Маршрутизаторы Cisco как устройства обеспечения...
-
Upload
cisco-russia -
Category
Technology
-
view
964 -
download
7
description
Transcript of Маршрутизаторы Cisco как устройства обеспечения...
Петякшев Евгений, Системный инженер Cisco
2xCCIE (Security, Data Center) #36020
Маршрутизаторы Cisco как
устройства обеспечения
информационной
безопасности
1) Обзор проблем безопасности филиальных сетей
2) Защита самого маршрутизатора от DOS атак (CoPP, CPPr)
3) Межсетевой экран с политиками на основе зон (ZBF)
- Advanced features
- Security Group Access
- Zone Based Firewall с учетом меток SGT
4) IOS Cloud Web Security
5) FlexVPN, унифицированный метод построения виртуальных частных сетей
6) Сертифицированный VPN
7) Выводы
План
Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 3
Безопасные Удаленные Офисы
Ограниченные или
отсутствующие ресурсы IT
и безопасности в
Удаленных Офисах
Доступ к Облакам и
ресурсам Центрального
офиса
Соблюдение требований
регуляторов
Remote Worker
Branch
Сложности:
ЦОД
Центральный
Офис SaaS
Интернет
Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 4
Безопасные Удаленные Офисы
VPN (IPSEc, GET VPN,
DMVPN, FlexVPN, SSL), FW,
IPS, CWS client;
Visibility (AVC, NetFlow);
Поддержка SGT
Лучший возврат инвестиций
(Простота, надежность,
Целостность),
Экономия инвестицый за
счет Split Tunneling
WAN оптимизация
Беспроводная сеть
Встроенный коммутатор
Встроенный модуль сервера
Полный функционал безопасности
Удаленных Офисов Лучшее ROI
Безопасность + оптимизация приложений
$
+
ISGR2
Решение CISCO:
Центральный
Офис
Почему стоит инвестировать ?
Видео это новый ‘голос’, хотите ли вы быть человеком, который вовремя
не среагировал на требования бизнеса в области коммуникаций ?
Консолидация и централизация удаленных филиалов происходит уже
сегодня; Cisco UCS Express расширяет унифицированный ЦОД до
удаленных филиалов
Бизнес расширяется, защитите свои инвистиции с помощью ISR/ASR,
увеличьте доступность филиалов резервным 3G каналом
Сэкономьте на расширении полосы пропускания WAN канала с помощью
WAAS Express, до 10x увеличения производительности
Будьте готовы удовлетворять требования регуляторов
Массштабируемые VPN решения с веб безопасностью
• Массштабируемые, безопасные филиальные сети используя VPN решения: DMVPN, FlexVPN,…
• Эффективная защита от угроз с помощью Zone-Based Firewall, Cisco Cloud Web Security
• Упрощенное решение с тесно интегрируемыми сервисами маршрутизации, безопасности и пр.
