использоваться новое оборудование ISR второго поколения (прошивка IOS 15.2(2)T), маршрутизаторы 7200 с новой прошивкой, ASR1000.

Вследствие этого, когда нет возможности обновить парк оборудования выбор падает на DMVPN, поэтому мы сегодня рассмотрим эту технологию поближе и попытаемся обозначить ряд ключевых моментов этой технологии.

Заинтересовала технология? Тогда вам сюда...

 

 

Про виртуальные сети (часть 9). Рассматриваем настройку VPN (GRE + IPSec) между виртуальными маршрутизаторами.

Статьи

Антон /cisco-lab.by/ - Понедельник, 14 Январь 2013

Продолжим цикл статей про виртуальные сети, который по некоторым причинам затих. Напомним, в крайней написанной статье рассматривался вопрос настройки статического NAT, динамического NAT (Dynamic NAT Overload – PAT) и некоторые нюансы, которые могут возникать при данной настройки. В будущем мы еще вернемся к вопросу настройки NAT, так как есть еще интересные моменты, которые могут понадобиться для решения определенного круга задач (к примеру, объединение виртуальных сетей). Речи идет в частности про inter-VRF NAT. В данной же статье мы рассмотрим вопросы настройки виртуальных частных сетей (Virtual Private Network – VPN), используя довольно распространенные технологии, такие как GRE (Generic Routing Encapsulation) и IPSec (IP Security). GRE хорош тем, что пропускает мультикаст трафик, позволяет устанавливать соседство для протокола маршрутизации через данный тоннель, что упрощает построение сети и много чего другого вкусного и полезного. Но по-умолчанию весь трафик идет через GRE-тоннель в незашифрованном виде, что является огромной уязвимостью. IPSec не обладает такими функциями в плане построения сети, однако он может осуществлять шифрование трафика, в том числе алгоритмом AES, который на сегодняшний день является одним из самых надежных симметричных алгоритмов шифрования. Поэтому совместное использование данных технологий (GRE + IPSec) вполне обоснованно и позволяет получить VPN с хорошими показателями, как функционала, так и безопасности.

После такого небольшого ликбеза, перейдем к самой настройке

 
 

Про некоторые отличия в работе distribute-list в зависимости от протокола маршрутизации (OSPF, EIGRP)

Статьи

Антон /cisco-lab.by/ - Понедельник, 17 Сентябрь 2012

Привет, друзья. В свете готовящегося лабораторного курса CCNP / ROUTE мы сами углубляемся в нюансы функционирования различных протоколов и порой находим довольно интересные особенности. В частности в этой статье мы поговорим про различие в работе фильтрации обновлений в протоколах динамической маршрутизации OSPF и EIGRP. Сразу отмечу, что редистрибьюцию между протоколами маршрутизации мы рассматривать не будем. Итак, начем.

В общем виде, как это рисуют в модных книжках CiscoPress, можно выделить 3 следующих компонента, участвующих процессе построения таблицы маршрутизации:

Что все это значит?

 

Настройка Management vlan на 3Com при подключении к Cisco

Статьи

Кирилл /cisco-lab.by/ - Вторник, 11 Сентябрь 2012

Ситуация: для подключения новых пользователей к сети используется коммутатор 3Com. В сети существует влан, который используется для настройки и управления активным оборудованием. Ядро сети построено на оборудовании компании Cisco.

Задача: На коммутаторе 3Com (в нашем примере это 48-портовый 3Com 4400) отрезать влан для пользователей, настроить management vlan ( в нашем примере это vlan 100), настроить ip адрес интерфейса и шлюз по умолчанию.

На Cisco (у нас Cisco 3550) сконфигурировать trunk порт для взаимодействия с 3Com и настроить передачу пакетов из пользовательского влана.

management-vlan-on-3com-to-cisco

Вроде выглядит всё предельно просто, однако по ходу работы возникло несколько нюансов, на которых бы хотелось заострить внимание.

И так, начнём! :)

 
 

Про MPLS и VPN – вместе веселее. Или упрощаем предоставление услуг L2/L3 VPN в сети

Статьи

Антон /cisco-lab.by/ - Вторник, 28 Август 2012

Что же значат эти четыре волшебные буквы «MPLS»? MPLS – аббревиатура к MultiProtocol Label Switching, технологии коммутации, появившейся в начале 2000-ых и получившей широкое распространение при построении крупных сетей (сети операторов связи или крупных корпоративных сетей). Википедия дает довольно красивое и абстрактное понятия того, что это такое, мы не будем его приводить здесь. Однако для указанных потребителей (операторы связи, крупные корпорации) MPLS интересен в первую очередь теми сервисами, которые можно организовать на его основе: L2 VPN, L3 VPN, Traffic Engineering, QoS. И все это на одной платформе! Поэтому MPLS можно рассматривать не просто как технологи коммутации, а как целую концепцию построения сети, как некий Framework. В данной статье мы рассмотрим на архитектурном уровне L2/L3 VPN средствами MPLS, их настройку и области применения.

Начнем с L3 VPN.

 

Про виртуальные сети (часть 8). Про NAT и виртуальные маршрутизаторы. Про проблемы статического NAT на виртуальных маршрутизаторах (ВАЖНО!)

Статьи

Антон /cisco-lab.by/ - Вторник, 03 Январь 2012

ВАЖНО! Друзья, недавно мы столкнулись с серьезной проблемой, документации по которой, к сожалению, нет на официальном сайте Cisco и упоминания только на одном форуме. А проблема была, что называется, боевая: надо было на виртуальном маршрутизаторе (возможности использовать физический не было возможности, так как он обслуживал другую услугу) настроить статический NAT на пару реальных адресов. Задача, по сути своей, простая, хотя мы про NAT в виртуальных сетях еще не писали. Но, как оказалось, все совсем не просто.

Что ж такого непростого-то?.

 
 

Страница 1 из 3

Share to Facebook Share to Twitter Share to Linkedin Share to Myspace Share to Google 
.