Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Отказоустойчивые безопасные сети. Эволюция технологий в корпоративных сетях
1. 2011
Отказоустойчивые безопасные сети.
Эволюция технологий в корпоративных сетях.
Компания «I-Teco». Департамент сетей и телекоммуникаций.
Алексей Голых
Инженер поддержки продаж
golyh@i-teco.ru
2. Содержание
Ø Компания «I-Teco»
Ø Описание реализованного проекта
защищенной катастрофоустойчивой
сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием
ISE
Ø Реализация ISE в лаборатории «I-Teco»
2
3. Профиль компании «Ай-Теко»
• Ведущий системный интегратор (TOP-10) и крупный поставщик информационных
технологий
• Статусы Cisco Gold Certified Partner и Cisco Customer Satisfaction Excellence
• TOP-5 лучших российских поставщиков ИТ-услуг в банковском секторе
• TOP-10 крупнейших поставщиков ИТ в госсекторе
• Сертификат системы менеджмента качества ГОСТ Р ИСО 9001-2001
• Сертификат системы управления IT-сервисами ISO/IEC 20000-1:2005
Принципы работы компании Ключевые партнеры
Локальная Мировой
экспертиза опыт
Передовые
технологии
«Ай-Теко» в России и СНГ:
ü 8 собственных региональных подразделений в России — Санкт-Петербург, Уфа,
Ростов-на-Дону, Ярославль, Пермь, Иркутск, Красноярск, Казань.
ü 3 представительства в странах СНГ — Украина, Казахстан, Узбекистан.
ü 128 партнеров во всех субъектах Российской Федерации.
3
4. Примеры проектов
Шереметьево-3
Ø Построение отказоустойчивой сетевой инфраструктуры (до 8000 подключений)
АК «Трансаэро»
Ø Построение современной отказоустойчивой мультисервисной телекоммуникационной инфраструктуры для
нового шестиэтажного здания
Министерство внутренних дел РФ
Ø Проектирование и развертывание ведомственной защищенной сети передачи данных
Администрация Вологодской области
Ø Проект мультисервисной сети, соединяющей 28 финансовых органов муниципальных образований
Сбербанк России
Ø Построение и развитие программно-аппаратных комплексов в ЦА и тер. банках
Ø Внедрение географически распределенных систем высокой доступности
Банк ВТБ
Ø Модернизация ИТ-инфраструктуры всех региональных офисов
НПФ «Газфонд»
Ø Создание системы телефонии в новом офисе на базе Cisco Unified Communication Manager
Ингосстрах
Ø Построение локальной вычислительной сети центрального офиса компании
Ростелеком
Ø Модернизация КСПД филиалов
Ø Создание СКС и ЛВС в центральном офисе
Ø Построение сети беспроводного доступа в зданиях генеральной дирекции
Башинформсвязь
Ø Построение опорной сети на территории Башкортостана на базе технологии MPLS, сети MetroEthernet в г. Уфе,
сети доступа клиентов на базе технологии ADSL
Ø Модернизация транспортной сети г. Уфы. Впервые в России для построения оптического DWDM-кольца
использована технология Xponder 10 Gbps
Вымпелком
Ø Построение магистральной сети DWDM в центральном регионе
4
5. Содержание
Ø Компания «I-Teco»
Ø Описание реализованного проекта
защищенной катастрофоустойчивой
сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием
ISE
Ø Реализация ISE в лаборатории «I-Teco»
5
6. Проект сети финансовой организации
Сеть крупной финансовой компании
Сеть построена давно, имеет следующие недостатки:
Ø Недостаточная защищенность пользовательских подключений и сети в целом
Ø Низкая пропускная способность каналов связи и перегруженность оборудования
Ø Неоптимальное использования оптических каналов
