• Like
 Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Маршрутизаторы Cisco как устройства обеспечения информационной безопасности

  • 510 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
510
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
15
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Петякшев Евгений, Системный инженер Cisco 2xCCIE (Security, Data Center) #36020
  • 2. План 1) Обзор проблем безопасности филиальных сетей 2) Защита самого маршрутизатора от DOS атак (CoPP, CPPr) 3) Межсетевой экран с политиками на основе зон (ZBF) - Advanced features - Security Group Access - Zone Based Firewall с учетом меток SGT 4) IOS Cloud Web Security 5) FlexVPN, унифицированный метод построения виртуальных частных сетей 6) Сертифицированный VPN 7) Выводы
  • 3. Безопасные Удаленные Офисы SaaS Центральный Офис Branch Интернет ЦОД Remote Worker Сложности: Ограниченные или отсутствующие ресурсы IT и безопасности в Удаленных Офисах © 2013 Cisco and/or its affiliates. All rights reserved. Доступ к Облакам и ресурсам Центрального офиса Соблюдение требований регуляторов Cisco Confidential 3
  • 4. Безопасные Удаленные Офисы Центральный Офис Полный функционал безопасности Удаленных Офисов Лучшее ROI $ + Безопасность + оптимизация приложений ISGR2 Решение CISCO: VPN (IPSEc, GET VPN, DMVPN, FlexVPN, SSL), FW, IPS, CWS client; Visibility (AVC, NetFlow); © 2013 Cisco and/or its affiliates. All rights reserved. Поддержка SGT Лучший возврат инвестиций (Простота, надежность, Целостность), Экономия инвестицый за счет Split Tunneling WAN оптимизация Беспроводная сеть Встроенный коммутатор Встроенный модуль сервера 4 Cisco Confidential
  • 5. Почему стоит инвестировать ? Видео это новый ‘голос’, хотите ли вы быть человеком, который вовремя не среагировал на требования бизнеса в области коммуникаций ? Консолидация и централизация удаленных филиалов происходит уже сегодня; Cisco UCS Express расширяет унифицированный ЦОД до удаленных филиалов Бизнес расширяется, защитите свои инвистиции с помощью ISR/ASR, увеличьте доступность филиалов резервным 3G каналом Сэкономьте на расширении полосы пропускания WAN канала с помощью WAAS Express, до 10x увеличения производительности Будьте готовы удовлетворять требования регуляторов
  • 6. Массштабируемые VPN решения с веб безопасностью • Небезопасный доступ, Malware могут скомпрометировать сеть филиала, центрального офиса и привести к остановке сервисов • Массштабируемые, безопасные филиальные сети используя VPN решения: DMVPN, FlexVPN,… • Упрощенное решение с тесно интегрируемыми сервисами маршрутизации, безопасности и пр. • Сложность решений безопасности в филиалах и невозможность централизованного обслуживания – дыры безопасности • Эффективная защита от угроз с помощью Zone-Based Firewall, Cisco Cloud Web Security • Меньшая стоимость по сравнению с выделенными аплайнсами; целостные сервисы безопасности • Удовлетворение требований регуляторов ДО ПОСЛЕ HQ Branch WAN HQ Branch Branch Secure WAN Branch
  • 7. Непрерывность бизнес-процессов с помощью безопасных сервисов WAN, LAN, Wireless • Ненадежное WAN соединение, потеря WAN == потеря бизнес процессов в филиалах • Автоматический переход на подключение по 3G/4G LTE в случае потери WAN сервисов • Высокая стоимость внедрения проводных и беспроводных сервисов в филиалах • Интегрированные сервисы безопасности, LAN, WAN, беспроводная сеть в одном устройстве • 802.11n беспроводные сервисы в филиалах ДО Непрерывность бизнес процессов и катастрофоустойчивость с автоматическим провижнингом • Гибкое внедрение – ‘плати по мере роста’ • Эффективное централизованное управление и мониторинг HQ HQ ISP/WAN • 3G/4G Cellular ISP/WAN ПОСЛЕ
