Tag Archives: vrf

Cisco IOS Firewall: ZFW (Zone-Based Firewall) в виртуальной сети

Наши партнеры из проекта cisco-lab.by подготовили новую статью о безопасности в виртуальных сетях. Прошлый раз говорили о базовом механизме — Context-Based Access Control (CBAC). Он, безусловно, хорош для своих задач. Но правила в нем очень грубые и нет возможности их сделать более детальными. В новом материале идет речь о, пожалуй, самом гибком из доступных в Cisco IOS инструментах обеспечения безопасности и файрволинга — Cisco Zone-Based Firewall (ZFW). О том, что это такое и как это настроить в виртуальной сети — материал наших партнеров cisco-lab.by.


    Cisco IOS Firewall: CBAC (Context-based access control) в виртуальной сети

    Наши партнера из проекта cisco-lab.by подготовили для тебя новый материал из цикла статей о виртуальных сетях. На сей раз речь пойдет о безопасности в виртуальных сетях, так как безопасность является одним из краеугольных камней построения современных сетей передачи информации. Ребята рассматривают технологию файрволинга (firewall) на основе функционала Cisco IOS Firewall Feature Set — CBAC. CBAC (Context-based access control) позволяет инспектировать проходящий через маршрутизатор трафик и динамически обновлять список доступа на интерфейсе,  тем самым разрешая обратный трафик. Даже если изначально список доступа выглядит (ip access-list 101 deny ip any any), обратный трафик сможет попасть к отправителю. Таким образом, наша сеть становится значительно более защищенной от внешних атак. Обо всем об этом — в новой статье от проекта cisco-lab.by.


      Про технологию F VRF

      У наших партнеров из проекта cisco-lab.by есть довольно интересный на наш взгляд цикл статей, посвященный виртуальным сетям и настройке/работе различных сетевых технологий в них. Речь идет не только о виртуальных сетях, в плане VPN или чем-то таком. Речь там идет о гораздо более глобальной концепции, в рамках которой активное сетевое оборудование и каналы связи могут быть представлены в виде ресурсов, которые делятся между виртуальными маршрутизаторами, которые объединяются виртуальными каналами (нет, это не MPLS VPN :-) ). Так вот в этом цикле статей повяилась новая статья, которая рассказывает нам о том, как можно значительно повысить безопасность виртуальных сетей, используя разделений таблиц маршрутизаций в зависимости от направления передачи трафика: локальный сегмент, внешний сегмент. Если инетерсно — добро пожаловать.


        Лабораторная работа MPLS and Services (former CCIP / MPLS) #11

        По умолчанию трафик передается по маршруту с лучшей метрикой, в то же время маршруты с большей метрикой использоваться не будут. В итоге мы получим ситуацию, когда одни линки используются на 100%, а другие не используются вообще. Сгружать часть трафика на незадействованные линки было бы очень интересно и полезно. Кроме того, по своей природе MPLS строит однонаправленные LSP автоматически, таким образом предсказать, как пойдет трафик можно довольно условно. В сетях операторов связи или провайдеров услуг такая определенность часто недопустима. Для того, чтобы гарантировать определенное качество услуг для разных сервисов, надо представлять, как пойдет трафик в нормальном режиме работы и как он пойдет в случае аварии. Для приведенных выше целей и для многих других, в MPLS используется технология Traffic Engineering (ТЕ), которая позволяет строить ТЕ туннели, добавляя тем самым в операторские сети дополнительные элементы управления трафиком. В этой лабораторной работе ты настроишь свои первые (или не очень первые) Traffic Engineering туннели на машрутизаторах компании Cisco.

        Схема, задания и ответы…


          Лабораторная работа MPLS and Services (former CCIP / MPLS) #10

          Одна из очень больших и важных услуг, которая может быть добавлены в услуги MPLS VPN, — это доступ в Интернет. Есть несколько способов организации данной услуги. Если мы говорим о сети оператора связи, то здесь маршруты Интернет (не важно это BGP full view или маршрут по умолчанию к upstream провайдеру) могут находиться как в глобальной таблице маршрутизации, так и в отдельном vrf Internet. Если мы говорим о подключении клиента, то здесь все тоже не однозначно: можно подключать один сайт клиента несколькими патчкордами к разным vrf, а можно смешать маршруты в пределах клиентского vrf и использовать один линк. Кроме того, при подключении к Интернету, очень часто стает вопрос трансляции NAT частных «серых» IP адресов в публичные «белые». Как ты видишь, вопросов очень много и какого-то лучшего решения для всех случаев нет: есть лучшее решение для конкретного случая. Тем не менее, в этой лабораторной работе ты сможешь настроить полноценную сеть оператора связи с доступом в Интернет через VPN, NAT трансляциями и прочими атрибутами сетевой жизни.