• Меньшая стоимость по сравнению с выделенными аплайнсами; целостные сервисы безопасности
• Удовлетворение требований регуляторов
ДО ПОСЛЕ
HQ
Branch Branch WAN
HQ
Branch Branch Secure WAN
• Небезопасный доступ, Malware могут скомпрометировать сеть филиала, центрального офиса и привести к остановке сервисов
• Сложность решений безопасности в филиалах и невозможность централизованного обслуживания – дыры безопасности
3G/4G Cellular
ISP/WAN
Непрерывность бизнес-процессов с помощью безопасных сервисов WAN, LAN, Wireless
• Ненадежное WAN соединение, потеря WAN == потеря бизнес процессов в филиалах
• Высокая стоимость внедрения проводных и беспроводных сервисов в филиалах
• Автоматический переход на подключение по 3G/4G LTE в случае потери WAN сервисов
• Интегрированные сервисы безопасности, LAN, WAN, беспроводная сеть в одном устройстве
• 802.11n беспроводные сервисы в филиалах
• Непрерывность бизнес процессов и катастрофоустойчивость с автоматическим провижнингом
• Гибкое внедрение – ‘плати по мере роста’
• Эффективное централизованное управление и мониторинг
ДО ПОСЛЕ
HQ HQ
ISP/WAN
Оптимизация сети, Cisco Thread Defence
• Рост объема WAN трафика филиалов
• Высокие затраты на ряд решений по оптимизации WAN
• Высокая стоимость решений
• Отсутствие информации о событиях безопасности в филиальной сети
• AVC, IP SLA,…
• Безопасная и прозрачная оптимизация WAN
• MediaNet – сеть ‘знает’ о трафике видео
• Удаленный офис – сенсор в решении Cisco Cyber Thread Defense в центральном офисе
• Безопасность
• Оптимизация видео и трафика приложений
• Гибкие модели внедрения
• Visibility (AVC, netflow) и контроль
• Видимость и управление событиями безопасности филиальной сети
Сеть готова к видео
Оптимизация VDI решений
Оптимизация приложений
Удаленный офис
WAAS/ WAASX
VDS
Internet
IPSLA
MediaNet PfR
QoS PA
WAN
CTD
CISCO PRIME INFRASTRUCTURE
Маршрутизаторы Cisco ISRg2
Производительность с включенными сервисами
Пл
отн
ость
инте
рф
ей
сов
800 Series
1900 Series
2901
2911
2921
2951
3900 Series
3900E Series
2Gbps 500Mbps
350Mbps
250Mbps 100Mbps 75Mbps 50Mbps 25Mbps 35Mbps
4451-X
Новинка
Филиал
Маршрутизаторы с
интегрированными
сервисами - Безопасность,
Голос, Видео, БЛВС,
Оптимизация WAN
Маршрутизаторы Cisco ASR
Производительность с включенными сервисами
Пл
отн
ость
инте
рф
ей
сов
Центральный офис / Агрегация WAN
ASR 1001, ESP2.5G/5G
ASR 1000, ESP10
ASR 1000, ESP20
ASR 1000, ESP40
2,5 Gbps 10 Gbps 20 Gbps 40 Gbps
Маршрутизаторы с
интегрированными
сервисами - Безопасность,
Голос, Видео, БЛВС,
Оптимизация WAN
Безопасность самого маршрутизатора: CoPP, CPPr
Вх. пакеты Вых. пакеты
Терминология
Route
Processor
CPU
Data
Service CEF
Control
Management
Transit
Receive
Exception
Определение проблем:
- Высокие требования к безотказной работе сети
- DOS атаки, направленные на Control Plane маршрутизатора
- DOS атаки направленные на RP могут приводить к высокой
утилицации RP, потеря трафика
- Неправильно настроенные сетевые устройства
Control Plane Policing (CoPP)
Пакеты направленные к control plane потребляют ресурсы Route Processor (RP)
Входящий трафик к Control Plane может быть ограничен -> освобождение ресурсов RP,
нормальная обработка пользовательского трафика
INCOMING
PACKETS
CONTROL PLANE POLICING SILENT MODE
PACKET
BUFFER
OUTPUT PACKET
BUFFER Locally
Switched Packets
CEF/FIB LOOKUP
Processor
Switched Packets
CONTROL PLANE
Management SNMP, Telnet ICMP IPv6
Routing Updates
Management SSH, SSL …..
OUTPUT
from the Control Plane
INPUT
to the Control Plane
15 15 15 © 2004 Cisco Systems, Inc. All rights reserved.
CoPP Настройка
• Для классификации сервисов Control Plane используется MQC
• Class maps и policy maps определяются для всего control plane
Пример ограничения UDP трафика до 16 Kbps, предотвращение UDP флуда:
Вх. пакеты Вых. пакеты
Control Plane Protection (CPPr)
Route
Processor
CPU
Sub-интерфейсы:
1) Host
2) Transit
3) CEF-Exeption
1
2
3
Control Plane Host
• Сбрасывает все пакеты направленные на закрытые или не на используемые маршрутизатором TCP/UDP порты.