  • 8. Оптимизация сети, Cisco Thread Defence • Рост объема WAN трафика филиалов • Высокие затраты на ряд решений по оптимизации WAN • AVC, IP SLA,… • Безопасность CISCO PRIME INFRASTRUCTURE • Высокая стоимость решений • Отсутствие информации о событиях безопасности в филиальной сети Сеть готова к видео • Безопасная и прозрачная оптимизация WAN • Оптимизация видео и трафика приложений • MediaNet – сеть ‘знает’ о трафике видео • Гибкие модели внедрения • Visibility (AVC, netflow) и контроль • Видимость и управление событиями безопасности филиальной сети • Удаленный офис – сенсор в решении Cisco Cyber Thread Defense в центральном офисе Удаленный офис Internet WAN Оптимизация VDI решений Оптимизация приложений IPSLA PA PfR QoS MediaNet WAAS/ WAASX VDS CTD
  • 9. Плотность интерфейсов Маршрутизаторы Cisco ISRg2 3900 Series 3900E Series Маршрутизаторы с интегрированными сервисами - Безопасность, Голос, Видео, БЛВС, Оптимизация WAN Новинка 4451-X 2951 Филиал 2921 2911 2901 1900 Series 800 Series 25Mbps 35Mbps Производительность с включенными сервисами 50Mbps 75Mbps 100Mbps 250Mbps 500Mbps 2Gbps 350Mbps
  • 10. Плотность интерфейсов Маршрутизаторы Cisco ASR Центральный офис / Агрегация WAN Маршрутизаторы с интегрированными сервисами - Безопасность, Голос, Видео, БЛВС, Оптимизация WAN ASR 1000, ESP40 ASR 1000, ESP20 ASR 1000, ESP10 ASR 1001, ESP2.5G/5G Производительность с включенными сервисами 2,5 Gbps 10 Gbps 20 Gbps 40 Gbps
  • 11. Безопасность самого маршрутизатора: CoPP, CPPr
  • 12. Терминология Вх. пакеты Вых. пакеты Data Service CEF Control Management Route Processor CPU Transit Receive Exception
  • 13. Определение проблем: - Высокие требования к безотказной работе сети - DOS атаки, направленные на Control Plane маршрутизатора - DOS атаки направленные на RP могут приводить к высокой утилицации RP, потеря трафика - Неправильно настроенные сетевые устройства
  • 14. Control Plane Policing (CoPP) CONTROL PLANE Management SNMP, Telnet ICMP IPv6 INPUT to the Control Plane Routing Updates Management SSH, SSL ….. OUTPUT from the Control Plane CONTROL PLANE POLICING SILENT MODE Processor Switched Packets PACKET BUFFER Locally Switched Packets INCOMING PACKETS OUTPUT PACKET BUFFER CEF/FIB LOOKUP Пакеты направленные к control plane потребляют ресурсы Route Processor (RP) Входящий трафик к Control Plane может быть ограничен -> освобождение ресурсов RP, нормальная обработка пользовательского трафика © 2004 Cisco Systems, Inc. All rights reserved. 15
  • 15. CoPP Настройка • Для классификации сервисов Control Plane используется MQC • Class maps и policy maps определяются для всего control plane Пример ограничения UDP трафика до 16 Kbps, предотвращение UDP флуда:
  • 16. Control Plane Protection (CPPr) Вх. пакеты Вых. пакеты Sub-интерфейсы: 1 2 3 Route Processor CPU 1) Host 2) Transit 3) CEF-Exeption
  • 17. Control Plane Host • Сбрасывает все пакеты направленные на закрытые или не на используемые маршрутизатором TCP/UDP порты. • Обрабатывает TCP/UDP трафик направленный к маршрутизатору • Большее количество функционала чем на CEF-exeption и transit Sub- интерфейсах: policing, port filtering и per-protocol queue thresholds Пример: сброс всего трафика, кроме TCP 3020, 3040 или UDP 520
