SlideShare a Scribd company logo

PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp

PROIDEA
PROIDEA

Budowa sieci: szkielet/ agregacja/ dostęp

Presentations & Public Speaking
1 of 26
Download to read offline
1 Budowa sieci: szkielet / agregacja / dostęp Marcin Aronowski maaronow@cisco.com Warszawa, marzec 2011
2 Hierarchia w LAN
3 Hierarchiczny model sieci LAN PSTN Warstwa dystrybucji Szkielet Warstwa dostępowa Warstwa dystrybucji Warstwa dostępowa INTERNET DWDM WAN
4 Definicja rdzenia sieci Skalowalność, niezawodność, szybka zbieżność  Szkielet dla całej sieci – łączy poszczególne bloki funkcjonalne  Wydajność i stabilność a złożoność  Agregacja dla warstwy dystrybucji  Dedykowany rdzeń pozwala na łatwiejszą rozbudowę sieci Dostęp Dystrybucja Rdzeń
5 Rdzeń sieci – L3  Zasadniczo pomiędzy dystrybucją i rdzeniem oraz w ramach rdzenia sieci  Szybka zmiana trasy w przypadku awarii  Lepiej budować „trójkąty” niż „czworokąty” – przewidywalna zbieżność  Redundantne połączenia L3, aby uniknąć „czarnych dziur”  Sumaryzacja w stronę rdzenia ogranicza zapytania EIGRP oraz propagację LSA OSPFa  Tuning mechanizmów przesyłania (np. CEF) L3/L4 pozwala na pełne wykorzystanie łączy Data CenterWAN Internet Warstwa 3 równe koszty Warstwa 3 równe koszty SiSi SiSi SiSi SiSi SiSi SiSi SiSiSiSi SiSiSiSi SiSi SiSiSiSiSiSi
6 Rdzeń sieci – redundancja NSF/SSO  W momencie wystąpienia awarii modułu zarządzającego ruch jest nadal przekazywany – zapasowy Supervisor tylko odświeża a nie odbudowuje tablicę FIB  NSF = Non-Stop Forwarding  SSO = Stateful SwitchOver Dostęp Dystrybucja Szkielet Dystrybucja Dostęp Data CenterWAN Internet Węzły redundantne SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi
7 Definicja warstwy dystrybucyjnej Zbieżność, QoS i duża niezawodność  Niezawodność, równoważenie ruchu, QoS  Agregacja ruchu z warstwy dostępowej i połączenie do rdzenia  Przełączanie w warstwie 3  Chroni rdzeń przed problemami warstwy dostępowej  Spanning Tree: –Tylko wówczas, gdy konieczne: ustawić STP Root, Root Guard Rapid PVST+—Per VLAN 802.1w  Sumaryzacja, szybka zbieżność, redundantne ścieżki, równoważenie ruchu  HSRP lub GLBP dla zapewnienia redundancji SiSiSiSi SiSi SiSi Dostęp Dystrybucja
8 Definicja warstwy dostępowej Wiele funkcjonalności – to nie tylko łączność  Agreguje urządzenia  Funkcjonalności warstwy 2 i 3; zbieżność, niezawodność, bezpieczeństwo, QoS, IP multicast, ...  Inteligentne usługi: QoS, granica zaufania, ograniczanie broadcastów, IGMP snooping  Inteligentne usługi sieciowe: PVST+, Rapid PVST+, DTP, PAgP/LACP, UDLD, ...  Catalyst® - zintegrowane bezpieczeństwo IBNS (802.1x), (CISF): port security, DHCP snooping, DAI, IPSG, ...  Wykrywanie telefonów IP, zasilanie poprzez Ethernet, prywatne VLANy, ...  Spanning Tree: Portfast, UplinkFast, BackboneFast, LoopGuard, BPDUGuard, BPDUFilter, RootGuard, ... Do rdzenia SiSi SiSi Dostęp Dystrybucja