• Обрабатывает TCP/UDP трафик направленный к маршрутизатору
• Большее количество функционала чем на CEF-exeption и transit Sub-интерфейсах: policing, port filtering и per-protocol queue thresholds
Пример: сброс всего трафика, кроме TCP 3020, 3040 или UDP 520
Control Plane Host (Queue Threshold)
• Ограничения на уровне отдельных протоколов (BGP, DNS, FTP, HTTP,
IGMP, SNMP, SSH, SYSLOG, TELNET, TFTP, host-protocols)
• Только для Host Sub-интерфейсе
• Защита от переполнения входной очереди каким-либо одним протоколом
Пример: настройка queue-limit для HTTP – 100 пакетов
Control Plane Transit
• Трафик ‘через’ маршрутизатор, обрабатываемый на RP (не CEF)
Пример: ограничение фрагментированных пакетов до 1Mpps:
Control Plane CEF Exception
• Пакеты вызывающие CEF-Exeption
• Весь не-IP трафик от хостов
• Примеры: CDP, не-UDP локальный мультикаст, ARP...
Пример: уменьшение влияния широковещательных штормов, ограничение не-IP трафика до 100 пакетов в секунду:
CoPP
Вх. пакет
Буффер Буффер
Вых. пакет CEF/FIB
lookup
перенаправление Классификация
Policer
Policer
Port filter Policer Queue
threshold
Feature
path
Глобальный IP input queue
BGP
SNMP
OSPF
Control Plane
Межсетевой экран с политиками на основе зон
(Cisco ZFW)
Межсетевой экран с политиками на основе зон (Cisco ZFW)
Зона - набор интерфейсов
с определенным общим
"уровнем доверия”
ZFW
ДОВЕРЕННАЯ зона НЕДОВЕРЕННАЯ зона
Int 1 Int 3
Политика зоны
OUTBOUND
Int 2
Политики ZFW являются однонаправленными: от источника к получателю
Inside
DMZ
Outside
Межсетевой экран с политиками на основе зон (Cisco ZFW)
ZFW
Int 1 Int 3
Int 2
Inside
DMZ
Outside
1) Настраиваем зоны МСЭ
2) Помещаем интерфейсы в зоны
3) Определяем пары зон между которыми будет ходить трафик
In_to_Out
zone security Inside
zone security DMZ
zone security Outside
int gi 0/0
zone-member security Inside
Межсетевой экран с политиками на основе зон (Cisco ZFW)
4) Описываем трафик с помощью class-map
5) Описываем действия с трафком с помощью policy-map
6) Создаем пары зон и применяем действия к парам зон
ip access-list extended INTERNAL_Lan
permit ip 10.0.0.0 0.0.0.8 any
!
class-map type inspect match-all INTERNAL_Lan
match access-group INTERNAL_Lan
!
class-map type inspect match-any In_to_Out_protocols
match protocol http
match protocol https
match protocol dns
match protocol icmp
!
class-map type inspect match-all In_to_Out_Cmap
match class-map In_to_Out_protocols
match class-map INTERNAL_Lan
policy-map type inspect In_to_Out
class type inspect In_to_Out_Cmap
inspect
zone-pair security In_to_out_ZP source Inside destination Outside
service-policy type inspect In_to_Out
WIN !
