Projektowanie sieci metodą Top-Down
http://www.topdownbook.com
Wydanie w języku polskim PWN 2007
Copyright 2004 Cisco Press & Priscilla Oppenheimer
W tej części
• Część II: Projekt logiczny
– Rozdział 5: Projektowanie topologii
– Rozdział 6: Plan adresowania i nazewnictwa
– Rozdział 7: Protokoły L2 i L3 ( L2 )
– Rozdział 7a: Przykłady L3 ( L3 i VPN)
– Rozdział 8: Strategia bezpieczeństwa – Rozdział 9: Zarządzanie siecią
Nadmiarowość L3, co wiemy
Enterprise Enterprise
Enterprise
ISP 1
ISP 1 ISP 2
ISP 1
ISP 1 ISP 2
Enterprise
Option A
Option B
Option C
Option D
Paris NY
Paris NY
Rozwój i zastosowania
• Polecana skala - mała sieć, dostęp do HQ, Internetu
• Możliwy wariant z dwoma ISP (uwaga NAT !!!!)
• Łączenie GLBP i HSRP
Mała sieć cd.
Zastosowania - warstwa dostępu w kampusie
• Efektywne wykorzystanie łącza zapasowego
Zastosowania - dostęp do farmy serwerów
• Cisco IOS Server Load Balancing (IOS-SLB),
• Cisco Content Switching Module (CSM)
• Cisco Content Switching Services (CSS)
Nadmiarowość L3 – Cisco V3PN
• Łącza zapasowe dodzwaniane DDR SOHO
• Łącza wielokrotne DSL CATV średnia firma
• Łącza agregowane multilink PPP duża firma
• VPN, a PVN
– Rozmaitość rozwiązań technologii VPN – Zdalny dostęp a tunel siec-sieć
• Trzy przykłady konfiguracji praktycznej
– Przykład 1: Tunel VPN IPsec + GRE w 5 kroków
– Przykład 2: VPN LAN-LAN HUB&Spoke ( certyfikaty)
– Przykład 3: Easy VPN z Dial Backup
PVC z zapasem ISDN (PVC)
• Łącze ISDN podnosi się przy:
– Awarii FR ( floating routes, DDR backup, dialer watch) – Wzroście ruchu w FR ponad określony poziom ( DDR
backup)
• Czas reakcji to około 1 minuta (FR down) + zwłoka DDR + nawiązanie połączenia ISDN ( kilka sekund )
Mała firma DSL i CATV
• Niedrogie rozwiązanie z oszczędnymi technologiami
• Przy zastosowaniu śledzenia TRACK
można ustawić czas reakcji około 60
sekund
Mała firma, duża centrala
• Połączenie spoke do dwóch HUB, (jeden)
Dynamic Multipoint Virtual Private Network (DMVPN)
• Czas reakcji przy zastosowaniu EIGRP w tunelach GRE zależy od timerów typowo 3x5 sekund = 15 plus zestawienie tunelu „zielonego” kilka sekund
Duża firma dwa łącza F-R I DSL
Tunele IPsec + GRE są zakończane na ruterze FR i DSL ( FR- PVC nie szyfrowane)
Czas reakcji przy uszkodzeniu zależy od timerów HSRP i GRE i protokołów rutowania
• HSRP default hello time to 3 s i hold to10s.
• EIGRP, default hello time to 5 s i hold time to 15 seconds.
• GRE keepalives typowo to 10 s przy trzech retry daje czas 30 s
Duża firma Multilink PPP
Użycie multilink PPP tam gdzie trzeba mieć przepustowość zagregowaną
• Drugie łącze jest podnoszone w ciągu ustawionego czasu po osiągnięciu progu
• Drugie łącze jest zamykane po pozostawaniu ruchu poniżej poziomu przez dany czas ( histereza )
Tworzenie VPN i tunelowanie
• Tunelowanie L2 wybór rozwiązania:
– PPTP - Point to Point Tunneling Protocol, RFC2637 (Microsoft) = (Generic Routing Encapsulation (GRE) + TCP sterowanie – L2F - Layer 2 Forwarding RFC2341 (Cisco) – L2TP - Layer 2 Tunneling RFC3931 (+IPsec)
standard IETF 2005
– OpenVPN – oparty na TCP
Dwa/trzy rodzaje VPN (PVC+2*VPN)
Dwa rodzaje VPN
• Zdalny dostęp Remote access VPN – Oparty o IPsec
– Oparty o SSL
• Połączenie sieci Site-to-Site VPN
TAK !!
