Технологии управления сетью

Данная статья знакомит Вас с VPDN Cisco.

Virtual Private Dialup Networks (VPDN) – позволяет индивидуальными и автономными устройствам, таким как модемы, сервера доступа и ISDN роутерам, получать доступ к ресурсам инфраструктуры компании. VPDN использует протокол L2F (Layer 2 Forwarding protocol) для тунелей или протоколов канального уровня.

Используя L2F туннелирование, интернет сервис провайдер или сервисы доступа могут создавать тунели связывающие абоненские удалённые сайты или удалённых пользователей с корпоративными домашними сетями. В отдельных случаях сетевой сервер доступа интеренет сервис провайдера использует точку присутствия (point of presence – POP) обмена PPP сообщения с удалёнными пользователями и коммутирование посредством L2F запросов и ответов с частными домашними шлюзами создавая тунели.

L2F пропускает пакеты протокольного уровня через виртуальный тунель между конечными точками через точка-точка соединение.

Фрэймы от удалённых пользователей принимают точку присутствия интернет сервис провайдеров (ISP’s POP), транспорентные байты энкапсулируются в L2F и возвращаются через соотвествующий тунель.

Соединения VPDN между удалёнными пользователями и домашними сетями осуществляются следующим образом:

1) Удалённые пользователи инициируют PPP соединение с ISP используя аналоговые линии или ISDN.

2) Сервер сетевого доступа ISP принимает соединение.

3) Сервер сетевого доступа ISP аутентифицирует конечного пользователя с помощью PAP или CHAP. Имя пользователя используется как имя VPDN клиента. Если имя пользователя не является VPDN
клиентом, то пользователь получает доступ к INETRNET или другим сервисам.

4) Тунельные endpoints (конечные точки) – сервера сетевого доступа и домашние шлюзы-аутентифицируют друг друга прежде чем другие сессии ограничиваются в рамках тунеля.

5) Если нет существующего L2F тунеля между сетевым сервером доступа и удалённым шлюзом домашних пользователей, то тунель создаётся.

6) Домашние шлюзы принимают или отвергают соединения. Изначально может быть включена информация об аутентификации позволяющая разрешать домашним шлюзам аутентифицировать пользователя.

7) Домашние шлюзы создают виртуальный интерфейс. После этого виртуальный интерфейс может пропускать трафик посредством L2F тунеля.

Настройка виртуальных шаблонов и создание виртуальных шаблонов для интерфейсов.

Для настройки виртуальных шаблонов интерфейсов на домашнем шлюзе сетевого доступа выполните следующие шаги в режиме глобального конфигурирования:

1) Создайте виртуальный шаблон интерфейса и войдите в режим конфигурирования этого интерефейса:

Router(config)#interface virtual-template number, где number – номер создаваемого интерфейса (от 1 до 200)

2) Задайте тип и номер для виртуального шаблона интерфеса:

Router(config-if)#ip unnumbered ethernet 0

3) Включите PPP энкапсуляцию на виртуальном шаблоне интерфейса:

Router(config-if)#encapsulation ppp

4) Включите PPP аутентификацию на виртуальном шаблоне интерфейса:

Router(config-if)#ppp authentication chap

Настройка входящих соединений VPDN

Включите ВПН (виртуальную частную сеть):

Router(config)#vpdn enable

Установите значение удалённого хоста (сервер сетевого доступа), локальное имя (домашний шлюз), для использования аутентификации и определения виртуального шаблона.

Router(config)#vpdn incoming remote-name local-name virtual-template number

Настройка VPDN на сервере сетевого доступа

1-й способ.

Конфигурирование сервера сетевого доступа для аутентификации пользователей.

Вы можете настроить сервер сетевого доступа для аутентификации пользователей прежде чем установится соеденение с домашним шлюзом. Это позволит определять не авторизированных пользователей и возможно уменьшит трафик проходящий через тунели. Для включения аутентификации пользователей на сетевом сервере выполните следующую команду в режиме глобального конфигурирования:

Router(config)#vpdn local-authentication

Конфигурирование VPDN сервера основываясь на разрешении обратного просмотра имён доменов.

Для настройки сервера сетевого доступа создающего исходящие L2F соеденения для домашних шлюзов основываясь на именах доменов, выполните следующие команды в режиме глобального конфигурирования:

Включите ВПН (виртуальную частную сеть):
Router(config)#vpdn enable

Задайте значения удалённого хоста для принятия L2F соединений:

Router(config)#vpdn outgoing domain-name local-name ip ip-address

2-й способ

Конфигурирование VPDN тунеля основываясь на информации о звонке.

Включите ВПН (виртуальную частную сеть):
Router(config)#vpdn enable

Настройте использование тунеля использующего информацию о звонках (DNIS – Dialed Number Information)

Router(config)#vpdn outgoing dnis number local-name ip ip-address

Когда сервис провайдер имеет несколько настроенных AAA серверов, авторизация VPDN тунеля ищет информацию основаную на имени домена, которая занимает достаточно времени и может привести к тайм-ауту сессии. Чтобы предотвратить тайм-аут сессии настройте приоритет «проверяемой» информации.

В следующем примере показано, что сначала проверяется информация о «звонящем» а затем информация о доменном имени:

Router(config)#vpdn search-order dnis domain

Можно изменить порядок проверки:

Router(config)#vpdn search-order domain dnis

Проверять только доменные имена можно следующим образом:

Router(config)#vpdn search-order domain

Проверять только DNIS информацию:

Router(config)#vpdn search-order dnis

Более подробно VPDN рассмотрен на официальном сайте Cisco

искатьВведение VPDN на сайте

автор: Gozar

ACL (Access control lists) – списки доступа.