  • 18. Control Plane Host (Queue Threshold) • Ограничения на уровне отдельных протоколов (BGP, DNS, FTP, HTTP, IGMP, SNMP, SSH, SYSLOG, TELNET, TFTP, host-protocols) • Только для Host Sub-интерфейсе • Защита от переполнения входной очереди каким-либо одним протоколом Пример: настройка queue-limit для HTTP – 100 пакетов
  • 19. Control Plane Transit • Трафик ‘через’ маршрутизатор, обрабатываемый на RP (не CEF) Пример: ограничение фрагментированных пакетов до 1Mpps:
  • 20. Control Plane CEF Exception • Пакеты вызывающие CEF-Exeption • Весь не-IP трафик от хостов • Примеры: CDP, не-UDP локальный мультикаст, ARP... Пример: уменьшение влияния широковещательных штормов, ограничение не-IP трафика до 100 пакетов в секунду:
  • 21. Control Plane BGP SNMP OSPF Feature path Глобальный IP input queue Port filter Queue threshold Policer Policer Policer CoPP перенаправление Классификация Буффер Буффер Вх. пакет Вых. пакет CEF/FIB lookup
  • 22. Межсетевой экран с политиками на основе зон (Cisco ZFW)
  • 23. Межсетевой экран с политиками на основе зон (Cisco ZFW) Зона - набор интерфейсов с определенным общим "уровнем доверия” DMZ Int 2 Inside ДОВЕРЕННАЯ зона Int 1 Int 3 ZFW Политика зоны OUTBOUND Outside НЕДОВЕРЕННАЯ зона Политики ZFW являются однонаправленными: от источника к получателю
  • 24. Межсетевой экран с политиками на основе зон (Cisco ZFW) 1) Настраиваем зоны МСЭ 2) Помещаем интерфейсы в зоны 3) Определяем пары зон между которыми будет ходить трафик zone security Inside zone security DMZ zone security Outside DMZ int gi 0/0 zone-member security Inside Int 2 Inside Int 1 Int 3 ZFW In_to_Out Outside
  • 25. Межсетевой экран с политиками на основе зон (Cisco ZFW) 4) Описываем трафик с помощью class-map 5) Описываем действия с трафком с помощью policy-map 6) Создаем пары зон и применяем действия к парам зон ip access-list extended INTERNAL_Lan permit ip 10.0.0.0 0.0.0.8 any ! class-map type inspect match-all INTERNAL_Lan match access-group INTERNAL_Lan ! class-map type inspect match-any In_to_Out_protocols match protocol http match protocol https match protocol dns match protocol icmp ! class-map type inspect match-all In_to_Out_Cmap match class-map In_to_Out_protocols match class-map INTERNAL_Lan policy-map type inspect In_to_Out class type inspect In_to_Out_Cmap inspect zone-pair security In_to_out_ZP source Inside destination Outside service-policy type inspect In_to_Out WIN !
  • 26. ZFW: Дополнительные элементы политик ZFW1# show parameter-map type inspect default audit-trail off alert on max-incomplete low 2147483647 max-incomplete high 2147483647 one-minute low 2147483647 one-minute high 2147483647 udp idle-time 30 icmp idle-time 10 dns-timeout 5 tcp idle-time 3600 tcp finwait-time 5 tcp synwait-time 30 tcp max-incomplete host 4294967295 block-time 0 sessions maximum 2147483647 parameter-map type inspect TRACKING audit-trail on parameter-map type inspect global log dropped-packets enable policy-map type inspect Outbond class type inspect CMAP2 inspect parameter-map-name PMAP1 parameter-map type inspect-zone ZONE_PMAP_1 tcp syn-flood rate per-destination 400 max-destination 10000 parameter-map type inspect global tcp syn-flood limit number ASR Полезный совет: указывать имена элементов политики в верхнем регистре. Поиск в интерфейсе командной строки производится с учетом регистра
  • 27. ZFW: Дополнительный функционал: ISRg2, ASR ZBF1 - Firewall Stateful Interchassis Redundancy ZBF2 Failover - User-based access control with Zone-based Policy Firewall Contractor Server1 Inside ZBF1 Radius Server Outside class-map type inspect Contractors_CM match user-group CONTRACTOR Cisco av pair: supplicant-group = CONTRACTOR - Security Group Access Zone-Based Policy Firewall