9 Warstwa dostępowa – Spanning Tree  TYLKO jeśli to konieczne!  REP, FLEXLink, vPC są lepsze   Wymagane by uniknąć pętli po stronie użytkownika  Rapid PVST+ zapewnia lepszą zbieżność  Należy wykorzystać wszystkie możliwe narzędzia Spanning Tree również bezpieczeństwa! Data CenterWAN Internet Warstwa 3 Równe koszty Warstwa 3 Równe koszty Pętla - L2 VLAN 10 VLAN 10 VLAN 10 SiSi SiSi SiSi SiSi SiSi SiSi SiSiSiSi SiSiSiSi SiSi SiSiSiSiSiSi
10 Warstwa dostępowa – redundancja  Zawsze osiągalny adres bramy domyślnej  HSRP, VRRP lub GLBP  VRRP, gdy kilku producentów  GLBP gwarantuje możliwość równoważenia ruchu Data CenterWAN Internet Warstwa 3 Równe koszty Warstwa 3 Równe koszty Redundancja SiSi SiSi SiSi SiSi SiSi SiSi SiSiSiSi SiSiSiSi SiSi SiSiSiSiSiSi
12 Sieć kampusowa poziom aplikacji Redundantne Procesory (RP), Switch Fabric, karty (LC), Porty, Zasilanie, CoPP, ISSU, Config Rollback SONET APS, RPR, DWDM, Etherchannel®, 802.1d, 802.1w, 802.1s, PVST+, Portfast, BPDU Guard, PagP, LacP, UDLD, Stackwise, mPPP NSF/SSO, HSRP, VRRP, GLBP, Graceful Restart (GR): BGP, ISIS, OSPF, EIGRP, OER, BGP Multipath, Fast Polling, BFD, Incremental SPF Global Server Load Balancing, Stateful NAT, Stateful IPSec, DNS, DHCP, IP SLA, Netflow protokoły warstw wyższych warstwa łącza poziom sprzętowy Wysoka dostępność - narzędzia
13 A jak to zrobić “głębiej” w sieci?
14 Skalowanie sieci all-IP Agregacja RAN IP/MPLS 10/100GE lub DWDM Dostęp RAN Ethernet Szkielet IP IP/MPLS DWDM 1Gbps 20 Gbps20 Mbps x50 x20 x10-50 0.2-1 Tbps
15 Sieć operatorska Sieć szkieletowa IP / MPLS Sieć agregacyjna IP/MPLS Agregacja DSLAM Business Dostęp Brzeg sieci Użytkownicy domowi STB Użytkownicy domowi STB Business Węzeł dystrybucyjny Węzeł dostępowy Ethernet Węzeł Agregacyjny Pierścień dostępowy VoD Dostawcy treści TV SIP All-IP
16 Przykładowa analiza - Bezpieczeństwo L2
17 Warstwy niższe OSI wpływają na wyższe  Kompromitacja warstwy niższej otwiera wyższe na atak – nie są tego świadome  Bezpieczeństwo jest tak dobre, jak najsłabsze ogniwo architektury  Warstwa 2 może być bardzo słabym ogniwem Host BHost A Strumień danych Aplikacji Prezentacji Sesji Transportu Sieci Łącza danych Fizyczna Aplikacji Prezentacji Sesji Transportu Sieci Łącza danych Fizyczna Łącze fizyczne Adresy IP Protokoły/Porty POP3, IMAP, IM, SSL, SSH MAC AddressesPoczątkowa kompromitacja Kompromitacja
18 Port Security ogranicza ilość adresów MAC na interfejsie Obrona przed atakami na tablicę CAM  Mechanizm Port security ogranicza atak MAC flood, wysyła wiadomość SNMP i wyłącza port 00:0e:00:aa:aa:aa 00:0e:00:bb:bb:bb tysiące fałszywych MAC Tylko jeden MAC dozwolony na porcie Akcja: shutdown Rozwiązanie:
19 Is This Is My Binding Table? NO!ARP Nie pasują – Odrzucam! Ataki na ARP – ARP snooping  Wykorzystuje tablicę dowiązań DHCP snooping  Dynamiczna Inspekcja ARP: –Wszyskie wiadomości ARP muszą pasować do tablicy dowiązań IP/MAC –Jeżeli nie pasują, są odrzucane 10.1.1.1 MAC A 10.1.1.2 MAC B 10.1.1.3 MAC C ARP 10.1.1.1 10.1.1.2 ma MAC C ARP 10.1.1.2 10.1.1.1 ma MAC C Włączony DHCP Snooping Włączony Dynamic ARP Inspection
20 Ataki na DHCP – DHCP snooping  Domyśnie wszystkie porty w VLANie są niezaufane Klient Serwer DHCPFałszywy serwer DHCP Zaufany Niezaufany Niezaufany DHCP Snooping DHCP Snooping – port niezaufany Polecenia na porcie niezaufanym no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) Polecenia globalne IOS ip dhcp snooping vlan 4,104 no ip dhcp snooping information option ip dhcp snooping DHCP Snooping – uplink lub serwer DOBRE odpowiedzi: : offer, ack, nak Polecenia na porcie zaufanym ip dhcp snooping trust ZŁE odpowiedzi: offer, ack, nak
21 Pasuje do tablicy dowiązań? Nie pasuje, odrzucam! Ataki na sieć - IP Source Guard  Wykorzystuje tablicę dowiązań DHCP snooping  IP Source Guard –Działa tak jak DAI, ale bada cały ruch, nie tylko wiadomości ARP 10.1.1.1 MAC A 10.1.1.2 MAC B 10.1.1.3 MAC C Odebrany ruch IP 10.1.1.2 MAC B Ruch wysyłany z adresem źródłowym IP 10.1.1.2 i MAC B Ruch wysyłany z adresem źródłowym IP 10.1.1.2 MAC C Włączone DHCP Snooping Włączone Dynamic ARP Inspection Włączone IP Source Guard
22 Atak na Spanning Tree  Należy zdefiniować przełącznik Root –Root Podstawowy/Zapasowy  Root zawsze tam, gdzie został zdefiniowany: –Rootguard –Loopguard –UplinkFast –UDLD  Na przełączniku dostępowym tylko ruch od klientów: –BPDU Guard –Root Guard –PortFast –Port-Security –DAI/IP Source Guard SiSiSiSi BPDU Guard i PortFast Rootguard Loopguard UplinkFast STP Root Loopguard Świadoma budowa i zabezpieczenie sieci
23 Dynamiczne pozycjonowanie użytkowników  Użytkownik przydzielany do VLANu  VLAN mapowany na VRF  połączenie pomiędzy VRFami  Usługi zcentralizowane na brzegu sieci dostawcy Szkielet Gość 10.2/16 Serwer 10.2/16 Gość 10.3/16 Partner 10.2/16 Internet Brama internet Brama IPsec DHCP Serwer wideo Firewall i NAT Zawar- tość Współdzielone dla grup: Partnerzy Goście Zasoby Kwarantanna
24 Zwirtualizowane usługi Separacja ruchu WAN Serwery Farmy serwerów podzielone na VLANy VRFy (L3) Role per-użytkownik VLANy (L2) Identyfikajca (per Port lub 802.1x) 802.1Q + VRFy MPLS, GRE (PBR/VRF), L2TPv3
25 Podsumowanie
26 Podsumowanie  Hierarchizacja nie rozwiązuje wszystkich problemów sieciowych, ale…  Pozwala dokładnie dopasować urządzenia do ich funkcji w sieci  Ułatwia planowanie rozwoju  Ułatwia utrzymanie sieci
27

