Projektowanie sieci metodą Top-Down

Podobne dokumenty
Projektowanie sieci metodą Top-Down

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Projektowanie sieci metodą Top-Down

Bezpieczeństwo Systemów Sieciowych

Systemy bezpieczeństwa sieciowego

IPsec bezpieczeństwo sieci komputerowych

Badanie bezpieczeństwa IPv6

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Laboratorium nr 6 VPN i PKI

Tworzenie połączeń VPN.

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

DMVPN, czyli Transport Independent Design dla IWAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

Sieci wirtualne VLAN cz. I

Laboratorium nr 4 Sieci VPN

Zadanie3: Odszukaj w serwisie internetowym Wikipedii informacje na temat Wirtualnych Sieci Prywatnych (VPN, Virtual Private Network).

IPSEC z Mikrotik zero to hero Piotr Wasyk

Korporacyjne Sieci Bez Granic Corporate Borderless Networks

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Konfiguracja aplikacji ZyXEL Remote Security Client:

Laboratorium nr 5 Sieci VPN

Bezpieczeństwo systemów komputerowych

VPN Dobre praktyki. Często spotykane problemy z perspektywy Cisco TAC. Piotr Kupisiewicz Krakow TAC VPN Lead CCIE #39762.

Internet. Bramka 1 Bramka 2. Tunel VPN IPSec

Protokół IPsec. Patryk Czarnik

CCNA : zostań administratorem sieci komputerowych Cisco / Adam Józefiok. Gliwice, cop Spis treści

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

8. Tunele wirtualne VPN

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Moxa Solution Day 2011

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Bezpieczne protokoły Materiały pomocnicze do wykładu

Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek

Vigor 2900 Asmax BR-408V II - przykład VPN (tunel IPSec) I. WPROWADZENIE

BRINET Sp. z o. o.

Dr Michał Tanaś(

ZiMSK. Konsola, TELNET, SSH 1

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Sieci VPN by Silas Mariusz

Przygotowanie projektu sieci

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Dlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR

Nowy użytkownik Modyfikacja uprawnień Odebranie uprawnień w systemie informatycznym. Imię i nazwisko użytkownika:

Router Vigor jako serwer/gateway VPN

Marcin Szeliga Sieć

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Wirtualizacja sieci izolacja ruchu w LAN oraz sieciach MPLS

Vigor 2900 Nortel VPN router (tunel IPSec) I. WPROWADZENIE

Virtual Private Network ( VPN ). Zastosowanie, aspekt bezpieczestwa. (IPsec VPN vs. SSL VPN)

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Wirtualne sieci prywatne

Przełączanie i Trasowanie w Sieciach Komputerowych

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Oddział Główny. Jakie mamy podstawowe problemy? 1. Jak połączyć oddziały? 2. Jak optymalnie ustawić trasy komunikacji?

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

tdc 477 Wirtualne sieci prywatne

GSM/GPRS w przemyśle. Cezary Ziółkowski

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

12. Wirtualne sieci prywatne (VPN)

Bezpieczeństwo sieci informatycznych Środki. Dr inż. Małgorzata Langer

Wirtualne sieci prywatne

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

Podstawy MPLS. PLNOG4, 4 Marzec 2010, Warszawa 1

VPN TRUNK Backup. Procedura konfiguracji została oparta na poniższym przykładzie.

Specyfikacja łącza internetowego, standard świadczenia usługi (gwarancja SLA) i parametry oferowanego routera.

Ćwiczenie Wykrywanie błędów w routingu między sieciami VLAN

SIECI KOMPUTEROWE Protokoły sieciowe

Protokoły sterujące i warstwy aplikacji. Protokół kontrolny ICMP Internet Control Message Protocol Protokoły inicjowania i konfiguracji hostów

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Institute of Telecommunications. koniec wykładu VIII.

ZiMSK NAT, PAT, ACL 1

Planowanie telefonii VoIP

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

Nowe rautery Planet Technology. pawel100g, 03 styczeń 2011, 17:09

Konfigurowanie rutera oraz dostępu VPN za pomocą konsoli RRAS

Vigor 2900 Vigor 3300 konfiguracja połączenia LAN-LAN (IPSec)

Specyfikacja łącza internetowego, standard świadczenia usługi (gwarancja SLA) i parametry oferowanego routera.