          Схема, задания и ответы…


            Лабораторная работа MPLS and Services (former CCIP / MPLS) #9

            Сети операторов связи и провайдеров Интернета часто характеризуются различными дополнительным услугами: например, доступ к контент-провайдерам или управление CE устройствами  администраторами провайдера услуг. С экономической точки зрения это выглядит привлекательно для обеих сторон: для одной стороны – это дополнительный доход, для другой стороны – сокращение собственных расходов на Интернет / обслуживающий персонал. С технической точки зрения для организации таких услуг в случае построения сети на MPLS необходимо использовать Central Services MPLS VPN. Данный тип VPN подразумевает возможность общаться удаленным точкам только с одной центральной и невозможность общаться друг с другом. В этой лабораторной работе ты будешь настраивать как раз Central Services MPLS VPN и сам поймешь, как происходит разделение трафика.

            Схема, задания и ответы…


              Лабораторная работа MPLS and Services (former CCIP / MPLS) #8

              Если ты сделал все предыдущие лабораторные работы курса MPLS and Services, то ты большой молодец: ты знаешь 5 способов, как можно организовать стык PE-CE различные протоколы динамической маршрутизации или статическую маршрутизацию, чтобы сервис MPLS VPN у клиента работал корректно, независимо от топологии его подключения в сеть. Следующим твоим шагом в изучении MPLS и услуги L3 MPLS VPN является создание сложных VPN. В данной лабораторной работе необходимо будет создать Overlay VPN. Данный тип VPN предполагает разные требования к маршрутизации, с точки зрения сайтов к сети. Например, сайт А является членом VPN A и может общаться только с другими членами данного VPN. Сайт Б – член VPN Б и тоже общается только с членами своего VPN. В тоже время, есть некий центральный сайт АБ, который должен иметь возможность общаться как с членами VPN A, так и с членами VPN Б. В рамках данной лабораторной работы ты научишься организовывать такое взаимодействие.

              Схема, задания и ответы…


                Лабораторная работа MPLS and Services (former CCIP / MPLS) #7

                Изучаем дальнейшие возможности по настройке MPLS VPN и стыка PE-CE. На этот раз в качестве протокола динамической маршрутизации на этом стыке будет использоваться BGP. Есть пару фокусов, которые необходимо дополнительно настроить, чтобы полноценно использовать BGP в данном случае. Один из фокусов заключается в том, что если у тебя используется внутри твоей сети одна автономная система, то необходимо сделать дополнительные манипуляции, чтобы организовать возможность передачи информации в пределах одной автономной системы через какую-то другую. И еще пару дополнительных фокусов по настройке MPLS VPN на маршрутизаторах Cisco  ты освоишь в рамках этой лабораторной работы. Вперед!

                Схема, задания и ответы…


                  Лабораторная работа MPLS and Services (former CCIP / MPLS) #6

                  Протокол динамической маршрутизации OSPF так же может использоваться для организации стыка PE-CE. В случае с MPLS VPN, в OSPF может не быть area 0. Кроме того, не смотря на редистрибьюцию, при верной настройке MP-BGP можно сохранить все типы маршрутов, при распространении их через облако провайдера (E1, E2, N1, N2, IA) и даже больше. В том случае, если есть резервные низкоскоростные прямые линки, минующие облако MPLS VPN провайдера, концы которого находятся в одной и той же area, есть возможность заставить трафик бежать через MPLS VPN, несмотря на предпочтение intraarea по отношению к  interarea маршрутам.  Для реализации такой функции ты будешь использовать sham-link. Итого, получается уже 4-ый вариант реализации стыка PE-CE. Хорошо, когда у тебя есть выбор, что использовать :-)

                  Схема, задания и ответы…


                    Лабораторная работа MPLS and Services (former CCIP / MPLS) #5

                    Третий вариант настройки стыка PE-CE – использование протокола динамической маршрутизации EIGRP. Хоть протокол EIGRP является Cisco proprietary, он превосходно подходит для построения сетей средних и крупных размеров в корпоративных сетях, к примеру, банков. Соответственно, если такой клиент захочет воспользоваться услугами L3 MPLS VPN какого-нибудь провайдера услуг, то встанет вопрос об использовании EIGRP для подключения к PE устройству провайдера. Успешно выполнив данную лабораторную работу, ты будешь знать, как это сделать быстро и правильно. Итак, приступай. Твоя задача состоит в настройке EIGRP в качестве протокола динамической маршрутизации PE-CE. И, конечно же, вспоминай, как настраивается сеть провайдера: MPLS, LDP, OSPF, BGP.

                    Схема, задания и ответы…


                      Hide me
                      Получать регулярно свежие материалы, лабораторные и вебинары
                      Email Имя
                      Show me