Recommended

PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów) PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów) PROIDEA
 
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PROIDEA
 
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...PROIDEA
 
PLNOG19 - Piotr Jabłoński - Anatomia VXLAN
PLNOG19 - Piotr Jabłoński - Anatomia VXLANPLNOG19 - Piotr Jabłoński - Anatomia VXLAN
PLNOG19 - Piotr Jabłoński - Anatomia VXLANPROIDEA
 
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...PROIDEA
 
PLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlay
PLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlayPLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlay
PLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlayPROIDEA
 
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...PROIDEA
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPROIDEA
 

Recommended

PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów) PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów)
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - Sklejanie VPN (różnych typów) PROIDEA
 
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PROIDEA
 
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...
PLNOG 9: Łukasz Bromirski, Rafał Szarecki - MPLS VPN - Architektura i przeglą...PROIDEA
 
PLNOG19 - Piotr Jabłoński - Anatomia VXLAN
PLNOG19 - Piotr Jabłoński - Anatomia VXLANPLNOG19 - Piotr Jabłoński - Anatomia VXLAN
PLNOG19 - Piotr Jabłoński - Anatomia VXLANPROIDEA
 
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...PROIDEA
 
PLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlay
PLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlayPLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlay
PLNOG 7: Marcin Bała, Tomasz Stępniak - budowa sieci dostępowych TriplePlayPROIDEA
 
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...
PLNOG 3: Piotr Jabłoński - Realizacja styku międzyoperatorskiego dla usług L...PROIDEA
 
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPLNOG16: Wielopunktowy VPN, Piotr Głaska
PLNOG16: Wielopunktowy VPN, Piotr GłaskaPROIDEA
 
Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PROIDEA
 
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...PROIDEA
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PROIDEA
 
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLSPrzemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLSPROIDEA
 
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PROIDEA
 
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji PROIDEA
 
PLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPROIDEA
 
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PROIDEA
 
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...Paweł Małachowski
 
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejŁukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejPROIDEA
 
Marcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura ObliczeniowaMarcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura ObliczeniowaPROIDEA
 
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PROIDEA
 
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...PROIDEA
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPROIDEA
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014Tańczący Z Kojotami
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PROIDEA
 

More Related Content

Similar to PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp

Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2arkulik
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PROIDEA
 
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...PROIDEA
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PROIDEA
 
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLSPrzemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLSPROIDEA
 
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PROIDEA
 
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji PROIDEA
 
PLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPROIDEA
 
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PROIDEA
 
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...Paweł Małachowski
 
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejŁukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejPROIDEA
 
Marcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura ObliczeniowaMarcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura ObliczeniowaPROIDEA
 
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PROIDEA
 
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...PROIDEA
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPROIDEA
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPROIDEA
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PROIDEA
 

Similar to PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp (20)

Projekcik Routery2
Projekcik Routery2Projekcik Routery2
Projekcik Routery2
 
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6
 
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
PLNOG 7: Marcin Aronowski - MPLS dla "tradycyjnego" operatora telekomunikacyj...
 
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
PLNOG 8: Łukasz Bromirski - IP Anycast - Ochrona i skalowanie usług sieciowych
 
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLSPrzemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
Przemyslaw Misiak - Wdrazanie mechanizmow QoS w sieciach MPLS
 
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
PLNOG 3: Marcin Wójcik - Rozwiązania sieciowe dla dostawców usług telekomunik...
 
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
PLNOG 6: Łukasz Bromirski - Protokoły warstwy 2 - Przegląd dostępnych opcji
 
PLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLSPLNOG 6: Bartłomiej Anszperger - MPLS
PLNOG 6: Bartłomiej Anszperger - MPLS
 
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
PLNOG 7: Bartłomiej Anszperger - MPLS - trochę głębiej
 
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...
[GURU Lublin][2004][PL] Kształtowanie ruchu w systemie FreeBSD z wykorzystani...
 