  • 28. Присвоение меток SGT Профессор (SGT 7) Статическая метка SGT для серверов Менеджер (SGT 6) SGT=7 Пользователи, устройства SGT Enforcement SXP IT портал (SGT 4) 10.1.100.10 VLAN100 СWA Campus Network 802.1X, MAB, LWA Catalyst® 2960 MAB Устройство без агента Динамическая метка SGT Untagged Frame Catalyst 6K Core Nexus® 7000 Distribution Catalyst® 4948 Публичный веб-сервер (SGT 8) ISE Active Directory VLAN200 Внутренний портал (SGT 9) 10.1.200.200 10.1.200.10 Tagged Frame 10.1.200.100
  • 29. Формат фрейма с SGT Аутентифицировано Зашифровано DMAC SMAC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC Overhead: 8 to 64 bytes with options CMD EtherType Version Length SGT Opt Type SGT Value Other CMD Options Cisco мета данные Ethernet фрейм поля  802.1AE Header CMD ICV это L2 802.1AE + TrustSec 8  Фрейм всегде тегируется на входящем устройстве  Тэгирование проходит ДО других L2 процессов, например QoS
  • 30. Secure Group Access Zone-Based Policy Firewall
  • 31. Zone-Based Policy Firewall с учетом SGT Веб-сервер SGT 21 Inside Int 1 Int 3 ZFW Outside SGT 22 SXP object-group security User01 security-group tag-id 21 ! object-group security Web-Server security-group tag-id 22 policy-map type inspect OUTBOUND_PM class type inspect OUTBOUND_CM inspect class-map type inspect match-all OUTBOUND_CM match group-object security source User01 match group-object security destination Web-Server match protocol http zone-pair security In_to_Out source INSIDE destination OUTSIDE service-policy type inspect OUTBOUND_PM
  • 32. IOS Cloud Web Security
  • 33. Сканирование контента с помощью IOS Cloud Web Security parameter-map type content-scan global server scansafe primary name proxy2261.scansafe.net port http 8080 https 8080 server scansafe secondary name proxy1363.scansafe.net port http 8080 https 8080 license 0 CD4B25B79D131F08ABCDEFABCDEFFFFF source interface Gi0/0 timeout server 30 user-group ciscogroup10 username ciscouser10 server scansafe on-failure block-all interface Gi0/0 ip nat outside content-scan out CWS 2 1 IOS 3 Internet
  • 34. Сканирование контента с помощью IOS Cloud Web Security IOS# show content-scan statistics Current HTTP sessions: 0 Current HTTPS sessions: 0 Total HTTP sessions: 83 Total HTTPS sessions: 8 White-listed sessions: 0 Time of last reset: never IOS# show content-scan summary Primary: 201.94.155.42 (Up)* Secondary: 70.39.231.99 (Up) Interfaces: Dialer1 IOS# show content-scan session active Protocol Source Destination Bytes Time HTTP 172.19.99.101:57152 209.222.159.185:80 (1635:331595) URI: www.maa.org Username/usergroup(s): ciscouser10/ ciscogroup10 HTTP 172.19.99.101:57153 209.222.159.185:80 (2157:53326) 00:00:12 URI: www.maa.org Username/usergroup(s): ciscouser10/ ciscogroup10 HTTP 172.19.99.101:57161 74.125.234.10:80 (1525:833) 00:00:09 URI: www.google-analytics.com Username/usergroup(s): ciscouser10/ ciscogroup10 00:00:12
  • 35. FlexVPN, унифицированный метод построения виртуальных частных сетей
