3. 3
Hierarchiczny model sieci LAN
PSTN
Warstwa
dystrybucji
Szkielet
Warstwa
dostępowa
Warstwa
dystrybucji
Warstwa
dostępowa
INTERNET
DWDM
WAN
4. 4
Definicja rdzenia sieci
Skalowalność, niezawodność, szybka zbieżność
Szkielet dla całej sieci – łączy poszczególne bloki funkcjonalne
Wydajność i stabilność a złożoność
Agregacja dla warstwy dystrybucji
Dedykowany rdzeń pozwala na łatwiejszą rozbudowę sieci
Dostęp
Dystrybucja
Rdzeń
5. 5
Rdzeń sieci – L3
Zasadniczo pomiędzy
dystrybucją i rdzeniem oraz w
ramach rdzenia sieci
Szybka zmiana trasy w
przypadku awarii
Lepiej budować „trójkąty” niż
„czworokąty” – przewidywalna
zbieżność
Redundantne połączenia L3,
aby uniknąć „czarnych dziur”
Sumaryzacja w stronę
rdzenia ogranicza zapytania
EIGRP oraz propagację LSA
OSPFa
Tuning mechanizmów
przesyłania (np. CEF) L3/L4
pozwala na pełne
wykorzystanie łączy Data CenterWAN Internet
Warstwa 3
równe koszty
Warstwa 3
równe koszty
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
6. 6
Rdzeń sieci – redundancja NSF/SSO
W momencie
wystąpienia awarii
modułu
zarządzającego ruch
jest nadal
przekazywany –
zapasowy Supervisor
tylko odświeża a nie
odbudowuje tablicę
FIB
NSF = Non-Stop
Forwarding
SSO = Stateful
SwitchOver Dostęp
Dystrybucja
Szkielet
Dystrybucja
Dostęp
Data CenterWAN Internet
Węzły
redundantne
SiSi SiSi SiSi SiSi SiSi SiSi
SiSi SiSi
SiSi SiSi SiSi SiSi SiSi SiSi
7. 7
Definicja warstwy dystrybucyjnej
Zbieżność, QoS i duża niezawodność
Niezawodność, równoważenie ruchu, QoS
Agregacja ruchu z warstwy dostępowej i
połączenie do rdzenia
Przełączanie w warstwie 3
Chroni rdzeń przed problemami warstwy
dostępowej
Spanning Tree:
–Tylko wówczas, gdy konieczne:
ustawić STP Root, Root Guard
Rapid PVST+—Per VLAN 802.1w
Sumaryzacja, szybka zbieżność,
redundantne ścieżki, równoważenie
ruchu
HSRP lub GLBP dla zapewnienia
redundancji
SiSiSiSi SiSi SiSi
Dostęp
Dystrybucja
8. 8
Definicja warstwy dostępowej
Wiele funkcjonalności – to nie tylko łączność
Agreguje urządzenia
Funkcjonalności warstwy 2 i 3; zbieżność,
niezawodność, bezpieczeństwo, QoS, IP
multicast, ...
Inteligentne usługi: QoS, granica zaufania,
ograniczanie broadcastów, IGMP snooping
Inteligentne usługi sieciowe: PVST+, Rapid
PVST+, DTP, PAgP/LACP, UDLD, ...
Catalyst® - zintegrowane bezpieczeństwo IBNS
(802.1x), (CISF): port security, DHCP snooping,
DAI, IPSG, ...
Wykrywanie telefonów IP, zasilanie poprzez
Ethernet, prywatne VLANy, ...
Spanning Tree: Portfast, UplinkFast,
BackboneFast, LoopGuard, BPDUGuard,
BPDUFilter, RootGuard, ...
Do rdzenia
SiSi SiSi
Dostęp
Dystrybucja
9. 9
Warstwa dostępowa – Spanning Tree
TYLKO jeśli to konieczne!
REP, FLEXLink, vPC są
lepsze
Wymagane by uniknąć pętli
po stronie użytkownika
Rapid PVST+ zapewnia
lepszą zbieżność
Należy wykorzystać
wszystkie możliwe narzędzia
Spanning Tree
również bezpieczeństwa!