Ø Невозможность организации современных сервисов в ЦОД из-за низкой производительности
инфраструктуры
Ø Отсутствие отказоустойчивости
Ø Отсутствие централизованного мониторинга транспортной сети
Ø Отсутствие изолированности сегментов сети на разных площадках
Модернизированная сеть должна отвечать следующим
требованиям:
Ø ЛВС и ЦОД, распределенные по нескольким площадкам
Ø Несколько сегментов ЛВС с различным уровнем защищенности и различными правами
Ø Высокая пропускная способность между площадками
Ø Высокая масштабируемость
Ø Высокая надежность и отказоустойчивость
6
7. Модернизированная сеть - схема
Удаленные Удаленные
объекты объекты
Агрегация Агрегация
Cisco 7606 Cisco 7606
Стек Стек
Cat 3750X Cat 3750X
Криптошлюзы Криптошлюзы
ГОСТ ГОСТ
Открытый сегмент
Закрытый сегмент
Ядро Ядро
Cat 6500 Cat 6500
VSS VSS
ONS ONS
15454 15454
ASA 5585 ASA 5585
Агрегация Агрегация Агрегация
Агрегация Агрегация
ЛВС ЛВС ЛВС
ЦОД ЦОД
Cat 6500 Cat 6500 Cat 6500
Cat 6500 Cat 6500
VSS VSS VSS
VSS VSS
FWSM DWDM FWSM FWSM
... ... ...
Доступ ЛВС Доступ ЛВС Доступ ЛВС
Cat 3750X ACS ACS Cat 3750X Cat 3750X
Площадка 3
SAN SAN
Площадка 1 Площадка 2 7
8. Модернизированная сеть - описание
Модернизированная сеть состоит из следующих компонентов:
Ø Опорная транспортная сеть.
Ø Закрытый сегмент: распределенная ЛВС и территориально распределенный ЦОД.
Ø Открытый сегмент: подключение к внешним каналам связи.
Опорная транспортная сеть (Cisco ONS 15454 MSTP):
Ø Единая среда передачи информации всех подсистем.
Ø Разделение трафика с помощью спектрального уплотнения (DWDM), прозрачный транзит
различных типов трафика (Ethernet и Fiber Channel).
Ø Проактивный мониторинг параметров оптических трактов, защиту и переключение на резервные
маршруты.
Закрытый сегмент (Cisco Catalyst 6500 VSS, Catalyst 3750X, ASA 5585, ACE, ACS):
Ø Взаимодействие пользователей и подсистем ЛВС и ЦОД.
Ø Аутентификация/авторизация пользователей с помощью 802.1x.
Ø Отказоустойчивый доступ пользователей к ресурсам распределенного ЦОД.
Открытый сегмент (Cisco 7600, Catalyst 3750X, криптошлюзы ГОСТ):
Ø Агрегация внешних каналов связи.
Ø Передача пользовательского зашифрованного трафика между закрытым сегментом и
удаленными объектами – филиалами, банкоматами, терминалами, интернет-пользователями
8
9. Модернизированная сеть - результаты
Результаты модернизации:
Ø Построено отказоустойчивое ядро КСПД
Ø Создана иерархия взаимодействия площадок
Ø Увеличена пропускная способность КСПД и модернизировано телекоммуникационное
оборудование
Ø Обеспечена высокая доступность серверов приложений, работа кластерных систем ЦОД
Ø Реализована инфраструктура, отвечающая современным требованиям по масштабируемости,
функциональности, отказоустойчивости и катастрофоустойчивости
Ø Обеспечена защита серверов ЦОД от различных видов сетевых атак, увеличена
производительность подсистемы безопасности ЦОД
Ø Обеспечена балансировки нагрузки на вычислительные комплексы ЦОД
Ø Обеспеченна единая и прозрачная среда передачи информации всех подсистем с оптимальным
использованием оптических линий связи
Ø Осуществляется проактивный мониторинг параметров оптических трактов, защита и
переключение на резервные маршруты
Ø Сетевые администраторы получили систему контроля доступа и управления оборудованием
сети
9
10. Содержание
Ø Компания «I-Teco»
Ø Описание реализованного проекта
защищенной катастрофоустойчивой
сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием
ISE
Ø Реализация ISE в лаборатории «I-Teco»
10
11. ISE - Identity Services Engine
Identity Service
Engine
Аутентификация и
контроль доступа ISE
Access
Control System
Роли (Personas):
Аутентификация, Administration –
контроль доступа + управление ISE
слежение за состоянием
NAC NAC Monitoring –
Manager Server хранение log-
файлов
Определение и
Policy Service –
инициализация устройств + аутентификация,
проверка подлинности хранение и
NAC NAC Collector распределение
Profiler Отдельное политик
устройство или
часть NAC server’а Inline Posture –
Безопасный гостевой позволяет
доступ подключать к сети
устройства без
NAC Guest Server поддержки 802.1x
11
12. Схема работы ISE
Monitoring
Протоколирование
Просмотр Протоколирование
log-файлов
Policy
Service
Admin Внешние
Просмотр и Запрос данные
создание атрибутов
политик
Запрос и Протоколирование
передача
контекстов
Сетевые Устройства Сетевые
устройства Запрос
доступа ресурсы
Доступ к
доступа ресурсам
12
13. Внедрение ISE – небольшая сеть (< 2 000)
Узлы Admin, Monitoring, Особенности:
Policy Service (A/S) Ø Централизованное управление
Windows AD/LDAP
(Внешнее проводным доступом с 802.1X
хранилище Ø Поддержка VPN в главном офисе
идентификаторов с помощью Inline Posture узлов
Узлы Inline и атрибутов) Ø Централизованное управление
Posture (HA) беспроводным доступом в
главном офисе и в филиалах с
Главный 802.1X и беспроводным
офис контроллером
ASA VPN Ø Централизованное управление
доступом для филиалов с 802.1X
Wi-Fi Узел Administration
контроллер с Коммутатор
802.1x с 802.1x
Точка Узел Monitoring
доступа
Филиал 2
Wi-Fi Филиал 1 Узел Policy Service
Узле Inline Posture
Коммутатор Внешнее хранилище
Точка доступа Точка доступа Коммутатор идентификаторов и
с 802.1x с 802.1x
Wi-Fi Wi-Fi атрибутов
13
14. Внедрение ISE – огромная сеть (> 10 000)
Policy Service кластер Distributed Policy
Admin (P) Monitor (P) Service
Admin (S) Monitor (S)
Узлы Inline Posture (HA)
Windows AD/LDAP Windows AD/
ДЦ 2 LDAP
Дата-центр 1
ASA VPN Wi-Fi контроллер
с 802.1x
Коммутатор Точка доступа
с 802.1x Wi-Fi
Wi-Fi Коммутатор
контроллер с с 802.1x Policy Ø Отказоустойчивые выделенные узлы
802.1x Service Administration и Monitoring разделены
Policy между дата-центрами (P=Primary /
Service Филиал 2 S=Secondary)
Филиал 1 Ø Кластер узлов Policy Service для
проводного и беспроводного доступа
802.1X в главном офисе
Коммутатор Ø Распределенные узлы и кластеры
Точка
доступа с 802.1x Policy Service проводного и
Точка Коммутатор беспроводного доступа 802.1X в
доступа с 802.1x Wi-Fi 14
филиалах
Wi-Fi Ø Поддержка VPN в главном офисе с
помощью Inline Posture узлов
15. Содержание
Ø Компания «I-Teco»
Ø Описание реализованного проекта
защищенной катастрофоустойчивой
сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с
использованием ISE
Ø Реализация ISE в лаборатории «I-Teco»
15
16. Развитие сети с иcпользованием ISE
Удаленные Удаленные
объекты объекты
Агрегация Агрегация
Cisco 7606 Cisco 7606
Стек Стек
Cat 3750X Cat 3750X
Криптошлюзы Криптошлюзы
ГОСТ ГОСТ
Открытый сегмент
Закрытый сегмент
Ядро Ядро
Cat 6500 Cat 6500
VSS VSS
ONS ONS
15454 15454
ASA 5585 ASA 5585
Агрегация Агрегация Агрегация
Агрегация Агрегация
ЛВС ЛВС ЛВС
ЦОД ЦОД
Cat 6500 Cat 6500 Cat 6500
Cat 6500 Cat 6500
VSS VSS VSS
VSS VSS
FWSM DWDM FWSM FWSM
... ... ...
Доступ ЛВС ISE ISE ISE ISE Доступ ЛВС Доступ ЛВС
Cat 3750X Admin + Policy Admin + Policy Cat 3750X Cat 3750X
Monitoring (P) Service Monitoring (S) Service
Площадка 3
SAN SAN
Площадка 1 Площадка 2 16
17. Содержание
Ø Компания «I-Teco»
Ø Описание реализованного проекта
защищенной катастрофоустойчивой
сети
Ø Технология защищенного доступа ISE
Ø Проект развития сети с использованием
ISE
Ø Реализация ISE в лаборатории
«I-Teco»
17
18. Схема стенда ISE
WLAN Wired
Пользователь Внутренние
беспроводной
AP WLC
ресурсы:
сети Wi-Fi
WWW Internal
CIFS
Карантин:
Gi1/0/3 Сервер
обновлений
Внутренний Gi1/0/1 Gi1/0/2 Корпоративная
AD
пользователь сеть
сети CA
DNS
WWW Guest
VLAN 80 VLAN 100
LAN NTP
ISE Inline
Posture ISE 1) Administration
Node ISE 2) Monitoring
3) Policy Service
VLAN 60
Удаленный
Публичная
пользователь
сеть VLAN 70 ASA
(IP Sec VPN)
VPN Wired
18
19. Аутентификация пользователя 802.1x
Интернет
Имя пользователя: user1
ISE
ACCESS Коммутатор
10.1.10.x /24 доступа ISE
Пользователь Корпоративная
сети сеть
Open Mode: ACL-DEFAULT: permit DHCP
802.1X / EAP ACL-PREPOSTURE RADIUS
1) Определение aaa authen dot1x default group RADIUS Сервис аутентификации: 802.1X
EAPoL-Start NAS-IP: 10.1.10.5
RADIUS-Key: cisco123
IETF:NAS-Port-Type == Ethernet
Access-Request
Проверка сертификата? IETF:Service-Type == Framed
Calling-Station-ID = dead:beef:feed
2) Запрос-Ответ
(Challenge-Response) Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS)
Identity Challenge & Response
Успешно!
Группа: Internal Users
Username & Password? Cisco/Cisco123
3) Аутентификация
Повторный Авторизация
запрос пройдена
DHCP Политика авторизации:
4) Авторизация PREPOSTURE
Access-Accept [27] = 86400 (24 hours)
EAP Success
[29] = RADIUS-Request (1)
[64,65,81] = VLAN, 802, “ACCESS”
[26/9/1] = dACL=ACL-PREPOSTURE
5) Аккаунтинг
Accounting-Start Timestamp, MAC, NAS IP, Port ID
Username, Group, Session-ID, …
Disconnect,
Shutdown, Accounting-Stop
Restart, Sleep
19
20. Гостевой доступ 802.1x
Интернет
Имя пользователя: guest
ISE
ACCESS Коммутатор
10.1.10.x /24 доступа ISE
Пользователь Корпоративная
сети сеть
ACL-GUEST-REDIRECT Open Mode: ACL-DEFAULT: permit DHCP
802.1X / EAP/HTTP RADIUS
1) Определение EAPoL-Start aaa authen dot1x default group RADIUS
Отсутствует
суппликант
EAPOL TIMEOUT Сервис аутентификации: MAB
NAS-IP: 10.1.10.5
2) Аутентификация MAB User-Name : [1] 14 "000423b2c55b”
MAB Request Access-Request
User-Password : [2] 18 *
Service-Type :[6] 6 Call Check [10]
Повторный Авторизация
запрос пройдена
DHCP Access-Accept
3) Авторизация [GUEST ACCESS] Политика авторизации: GUEST
[27] = 86400 (24 hours)
EAP Success [29] = RADIUS-Request (1)
[64,65,81] = VLAN, 802, “GUEST”
[26/9/1] = dACL=ACL-GUEST
[26/9/1] = url-redirect-acl=ACL-WEBAUTH-
REDIRECT
HTTP://www.google.com
4) HTTP BROWSER
URL-Redirect 302 : HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cwa
20
21. Аутентификация 802.1X с проверкой состояния
рабочей среды (1)
Интернет
Имя пользователя: user1 ISE
ACCESS Коммутатор
10.1.10.x /24 доступа ISE
Пользователь Корпоративная
сети сеть
Open Mode: ACL-DEFAULT: permit DHCP
PRE-POSTURE-ACL
802.1X / EAP/HTTP RADIUS
1) Определение aaa authen dot1x default group RADIUS Сервис аутентификации: 802.1X User
EAPoL-Start NAS-IP: 10.1.10.5
Суппликант
RADIUS-Key: cisco123
IETF:NAS-Port-Type == Ethernet
Access-Request
Проверка сертификата? IETF:Service-Type == Framed
Calling-Station-ID = dead:beef:feed
2) Запрос-Ответ
(Challenge-Response) Protocol Negotiation (PEAP, EAP-FAST, EAP-TLS)
Успешно!
Group: DomainUser
Username & Password? Identity Challenge & Response
3) Аутентификация
Повторный Авторизация
запрос пройдена
DHCP Политика авторизации: EMPLOYEE
[27] = 86400 (24 hours)
4) Авторизация
Access-Accept [29] = RADIUS-Request (1)
EAP Success [But non-Compliant] [64,65,81] = VLAN, 802, “ACCESS”
[26/9/1] = dACL=PRE-POSTURE-ACL
[26/9/1] = url-redirect-acl=ACL-
5) Старт проверки WEBAUTH-REDIRECT
Discovery to http://{default_gateway}/positron/discovery
NAC Agent
URL-Redirect 302 :
HTTPS://FQDN:8443/guestportal/gateway?sessionId={SessionIdValue}&action=cpp
21
22. Аутентификация 802.1X с проверкой состояния
рабочей среды (2)
Интернет
Имя пользователя: user1 ISE
ACCESS Коммутатор
10.1.10.x /24 доступа ISE
Пользователь Корпоративная
сети сеть
802.1X / EAP/HTTPS RADIUS/HTTPS
6) Запрос проверки HTTPS://ISE1.demo.local/discovery:8905 Posture Request
HTTPS://ISE1.demo.local/discovery:8905 Posture Requirements
7) Выполнение проверки HTTPS://ISE1.demo.local/discovery:8905 Posture Report
HTTPS://ISE1.demo.local/discovery:8905 Posture Compliant
Авторизация
пройдена Change of Authz (CoA)
8.) Повторная Authz Request
авторизация ПОЛНЫЙ ДОСТУП! RADIUS CoA
Authz Response
9) Повторная проверка HTTPS://ISE1.demo.local/discovery:8905 Posture Status
10.) IF No Response : Требуется проверка
Change of Authz (CoA)
22
23. Контакты
Алексей Голых
Инженер поддержки продаж
Департамент сетей и телекоммуникаций
ЗАО "Ай-Теко"
Тел.: +7 (495) 777-10-95
Факс: +7 (495) 777-10-96
E-mail: golyh@i-teco.ru
WWW: http://www.i-teco.ru
23