ZFW1# show parameter-map type inspect default
audit-trail off
alert on
max-incomplete low 2147483647
max-incomplete high 2147483647
one-minute low 2147483647
one-minute high 2147483647
udp idle-time 30
icmp idle-time 10
dns-timeout 5
tcp idle-time 3600
tcp finwait-time 5
tcp synwait-time 30
tcp max-incomplete host 4294967295 block-time 0
sessions maximum 2147483647
parameter-map type inspect TRACKING
audit-trail on
parameter-map type inspect global
log dropped-packets enable
Полезный совет:
указывать имена
элементов политики в
верхнем регистре. Поиск
в интерфейсе командной
строки производится с
учетом регистра
ZFW: Дополнительные элементы политик
policy-map type inspect Outbond
class type inspect CMAP2
inspect parameter-map-name PMAP1
parameter-map type inspect-zone ZONE_PMAP_1
tcp syn-flood rate per-destination 400
max-destination 10000 ASR
parameter-map type inspect global
tcp syn-flood limit number
ZFW: Дополнительный функционал: ISRg2, ASR
- Firewall Stateful Interchassis Redundancy Failover
ZBF1 ZBF2
- User-based access control with Zone-based Policy Firewall
Inside Outside
Contractor Server1
Radius Server
ZBF1
class-map type inspect Contractors_CM
match user-group CONTRACTOR
- Security Group Access Zone-Based Policy Firewall
Cisco av pair: supplicant-group = CONTRACTOR
MAB
СWA
Устройство
без агента
VLAN100
Active
Directory
Campus
Network
SXP
VLAN200
Untagged Frame Tagged Frame
SGT=7 SGT
Enforcement
Catalyst® 2960 802.1X, MAB,
LWA
Пользователи,
устройства
Динамическая метка
SGT
10.1.200.100
10.1.200.10
IT портал (SGT 4)
10.1.100.10
Catalyst 6K
Core
Nexus® 7000
Distribution ISE
Статическая метка
SGT для серверов
Catalyst® 4948
Профессор
(SGT 7)
Менеджер
(SGT 6)
Внутренний портал
(SGT 9) 10.1.200.200
Публичный веб-сервер
(SGT 8)
Присвоение меток SGT
8
это L2 802.1AE + TrustSec
Фрейм всегде тегируется на входящем устройстве
Тэгирование проходит ДО других L2 процессов, например QoS
Cisco мета данные
DMAC SMAC
802.1AE Header
802.1Q
CMD
ETYPE
PAYLOAD
ICV
CRC
Version
Length
CMD EtherType
SGT Opt Type
SGT Value
Other CMD Options
Зашифровано
Аутентифицировано
802.1AE Header
CMD
ICV
Ethernet фрейм поля
Overhead: 8 to 64 bytes with options
Формат фрейма с SGT
Secure Group Access Zone-Based Policy Firewall
SXP
Zone-Based Policy Firewall с учетом SGT
ZFW
Int 1 Int 3
Inside Outside SGT 21
SGT 22
Веб-сервер
object-group security User01
security-group tag-id 21
!
object-group security Web-Server
security-group tag-id 22
class-map type inspect match-all OUTBOUND_CM
match group-object security source User01
match group-object security destination Web-Server
match protocol http
policy-map type inspect OUTBOUND_PM
class type inspect OUTBOUND_CM
inspect
zone-pair security In_to_Out source INSIDE destination OUTSIDE
service-policy type inspect OUTBOUND_PM
IOS Cloud Web Security
Сканирование контента с помощью IOS Cloud Web
Security parameter-map type content-scan global
server scansafe primary name proxy2261.scansafe.net port http 8080 https 8080
server scansafe secondary name proxy1363.scansafe.net port http 8080 https 8080
license 0 CD4B25B79D131F08ABCDEFABCDEFFFFF
source interface Gi0/0
timeout server 30
user-group ciscogroup10 username ciscouser10
server scansafe on-failure block-all
interface Gi0/0
ip nat outside
content-scan out
IOS Internet
1 2 3
CWS
IOS# show content-scan summary
Primary: 201.94.155.42 (Up)*
Secondary: 70.39.231.99 (Up)
Interfaces: Dialer1
IOS# show content-scan statistics
Current HTTP sessions: 0
Current HTTPS sessions: 0
Total HTTP sessions: 83
Total HTTPS sessions: 8
White-listed sessions: 0
Time of last reset: never
IOS# show content-scan session active
Protocol Source Destination Bytes Time
HTTP 172.19.99.101:57152 209.222.159.185:80 (1635:331595) 00:00:12
URI: www.maa.org
Username/usergroup(s): ciscouser10/ ciscogroup10
HTTP 172.19.99.101:57153 209.222.159.185:80 (2157:53326) 00:00:12
URI: www.maa.org
Username/usergroup(s): ciscouser10/ ciscogroup10