  • 36. EazyVPN, DMVPN, Crypto Maps + GRE, VTI, DVTI, IPSEC, Get VPN, …. crypto isakmp policy 1 encr 3des authentication pre-share crypto isakmp policy 1 group 2 encr 3des crypto isakmp policy 1 crypto isakmp client configuration group cisco authentication pre-share encr 3des key cisco123 group 2 authentication pre-share pool dvti crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac group 2 acl 100 mode transport crypto isakmp client configuration group cisco crypto isakmp profile dvti match identity group cisco client authentication list lvpn isakmp authorization list lvpn crypto ipsec profile vpnprofile set transform-set vpn-ts-set interface Tunnel0 key pr3sh@r3dk3y pool vpnpool acl 110 ip client configuration address respond address 10.0.0.254 255.255.255.0 crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac virtual-template 1 crypto dynamic-map dynamicmap 10 ip nhrp map multicast dynamic crypto ipsec transform-set dvti esp-3des esp-sha-hmac ip nhrp network-id 1 crypto ipsec profile dvti set transform-set dvti set isakmp-profile dvti tunnel source Serial1/0 crypto map client-vpn-map client authentication list userauthen tunnel protection ipsec profile vpnprof crypto map client-vpn-map isakmp authorization list groupauthor bgp log-neighbor-changes tunnel protection ipsec profile dvti redistribute static neighbor DMVPN peer-group ip local pool dvti 192.168.2.1 192.168.2.2 ip route 0.0.0.0 0.0.0.0 10.0.0.2 reverse-route tunnel mode gre multipoint interface Virtual-Template1 type tunnel ip route 192.168.0.0 255.255.0.0 Null0router bgp 1 ip unnumbered Ethernet0/0 tunnel mode ipsec ipv4 set transform-set vpn-ts-set bgp listen range 10.0.0.0/24 peer-group DMVPN access-list 100 permit ip 192.168.1.0 0.0.0.255 DMVPN remote-as 1 neighbor any no auto-summary crypto map client-vpn-map client configuration address initiate crypto map client-vpn-map client configuration address respond crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap interface FastEthernet0/0 ip address 83.137.194.62 255.255.255.240 crypto map client-vpn-map ip local pool vpnpool 10.10.1.1 10.10.1.254 access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
  • 37. IKEv2 HDR, SAi, KEi, NONCEi HDR, SAr, KEr, NONCEr, [CERTREQ] HDR, IDi, [CERT], [CERTREQ], [IDr], AUTH, SA2i, TSi, TSr HDR, IDr, [CERT], AUTH, SA2, TSi, TSr HDR AUTH SA TSi,r IDi,r KE NONCEi,r
  • 38. Зачем мигрировать на IKEv2 ? 1) IKEv2 более стоек к DOS атакам (HDR, N(coockie),…) 2) IKEv2 это стандарт, в котором есть поддержка NAT transparency (хэш source IP+port -> N, (,… NONCEi, N(NATT) 3) Dead Peer Detection (INFORMATIONAL обмен без payload) -> лучшее interoperability 4) Меньше overhead по сравнению с IKEv1 5) Меньшее время для процесса rekey
  • 39. Зачем мигрировать на IKEv2 ? 6) В IKEv2 пакетах, можно обмениваться на URL ссылки сертификатов (меньше payload) 7) Поддержка EAP (EAP-IKEv2) – authentication remote eap [query-identity] 8) Multiple Crypto engines (например один для IPv4, другой для IPv6) 9) Reliability (использует Sequence Numbers) , error-processing 10) Более ‘прозрачный’ debug 11) Поддержка Suit-B (SHA-2, ECDSA, signature (ECDSA-sig)) (RFC 4869); AES-GCM (128, 256); AES-GMAC; DH using Elliptic Curves)
  • 40. IKEv2 конфигурация crypto ikev2 proposal PROPOSAL-1 encryption 3des aes-cbc-128 aes-cbc-256 integrity sha512 md5 group 2 5 crypto ikev2 keyring I-KEYRING-1 peer VPN-PEER-1 address 10.10.10.1 identity address email R1@cisco.com pre-shared-key local 0 cisco_local pre-shared-key remote 0 cisco_remote crypto ikev2 name-mangler NM-01 email username crypto ikev2 policy I-POLICY-1 proposal PROPOSAL-1 match fvrf VPN crypto ikev2 profile IKE-Profile-01 authentication local pre-share authentication remote rsa-sig aaa authorization user cert ISE-01 name-mangler NM_01 identity local email R1@cisco.com keyring I-KEYRING-1 match certificate CM-01 pki trustpoint TRUSTPOINT_01 Теперь можем контролировать какое IKE-ID посылает initiator, какие поля этого IKE-ID может использовать responder. Гибкость !