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiejŁukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
Łukasz Bromirski - Najlepsze praktyki zabezpieczania sieci klasy operatorskiej
 
Marcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura ObliczeniowaMarcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura Obliczeniowa
 
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
PLNOG 5: Łukasz Bromirski - Wysoka dostępność w sieciach operatorskich
 
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...
PLNOG 17 - Piotr Jabłoński - Sieci nakładkowe w Data Center - uproszczenie, c...
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
 
Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014Usługi sieci internet cz i 2014
Usługi sieci internet cz i 2014
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
 

PLNOG 6: Marcin Aronowski - Budowa sieci: szkielet/ agregacja/ dostęp

  • 1. 1 Budowa sieci: szkielet / agregacja / dostęp Marcin Aronowski maaronow@cisco.com Warszawa, marzec 2011
  • 3. 3 Hierarchiczny model sieci LAN PSTN Warstwa dystrybucji Szkielet Warstwa dostępowa Warstwa dystrybucji Warstwa dostępowa INTERNET DWDM WAN
  • 4. 4 Definicja rdzenia sieci Skalowalność, niezawodność, szybka zbieżność  Szkielet dla całej sieci – łączy poszczególne bloki funkcjonalne  Wydajność i stabilność a złożoność  Agregacja dla warstwy dystrybucji  Dedykowany rdzeń pozwala na łatwiejszą rozbudowę sieci Dostęp Dystrybucja Rdzeń
  • 5. 5 Rdzeń sieci – L3  Zasadniczo pomiędzy dystrybucją i rdzeniem oraz w ramach rdzenia sieci  Szybka zmiana trasy w przypadku awarii  Lepiej budować „trójkąty” niż „czworokąty” – przewidywalna zbieżność  Redundantne połączenia L3, aby uniknąć „czarnych dziur”  Sumaryzacja w stronę rdzenia ogranicza zapytania EIGRP oraz propagację LSA OSPFa  Tuning mechanizmów przesyłania (np. CEF) L3/L4 pozwala na pełne wykorzystanie łączy Data CenterWAN Internet Warstwa 3 równe koszty Warstwa 3 równe koszty SiSi SiSi SiSi SiSi SiSi SiSi SiSiSiSi SiSiSiSi SiSi SiSiSiSiSiSi
  • 6. 6 Rdzeń sieci – redundancja NSF/SSO  W momencie wystąpienia awarii modułu zarządzającego ruch jest nadal przekazywany – zapasowy Supervisor tylko odświeża a nie odbudowuje tablicę FIB  NSF = Non-Stop Forwarding  SSO = Stateful SwitchOver Dostęp Dystrybucja Szkielet Dystrybucja Dostęp Data CenterWAN Internet Węzły redundantne SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi SiSi
  • 7. 7 Definicja warstwy dystrybucyjnej Zbieżność, QoS i duża niezawodność  Niezawodność, równoważenie ruchu, QoS  Agregacja ruchu z warstwy dostępowej i połączenie do rdzenia  Przełączanie w warstwie 3  Chroni rdzeń przed problemami warstwy dostępowej  Spanning Tree: –Tylko wówczas, gdy konieczne: ustawić STP Root, Root Guard Rapid PVST+—Per VLAN 802.1w  Sumaryzacja, szybka zbieżność, redundantne ścieżki, równoważenie ruchu  HSRP lub GLBP dla zapewnienia redundancji SiSiSiSi SiSi SiSi Dostęp Dystrybucja
