Технологии управления сетью

Далее описывается как сконфигурировать файрвол Cisco PIX/ASA для удаленного доступа в локальную сеть с использованием Cisco VPN Client. Проверялось на Cisco ASA 5520 7.0(6) и Cisco VPN Client 4.8.02.0010.

Начальные условия

interface GigabitEthernet0/0
description Internet
nameif wan
security-level 0
ip address 11.22.33.44 255.255.255.0

interface GigabitEthernet0/3
description Secured zone
nameif lan
security-level 100
ip address 192.168.1.1 255.255.255.0

Для доступа в интернет используется трансляция в один внешний адрес (PAT) при помощи команд:

global (wan) 1 interface
nat (lan) 1 192.168.1.0 255.255.255.0

Также, на интерфейсах разрешено прохождение ICMP пакетов:

icmp permit any wan
icmp permit any lan

access-list ACL_WAN_IN extended permit icmp any any
access-list ACL_LAN_IN extended permit icmp any any

access-group ACL_WAN_IN in interface wan
access-group ACL_LAN_IN in interface lan

Также в результирующей конфигурации есть команда.
same-security-traffic permit intra-interface

Её назначение – разрешение трафика между туннелями на одном интерфейсе. В данной конфигурации она не требуеся, но если без неё не заработает – добавьте.

Команды конфигурирования:

1. Выделяем пул адресов для доступа:

ip local pool RA_POOL 172.16.1.11-172.16.1.20 mask 255.255.255.0

2. Отменяем трансляцию адресов для сети удаленного доступа.

object-group network NET_RA
network-object 172.16.1.0 255.255.255.0
access-list ACL_NO_NAT extended permit ip any object-group NET_RA
nat (lan) 0 access-list ACL_NO_NAT

В данном примере отменена трансляция для всей сети 172.16.1.0 /24. Так сделано с некоторым заделом на будущее, т.к., в принципе, пулов в этой сети может быть несколько.

3. Создаем групповую политику:

group-policy RA_GROUP internal
group-policy RA_GROUP attributes
dns-server value 192.168.1.11 192.168.1.12
vpn-simultaneous-logins 1
vpn-tunnel-protocol IPSec
webvpn

В команде dns-server value нужно указать адрес (-а) локальных DNS серверов. Инструкция webvpn добавлена файрволом ASA самостоятельно. При работе с PIX она не используется.

4. Создаем пользователя и назначаем его в группу:

username RA_User password PWD_1234 privilege 7

username RA_User attributes
vpn-group-policy RA_GROUP
webvpn

webvpn – аналогично п.3.

5. Создаем политику isakmp и разрешаем ее на интерфейсе:

isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

isakmp enable wan

isakmp nat-traversal 20

Последняя команда нужна для доступа в сеть за NAT’ом. Если ее не ввести, то туннель будет устанавливаться, но трафик в сеть ходить не будет.

6. Определяем шифрование и хеширование IPSec:

crypto ipsec transform-set 3DESSHA esp-3des esp-sha-hmac

7. Настраиваем динамическую карту для удаленного доступа:

access-list WAN_RA_DYN extended permit ip any object-group NET_RA

crypto dynamic-map WAN_DYN_MAP 20 match address WAN_RA_DYN
crypto dynamic-map WAN_DYN_MAP 20 set transform-set 3DESSHA
crypto dynamic-map WAN_DYN_MAP 20 set reverse-route

8. Активируем эту карту для интерфейса:

crypto map WAN_MAP 10 ipsec-isakmp dynamic WAN_DYN_MAP
crypto map WAN_MAP interface wan

9. В завершении настраиваем туннельную группу:

tunnel-group RA_GROUP type ipsec-ra
tunnel-group RA_GROUP general-attributes
address-pool RA_POOL
tunnel-group RA_GROUP ipsec-attributes
pre-shared-key PSK_1234

