ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 1
Sieć laboratoryjna outside security-level 0 subinterfaces, trunk 1G.10.0.0/16 VLAN Dyrekcja sec.lev.85 OUTSIDE 192.168.G.0/24 200.200.200.0/24 1G.2.0.0/16 VLAN Admin sec.lev.95 1G.20.0.0/16 VLAN Pracownicy sec.lev.80 dmz security-level 50 17G.16.0.0/16 Plan zajęć: Budowa sieci, czyszczenie urządzeń Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami Routing dynamiczny i statyczny Translacja adresów VLAN, trunking, inter-vlan routing Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) Filtrowanie pakietów Bezpieczeństwo portów authentication-proxy Konfiguracja 802.1x Syslog SNMP DHCP Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 2
Wykład Charakterystyka urządzeń sieciowych: Switch Router Firewall Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 3
Wykład Security Switches Routers SRX Series EX Series T Series J Series M Series MX Series SSL VPN (SA Series) Radius (SBR Series) Network Access Control (UAC Series) WLAN Management vgw Virtual Gateway (Altor) WL Series RingMaster - SmartPass Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 4
Porównanie modelu TCP/IP i OSI warstwa aplikacji warstwa transportowa warstwa Internet warstwa dostępu do sieci TCP/IP OSI warstwa aplikacji warstwa prezentacji warstwa sesji warstwa transportowa warstwa sieciowa warstwa łącza danych warstwa fizyczna Warstwa dostępu do sieci: technologie sieci LAN i WAN (np. Ethernet) Warstwa Internet: IP (Internet Protocol), ICMP (Internet Control Message Protocol) Warstwa transportowa: TCP (Transmission Control Protocol), UDP (User Datagram Protocol) Warstwa aplikacji: TELNET, FTP, SMTP, DNS, SNMP, DHCP, itd Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 5
Switch Catalyst 2950 series Wydajność Skalowalność Obsługiwane technologie Uniwersalność Catalyst 4000 series Catalyst 8500 series IGX 8400 series Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 6
Korporacyjne sieci LAN Model warstwowy, hierarchiczny: Dostęp Dystrybucja Rdzeń Model warstwowy, hierarchiczny: Dostęp Dystrybucja/Rdzeń KSBG (v2013) 7
Hierarchiczny model sieci KSBG (v2013) 8
Hierarchiczny model sieci Warstwa dostępu do sieci Jest punktem, w którym urządzenia takie jak stacje robocze, serwery uzyskują dostęp do sieci (zostają do niej przyłączone). W korporacyjnej sieci LAN urządzeniem stosowanym w warstwie dostępu do sieci może być: przełącznik, punkt dostępowy. Funkcje warstwy dostępu obejmują również kontrolę, które urządzenia mogą się komunikować i w jaki sposób poprzez sieć: Bezpieczeństwo portów (port-security, DAI, DHCP snooping) VLAN Agregacja łączy, STP QoS PoE 1000 Mbit/s KSBG (v2013) 9
Hierarchiczny model sieci Warstwa dystrybucji sieci Agregacja danych otrzymanych z warstwy dostępowej, przetwarzanie ich a następnie przekazanie do warstwy szkieletowej skąd wysyłane są do węzła docelowego. Urządzenia (przełączniki L3) stosowane w warstwie dystrybucji: wysoka wydajność (1/10Gb Ethernet), wysoka dostępność (nadmiarowość, niezawodność). Operacje wykonywane w ramach warstwy dystrybucji: kontrola ruchu (polityka bezpieczeństwa) np. ACL rozdzielanie domen broadcastowych (routing pomiędzy VLAN) agregacja łączy (ang. link agregation), STP QoS KSBG (v2013) 10
Hierarchiczny model sieci Warstwa szkieletowa Agregacja danych z urządzeń warstwy dystrybucji. Maksymalna wydajność: 10Gb Ethernet, brak dodatkowych operacji na pakietach. Przełączniki L3: redundancja, dostępność (nadmiarowość, niezawodność). Agregacja łączy (ang. link agregation) QoS KSBG (v2013) 11
Urządzenia - niezawodność Stos (stack) 128Gb/s StackPower Catalyst 3750-X Ale także: Virtual Chassis Agregacja łączy, także do dwóch różnych fizycznych urządzeń! 4 x 40-Gigabit Ethernet QSFP+ KSBG (v2013) 12
Hierarchiczny model sieci Zalety modelu hierarchicznego: Skalowalność Utrzymanie, konserwacja, przywracanie po awariach (modularna budowa) Nadmiarowość Wydajność Bezpieczeństwo Zarządzanie KSBG (v2013) 13
Duże sieci, rozległy LAN, wiele budynków KSBG (v2013) 14
Średnie/duże sieci, większa koncentracja KSBG (v2013) 15
Połączony model sieci KSBG (v2013) 16
Hierarchiczny model sieci Zalety modelu hierarchicznego: Skalowalność Utrzymanie, konserwacja (modularna budowa) Nadmiarowość Wydajność Bezpieczeństwo Zarządzanie Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 17
Rodziny przełączników Cisco Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 18
Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 19
Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 20
FIXED MODULAR Rodziny przełączników Juniper Core EX8216 EX8208 EX8200 Virtual Chassis Extra-Scale 1 TB/slot chassis Aggregation 8x10G 40x10G 40G and 100G LC Access 1G-Copper 1G-Fiber EX6200 10G Copper Service Modules 2008 2009 2010 2011 2012 Core Aggregation Access EX4200Virtual Chassis EX4200 EX3200 EX4500 Virtual Chassis EX4500 EX2200 EX3300 Virtual Chassis EX3300 EX4200-PX EX2200-C Faster Virtual Chassis Backplane Industrial Grade External RPS
Switch EX3300 24-48 Port Fixed Configuration Access Switch POE+ Model Option 4 SFP/SFP+ uplinks Fixed power supply (AC/DC) and fans Data center airflow RPS support Virtual Chassis technology 10 - member Virtual Chassis Virtual Chassis over 10GbE uplinks Virtual Chassis between switches up to 40Km apart. Proven Juniper technology Junos operating system Layer 3 (OSPF, PIM) SKU Airflow PoE/+ ports PSU Total PoE Power EX3300-24T F-to-B 0 AC 0 EX3300-48T F-to-B 0 AC 0 EX3300-24P F-to-B 24 AC 405W EX3300-48P F-to-B 48 AC 740W EX3300-24T-DC F-to-B 0 DC 0 EX3300-48T-BF B-to-F 0 AC 0 22
Switch EX3300 1GbE Management Port Front View 1GbE Network Ports, PoE+ capable Rear View Gb/10Gbe SFP+ Uplink Ports LCD Fixed, standalone configuration 17.4W x 12.0D x 1.75H inches 1 RU height Internal power Fixed uplinks Environmental Ranges Operating Temp: 0 to 45 C* Operating Altitude: up to 10K ft* Low acoustics: 40-45dB Management interfaces LCD easy bringup Console (RJ45) Out-of-band Ethernet (RJ45) USB Console Port RPS Connector System Fan Fan Exhaust AC Power Supply 23
Switch EX3300 VC Up to 10 members in a virtual chassis over 10GE uplinks Last two uplinks configured as VC ports by default All four uplinks can be configured as non-vc uplink port All four uplinks can be configured as virtual chassis ports 80 Gbps uplink/vc bandwidth Each uplink auto-detect for GE/10 GE 10GE DAC cables recommended for VC (one per EX3300) No VC cable shipped with EX3300 system by default No mixed-mode VC with EX4200 or EX4500 Supported Optics EX-SFP-10GE-DAC-1M EX-SFP-10GE-DAC-7M EX-SFP-10GE-LR EX-SFP-10GE-LRM EX-SFP-10GE-SR EX-SFP-10GE-USR EX-SFP-1GE-LX EX-SFP-1GE-SX 24
Switch EX3300 RPS Non-Stop Operation Protection against power supply & feed failure Enough power to support wireless APs and Unified communication devices (POE+) Provide N+N redundancy Supports up to 6 devices Can simultaneously power 3 devices Supply up to 2790W AC Holds 3 independent power supplies Ships with one 930W power supply Flexible Configuration Configurable priorities Decide which devices to backup first Supports EX2200 and EX3300 FRS Q1 12 with Junos 12.1 SKU EX-RPS-PWR-930-AC EX-RPS-CBL EX-RPS-PWR-BLNK EX-PWR2-930-AC Description EX Series RPS with 1 AC power supply and 1 RPS connector 1.5m RPS connector Black for power supply slot Power supply supported on RPS 25
Redundant power system (RPS) Fixed Configuration 17.4W x 17.0D x 1.75H inches 1 U height RPS cable 1.5 m long Flexible Mounting Options RPS connector side Power supply side Power Supply EX-PWR2-930-AC Environmental Ranges Operating temp: 0 to 45 C Operating altitude: up to 10K ft Low acoustics: 45-50dB Management Interfaces Managed via switch Console port Cover Panel Protective Earthing terminal RPS connector side Switch connector port Power supply side Status LEDs AlarmLED Power supplies SYS LED 26
Switch EX3300 IDLE STATUS MAINT Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 27
Switch EX3300 IDLE STATUS MAINT Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 28
Switch EX3300 IDLE STATUS MAINT Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 29
Switch EX3300 IDLE STATUS MAINT Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 30
Switch 2950/2960 systemowa dioda LED (ang. System LED), dioda LED zewnętrznego zasilania RPS (ang. Remote Power Supply LED), diody LED trybu wyświetlania (ang. Port Mode LEDs), diody LED stanu portu (ang. Port Status LEDs). Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 31
Switch 2950/2960 Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 32
Switch Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 33
Switch 2950/2960 Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 34
Switch 2950/2960 Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 35
Switch 2950/2960 Zasilanie Zewnętrzne zasilanie Port konsoli Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 36
Wspólne: Switch, Router, Firewall Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 37
Wspólne: Switch, Router, Firewall Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 38
Juniper s routing Portfolio SRX Remote, branch, and regional offices M-series Routers Head office, backbone, and data centers M7i M10i M120 M320 MX-series Routers Core/Edge MPLS P/PE, Data Center, BRAS/BNG MX5/10/40/80 MX240 MX480 MX960 T-series Routers MPLS Core, OTN, GMPLS T640 T1600 T4000 Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 46
UNIVERSAL EDGE MX 3D Family Same Trio Chipset, Same Services Extending Scale, Reach & Access New MX - 2012 32-80Tbps 16-40Tbps 5.3 Tb/s 2.88 Tb/s 20x1GE 40xGE 40x1GE 2x10GE 80Gbps 960Gb/s MX 5 MX 10 MX 40 MX 80 MX 240 MX 480 MX 960 10-slot New MX 20-slot New MX Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 47
MX 80Tbps 34Tbps One JUNOS One TRIO CHIPSET One UNIVERSAL EDGE 40Tbps 17Tbps 80Gbps 1.6Tbps 4.8Tbps 2.8Tbps 1.4Tbps 8.8Tbps 5.3Tbps 2.6Tbps 20Gbps 40Gbps 60Gbps 80Gbps MX104 MX 5 MX 10 MX 40 MX 80 MX 240 MX 480 MX 960 MX 2010 MX 2020 Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 48
Router Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 49
Router Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 50
Router Pamięć RAM: Tablice i bufory (Tablice routingu, Tablice ARP, Bufory); Bieżący plik konfiguracyjny; System operacyjny. Pamięć NVRAM: Startowe pliki konfiguracyjne; Kopie plików konfiguracyjnych. Pamięć Flash: Obraz systemu operacyjnego. Pamięć ROM: Programy rozruchowe; Funkcje diagnostyki; System operacyjny. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 51
Wspólne: Switch, Router, Firewall Etapy uruchamiania urządzenia: Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 52
Wspólne: Switch, Router, Firewall Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 53
Router Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 54
Router Interfejsy: Ethernet do połączenia z siecią LAN. Serial do połączenia z siecią WAN. Console do połączenia szeregowego z hostem. Połączenie to umożliwia pełną konfigurację urządzenia. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 55
Router Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 56
Firewall SRX Small Office/Branch Office Data Center
Firewall SRX SRX Security Gateways Scalable Performance Rich Standard Services Firewall VPN IPS Routing QoS AppSecure More to come Extensible Security Services Integrated Networking Services SRX3400 Branch SRX SRX1400 SRX5400 SRX3600 16U, 12 slot, 2+1 SCB, 2+2 AC, 3+1 DC, 200/110/150G, 100M sess, 450kcps 8U, 6 slot, 1+1 SCB, 2+2 PS, 100/50/75G, 60M sess, 300kcps 3U, 4+3 CFM, 8+4 GE, 1+1 PS, 30/8/8G, 2.5M sess, 150kcps 3U, 3 CFM, 12GE or 3XGE+9GE, 1+1 PS, 10/3/4G, 1.5M sess, 70kcps SRX5600 5U, 6+6 CFM, 8+4 GE, 2+2 PS, 55/15/15G, 6M sess, 150kcps SRX5800 5U, 3 open slots, 2+2 PS, 60/25/40G, 28M sess, 460kcps Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 60
Firewall SRX 1400 Entry-level Data Center SRX Services Gateway: Dynamic Services Architecture Wide range of services: FW, IPS, NAT, IPSec VPN, DDoS, QoS, and Routing Apply any service(s) per flow Separation of control and data planes No need for service specific hardware shared hardware components with SRX3000 Powered by Junos Software Multi-threaded and Modular Scriptable Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 61
Firewall BRANCH SRX Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 62
Firewall BRANCH SRX Highly configurable Highly configurable Fixed and modular form factors Choice of WAN DSL, T1 / E1, DS3 Wireless WAN and LAN On-board modular switching Fixed & modular form factors WAN, WLAN, and LAN interfaces Extensive integration Extensive integration Routing and switching capabilities Full suite of JUNOS routing and switching capabilities Unmatched security, including FW, VPN, UTM, AppSecure, UAC, and full IPS Unmatched core and UTM security Exceptional performance Magnitude greater performance Exceptional HW Content performance Security Acceleration and availability Hardware-assisted Content Security Acceleration Control & data plane separation, (CSA) for ExpressAV and IPS redundant processing and power Control & data plane separation, redundant processing and power Model SRX100/ SRX110 SRX210E SRX220 SRX240 SRX550 Configuration Content SEC H/W Acceleration FW/IPS Performance Fixed No 700/60 Mbps 1 mini PIM slot 2 mini PIM slots 4 mini PIM slots 2 mini PIM, 6 GPIM slots Optional Standard Optional 850/85 Mbps 950/100 Mbps 1800/230 Mbps Standard 5500/800 Mbps SRX650 8 GPIM slots Standard 7000/900 Mbps Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 63
Firewall BRANCH SRX New SKUs for SRX240 provide additional memory SRX240H2 2GB DRAM, 2GB Flash No changes in price, hardware architecture or security services Improved scalability for services On-board Ethernet Features Power over Ethernet (802.3af, 802.3at) WAN slots SRX240 16 x GE 16 ports GE, 150 W 4 x mini PIM USB ports (flash) 2 Content Security Accelerator ExpressAV and Intrusion Detection and Prevention Yes JUNOS Software version support JUNOS 11.4R5 Firewall performance (Large Packets) Firewall performance (IMIX) 1.8 Gbps 600 Mbps Firewall performance (Firewall + Routing PPS 64byte) VPN Performance AES256+SHA-1 3DES+SHA-1 IPS Performance Connections Per Second (CPS) Maximum Concurrent Sessions (1GB RAM/2GB RAM) Antivirus performance AppSecure Throughput (HTTP) High Availability 200 Kpps 300 Mbps 230 Mbps 9K CPS 128K / 256K 85 Mbps 750 Mbps A/A or A/P Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 64
FEATURES SRX100 (110) SRX210E SRX220 SRX240 SRX550 SRX650 On-board Ethernet 8 x FE 2 x GE + 6 x FE 8 x GE 16 x GE 6 x GE + 4 x SFP 4 x GE Memory/Flash 1 GB / 1 GB 1 GB / 1 GB 1 GB / 1 GB 2 GB / 2 GB 2 GB* / 2 GB 2 GB / 2 GB Power over Ethernet (802.3af, 802.3at) None 4 ports, 50 W total 8 ports GE, 120 W 16 ports GE, 150 W WAN slots None (1) 1 x mini PIM 2 x mini PIM 4 x mini PIM 40 Port GE, 250 W or 500 W 2 x mini PIM + 4 x GPIM 48 ports GE, 250 W or 500 W 8 x GPIM USB ports (flash) 1 (2) 2 2 2 2 2 per processor JUNOS Software version support JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 11.1* JUNOS 12.1 JUNOS 11.1* Routing YES YES YES YES YES YES Content Security Acceleration (IPS, ExpressAV) Firewall performance (Large Packets) No YES YES YES YES YES 700 Mbps 850 Mbps 950 Mbps 1.8 Gbps 5.5 Gbps 7.0 Gbps Firewall performance (IMIX) 200 Mbps 250 Mbps 300 Mbps 600 Mbps 1.7 Gbps 2.5 Gbps Firewall performance (Firewall + Routing PPS 64byte) 70 Kpps 95 Kpps 125 Kpps 200 Kpps 700 Kpps 850 Kpps IPSec VPN throughput 65 Mbps 85 Mbps 100 Mbps 300 Mbps 1.0 Gbps 1.5 Gbps Intrusion Prevention System 60Mbps 85 Mbps 100 Mbps 230 Mbps 800 Mbps 1 Gbps Connections Per Second (CPS) 2K 2.2K 3K 9K 27K 35K Maximum Concurrent Sessions (512MB/1GB RAM) 16 K / 32K 32K / 64K 96K 128K / 256K 375K 512 K Antivirus 25 Mbps 30 Mbps 35 Mbps 85 Mbps 300 Mbps 350 Mbps High Availability A/A or A/P A/A or A/P A/A or A/P A/A or A/P A/A or A/P, Hot swap GPIMs, Dual power A/A or A/P, Hot swap GPIMs, Dual power Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 65
FIREWALL, ZONES, POLICIES ZONE UNTRUST Originating Zone INTERNET Default Policy Allow All Default Policy Deny All SRX Originating Zone Originating Zone ZONE Trust ZONE Accounting ZONE Guest Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 66
BRANCH SRX SECURITY INTERNET External Threats Internal Threats IPS AppSecure Enhanced Web Filtering Antivirus Antispam IDP detects/stops Worms, Trojans, DoS (L4 & L7), Scans Application level visibility and classification Application level policies tied to user roles Block access to unapproved sites Real time threat score for each URL Stops viruses, file-based trojans or spread of spyware, adware, keyloggers Stops Spam/Phishing Content Filtering Core Security SRX Series blocks transmission of files for Data Loss Prevention Firewall, VPN, Unified Access Control Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 67
IDS vs IPS Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 68
Urządzenie warstw 3-7 ASA Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 69
Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 70
ASA Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 71
ASA Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 72
ASA Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 73
Symbole graficzne urządzeń Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 74
Sieć laboratoryjna outside security-level 0 subinterfaces, trunk 1G.10.0.0/16 VLAN Dyrekcja sec.lev.85 OUTSIDE 192.168.G.0/24 200.200.200.0/24 1G.2.0.0/16 VLAN Admin sec.lev.95 1G.20.0.0/16 VLAN Pracownicy sec.lev.80 dmz security-level 50 17G.16.0.0/16 Plan zajęć: Budowa sieci, czyszczenie urządzeń Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami Routing dynamiczny i statyczny Translacja adresów VLAN, trunking, inter-vlan routing Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) Filtrowanie pakietów Bezpieczeństwo portów authentication-proxy Konfiguracja 802.1x Syslog SNMP DHCP Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 75
ZiMSK KONIEC Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2015) 76