TAK !!
TAK Cisco ASA 5500
urządzenia dostępowe
NIE TAK
TAK !!
Cisco ASR 1000 Router
TAK (tylko rutery) TAK
TAK !!
Cisco Routers i
Cisco Catalyst Switches
SSL Remote-Access VPN IPsec Remote-Access VPN
Site-to-Site VPN
IPsec - przypomnienie
• IPsec używa SA (security association ) i klucza symetrycznego do wymiany danych p2p
– Szyfrowanie DES, 3DES lub AES
• Wymiana klucza i jego obsługa to zadanie protokołu IKE (Internet Key Exchange),
a.k.a. “ISAKMP”
Internet Security Association and Key Management Protocol• Przed wymianą klucza IKE następuje uwierzytelnienie stron
– Współdzielone hasło – Klucze PKI
• Metoda Diffiego-Hellman’a służy do wymiany kluczy
• Do zabezpieczenia integralności wiadomości używana jest funkcja skrótu MD5 lub SHA
Formy IPsec
• Są dwie/trzy formy IPsec
• AH zapewnia integralność i autentyczność
– Upewnia że dane pochodzą ze źródła – Wykrywa manipulacje danych (hash) – Ale nie szyfruje danych
• ESP (Encapsulating Security Payload) szyfruje
• Tryb transportowy ESP:
– szyfrowanie tylko danych użytkowych, oryginalny nagłówek IP – nagłówek ESP jest tuż przed nagłówkiem transportowym
• Tryb tunelowy ESP:
– cały oryginalny pakiet jest szyfrowany (z nagłówkiem IP), a następnie wysyłany jako dane nowego pakietu IP,
– nowy nagłówek zawiera informacje wystarczające do przekazania pakietu na miejsce, ale nie do analizy ruchu
– wygodny sposób tworzenia VPN i łączenia sieci lokalnych przez Internet.
Złożone układy VPN, stan tuneli
GRE
GRE - Generic Routing Encapsulation
• Śledzenie stanu końców tunelu, keep-alive
• Przenoszenie informacji o trasach, ruting dynamiczny
• Stosowany wraz z PPTP do tworzenia VPN
• Stosowany wraz z L2TP = IPsec VPN do przenoszenia informacji o stanie tras
• Znaczny narzut sięgający 76 B, czy zawsze trzeba
Klasa zastosowań
1 Gbps 10,000 simultaneous VPN connections
Cisco ASA 5580-20 and 5580-40
425 Mbps 5000 simultaneous VPN connections
Cisco ASA 5550
325 Mbps 2500/5000 simultaneous VPN connections
Cisco ASA 5540
225 Mbps 750 simultaneous VPN connections
Cisco ASA 5520
170 Mbps 250 simultaneous VPN connections
Cisco ASA 5510
100 Mbps 25 simultaneous VPN connections
Cisco ASA 5505
Maximum VPN Throughput SSL/IPsec Scalability
Model
Mniejsze
140 Mbps 140 Mbps
1500 Cisco 2821 Integrated Services Router with AIM-
VPN/SSL-2
56 Mbps 56 Mbps
250 Cisco 2821 Integrated Services Router with onboard
VPN
130 Mbps 130 Mbps
1500 Cisco 2811 Integrated Services Router with AIM-
VPN/SSL-2
55 Mbps 55 Mbps
200 Cisco 2811 Integrated Services Router with onboard
VPN
160 Mbps 160 Mbps
1500 Cisco 2801 Integrated Services Router with AIM-
VPN/SSL-2
50 Mbps 50 Mbps
150 Cisco 2801 Integrated Services Router with onboard
VPN
95 Mbps 95 Mbps
800 Cisco 1841 Integrated Services Router with AIM-
VPN/SSL-1
45 Mbps 45 Mbps
100 Cisco 1841 Integrated Services Router with onboard
VPN
40 Mbps 40 Mbps
50 Cisco 1800 Series Integrated Services Router (Fixed
Configuration)
30 Mbps 30 Mbps
10 Cisco 870 Series Integrated Services Router
8 Mbps 8 Mbps