  • 8. 8 Definicja warstwy dostępowej Wiele funkcjonalności – to nie tylko łączność  Agreguje urządzenia  Funkcjonalności warstwy 2 i 3; zbieżność, niezawodność, bezpieczeństwo, QoS, IP multicast, ...  Inteligentne usługi: QoS, granica zaufania, ograniczanie broadcastów, IGMP snooping  Inteligentne usługi sieciowe: PVST+, Rapid PVST+, DTP, PAgP/LACP, UDLD, ...  Catalyst® - zintegrowane bezpieczeństwo IBNS (802.1x), (CISF): port security, DHCP snooping, DAI, IPSG, ...  Wykrywanie telefonów IP, zasilanie poprzez Ethernet, prywatne VLANy, ...  Spanning Tree: Portfast, UplinkFast, BackboneFast, LoopGuard, BPDUGuard, BPDUFilter, RootGuard, ... Do rdzenia SiSi SiSi Dostęp Dystrybucja
  • 9. 9 Warstwa dostępowa – Spanning Tree  TYLKO jeśli to konieczne!  REP, FLEXLink, vPC są lepsze   Wymagane by uniknąć pętli po stronie użytkownika  Rapid PVST+ zapewnia lepszą zbieżność  Należy wykorzystać wszystkie możliwe narzędzia Spanning Tree również bezpieczeństwa! Data CenterWAN Internet Warstwa 3 Równe koszty Warstwa 3 Równe koszty Pętla - L2 VLAN 10 VLAN 10 VLAN 10 SiSi SiSi SiSi SiSi SiSi SiSi SiSiSiSi SiSiSiSi SiSi SiSiSiSiSiSi
  • 10. 10 Warstwa dostępowa – redundancja  Zawsze osiągalny adres bramy domyślnej  HSRP, VRRP lub GLBP  VRRP, gdy kilku producentów  GLBP gwarantuje możliwość równoważenia ruchu Data CenterWAN Internet Warstwa 3 Równe koszty Warstwa 3 Równe koszty Redundancja SiSi SiSi SiSi SiSi SiSi SiSi SiSiSiSi SiSiSiSi SiSi SiSiSiSiSiSi
  • 11. 12 Sieć kampusowa poziom aplikacji Redundantne Procesory (RP), Switch Fabric, karty (LC), Porty, Zasilanie, CoPP, ISSU, Config Rollback SONET APS, RPR, DWDM, Etherchannel®, 802.1d, 802.1w, 802.1s, PVST+, Portfast, BPDU Guard, PagP, LacP, UDLD, Stackwise, mPPP NSF/SSO, HSRP, VRRP, GLBP, Graceful Restart (GR): BGP, ISIS, OSPF, EIGRP, OER, BGP Multipath, Fast Polling, BFD, Incremental SPF Global Server Load Balancing, Stateful NAT, Stateful IPSec, DNS, DHCP, IP SLA, Netflow protokoły warstw wyższych warstwa łącza poziom sprzętowy Wysoka dostępność - narzędzia
  • 12. 13 A jak to zrobić “głębiej” w sieci?
  • 13. 14 Skalowanie sieci all-IP Agregacja RAN IP/MPLS 10/100GE lub DWDM Dostęp RAN Ethernet Szkielet IP IP/MPLS DWDM 1Gbps 20 Gbps20 Mbps x50 x20 x10-50 0.2-1 Tbps
  • 14. 15 Sieć operatorska Sieć szkieletowa IP / MPLS Sieć agregacyjna IP/MPLS Agregacja DSLAM Business Dostęp Brzeg sieci Użytkownicy domowi STB Użytkownicy domowi STB Business Węzeł dystrybucyjny Węzeł dostępowy Ethernet Węzeł Agregacyjny Pierścień dostępowy VoD Dostawcy treści TV SIP All-IP
  • 16. 17 Warstwy niższe OSI wpływają na wyższe  Kompromitacja warstwy niższej otwiera wyższe na atak – nie są tego świadome  Bezpieczeństwo jest tak dobre, jak najsłabsze ogniwo architektury  Warstwa 2 może być bardzo słabym ogniwem Host BHost A Strumień danych Aplikacji Prezentacji Sesji Transportu Sieci Łącza danych Fizyczna Aplikacji Prezentacji Sesji Transportu Sieci Łącza danych Fizyczna Łącze fizyczne Adresy IP Protokoły/Porty POP3, IMAP, IM, SSL, SSH MAC AddressesPoczątkowa kompromitacja Kompromitacja