искатьУдаленный доступ сети через Cisco PIX/ASA FireWall на сайте

автор: Gozar

Маршрутизаторы серии Juniper Networks MX80 3D являются наиболее компактными устройствами серии MX. Эта платформа высотой 2 RU, оборудованная резервными блоками питания на передней панели, идеально подходит для решения задач, требующих поддержки всех возможностей протокола Ethernet в условиях ограниченности количества места или питания. В дополнение к встроенным 10G портам, маршрутизатор MX80 поддерживает различные варианты модульных интерфейсных карт для обеспечения расширенной гибкости. Маршрутизатор MX80-48T это устройство c фиксированной конфигурацией и 48 портами 10/100/1000 Ethernet на месте 2 MIC (Modular Interface Card) слотов. Устройства MX80 и MX80-48T могут быть использованы на крупных предприятиях для обеспечения WAN соединений филиалов и дата-центров. Сервис-провайдеры могут использовать эти маршрутизаторы для обеспечения транзитных соединений в сетях мобильной связи, узловых точках доступа в Metro сетях, узлах агрегации кабельных сетей, в качестве устройств границы сети.

Использование маршрутизаторов серии MX на базе ОС Junos обеспечивает единую операционную среду, которая рационализирует сетевые процессы и повышает доступность, производительность и безопасность всех видов услуг на границе сети. Устройства серии MX обладают наиболее полным, расширенным функционалом маршрутизации в индустрии, а также безкомпромисной производительностью, что в свою очередь защищает инвестиции заказчиков. Среди поддерживаемых характеристик, такие как: сегментация трафика, виртуализация с использованием MPLS, групповая передача данных с максимально малым временем ожидания, а также комплексная безопасность и реализации QoS для ускорения доставки приложений и предоставления услуг критичных ко времени. Устройства серии MX поддерживают высоконадежные и доступные функции, такие как: быстрое изменение маршрута (Fast reroute – FRR), унифицированное обновление ПО без остановки устройства (Unified In-Service Software Upgrade – ISSU) и множественная адресация VPLS.

искатьОбзор универсальных пограничных маршрутизаторов Juniper Networks серии MX80 на сайте

автор: Gozar

Коммутаторы серии Summit® X480 представляют собой универсальные высококлассные Ethernet-коммутаторы, предназначенные для центров сбора и обработки данных, крупных предприятий и сетей Carrier Ethernet. Благодаря широкому спектру возможностей и высокой масштабируемости решения Summit X480 позволяют оптимизировать производительность приложений в различных сетях.

Решения Summit X480 обеспечивают высокую плотность портов Gigabit Ethernet при малом форм-факторе 1RU: до 48 портов при работе в одиночку и до 384 портов в стекированной системе с использованием решения SummitStack™, совместимого с предыдущими версиями, или высокоскоростного решения SummitStack128, работающего на скорости 128 гигабит в секунду. Коммутаторы Summit X480 также могут быть оборудованы 6 портами 10 Gigabit Ethernet при работе в одиночку и вплоть до 16 портов в стекированной системе при использовании интерфейса промышленного стандарта XFP.

Для удовлетворения растущих требований, связанных с конвергенцией трафика данных, голосовой информации и средств хранения, решения Summit X480 позволяют осуществлять коммутацию 2-го и 3-го уровня, обеспечивая высокую масштабируемость, а также реализуют технологии MPLS/H-VPLS, обеспечивая поддержку до 512 килобайт MAC-адресов 2-го уровня или 512 килобайт таблиц маршрутизации IPv4 по алгоритму совпадения наиболее длинного префикса (LPM). Summit X480 позволяют организовывать групповую и центральную коммутацию в центрах сбора и обработки данных, на предприятиях и в сетях Carrier Ethernet при питании переменным или постоянным током.

Решения Summit X480 упрощают выполнение сетевых операций за счет использования модульной ОС ExtremeXOS®, под управлением которой работают Ethernet-коммутаторы Extreme Networks®. Использование единой ОС ExtremeXOS во всей сети обеспечивает простоту и высокий уровень надежности.

искатьОбзор коммутаторов Extreme Networks серии Summit X480 на сайте

автор: Gozar