5 Cisco 850 Series Integrated Services Router
Maximum AES Throughput Maximum 3DES
Throughput Maximum
Tunnels Cisco VPN Security Router
Przykład 1, prosty tunel IPsec
Konfiguracja w pięciu krokach
1) Powołanie protokołu IKE 2) Konfiguracja IPsec
3) Definicja ruchu podlegającego tunelowaniu 4) Mapa adresów końców tunelu
5) Powiązanie z i/f ruterów i powołanie i/f tunel
Ustalenie IKE, współdzielony sekret
Ruter w oddziału Ruter Centrali HQ
Ustalenie rodzaju tunelu i ACL
Ruter w oddziału Ruter Centrali HQ
Mapa adresów końców tunelu
Ruter w oddziału Ruter Centrali HQ
Mapa adresów tunelu, powiązana z i/f
Ruter w oddziału Ruter Centrali HQ
LAN - LAN VPN przykład 2
• Konfiguracja serwera IOS CA na ruterze HUB
• Ustanowienie kluczy i ich certyfikatów na IOS CA
• konfiguracja rutera HUB
• konfiguracja rutera Spoke
Ustanowienie CA na HUB i generacja kluczy
! crypto pki server cisco
issuer−name CN=mojhub.cisco.com ST=LODZ C=PL grant auto
! crypto pki trustpoint cisco revocation−check crl rsakeypair cisco
!
! crypto pki trustpoint mojhub enrollment url http://1.1.1.1:80 revocation−check none
!
crypto pki certificate map certmap 1 issuer−name co cisco.com
!
crypto pki certificate chain cisco certificate ca 01
3082022F 30820198…….
certificate ca 02 70E5022F 90820100…….
Serwer HUB
! Uzywaj do VPN kluczy z certmap wcześniej podanego crypto isakmp profile l2lvpn
ca trust−point mojhub match certificate certmap
! Parametry IPsec
crypto ipsec transform−set strong ah−md5−hmac esp−des
! Trwórz tunel dynamicznie crypto dynamic−map dynmap 10
set isakmp−profile l2lvpncrypto map mymap 10 ipsec−isakmp dynamic dynmap
! Na i/f out interface Serial 0/1
ip address 1.1.1.1 255.255.255.0 crypto map mymap
interface FastEthernet 0/0
ip address 10.1.1.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 Serial 0/1
Na ruterze Spoke
! Wskazanie CA crypto pki trustpoint mojhub
enrollment url http://1.1.1.1:80 revocation−check none
! Wskazanie kuczy
crypto pki certificate map certmap 1 issuer−name co cisco.com
! Jak jest zrobiony VPN crypto isakmp profile l2lvpn
ca trust−point myhub match certificate certmap
!
crypto map mymap 10 ipsec−isakmp set peer 1.1.1.1
set isakmp−profile l2lvpn match address 100
! Ten ruch weglug listy nr 100 przez VPN
access−list 100 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255
! Zwiazanie z konkretnym i/f, wyjsciowym interface Serial 0/0
ip address 1.1.1.2 255.255.255.0 crypto map mymap
interface FastEthernet 0/0 ip address 10.1.2.1 255.255.255.0
Przykład 3:
konfiguracje nadmiarowe
• Easy VPN with Dial Backup
Dynamiczny tunel VPN jest tworzony przy awarii głównego VPN na łączu Dialup
Easy VPN with Dial Backup
track 123 rtr 1 reachability backup bup track 123 mode network-extension peer 10.0.149.203 virtual-interface 1
interface Virtual-Template1 type tunnel
• ip unnumbered FastEthernet0/0
• tunnel mode ipsec ipv4
ip route 0.0.0.0 0.0.0.0 10.0.149.203 track 123 ip route 0.0.0.0 0.0.0.0 Async0/0/0 240 permanent ip route 10.0.149.203 255.255.255.255 dhcp