HTTP 172.19.99.101:57161 74.125.234.10:80 (1525:833) 00:00:09
URI: www.google-analytics.com
Username/usergroup(s): ciscouser10/ ciscogroup10
Сканирование контента с помощью IOS Cloud Web
Security
FlexVPN, унифицированный метод построения
виртуальных частных сетей
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group cisco
key cisco123
pool dvti
acl 100
crypto isakmp profile dvti
match identity group cisco
client authentication list lvpn
isakmp authorization list lvpn
client configuration address respond
virtual-template 1
crypto ipsec transform-set dvti esp-3des esp-sha-hmac
crypto ipsec profile dvti
set transform-set dvti
set isakmp-profile dvti
interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile dvti
ip local pool dvti 192.168.2.1 192.168.2.2
ip route 0.0.0.0 0.0.0.0 10.0.0.2
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
mode transport
crypto ipsec profile vpnprofile
set transform-set vpn-ts-set
interface Tunnel0
ip address 10.0.0.254 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source Serial1/0
tunnel mode gre multipoint
tunnel protection ipsec profile vpnprof
ip route 192.168.0.0 255.255.0.0 Null0router bgp 1
bgp log-neighbor-changes
redistribute static
neighbor DMVPN peer-group
bgp listen range 10.0.0.0/24 peer-group DMVPN
neighbor DMVPN remote-as 1
no auto-summary
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group cisco
key pr3sh@r3dk3y
pool vpnpool
acl 110
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
crypto dynamic-map dynamicmap 10
set transform-set vpn-ts-set
reverse-route
crypto map client-vpn-map client authentication list userauthen
crypto map client-vpn-map isakmp authorization list groupauthor
crypto map client-vpn-map client configuration address initiate
crypto map client-vpn-map client configuration address respond
crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap
interface FastEthernet0/0
ip address 83.137.194.62 255.255.255.240
crypto map client-vpn-map
ip local pool vpnpool 10.10.1.1 10.10.1.254
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
EazyVPN, DMVPN, Crypto Maps + GRE, VTI, DVTI, IPSEC, Get VPN, ….
IKEv2
HDR, SAi, KEi, NONCEi
HDR, SAr, KEr, NONCEr, [CERTREQ]
HDR, IDi, [CERT], [CERTREQ], [IDr], AUTH, SA2i, TSi, TSr
HDR, IDr, [CERT], AUTH, SA2, TSi, TSr
HDR
AUTH
SA
TSi,r
IDi,r
KE
NONCEi,r
Зачем мигрировать на IKEv2 ?
1) IKEv2 более стоек к DOS атакам (HDR, N(coockie),…)
2) IKEv2 это стандарт, в котором есть поддержка NAT transparency
(хэш source IP+port -> N, (,… NONCEi, N(NATT)
3) Dead Peer Detection (INFORMATIONAL обмен без payload)
-> лучшее interoperability
4) Меньше overhead по сравнению с IKEv1
5) Меньшее время для процесса rekey
Зачем мигрировать на IKEv2 ?
6) В IKEv2 пакетах, можно обмениваться на URL ссылки сертификатов
(меньше payload)
7) Поддержка EAP (EAP-IKEv2) – authentication remote eap [query-identity]
8) Multiple Crypto engines (например один для IPv4, другой для IPv6)
9) Reliability (использует Sequence Numbers) , error-processing
10) Более ‘прозрачный’ debug
11) Поддержка Suit-B (SHA-2, ECDSA, signature (ECDSA-sig)) (RFC 4869);
AES-GCM (128, 256); AES-GMAC; DH using Elliptic Curves)
crypto ikev2 proposal PROPOSAL-1
encryption 3des aes-cbc-128 aes-cbc-256
integrity sha512 md5
group 2 5
crypto ikev2 policy I-POLICY-1
proposal PROPOSAL-1
match fvrf VPN
crypto ikev2 keyring I-KEYRING-1
peer VPN-PEER-1
address 10.10.10.1
identity address email [email protected]
pre-shared-key local 0 cisco_local
pre-shared-key remote 0 cisco_remote
crypto ikev2 profile IKE-Profile-01
authentication local pre-share
authentication remote rsa-sig
aaa authorization user cert ISE-01
name-mangler NM_01
identity local email [email protected]
keyring I-KEYRING-1
match certificate CM-01
pki trustpoint TRUSTPOINT_01 crypto ikev2 name-mangler NM-01
email username
Теперь можем контролировать какое IKE-ID посылает initiator, какие
поля этого IKE-ID может использовать responder. Гибкость !