IBM i Wersja 7.2. Bezpieczeństwo Sieć VPN (Virtual Private Network)

Internet ISDN BRINET Sp. z o. o.

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Bezpieczne protokoły Główne zagadnienia wykładu

Specyfikacja techniczna

Bezprzewodowy router/modem ADSL2+, standard N, 300Mb/s, gigabitowe porty Ethernet TD-W8970

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PODSTAWY RUTINGU IP. WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r.

Bezpieczeństwo w

FORMULARZ ASORTYMENTOWO CENOWY

IBM i Wersja 7.2. Praca w sieci Usługi Remote Access Services

Zapytanie ofertowe na aktualizację urządzenia UTM

Transkrypt:

Projektowanie sieci metodą Top-Down http://www.topdownbook.com Wydanie w języku polskim PWN 2007 Copyright 2004 Cisco Press & Priscilla Oppenheimer W tej części Część II: Projekt logiczny Rozdział 5: Projektowanie topologii Rozdział 6: Plan adresowania i nazewnictwa Rozdział 7: Protokoły L2 i L3 ( L2 ) Rozdział 7a: Przykłady L3 ( L3 i VPN) Rozdział 8: Strategia bezpieczeństwa Rozdział 9: Zarządzanie siecią

Nadmiarowość L3, co wiemy ISP 1 ISP 1 Enterprise Option A Paris Enterprise NY Option C ISP 1 ISP 2 ISP 1 ISP 2 Enterprise Paris Enterprise NY Option B Option D Rozwój i zastosowania Polecana skala - mała sieć, dostęp do HQ, Internetu Możliwy wariant z dwoma ISP (uwaga NAT!!!!) Łączenie GLBP i HSRP

Mała sieć cd. Zastosowania - warstwa dostępu w kampusie Efektywne wykorzystanie łącza zapasowego

Zastosowania - dostęp do farmy serwerów Cisco IOS Server Load Balancing (IOS-SLB), Cisco Content Switching Module (CSM) Cisco Content Switching Services (CSS) Nadmiarowość L3 Cisco V3PN Łącza zapasowe dodzwaniane DDR SOHO Łącza wielokrotne DSL CATV średnia firma Łącza agregowane multilink PPP duża firma VPN, a PVN Rozmaitość rozwiązań technologii VPN Zdalny dostęp a tunel siec-sieć Trzy przykłady konfiguracji praktycznej Przykład 1: Tunel VPN IPsec + GRE w 5 kroków Przykład 2: VPN LAN-LAN HUB&Spoke ( certyfikaty) Przykład 3: Easy VPN z Dial Backup

PVC z zapasem ISDN (PVC) Łącze ISDN podnosi się przy: Awarii FR ( floating routes, DDR backup, dialer watch) Wzroście ruchu w FR ponad określony poziom ( DDR backup) Czas reakcji to około 1 minuta (FR down) + zwłoka DDR + nawiązanie połączenia ISDN ( kilka sekund ) Mała firma DSL i CATV Niedrogie rozwiązanie z oszczędnymi technologiami Przy zastosowaniu śledzenia TRACK można ustawić czas reakcji około 60 sekund

Mała firma, duża centrala Połączenie spoke do dwóch HUB, (jeden) Dynamic Multipoint Virtual Private Network (DMVPN) Czas reakcji przy zastosowaniu EIGRP w tunelach GRE zależy od timerów typowo 3x5 sekund = 15 plus zestawienie tunelu zielonego kilka sekund Duża firma dwa łącza F-R I DSL Tunele IPsec + GRE są zakończane na ruterze FR i DSL ( FR- PVC nie szyfrowane) Czas reakcji przy uszkodzeniu zależy od timerów HSRP i GRE i protokołów rutowania HSRP default hello time to 3 s i hold to10s. EIGRP, default hello time to 5 s i hold time to 15 seconds. GRE keepalives typowo to 10 s przy trzech retry daje czas 30 s