Data CenterWAN Internet
Warstwa 3
Równe koszty
Warstwa 3
Równe koszty
Pętla - L2
VLAN 10 VLAN 10 VLAN 10
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
10. 10
Warstwa dostępowa – redundancja
Zawsze osiągalny adres bramy
domyślnej
HSRP, VRRP lub GLBP
VRRP, gdy kilku producentów
GLBP gwarantuje możliwość
równoważenia ruchu
Data CenterWAN Internet
Warstwa 3
Równe koszty
Warstwa 3
Równe koszty
Redundancja
SiSi SiSi SiSi SiSi SiSi SiSi
SiSiSiSi
SiSiSiSi
SiSi SiSiSiSiSiSi
11. 12
Sieć kampusowa
poziom aplikacji
Redundantne Procesory (RP), Switch Fabric, karty (LC),
Porty, Zasilanie, CoPP, ISSU, Config Rollback
SONET APS, RPR, DWDM, Etherchannel®,
802.1d, 802.1w, 802.1s, PVST+, Portfast, BPDU Guard,
PagP, LacP, UDLD, Stackwise, mPPP
NSF/SSO, HSRP, VRRP, GLBP, Graceful Restart (GR):
BGP, ISIS, OSPF, EIGRP, OER, BGP Multipath, Fast
Polling, BFD, Incremental SPF
Global Server Load Balancing, Stateful NAT, Stateful
IPSec, DNS, DHCP, IP SLA, Netflow
protokoły warstw
wyższych
warstwa łącza
poziom sprzętowy
Wysoka dostępność - narzędzia
14. 15
Sieć operatorska
Sieć
szkieletowa
IP / MPLS
Sieć agregacyjna
IP/MPLS
Agregacja
DSLAM
Business
Dostęp Brzeg sieci
Użytkownicy
domowi
STB
Użytkownicy
domowi
STB
Business
Węzeł
dystrybucyjny
Węzeł
dostępowy
Ethernet
Węzeł
Agregacyjny
Pierścień
dostępowy
VoD
Dostawcy treści
TV SIP
All-IP
16. 17
Warstwy niższe OSI wpływają na wyższe
Kompromitacja warstwy niższej otwiera wyższe na atak – nie są tego
świadome
Bezpieczeństwo jest tak dobre, jak najsłabsze ogniwo architektury
Warstwa 2 może być bardzo słabym ogniwem
Host BHost A
Strumień danych
Aplikacji
Prezentacji
Sesji
Transportu
Sieci
Łącza danych
Fizyczna
Aplikacji
Prezentacji
Sesji
Transportu
Sieci
Łącza danych
Fizyczna
Łącze fizyczne
Adresy IP
Protokoły/Porty
POP3, IMAP, IM,
SSL, SSH
MAC AddressesPoczątkowa kompromitacja
Kompromitacja
17. 18
Port Security ogranicza ilość adresów MAC na
interfejsie
Obrona przed atakami na tablicę CAM
Mechanizm Port security
ogranicza atak MAC flood,
wysyła wiadomość SNMP i
wyłącza port
00:0e:00:aa:aa:aa
00:0e:00:bb:bb:bb
tysiące
fałszywych
MAC
Tylko jeden MAC
dozwolony na porcie
Akcja: shutdown
Rozwiązanie:
18. 19
Is This Is My
Binding
Table?
NO!ARP Nie
pasują –
Odrzucam!
Ataki na ARP – ARP snooping
Wykorzystuje tablicę
dowiązań DHCP
snooping
Dynamiczna Inspekcja
ARP:
–Wszyskie wiadomości ARP
muszą pasować do tablicy
dowiązań IP/MAC
–Jeżeli nie pasują, są
odrzucane
10.1.1.1
MAC A
10.1.1.2
MAC B
10.1.1.3
MAC C
ARP 10.1.1.1
10.1.1.2 ma MAC C
ARP 10.1.1.2
10.1.1.1 ma MAC C
Włączony DHCP
Snooping
Włączony Dynamic
ARP Inspection
19. 20
Ataki na DHCP – DHCP snooping
Domyśnie wszystkie porty w VLANie są niezaufane
Klient
Serwer
DHCPFałszywy serwer
DHCP
Zaufany
Niezaufany
Niezaufany
DHCP Snooping
DHCP Snooping – port niezaufany
Polecenia na porcie niezaufanym
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps)
Polecenia globalne IOS
ip dhcp snooping vlan 4,104
no ip dhcp snooping information option
ip dhcp snooping
DHCP Snooping – uplink lub serwer
DOBRE
odpowiedzi: :
offer, ack, nak
Polecenia na porcie zaufanym
ip dhcp snooping trust
ZŁE odpowiedzi:
offer, ack, nak
20. 21
Pasuje do
tablicy
dowiązań?
Nie pasuje,
odrzucam!
Ataki na sieć - IP Source Guard
Wykorzystuje tablicę
dowiązań DHCP
snooping
IP Source Guard
–Działa tak jak DAI, ale
bada cały ruch, nie
tylko wiadomości ARP
10.1.1.1
MAC A
10.1.1.2
MAC B
10.1.1.3
MAC C
Odebrany ruch
IP 10.1.1.2
MAC B
Ruch wysyłany z
adresem
źródłowym IP 10.1.1.2
i MAC B
Ruch wysyłany z
adresem źródłowym IP
10.1.1.2
MAC C
Włączone
DHCP Snooping
Włączone Dynamic
ARP Inspection
Włączone IP
Source Guard
21. 22
Atak na Spanning Tree
Należy zdefiniować przełącznik
Root
–Root Podstawowy/Zapasowy
Root zawsze tam, gdzie został
zdefiniowany:
–Rootguard
–Loopguard
–UplinkFast
–UDLD
Na przełączniku dostępowym tylko
ruch od klientów:
–BPDU Guard
–Root Guard
–PortFast
–Port-Security
–DAI/IP Source Guard
SiSiSiSi
BPDU Guard i
PortFast
Rootguard
Loopguard
UplinkFast
STP Root
Loopguard
Świadoma budowa i zabezpieczenie sieci
22. 23
Dynamiczne pozycjonowanie użytkowników
Użytkownik przydzielany do VLANu
VLAN mapowany na VRF
połączenie pomiędzy VRFami
Usługi zcentralizowane na brzegu
sieci dostawcy
Szkielet
Gość
10.2/16
Serwer
10.2/16
Gość
10.3/16
Partner
10.2/16
Internet
Brama
internet
Brama
IPsec
DHCP
Serwer
wideo
Firewall i
NAT
Zawar-
tość
Współdzielone dla grup:
Partnerzy
Goście
Zasoby
Kwarantanna
25. 26
Podsumowanie
Hierarchizacja nie rozwiązuje wszystkich problemów
sieciowych, ale…
Pozwala dokładnie dopasować urządzenia do ich funkcji w sieci
Ułatwia planowanie rozwoju
Ułatwia utrzymanie sieci