  • 41. Extensible Authentication Protocol (EAP) No X-AUTH in IKEv2; используется EAP EAP – framework для различных методов: • Tunneling - EAP-TLS, EAP/PSK, EAP-PEAP… • Non-tunneling – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,… Дополнительные IKE_AUTH сообщения Аутентифицирует только initiator to responder Responder ДОЛЖЕН использовать сертификат Количество сообщений увеличивается до (12-16) NonTunneling Recommen ded
  • 42. Что может FlexVPN Один VPN, все работает
  • 43. FlexVPN Site-to-Site
  • 44. Site-to-Site LAN2 LAN1 crypto ikev2 keyring KR peer RightPeer address 172.16.2.1 pre-shared-key local CISCO pre-shared key remote CISCO crypto ikev2 keyring KR peer LeftPeer address 172.16.1.1 pre-shared-key local CISCO pre-shared key remote CISCO crypto ikev2 profile default match identity fqdn RouterRight.cisco.com identity local fqdn RouterLeft.cisco.com authentication local pre-shared authentication remote pre-shared keyring local KR crypto ikev2 profile default match identity fqdn RouterLeft.cisco.com identity local fqdn RouterRight.cisco.com authentication local pre-shared authentication remote pre-shared keyring local KR interface Tunnel0 ip address 10.0.0.1 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 172.16.2.1 tunnel protection ipsec profile default interface Tunnel0 ip address 10.0.0.2 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 172.16.1.1 tunnel protection ipsec profile default ip route <LAN2> Tunnel0 м.б. dynamic ip route <LAN1> Tunnel0
  • 45. FlexVPN Hub and spoke
  • 46. Hub&Spoke Virtual-Access Interfaces Radius Server Static Tunnel Interface
  • 47. Hub&Spoke; Spoke конфигурация HUB R3-Spoke LAN1 Radius Server aaa authorization network default local Сonfig-exchange IP address назначает HUB crypto ikev2 profile default match certificate CERTMAP identity local fqdn R3-Spoke.cisco.com authentication remote rsa-sig authentication local pre-shared keyring local KR pki trustpoint CA aaa authorization group cert list default default interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination 172.16.0.1 tunnel protection ipsec profile default access-list 99 permit <LAN1> crypto ikev2 authorization policy default route set access-list 99 crypto ikev2 keyring KR peer HUB address 172.16.0.1 pre-shared-key local cisco
  • 48. Hub&Spoke; HUB конфигурация HUB LAN2 R3-Spoke LAN1 Radius Server aaa authorization network default group radius PSK на RADIUS Virtual-Access из Virtual-Template crypto ikev2 profile default match identity remote fqdn domain cisco.com identity local dn authentication local rsa-sig authentication remote pre-shared keyring aaa default name-mangler extract-host pki trustpoint CA aaa authorization user psk cached virtual-template 1 interface virtual-template1 type tunnel ip unnumbered loopback0 tunnel protection ipsec profile default ipsec:ikev2-password-remote=cisco ip:interface-config=policy-map PM out framed-ip=10.0.0.1 ipsec:route-set=interface ipsec:route-set=prefix <LAN2> ipsec:routeaccept=any IKEv2 routing aaa group server radius radius server-private 192.168.100.254 auth-port 1812 acct-port 1813 key cisco123 crypto ikev2 name-mangler extract-host fqdn hostname
  • 49. Отказоустойчивость HUB LAN .1 Активные туннели на обоих HUB Маршруты либо IKEv2 либо маршрутизация Active/standby, либо loadbalance .2 crypto ikev2 profile default ... dpd 30 2 on-demand interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination <HUB1> tunnel protection ipsec profile default interface Tunnel1 ip address negotiated tunnel source FastEthernet0/0 tunnel destination <HUB2> tunnel protection ipsec profile default
