Projektowanie sieci metodąTop-Down - Politechnika ...zskl.p.lodz.pl/arendt/local/td7a.pdf ·...

Top-Down cz.II.7a protokoły VPN i topologie

Projektowanie sieci metodą Top-Down

http://www.topdownbook.com

Wydanie w języku polskim PWN 2007

Copyright 2004 Cisco Press & Priscilla Oppenheimer

W tej części

• Część II: Projekt logiczny– Rozdział 5: Projektowanie topologii– Rozdział 6: Plan adresowania i nazewnictwa

– Rozdział 7: Protokoły L2 i L3 ( L2 )– Rozdział 7a: Przykłady L3 ( L3 i VPN)– Rozdział 8: Strategia bezpieczeństwa– Rozdział 9: Zarządzanie siecią


Nadmiarowość L3, co wiemy

Enterprise

Enterprise

Enterprise

ISP 1

ISP 1 ISP 2

ISP 1

ISP 1 ISP 2

EnterpriseOption A

Option B

Option C

Option D

Paris NY

Paris NY

Rozwój i zastosowania• Polecana skala - mała sieć, dostęp do HQ, Internetu• Możliwy wariant z dwoma ISP (uwaga NAT !!!!)• Łączenie GLBP i HSRP


Mała sieć cd.

Zastosowania - warstwa dostępu w kampusie

• Efektywne wykorzystanie łącza zapasowego


Zastosowania - dostęp do farmy serwerów

• Cisco IOS Server Load Balancing (IOS-SLB), • Cisco Content Switching Module (CSM)• Cisco Content Switching Services (CSS)

Nadmiarowość L3 – Cisco V3PN

• Łącza zapasowe dodzwaniane DDR SOHO• Łącza wielokrotne DSL CATV średnia firma• Łącza agregowane multilink PPP duża firma• VPN, a PVN

– Rozmaitość rozwiązań technologii VPN– Zdalny dostęp a tunel siec-sieć

• Trzy przykłady konfiguracji praktycznej– Przykład 1: Tunel VPN IPsec + GRE w 5 kroków– Przykład 2: VPN LAN-LAN HUB&Spoke ( certyfikaty)– Przykład 3: Easy VPN z Dial Backup


PVC z zapasem ISDN (PVC)• Łącze ISDN podnosi się przy:

– Awarii FR ( floating routes, DDR backup, dialer watch)– Wzroście ruchu w FR ponad określony poziom ( DDR

backup)• Czas reakcji to około 1 minuta (FR down) + zwłoka

DDR + nawiązanie połączenia ISDN ( kilka sekund )

Mała firma DSL i CATV

• Niedrogie rozwiązanie z oszczędnymi technologiami

• Przy zastosowaniu śledzenia TRACK można ustawić czas reakcji około 60 sekund


Mała firma, duża centrala• Połączenie spoke do dwóch HUB, (jeden)

Dynamic Multipoint Virtual Private Network (DMVPN)• Czas reakcji przy zastosowaniu EIGRP w tunelach

GRE zależy od timerów typowo 3x5 sekund = 15 plus zestawienie tunelu „zielonego” kilka sekund

Duża firma dwa łącza F-R I DSLTunele IPsec + GRE są zakończane na ruterze FR i DSL

( FR- PVC nie szyfrowane)Czas reakcji przy uszkodzeniu zależy od timerów HSRP i GRE i

protokołów rutowania• HSRP default hello time to 3 s i hold to10s. • EIGRP, default hello time to 5 s i hold time to 15 seconds.• GRE keepalives typowo to 10 s przy trzech retry daje czas 30 s


Duża firma Multilink PPPUżycie multilink PPP tam gdzie trzeba mieć przepustowość

zagregowaną• Drugie łącze jest podnoszone w ciągu ustawionego

czasu po osiągnięciu progu• Drugie łącze jest zamykane po pozostawaniu ruchu

poniżej poziomu przez dany czas ( histereza )

Tworzenie VPN i tunelowanie

• Tunelowanie L2 wybór rozwiązania:– PPTP - Point to Point Tunneling Protocol,

RFC2637 (Microsoft) = (Generic RoutingEncapsulation (GRE) + TCP sterowanie

– L2F - Layer 2 Forwarding RFC2341 (Cisco)– L2TP - Layer 2 Tunneling RFC3931 (+IPsec)

standard IETF 2005– OpenVPN – oparty na TCP


Dwa/trzy rodzaje VPN (PVC+2*VPN)

Dwa rodzaje VPN

• Zdalny dostęp Remote access VPN– Oparty o IPsec– Oparty o SSL

• Połączenie sieci Site-to-Site VPN

TAK !!TAK !!TAKCisco ASA 5500urządzenia dostępowe

NIETAKTAK !!Cisco ASR 1000 Router

TAK (tylko rutery)TAKTAK !!Cisco Routers iCisco Catalyst Switches

SSL Remote-Access VPNIPsec Remote-Access VPNSite-to-Site VPN


IPsec - przypomnienie• IPsec używa SA (security association ) i klucza

symetrycznego do wymiany danych p2p– Szyfrowanie DES, 3DES lub AES

• Wymiana klucza i jego obsługa to zadanie protokołuIKE (Internet Key Exchange), a.k.a. “ISAKMP” Internet Security Association and Key Management Protocol

• Przed wymianą klucza IKE następuje uwierzytelnienie stron– Współdzielone hasło– Klucze PKI

• Metoda Diffiego-Hellman’a służy do wymiany kluczy• Do zabezpieczenia integralności wiadomości używana jest

funkcja skrótu MD5 lub SHA

Formy IPsec• Są dwie/trzy formy IPsec• AH zapewnia integralność i autentyczność

– Upewnia że dane pochodzą ze źródła – Wykrywa manipulacje danych (hash)– Ale nie szyfruje danych

• ESP (Encapsulating Security Payload) szyfruje• Tryb transportowy ESP:

– szyfrowanie tylko danych użytkowych, oryginalny nagłówek IP– nagłówek ESP jest tuż przed nagłówkiem transportowym

• Tryb tunelowy ESP:– cały oryginalny pakiet jest szyfrowany (z nagłówkiem IP), a następnie

wysyłany jako dane nowego pakietu IP,– nowy nagłówek zawiera informacje wystarczające do przekazania

pakietu na miejsce, ale nie do analizy ruchu– wygodny sposób tworzenia VPN i łączenia sieci lokalnych przez Internet.


Złożone układy VPN, stan tuneli

GRE GRE - Generic Routing Encapsulation• Śledzenie stanu końców tunelu, keep-alive• Przenoszenie informacji o trasach, ruting dynamiczny• Stosowany wraz z PPTP do tworzenia VPN • Stosowany wraz z L2TP = IPsec VPN do

przenoszenia informacji o stanie tras• Znaczny narzut sięgający 76 B, czy zawsze trzeba


Klasa zastosowań

1 Gbps10,000 simultaneous VPN connectionsCisco ASA 5580-20 and 5580-40

425 Mbps5000 simultaneous VPN connectionsCisco ASA 5550

325 Mbps2500/5000 simultaneous VPN connectionsCisco ASA 5540




Maximum VPN ThroughputSSL/IPsec ScalabilityModel

Mniejsze

140 Mbps140 Mbps1500Cisco 2821 Integrated Services Router with AIM-VPN/SSL-2

56 Mbps56 Mbps250Cisco 2821 Integrated Services Router with onboard VPN







40 Mbps40 Mbps50Cisco 1800 Series Integrated Services Router (Fixed Configuration)

30 Mbps30 Mbps10Cisco 870 Series Integrated Services Router

8 Mbps8 Mbps5Cisco 850 Series Integrated Services Router

Maximum AES Throughput

Maximum 3DES Throughput

MaximumTunnels

Cisco VPN Security Router


Przykład 1, prosty tunel IPsec

Konfiguracja w pięciu krokach1) Powołanie protokołu IKE2) Konfiguracja IPsec3) Definicja ruchu podlegającego tunelowaniu4) Mapa adresów końców tunelu5) Powiązanie z i/f ruterów i powołanie i/f tunel


Ustalenie IKE, współdzielony sekretRuter w oddziału Ruter Centrali HQ

Ustalenie rodzaju tunelu i ACLRuter w oddziału Ruter Centrali HQ


Mapa adresów końców tuneluRuter w oddziału Ruter Centrali HQ

Mapa adresów tunelu, powiązana z i/fRuter w oddziału Ruter Centrali HQ


LAN - LAN VPN przykład 2

• Konfiguracja serwera IOS CA na ruterze HUB• Ustanowienie kluczy i ich certyfikatów na IOS CA• konfiguracja rutera HUB• konfiguracja rutera Spoke

Ustanowienie CA na HUB i generacja kluczy

! crypto pki server ciscoissuer−name CN=mojhub.cisco.com ST=LODZ C=PLgrant auto! crypto pki trustpoint ciscorevocation−check crlrsakeypair cisco!! crypto pki trustpoint mojhubenrollment url http://1.1.1.1:80revocation−check none!crypto pki certificate map certmap 1issuer−name co cisco.com!crypto pki certificate chain ciscocertificate ca 013082022F 30820198…….certificate ca 0270E5022F 90820100…….


Serwer HUB! Uzywaj do VPN kluczy z certmap wcześniej podanegocrypto isakmp profile l2lvpnca trust−point mojhubmatch certificate certmap

! Parametry IPseccrypto ipsec transform−set strong ah−md5−hmac esp−des! Trwórz tunel dynamiczniecrypto dynamic−map dynmap 10set isakmp−profile l2lvpncrypto map mymap 10 ipsec−isakmp dynamic dynmap! Na i/f outinterface Serial 0/1

ip address 1.1.1.1 255.255.255.0crypto map mymap

interface FastEthernet 0/0ip address 10.1.1.1 255.255.255.0

! ip route 0.0.0.0 0.0.0.0 Serial 0/1

Na ruterze Spoke! Wskazanie CAcrypto pki trustpoint mojhub

enrollment url http://1.1.1.1:80revocation−check none

! Wskazanie kuczycrypto pki certificate map certmap 1

issuer−name co cisco.com! Jak jest zrobiony VPNcrypto isakmp profile l2lvpn

ca trust−point myhubmatch certificate certmap

!crypto map mymap 10 ipsec−isakmp

set peer 1.1.1.1set isakmp−profile l2lvpnmatch address 100

! Ten ruch weglug listy nr 100 przez VPNaccess−list 100 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255! Zwiazanie z konkretnym i/f, wyjsciowyminterface Serial 0/0

ip address 1.1.1.2 255.255.255.0crypto map mymap

interface FastEthernet 0/0ip address 10.1.2.1 255.255.255.0


Przykład 3:konfiguracje nadmiarowe

• Easy VPN with Dial Backup

Dynamiczny tunel VPN jest tworzony przy awarii głównego VPN na łączu Dialup

Easy VPN with Dial Backup

track 123 rtr 1 reachability

backup bup track 123mode network-extensionpeer 10.0.149.203virtual-interface 1

interface Virtual-Template1 type tunnel• ip unnumbered FastEthernet0/0• tunnel mode ipsec ipv4

ip route 0.0.0.0 0.0.0.0 10.0.149.203 track 123ip route 0.0.0.0 0.0.0.0 Async0/0/0 240 permanentip route 10.0.149.203 255.255.255.255 dhcp

Projektowanie sieci metodąTop-Down - Politechnika ...zskl.p.lodz.pl/arendt/local/td7a.pdf ·...

Documents

Transcript of Projektowanie sieci metodąTop-Down - Politechnika ...zskl.p.lodz.pl/arendt/local/td7a.pdf ·...