IKEv2 конфигурация
No X-AUTH in IKEv2; используется EAP
EAP – framework для различных методов:
• Tunneling - EAP-TLS, EAP/PSK, EAP-PEAP…
• Non-tunneling – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,…
Дополнительные IKE_AUTH сообщения
Аутентифицирует только initiator to responder
Responder ДОЛЖЕН использовать сертификат
Количество сообщений увеличивается до (12-16)
Non-Tunneling
Recommended
Extensible Authentication Protocol (EAP)
Что может FlexVPN
Один VPN, все работает
FlexVPN Site-to-Site
Site-to-Site
LAN1 LAN2
crypto ikev2 keyring KR
peer RightPeer
address 172.16.2.1
pre-shared-key local CISCO
pre-shared key remote CISCO
crypto ikev2 profile default
match identity fqdn RouterRight.cisco.com
identity local fqdn RouterLeft.cisco.com
authentication local pre-shared
authentication remote pre-shared
keyring local KR
interface Tunnel0
ip address 10.0.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 172.16.2.1
tunnel protection ipsec profile default
ip route <LAN2> Tunnel0
crypto ikev2 keyring KR
peer LeftPeer
address 172.16.1.1
pre-shared-key local CISCO
pre-shared key remote CISCO
crypto ikev2 profile default
match identity fqdn RouterLeft.cisco.com
identity local fqdn RouterRight.cisco.com
authentication local pre-shared
authentication remote pre-shared
keyring local KR
interface Tunnel0
ip address 10.0.0.2 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 172.16.1.1
tunnel protection ipsec profile default
ip route <LAN1> Tunnel0
м.б.
dynamic
FlexVPN Hub and spoke
Virtual-Access Interfaces
Static Tunnel
Interface
Hub&Spoke
Radius Server
access-list 99 permit <LAN1> crypto ikev2 authorization policy default route set access-list 99 crypto ikev2 keyring KR peer HUB address 172.16.0.1 pre-shared-key local cisco
aaa authorization network default local crypto ikev2 profile default match certificate CERTMAP identity local fqdn R3-Spoke.cisco.com authentication remote rsa-sig authentication local pre-shared keyring local KR pki trustpoint CA aaa authorization group cert list default default interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination 172.16.0.1 tunnel protection ipsec profile default
Сonfig-exchange
IP address
назначает HUB
Radius Server
R3-Spoke
LAN1
HUB
Hub&Spoke; Spoke конфигурация
aaa group server radius radius
server-private 192.168.100.254
auth-port 1812 acct-port 1813
key cisco123
crypto ikev2 name-mangler extract-host
fqdn hostname
aaa authorization network default group radius
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local dn
authentication local rsa-sig
authentication remote pre-shared
keyring aaa default name-mangler extract-host
pki trustpoint CA
aaa authorization user psk cached
virtual-template 1
interface virtual-template1 type tunnel
ip unnumbered loopback0
tunnel protection ipsec profile default
ipsec:ikev2-password-remote=cisco
ip:interface-config=policy-map PM out
framed-ip=10.0.0.1
ipsec:route-set=interface
ipsec:route-set=prefix <LAN2> ipsec:route-
accept=any
PSK на RADIUS
IKEv2 routing
Virtual-Access из Virtual-Template
Hub&Spoke; HUB
конфигурация Radius Server
R3-Spoke
LAN1
HUB LAN2
Отказоустойчивость HUB
LAN
.2 .1
Активные туннели
на обоих HUB
Active/standby, либо load-
balance
Маршруты либо
IKEv2 либо
маршрутизация
crypto ikev2 profile default
...