  • 50. Отказоустойчивость HUB Stateless Failover LAN Virtual IP (HSRP) Tunnels down crypto ikev2 client flexvpn default client connect tunnel 0 peer 1 172.16.0.1 peer 2 172.16.0.2 interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination dynamic tunnel protection ipsec profile default
  • 51. FlexMesh (DMVPN “phase 4”)
  • 52. FlexMesh LAN Virtual-Access Interfaces 172.16.0.1 Static Tunnel Interface Virtual-Access Interfaces
  • 53. FlexMesh, NHRP Spoke1 Spoke2 HUB VA 1 VA2 Redirect Resolution request Resolution request IKEv2 init IKEv2 init Resolution Reply
  • 54. FlexMesh, конфигурация HUB crypto ikev2 profile default match identity remote fqdn domain cisco.com identity local fqdn hub.cisco.com authentication local rsa-sig authentication remote rsa-sig pki trustpoint CA aaa authorization group cert list default default virtual-template 1 interface Virtual-Template1 type tunnel ip unnumbered Loopback0 ip nhrp network-id 1 ip nhrp redirect tunnel protection ipsec profile default Spoke crypto ikev2 profile default … virtual-template 1 interface Tunnel0 ip address negotiated ip nhrp network-id 1 ip nhrp shortcut virtual-template 1 ip nhrp redirect tunnel source Ethernet0/0 tunnel destination <HUB> tunnel protection ipsec profile default interface Virtual-Template1 type tunnel ip unnumbered Tunnel0 ip nhrp network-id 1 ip nhrp shortcut virtual-template 1 ip nhrp redirect tunnel protection ipsec profile default
  • 55. “Все-в-одном” LAN1 VRF1 VRF2 Remote Access Isolated branches FlexMesh
  • 56. Производительность и массштабируемость Release 3.5 w/out QoS ASR1001 ASR1002-F ASR1000-ESP5 ASR1000ESP10 ASR1000ESP20 ASR1000ESP40 Throughput 1.8 / 1Gbps 1 / 0.8 Gbps 1.8 / 1 Gbps 4 / 2.5 Gbps 7 / 6 Gbps 11 / 7.4 Gbps 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000 EIGRP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000 BGP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000 (Max / IMIX) Max tunnels (RP1 / RP2) Release 3.5 w/ QoS ASR1001 ASR1000ESP20 ASR1000ESP40 Throughput (Max / IMIX) 1.8 / 1Gbps 7 / 6 Gbps 11 / 7.4 Gbps Max tunnels (RP2 only) 2000 2000 2000 Max tunnels 2000 2000 2000
  • 57. Сертифицированный VPN
  • 58. VPN-решения Cisco в России VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами Использование VPN-решений Cisco в России сопряжено с рядом трудностей  Порядок ввоза на территорию Таможенного союза шифровальных средств  Требование использования национальных криптографических алгоритмов  Обязательная сертификация СКЗИ
  • 59. Cisco – лицензиат ФСБ Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 1241626 от 28 февраля 2011 года  Сертификат по классу КС1/КС2/КС3 Решение для удаленных офисов • На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
  • 60. Управление безопасностью сети с помощью Cisco Prime Infrastructure
  • 61. Управление безопасностью с помощью Cisco Prime Infrastructure
  • 62. Управление безопасностью с помощью Cisco Prime Infrastructure
  • 63. Управление безопасностью с помощью Cisco Prime Infrastructure
  • 64. Выводы
  • 65. Разницав подходе Cisco и ‘остальных’ Несколько устройств Обычный подход Одно устройство Подход Cisco Маршрутизация Коммутация Безопасность Контроль Оптимизация Голос Снижение CapEx Небольшой OpEx Простая управляемость
  • 66. В заключении 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 88
  • 67. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Contacts: Name Phone E-mail 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.