Прежде чем начать работать с ACL желательно ознакомится с таким понятием как сетевая маска

Стандартные списки доступа

Следующая команда показывает синтаксис стандартного списка доступа:

access-list access-list-number {permit|deny}
{host|source source-wildcard|any}

Где:

1 access-list-number – номер списка доступа
2 permit|deny – разрешить | запретить
3 host|source source-wildcard|any – адрес источника(получателя) | любой источник

После того, как Вы создадите ACL , Вы можете применить его к интерфейсу. Его можно назначить для входящего или исходящего трафика.

Пример

interface ip access-group number{in|out}

Где:

1 – интерфейс предназначенный для ACL
2 ip access-group number – номер ACL
3 {in|out} – входящий | исходящий трафик

Следующий пример показывает стандартный ACL, который блокирует весь трафик, исключая источник 10.1.1.x. :

interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip access-group 1 in
access-list 1 permit 10.1.1.0 0.0.0.255

Расширенные списки доступа – Extended ACLs

Расширенные списки доступа могут применяться для следующих протоколов:

IP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input] [time-range time-range-name]

ICMP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} icmp source source-wildcard
destination destination-wildcard
[icmp-type | [[icmp-type icmp-code] | [icmp-message]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

TCP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} tcp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]] [established]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

UDP

access-list access-list-number [dynamic dynamic-name [timeout minutes]]
{deny | permit} udp source source-wildcard [operator [port]]
destination destination-wildcard [operator [port]]
[precedence precedence] [tos tos] [log | log-input]
[time-range time-range-name]

Во всех версиях CISCO IOS© расширенные ACL имеют номера от 101 до 199.Начиная с версии Cisco IOS Software Release 12.0.1 расширенные ACL так же могут иметь номера от 2000 и до 2699.

Значение 0.0.0.0/255.255.255.255 может быть заменено на any.

Начиная с Cisco IOS Software Release 11.2 ACL могут так же носить имя.

Пример

interface
ip access-group {number|name} {in|out}

Следующий пример показывает, что трафик с внутренней сети 10.1.1.x c запросами ping «на ружу» будет разрешён только по запросу:

interface Ethernet0/1
ip address 172.16.1.2 255.255.255.0
ip access-group 101 in
access-list 101 deny icmp any 10.1.1.0 0.0.0.255 echo
access-list 101 permit ip any 10.1.1.0 0.0.0.255

Набрав команду:

Router(config)#access-list ?

Вы получите следующий список:

Стандартные списки доступа
Расширенные списки доступа
Расширенные 48-битные списки доступа по MAC адресам
Стандартные список доступа (дополнительные номера)
Cписки доступа основанные на типах протоколов
Расширенные списки доступа (дополнительные номера)
48-битные списки доступа по MAC адресам
dynamic-extended Расширенные ACL зависящие от времени
rate-limit Специфические ACL построенные на оценке лимитов

Комментируемые ACL

Для каждого ACL можно делать комментарии

Пример:

ip access-list {standard|extended} name
remark metka

где metka – описание Вашего списка.

искать(access control lists) основные понятия на сайте

автор: Gozar

Компания Cisco Systems представила новые коммутаторы доступа и улучшенные маршрутизаторы разработанные для выполнения задач связанных с обработкой видео-трафика и обеспечения сетевой безопасности, которые часто требуют отдельных устройств.

Cisco catalyst Коммутаторы серии CISCO Catalyst 3750-X ($5,200) и 3560-X ($3,400) это стекируемые энергоэффективные устройства с расширенной поддержкой функций безопасности, передачи видео и мобильности. Эти коммутаторы поддерживают 24 или 48 10/100/1000Mbps портов, PoE, 4 Gigabit или 2 10G модульных аплинка, и технологию CISCO StackPower для обеспечения питанием стека коммутаторов. Коммутаторы 3750-Х также поддерживают технологию CISCO StackWise Plus, которая позволяет объединить в стек с пропускной способностью 64Gbps до 9 устройств.

Помимо этого коммутаторы поддерживают шифрование данных по стандарту IEEE 802.1ae «MACSec», что в свою очередь обеспечивает защиту LAN от таких атак: man-in-the-middle, masquerading, passive wiretapping, DoS.

Коммутаторы поставляются с тремя вариантами программного обеспечения, в зависимости от необходимых функций.

Еще одна новая серия коммутаторов CISCO Catalyst 2960-S. Коммутаторы поддерживают  24 или 48 10/100/1000Mbps портов, 4 Gigabit или 2 10G SFP+ фиксированных аплинка, стек с пропускной способностью20Gbps. Ориентировочная стоимость коммутаторов 2000$.

Новые серии маршрутизаторов ISR G2 3900E, 887, 887V, 888E и 1921 поддерживают программное обеспечение MediaNet 1.0 для резервирования ресурсов маршрутизатора, QoS, функции детектирования устройства, обработку видео и real-time отчеты посредством 48 портового 10/100/1000Mbps Ethernet модуля.

Также новые маршрутизаторы CISCO поддерживают функции видеонаблюдения на новых модулях Services Ready Engine, WAN подключения на скорости 350Mbps, VDSL2, EoSHDSL, 900MHz HSPA интерфейсы.

искатьНовые коммутаторы CISCO Catalyst для передачи видео расширенной поддержкой функций безопасности на сайте

автор: Gozar