dpd 30 2 on-demand
interface Tunnel0
ip address negotiated
tunnel source FastEthernet0/0
tunnel destination <HUB1>
tunnel protection ipsec profile
default
interface Tunnel1
ip address negotiated
tunnel source FastEthernet0/0
tunnel destination <HUB2>
tunnel protection ipsec profile
default
Отказоустойчивость HUB
Stateless Failover
Tunnels down
Virtual IP (HSRP)
LAN
crypto ikev2 client flexvpn
default
client connect tunnel 0
peer 1 172.16.0.1
peer 2 172.16.0.2
interface Tunnel0
ip address negotiated
tunnel source
FastEthernet0/0
tunnel destination dynamic
tunnel protection ipsec
profile default
FlexMesh (DMVPN “phase 4”)
LAN
172.16.0.1
Virtual-Access Interfaces
Static Tunnel Interface
Virtual-Access Interfaces
FlexMesh
FlexMesh, NHRP
HUB Spoke1 Spoke2 VA 1 VA2
Redirect
Resolution request Resolution request
IKEv2 init
IKEv2 init
Resolution Reply
FlexMesh, конфигурация
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn hub.cisco.com
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
ip nhrp network-id 1
ip nhrp redirect
tunnel protection ipsec profile default
HUB Spoke
crypto ikev2 profile default
…
virtual-template 1
interface Tunnel0
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination <HUB>
tunnel protection ipsec profile default
interface Virtual-Template1 type tunnel
ip unnumbered Tunnel0
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel protection ipsec profile default
LAN1
FlexMesh
Isolated branches
Remote Access
VRF1 VRF2
“Все-в-одном”
Release 3.5
w/out QoS
ASR1001 ASR1002-F ASR1000-ESP5 ASR1000-
ESP10
ASR1000-
ESP20
ASR1000-
ESP40
Throughput (Max / IMIX)
1.8 / 1Gbps 1 / 0.8 Gbps 1.8 / 1 Gbps 4 / 2.5 Gbps 7 / 6 Gbps 11 / 7.4 Gbps
Max tunnels (RP1 / RP2)
4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000
EIGRP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000
BGP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000
Release 3.5
w/ QoS
ASR1001 ASR1000-
ESP20
ASR1000-
ESP40
Throughput
(Max / IMIX)
1.8 / 1Gbps 7 / 6 Gbps 11 / 7.4 Gbps
Max tunnels
(RP2 only)
2000 2000 2000
Max tunnels 2000 2000 2000
Производительность и массштабируемость
Сертифицированный VPN
VPN-решения Cisco в России
VPN-решения Cisco признаны лучшими во многих
странах и признаны стандартом де-факто многими
специалистами
Использование VPN-решений Cisco в России
сопряжено с рядом трудностей
Порядок ввоза на территорию Таможенного союза
шифровальных средств
Требование использования национальных
криптографических алгоритмов
Обязательная сертификация СКЗИ
Cisco – лицензиат ФСБ
Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения,
поддерживающие российские криптоалгоритмы на базе
оборудования Cisco
Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-
1626 от 28 февраля 2011 года
Сертификат по классу КС1/КС2/КС3
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
Управление безопасностью сети с помощью
Cisco Prime Infrastructure
Управление безопасностью с помощью Cisco
Prime Infrastructure
Управление безопасностью с помощью Cisco
Prime Infrastructure
Управление безопасностью с помощью Cisco
Prime Infrastructure
Выводы
Одно устройство Подход Cisco
Несколько устройств Обычный подход
Маршрутизация
Коммутация
Безопасность
Контроль
Оптимизация
Голос Снижение CapEx
Небольшой OpEx
Простая управляемость
Разницав подходе Cisco и ‘остальных’
В заключении
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 88
13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо
Contacts:
Name
Phone