Duża firma Multilink PPP Użycie multilink PPP tam gdzie trzeba mieć przepustowość zagregowaną Drugie łącze jest podnoszone w ciągu ustawionego czasu po osiągnięciu progu Drugie łącze jest zamykane po pozostawaniu ruchu poniżej poziomu przez dany czas ( histereza ) Tworzenie VPN i tunelowanie Tunelowanie L2 wybór rozwiązania: PPTP - Point to Point Tunneling Protocol, RFC2637 (Microsoft) = (Generic Routing Encapsulation (GRE) + TCP sterowanie L2F - Layer 2 Forwarding RFC2341 (Cisco) L2TP - Layer 2 Tunneling RFC3931 (+IPsec) standard IETF 2005 OpenVPN oparty na TCP

Dwa/trzy rodzaje VPN (PVC+2*VPN) Dwa rodzaje VPN Zdalny dostęp Remote access VPN Oparty o IPsec Oparty o SSL Połączenie sieci Site-to-Site VPN Site-to-Site VPN IPsec Remote-Access VPN SSL Remote-Access VPN Cisco Routers i Cisco Catalyst Switches TAK!! TAK TAK (tylko rutery) Cisco ASR 1000 Router TAK!! TAK NIE Cisco ASA 5500 urządzenia dostępowe TAK TAK!! TAK!!

IPsec - przypomnienie IPsec używa SA (security association ) i klucza symetrycznego do wymiany danych p2p Szyfrowanie DES, 3DES lub AES Wymiana klucza i jego obsługa to zadanie protokołu IKE (Internet Key Exchange), a.k.a. ISAKMP Internet Security Association and Key Management Protocol Przed wymianą klucza IKE następuje uwierzytelnienie stron Współdzielone hasło Klucze PKI Metoda Diffiego-Hellman a służy do wymiany kluczy Do zabezpieczenia integralności wiadomości używana jest funkcja skrótu MD5 lub SHA Formy IPsec Są dwie/trzy formy IPsec AH zapewnia integralność i autentyczność Upewnia że dane pochodzą ze źródła Wykrywa manipulacje danych (hash) Ale nie szyfruje danych ESP (Encapsulating Security Payload) szyfruje Tryb transportowy ESP: szyfrowanie tylko danych użytkowych, oryginalny nagłówek IP nagłówek ESP jest tuż przed nagłówkiem transportowym Tryb tunelowy ESP: cały oryginalny pakiet jest szyfrowany (z nagłówkiem IP), a następnie wysyłany jako dane nowego pakietu IP, nowy nagłówek zawiera informacje wystarczające do przekazania pakietu na miejsce, ale nie do analizy ruchu wygodny sposób tworzenia VPN i łączenia sieci lokalnych przez Internet.

Złożone układy VPN, stan tuneli GRE GRE - Generic Routing Encapsulation Śledzenie stanu końców tunelu, keep-alive Przenoszenie informacji o trasach, ruting dynamiczny Stosowany wraz z PPTP do tworzenia VPN Stosowany wraz z L2TP = IPsec VPN do przenoszenia informacji o stanie tras Znaczny narzut sięgający 76 B, czy zawsze trzeba

Klasa zastosowań Model Cisco ASA 5505 Cisco ASA 5510 Cisco ASA 5520 Cisco ASA 5540 Cisco ASA 5550 Cisco ASA 5580-20 and 5580-40 SSL/IPsec Scalability 25 simultaneous VPN connections 250 simultaneous VPN connections 750 simultaneous VPN connections 2500/5000 simultaneous VPN connections 5000 simultaneous VPN connections 10,000 simultaneous VPN connections Maximum VPN Throughput 100 Mbps 170 Mbps 225 Mbps 325 Mbps 425 Mbps 1 Gbps Mniejsze Cisco VPN Security Router Maximum Tunnels Maximum 3DES Throughput Maximum AES Throughput Cisco 850 Series Integrated Services Router 5 8 Mbps 8 Mbps Cisco 870 Series Integrated Services Router 10 30 Mbps 30 Mbps Cisco 1800 Series Integrated Services Router (Fixed Configuration) 50 40 Mbps 40 Mbps Cisco 1841 Integrated Services Router with onboard VPN 100 45 Mbps 45 Mbps Cisco 1841 Integrated Services Router with AIM- VPN/SSL-1 800 95 Mbps 95 Mbps Cisco 2801 Integrated Services Router with onboard VPN 150 50 Mbps 50 Mbps Cisco 2801 Integrated Services Router with AIM- VPN/SSL-2 1500 160 Mbps 160 Mbps Cisco 2811 Integrated Services Router with onboard VPN 200 55 Mbps 55 Mbps Cisco 2811 Integrated Services Router with AIM- VPN/SSL-2 1500 130 Mbps 130 Mbps Cisco 2821 Integrated Services Router with onboard VPN 250 56 Mbps 56 Mbps Cisco 2821 Integrated Services Router with AIM- VPN/SSL-2 1500 140 Mbps 140 Mbps