  • 17. 18 Port Security ogranicza ilość adresów MAC na interfejsie Obrona przed atakami na tablicę CAM  Mechanizm Port security ogranicza atak MAC flood, wysyła wiadomość SNMP i wyłącza port 00:0e:00:aa:aa:aa 00:0e:00:bb:bb:bb tysiące fałszywych MAC Tylko jeden MAC dozwolony na porcie Akcja: shutdown Rozwiązanie:
  • 18. 19 Is This Is My Binding Table? NO!ARP Nie pasują – Odrzucam! Ataki na ARP – ARP snooping  Wykorzystuje tablicę dowiązań DHCP snooping  Dynamiczna Inspekcja ARP: –Wszyskie wiadomości ARP muszą pasować do tablicy dowiązań IP/MAC –Jeżeli nie pasują, są odrzucane 10.1.1.1 MAC A 10.1.1.2 MAC B 10.1.1.3 MAC C ARP 10.1.1.1 10.1.1.2 ma MAC C ARP 10.1.1.2 10.1.1.1 ma MAC C Włączony DHCP Snooping Włączony Dynamic ARP Inspection
  • 19. 20 Ataki na DHCP – DHCP snooping  Domyśnie wszystkie porty w VLANie są niezaufane Klient Serwer DHCPFałszywy serwer DHCP Zaufany Niezaufany Niezaufany DHCP Snooping DHCP Snooping – port niezaufany Polecenia na porcie niezaufanym no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) Polecenia globalne IOS ip dhcp snooping vlan 4,104 no ip dhcp snooping information option ip dhcp snooping DHCP Snooping – uplink lub serwer DOBRE odpowiedzi: : offer, ack, nak Polecenia na porcie zaufanym ip dhcp snooping trust ZŁE odpowiedzi: offer, ack, nak
  • 20. 21 Pasuje do tablicy dowiązań? Nie pasuje, odrzucam! Ataki na sieć - IP Source Guard  Wykorzystuje tablicę dowiązań DHCP snooping  IP Source Guard –Działa tak jak DAI, ale bada cały ruch, nie tylko wiadomości ARP 10.1.1.1 MAC A 10.1.1.2 MAC B 10.1.1.3 MAC C Odebrany ruch IP 10.1.1.2 MAC B Ruch wysyłany z adresem źródłowym IP 10.1.1.2 i MAC B Ruch wysyłany z adresem źródłowym IP 10.1.1.2 MAC C Włączone DHCP Snooping Włączone Dynamic ARP Inspection Włączone IP Source Guard
  • 21. 22 Atak na Spanning Tree  Należy zdefiniować przełącznik Root –Root Podstawowy/Zapasowy  Root zawsze tam, gdzie został zdefiniowany: –Rootguard –Loopguard –UplinkFast –UDLD  Na przełączniku dostępowym tylko ruch od klientów: –BPDU Guard –Root Guard –PortFast –Port-Security –DAI/IP Source Guard SiSiSiSi BPDU Guard i PortFast Rootguard Loopguard UplinkFast STP Root Loopguard Świadoma budowa i zabezpieczenie sieci
  • 22. 23 Dynamiczne pozycjonowanie użytkowników  Użytkownik przydzielany do VLANu  VLAN mapowany na VRF  połączenie pomiędzy VRFami  Usługi zcentralizowane na brzegu sieci dostawcy Szkielet Gość 10.2/16 Serwer 10.2/16 Gość 10.3/16 Partner 10.2/16 Internet Brama internet Brama IPsec DHCP Serwer wideo Firewall i NAT Zawar- tość Współdzielone dla grup: Partnerzy Goście Zasoby Kwarantanna
  • 23. 24 Zwirtualizowane usługi Separacja ruchu WAN Serwery Farmy serwerów podzielone na VLANy VRFy (L3) Role per-użytkownik VLANy (L2) Identyfikajca (per Port lub 802.1x) 802.1Q + VRFy MPLS, GRE (PBR/VRF), L2TPv3
  • 25. 26 Podsumowanie  Hierarchizacja nie rozwiązuje wszystkich problemów sieciowych, ale…  Pozwala dokładnie dopasować urządzenia do ich funkcji w sieci  Ułatwia planowanie rozwoju  Ułatwia utrzymanie sieci
  • 26. 27