Przykład 1, prosty tunel IPsec Konfiguracja w pięciu krokach 1) Powołanie protokołu IKE 2) Konfiguracja IPsec 3) Definicja ruchu podlegającego tunelowaniu 4) Mapa adresów końców tunelu 5) Powiązanie z i/f ruterów i powołanie i/f tunel

Ustalenie IKE, współdzielony sekret Ruter w oddziału Ruter Centrali HQ Ustalenie rodzaju tunelu i ACL Ruter w oddziału Ruter Centrali HQ

Mapa adresów końców tunelu Ruter w oddziału Ruter Centrali HQ Mapa adresów tunelu, powiązana z i/f Ruter w oddziału Ruter Centrali HQ

LAN - LAN VPN przykład 2 Konfiguracja serwera IOS CA na ruterze HUB Ustanowienie kluczy i ich certyfikatów na IOS CA konfiguracja rutera HUB konfiguracja rutera Spoke Ustanowienie CA na HUB i generacja kluczy! crypto pki server cisco issuer name CN=mojhub.cisco.com ST=LODZ C=PL grant auto! crypto pki trustpoint cisco revocation check crl rsakeypair cisco!! crypto pki trustpoint mojhub enrollment url http://1.1.1.1:80 revocation check none! crypto pki certificate map certmap 1 issuer name co cisco.com! crypto pki certificate chain cisco certificate ca 01 3082022F 30820198. certificate ca 02 70E5022F 90820100.

Serwer HUB! Uzywaj do VPN kluczy z certmap wcześniej podanego crypto isakmp profile l2lvpn ca trust point mojhub match certificate certmap! Parametry IPsec crypto ipsec transform set strong ah md5 hmac esp des! Trwórz tunel dynamicznie crypto dynamic map dynmap 10 set isakmp profile l2lvpncrypto map mymap 10 ipsec isakmp dynamic dynmap! Na i/f out interface Serial 0/1 ip address 1.1.1.1 255.255.255.0 crypto map mymap interface FastEthernet 0/0 ip address 10.1.1.1 255.255.255.0! ip route 0.0.0.0 0.0.0.0 Serial 0/1 Na ruterze Spoke! Wskazanie CA crypto pki trustpoint mojhub enrollment url http://1.1.1.1:80 revocation check none! Wskazanie kuczy crypto pki certificate map certmap 1 issuer name co cisco.com! Jak jest zrobiony VPN crypto isakmp profile l2lvpn ca trust point myhub match certificate certmap! crypto map mymap 10 ipsec isakmp set peer 1.1.1.1 set isakmp profile l2lvpn match address 100! Ten ruch weglug listy nr 100 przez VPN access list 100 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255! Zwiazanie z konkretnym i/f, wyjsciowym interface Serial 0/0 ip address 1.1.1.2 255.255.255.0 crypto map mymap interface FastEthernet 0/0 ip address 10.1.2.1 255.255.255.0

Przykład 3: konfiguracje nadmiarowe Easy VPN with Dial Backup Dynamiczny tunel VPN jest tworzony przy awarii głównego VPN na łączu Dialup Easy VPN with Dial Backup track 123 rtr 1 reachability backup bup track 123 mode network-extension peer 10.0.149.203 virtual-interface 1 interface Virtual-Template1 type tunnel ip unnumbered FastEthernet0/0 tunnel mode ipsec ipv4 ip route 0.0.0.0 0.0.0.0 10.0.149.203 track 123 ip route 0.0.0.0 0.0.0.0 Async0/0/0 240 permanent ip route 10.0.149.203 255.255.255.255 dhcp

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres