Маршрутизаторы Cisco как устройства обеспечения информационной безопасности

Петякшев Евгений, Системный инженер Cisco

2xCCIE (Security, Data Center) #36020

Маршрутизаторы Cisco как

устройства обеспечения

информационной

безопасности

1) Обзор проблем безопасности филиальных сетей

2) Защита самого маршрутизатора от DOS атак (CoPP, CPPr)

3) Межсетевой экран с политиками на основе зон (ZBF)

- Advanced features

- Security Group Access

- Zone Based Firewall с учетом меток SGT

4) IOS Cloud Web Security

5) FlexVPN, унифицированный метод построения виртуальных частных сетей

6) Сертифицированный VPN

7) Выводы

План

Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 3

Безопасные Удаленные Офисы

Ограниченные или

отсутствующие ресурсы IT

и безопасности в

Удаленных Офисах

Доступ к Облакам и

ресурсам Центрального

офиса

Соблюдение требований

регуляторов

Remote Worker

Branch

Сложности:

ЦОД

Центральный

Офис SaaS

Интернет

Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 4

Безопасные Удаленные Офисы

VPN (IPSEc, GET VPN,

DMVPN, FlexVPN, SSL), FW,

IPS, CWS client;

Visibility (AVC, NetFlow);

Поддержка SGT

Лучший возврат инвестиций

(Простота, надежность,

Целостность),

Экономия инвестицый за

счет Split Tunneling

WAN оптимизация

Беспроводная сеть

Встроенный коммутатор

Встроенный модуль сервера

Полный функционал безопасности

Удаленных Офисов Лучшее ROI

Безопасность + оптимизация приложений

$

+

ISGR2

Решение CISCO:

Центральный

Офис

Почему стоит инвестировать ?

Видео это новый ‘голос’, хотите ли вы быть человеком, который вовремя

не среагировал на требования бизнеса в области коммуникаций ?

Консолидация и централизация удаленных филиалов происходит уже

сегодня; Cisco UCS Express расширяет унифицированный ЦОД до

удаленных филиалов

Бизнес расширяется, защитите свои инвистиции с помощью ISR/ASR,

увеличьте доступность филиалов резервным 3G каналом

Сэкономьте на расширении полосы пропускания WAN канала с помощью

WAAS Express, до 10x увеличения производительности

Будьте готовы удовлетворять требования регуляторов

Массштабируемые VPN решения с веб безопасностью

• Массштабируемые, безопасные филиальные сети используя VPN решения: DMVPN, FlexVPN,…

• Эффективная защита от угроз с помощью Zone-Based Firewall, Cisco Cloud Web Security

• Упрощенное решение с тесно интегрируемыми сервисами маршрутизации, безопасности и пр.

• Меньшая стоимость по сравнению с выделенными аплайнсами; целостные сервисы безопасности

• Удовлетворение требований регуляторов

ДО ПОСЛЕ

HQ

Branch Branch WAN

HQ

Branch Branch Secure WAN

• Небезопасный доступ, Malware могут скомпрометировать сеть филиала, центрального офиса и привести к остановке сервисов

• Сложность решений безопасности в филиалах и невозможность централизованного обслуживания – дыры безопасности

3G/4G Cellular

ISP/WAN

Непрерывность бизнес-процессов с помощью безопасных сервисов WAN, LAN, Wireless

• Ненадежное WAN соединение, потеря WAN == потеря бизнес процессов в филиалах

• Высокая стоимость внедрения проводных и беспроводных сервисов в филиалах

• Автоматический переход на подключение по 3G/4G LTE в случае потери WAN сервисов

• Интегрированные сервисы безопасности, LAN, WAN, беспроводная сеть в одном устройстве

• 802.11n беспроводные сервисы в филиалах

• Непрерывность бизнес процессов и катастрофоустойчивость с автоматическим провижнингом

• Гибкое внедрение – ‘плати по мере роста’

• Эффективное централизованное управление и мониторинг

ДО ПОСЛЕ

HQ HQ

ISP/WAN

Оптимизация сети, Cisco Thread Defence

• Рост объема WAN трафика филиалов

• Высокие затраты на ряд решений по оптимизации WAN

• Высокая стоимость решений

• Отсутствие информации о событиях безопасности в филиальной сети

• AVC, IP SLA,…

• Безопасная и прозрачная оптимизация WAN

• MediaNet – сеть ‘знает’ о трафике видео

• Удаленный офис – сенсор в решении Cisco Cyber Thread Defense в центральном офисе

• Безопасность

• Оптимизация видео и трафика приложений

• Гибкие модели внедрения

• Visibility (AVC, netflow) и контроль

• Видимость и управление событиями безопасности филиальной сети

Сеть готова к видео

Оптимизация VDI решений

Оптимизация приложений

Удаленный офис

WAAS/ WAASX

VDS

Internet

IPSLA

MediaNet PfR

QoS PA

WAN

CTD

CISCO PRIME INFRASTRUCTURE

Маршрутизаторы Cisco ISRg2

Производительность с включенными сервисами

Пл

отн

ость

инте

рф

ей

сов

800 Series

1900 Series

2901

2911

2921

2951

3900 Series

3900E Series

2Gbps 500Mbps

350Mbps

250Mbps 100Mbps 75Mbps 50Mbps 25Mbps 35Mbps

4451-X

Новинка

Филиал

Маршрутизаторы с

интегрированными

сервисами - Безопасность,

Голос, Видео, БЛВС,

Оптимизация WAN

Маршрутизаторы Cisco ASR

Производительность с включенными сервисами

Пл

отн

ость

инте

рф

ей

сов

Центральный офис / Агрегация WAN

ASR 1001, ESP2.5G/5G

ASR 1000, ESP10

ASR 1000, ESP20

ASR 1000, ESP40

2,5 Gbps 10 Gbps 20 Gbps 40 Gbps

Маршрутизаторы с

интегрированными

сервисами - Безопасность,

Голос, Видео, БЛВС,

Оптимизация WAN

Безопасность самого маршрутизатора: CoPP, CPPr

Вх. пакеты Вых. пакеты

Терминология

Route

Processor

CPU

Data

Service CEF

Control

Management

Transit

Receive

Exception

Определение проблем:

- Высокие требования к безотказной работе сети

- DOS атаки, направленные на Control Plane маршрутизатора

- DOS атаки направленные на RP могут приводить к высокой

утилицации RP, потеря трафика

- Неправильно настроенные сетевые устройства

Control Plane Policing (CoPP)

Пакеты направленные к control plane потребляют ресурсы Route Processor (RP)

Входящий трафик к Control Plane может быть ограничен -> освобождение ресурсов RP,

нормальная обработка пользовательского трафика

INCOMING

PACKETS

CONTROL PLANE POLICING SILENT MODE

PACKET

BUFFER

OUTPUT PACKET

BUFFER Locally

Switched Packets

CEF/FIB LOOKUP

Processor

Switched Packets

CONTROL PLANE

Management SNMP, Telnet ICMP IPv6

Routing Updates

Management SSH, SSL …..

OUTPUT

from the Control Plane

INPUT

to the Control Plane

15 15 15 © 2004 Cisco Systems, Inc. All rights reserved.

CoPP Настройка

• Для классификации сервисов Control Plane используется MQC

• Class maps и policy maps определяются для всего control plane

Пример ограничения UDP трафика до 16 Kbps, предотвращение UDP флуда:

Вх. пакеты Вых. пакеты

Control Plane Protection (CPPr)

Route

Processor

CPU

Sub-интерфейсы:

1) Host

2) Transit

3) CEF-Exeption

1

2

3

Control Plane Host

• Сбрасывает все пакеты направленные на закрытые или не на используемые маршрутизатором TCP/UDP порты.

• Обрабатывает TCP/UDP трафик направленный к маршрутизатору

• Большее количество функционала чем на CEF-exeption и transit Sub-интерфейсах: policing, port filtering и per-protocol queue thresholds

Пример: сброс всего трафика, кроме TCP 3020, 3040 или UDP 520

Control Plane Host (Queue Threshold)

• Ограничения на уровне отдельных протоколов (BGP, DNS, FTP, HTTP,

IGMP, SNMP, SSH, SYSLOG, TELNET, TFTP, host-protocols)

• Только для Host Sub-интерфейсе

• Защита от переполнения входной очереди каким-либо одним протоколом

Пример: настройка queue-limit для HTTP – 100 пакетов

Control Plane Transit

• Трафик ‘через’ маршрутизатор, обрабатываемый на RP (не CEF)

Пример: ограничение фрагментированных пакетов до 1Mpps:

Control Plane CEF Exception

• Пакеты вызывающие CEF-Exeption

• Весь не-IP трафик от хостов

• Примеры: CDP, не-UDP локальный мультикаст, ARP...

Пример: уменьшение влияния широковещательных штормов, ограничение не-IP трафика до 100 пакетов в секунду:

CoPP

Вх. пакет

Буффер Буффер

Вых. пакет CEF/FIB

lookup

перенаправление Классификация

Policer

Policer

Port filter Policer Queue

threshold

Feature

path

Глобальный IP input queue

BGP

SNMP

OSPF

Control Plane

Межсетевой экран с политиками на основе зон

(Cisco ZFW)

Межсетевой экран с политиками на основе зон (Cisco ZFW)

Зона - набор интерфейсов

с определенным общим

"уровнем доверия”

ZFW

ДОВЕРЕННАЯ зона НЕДОВЕРЕННАЯ зона

Int 1 Int 3

Политика зоны

OUTBOUND

Int 2

Политики ZFW являются однонаправленными: от источника к получателю

Inside

DMZ

Outside


ZFW

Int 1 Int 3

Int 2

Inside

DMZ

Outside

1) Настраиваем зоны МСЭ

2) Помещаем интерфейсы в зоны

3) Определяем пары зон между которыми будет ходить трафик

In_to_Out

zone security Inside

zone security DMZ

zone security Outside

int gi 0/0

zone-member security Inside


4) Описываем трафик с помощью class-map

5) Описываем действия с трафком с помощью policy-map

6) Создаем пары зон и применяем действия к парам зон

ip access-list extended INTERNAL_Lan

permit ip 10.0.0.0 0.0.0.8 any

!

class-map type inspect match-all INTERNAL_Lan

match access-group INTERNAL_Lan

!

class-map type inspect match-any In_to_Out_protocols

match protocol http

match protocol https

match protocol dns

match protocol icmp

!

class-map type inspect match-all In_to_Out_Cmap

match class-map In_to_Out_protocols

match class-map INTERNAL_Lan

policy-map type inspect In_to_Out

class type inspect In_to_Out_Cmap

inspect

zone-pair security In_to_out_ZP source Inside destination Outside

service-policy type inspect In_to_Out

WIN !

ZFW1# show parameter-map type inspect default

audit-trail off

alert on

max-incomplete low 2147483647

max-incomplete high 2147483647

one-minute low 2147483647

one-minute high 2147483647

udp idle-time 30

icmp idle-time 10

dns-timeout 5

tcp idle-time 3600

tcp finwait-time 5

tcp synwait-time 30

tcp max-incomplete host 4294967295 block-time 0

sessions maximum 2147483647

parameter-map type inspect TRACKING

audit-trail on

parameter-map type inspect global

log dropped-packets enable

Полезный совет:

указывать имена

элементов политики в

верхнем регистре. Поиск

в интерфейсе командной

строки производится с

учетом регистра

ZFW: Дополнительные элементы политик

policy-map type inspect Outbond

class type inspect CMAP2

inspect parameter-map-name PMAP1

parameter-map type inspect-zone ZONE_PMAP_1

tcp syn-flood rate per-destination 400

max-destination 10000 ASR

parameter-map type inspect global

tcp syn-flood limit number

ZFW: Дополнительный функционал: ISRg2, ASR

- Firewall Stateful Interchassis Redundancy Failover

ZBF1 ZBF2

- User-based access control with Zone-based Policy Firewall

Inside Outside

Contractor Server1

Radius Server

ZBF1

class-map type inspect Contractors_CM

match user-group CONTRACTOR

- Security Group Access Zone-Based Policy Firewall

Cisco av pair: supplicant-group = CONTRACTOR

MAB

СWA

Устройство

без агента

VLAN100

Active

Directory

Campus

Network

SXP

VLAN200

Untagged Frame Tagged Frame

SGT=7 SGT

Enforcement

Catalyst® 2960 802.1X, MAB,

LWA

Пользователи,

устройства

Динамическая метка

SGT

10.1.200.100

10.1.200.10

IT портал (SGT 4)

10.1.100.10

Catalyst 6K

Core

Nexus® 7000

Distribution ISE

Статическая метка

SGT для серверов

Catalyst® 4948

Профессор

(SGT 7)

Менеджер

(SGT 6)

Внутренний портал

(SGT 9) 10.1.200.200

Публичный веб-сервер

(SGT 8)

Присвоение меток SGT

8

это L2 802.1AE + TrustSec

Фрейм всегде тегируется на входящем устройстве

Тэгирование проходит ДО других L2 процессов, например QoS

Cisco мета данные

DMAC SMAC

802.1AE Header

802.1Q

CMD

ETYPE

PAYLOAD

ICV

CRC

Version

Length

CMD EtherType

SGT Opt Type

SGT Value

Other CMD Options

Зашифровано

Аутентифицировано

802.1AE Header

CMD

ICV

Ethernet фрейм поля

Overhead: 8 to 64 bytes with options

Формат фрейма с SGT

Secure Group Access Zone-Based Policy Firewall

SXP

Zone-Based Policy Firewall с учетом SGT

ZFW

Int 1 Int 3

Inside Outside SGT 21

SGT 22

Веб-сервер

object-group security User01

security-group tag-id 21

!

object-group security Web-Server

security-group tag-id 22

class-map type inspect match-all OUTBOUND_CM

match group-object security source User01

match group-object security destination Web-Server

match protocol http

policy-map type inspect OUTBOUND_PM

class type inspect OUTBOUND_CM

inspect

zone-pair security In_to_Out source INSIDE destination OUTSIDE

service-policy type inspect OUTBOUND_PM

IOS Cloud Web Security

Сканирование контента с помощью IOS Cloud Web

Security parameter-map type content-scan global

server scansafe primary name proxy2261.scansafe.net port http 8080 https 8080

server scansafe secondary name proxy1363.scansafe.net port http 8080 https 8080

license 0 CD4B25B79D131F08ABCDEFABCDEFFFFF

source interface Gi0/0

timeout server 30

user-group ciscogroup10 username ciscouser10

server scansafe on-failure block-all

interface Gi0/0

ip nat outside

content-scan out

IOS Internet

1 2 3

CWS

IOS# show content-scan summary

Primary: 201.94.155.42 (Up)*

Secondary: 70.39.231.99 (Up)

Interfaces: Dialer1

IOS# show content-scan statistics

Current HTTP sessions: 0

Current HTTPS sessions: 0

Total HTTP sessions: 83

Total HTTPS sessions: 8

White-listed sessions: 0

Time of last reset: never

IOS# show content-scan session active

Protocol Source Destination Bytes Time

HTTP 172.19.99.101:57152 209.222.159.185:80 (1635:331595) 00:00:12

URI: www.maa.org

Username/usergroup(s): ciscouser10/ ciscogroup10

HTTP 172.19.99.101:57153 209.222.159.185:80 (2157:53326) 00:00:12

URI: www.maa.org


HTTP 172.19.99.101:57161 74.125.234.10:80 (1525:833) 00:00:09

URI: www.google-analytics.com


Сканирование контента с помощью IOS Cloud Web

Security

FlexVPN, унифицированный метод построения

виртуальных частных сетей

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp client configuration group cisco

key cisco123

pool dvti

acl 100

crypto isakmp profile dvti

match identity group cisco

client authentication list lvpn

isakmp authorization list lvpn

client configuration address respond

virtual-template 1

crypto ipsec transform-set dvti esp-3des esp-sha-hmac

crypto ipsec profile dvti

set transform-set dvti

set isakmp-profile dvti

interface Virtual-Template1 type tunnel

ip unnumbered Ethernet0/0

tunnel mode ipsec ipv4

tunnel protection ipsec profile dvti

ip local pool dvti 192.168.2.1 192.168.2.2

ip route 0.0.0.0 0.0.0.0 10.0.0.2

access-list 100 permit ip 192.168.1.0 0.0.0.255 any


encr 3des


group 2

crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac

mode transport

crypto ipsec profile vpnprofile

set transform-set vpn-ts-set

interface Tunnel0

ip address 10.0.0.254 255.255.255.0

ip nhrp map multicast dynamic

ip nhrp network-id 1

tunnel source Serial1/0

tunnel mode gre multipoint

tunnel protection ipsec profile vpnprof

ip route 192.168.0.0 255.255.0.0 Null0router bgp 1

bgp log-neighbor-changes

redistribute static

neighbor DMVPN peer-group

bgp listen range 10.0.0.0/24 peer-group DMVPN

neighbor DMVPN remote-as 1

no auto-summary


encr 3des


group 2

crypto isakmp client configuration group cisco

key pr3sh@r3dk3y

pool vpnpool

acl 110

crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac

crypto dynamic-map dynamicmap 10

set transform-set vpn-ts-set

reverse-route

crypto map client-vpn-map client authentication list userauthen

crypto map client-vpn-map isakmp authorization list groupauthor

crypto map client-vpn-map client configuration address initiate

crypto map client-vpn-map client configuration address respond

crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap

interface FastEthernet0/0

ip address 83.137.194.62 255.255.255.240

crypto map client-vpn-map

ip local pool vpnpool 10.10.1.1 10.10.1.254

access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255

EazyVPN, DMVPN, Crypto Maps + GRE, VTI, DVTI, IPSEC, Get VPN, ….

IKEv2

HDR, SAi, KEi, NONCEi

HDR, SAr, KEr, NONCEr, [CERTREQ]

HDR, IDi, [CERT], [CERTREQ], [IDr], AUTH, SA2i, TSi, TSr

HDR, IDr, [CERT], AUTH, SA2, TSi, TSr

HDR

AUTH

SA

TSi,r

IDi,r

KE

NONCEi,r

Зачем мигрировать на IKEv2 ?

1) IKEv2 более стоек к DOS атакам (HDR, N(coockie),…)

2) IKEv2 это стандарт, в котором есть поддержка NAT transparency

(хэш source IP+port -> N, (,… NONCEi, N(NATT)

3) Dead Peer Detection (INFORMATIONAL обмен без payload)

-> лучшее interoperability

4) Меньше overhead по сравнению с IKEv1

5) Меньшее время для процесса rekey

Зачем мигрировать на IKEv2 ?

6) В IKEv2 пакетах, можно обмениваться на URL ссылки сертификатов

(меньше payload)

7) Поддержка EAP (EAP-IKEv2) – authentication remote eap [query-identity]

8) Multiple Crypto engines (например один для IPv4, другой для IPv6)

9) Reliability (использует Sequence Numbers) , error-processing

10) Более ‘прозрачный’ debug

11) Поддержка Suit-B (SHA-2, ECDSA, signature (ECDSA-sig)) (RFC 4869);

AES-GCM (128, 256); AES-GMAC; DH using Elliptic Curves)

crypto ikev2 proposal PROPOSAL-1

encryption 3des aes-cbc-128 aes-cbc-256

integrity sha512 md5

group 2 5

crypto ikev2 policy I-POLICY-1

proposal PROPOSAL-1

match fvrf VPN

crypto ikev2 keyring I-KEYRING-1

peer VPN-PEER-1

address 10.10.10.1

identity address email [email protected]

pre-shared-key local 0 cisco_local

pre-shared-key remote 0 cisco_remote

crypto ikev2 profile IKE-Profile-01

authentication local pre-share

authentication remote rsa-sig

aaa authorization user cert ISE-01

name-mangler NM_01

identity local email [email protected]

keyring I-KEYRING-1

match certificate CM-01

pki trustpoint TRUSTPOINT_01 crypto ikev2 name-mangler NM-01

email username

Теперь можем контролировать какое IKE-ID посылает initiator, какие

поля этого IKE-ID может использовать responder. Гибкость !

IKEv2 конфигурация

No X-AUTH in IKEv2; используется EAP

EAP – framework для различных методов:

• Tunneling - EAP-TLS, EAP/PSK, EAP-PEAP…

• Non-tunneling – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,…

Дополнительные IKE_AUTH сообщения

Аутентифицирует только initiator to responder

Responder ДОЛЖЕН использовать сертификат

Количество сообщений увеличивается до (12-16)

Non-Tunneling

Recommended

Extensible Authentication Protocol (EAP)

Что может FlexVPN

Один VPN, все работает

FlexVPN Site-to-Site

Site-to-Site

LAN1 LAN2

crypto ikev2 keyring KR

peer RightPeer

address 172.16.2.1

pre-shared-key local CISCO

pre-shared key remote CISCO

crypto ikev2 profile default

match identity fqdn RouterRight.cisco.com

identity local fqdn RouterLeft.cisco.com

authentication local pre-shared

authentication remote pre-shared

keyring local KR

interface Tunnel0

ip address 10.0.0.1 255.255.255.252

tunnel source FastEthernet0/0

tunnel destination 172.16.2.1

tunnel protection ipsec profile default

ip route <LAN2> Tunnel0

crypto ikev2 keyring KR

peer LeftPeer

address 172.16.1.1

pre-shared-key local CISCO

pre-shared key remote CISCO


match identity fqdn RouterLeft.cisco.com

identity local fqdn RouterRight.cisco.com

authentication local pre-shared


keyring local KR

interface Tunnel0

ip address 10.0.0.2 255.255.255.252


tunnel destination 172.16.1.1


ip route <LAN1> Tunnel0

м.б.

dynamic

FlexVPN Hub and spoke

Virtual-Access Interfaces

Static Tunnel

Interface

Hub&Spoke

Radius Server

access-list 99 permit <LAN1> crypto ikev2 authorization policy default route set access-list 99 crypto ikev2 keyring KR peer HUB address 172.16.0.1 pre-shared-key local cisco

aaa authorization network default local crypto ikev2 profile default match certificate CERTMAP identity local fqdn R3-Spoke.cisco.com authentication remote rsa-sig authentication local pre-shared keyring local KR pki trustpoint CA aaa authorization group cert list default default interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination 172.16.0.1 tunnel protection ipsec profile default

Сonfig-exchange

IP address

назначает HUB

Radius Server

R3-Spoke

LAN1

HUB

Hub&Spoke; Spoke конфигурация

aaa group server radius radius

server-private 192.168.100.254

auth-port 1812 acct-port 1813

key cisco123

crypto ikev2 name-mangler extract-host

fqdn hostname

aaa authorization network default group radius


match identity remote fqdn domain cisco.com

identity local dn

authentication local rsa-sig


keyring aaa default name-mangler extract-host

pki trustpoint CA

aaa authorization user psk cached

virtual-template 1

interface virtual-template1 type tunnel

ip unnumbered loopback0


ipsec:ikev2-password-remote=cisco

ip:interface-config=policy-map PM out

framed-ip=10.0.0.1

ipsec:route-set=interface

ipsec:route-set=prefix <LAN2> ipsec:route-

accept=any

PSK на RADIUS

IKEv2 routing

Virtual-Access из Virtual-Template

Hub&Spoke; HUB

конфигурация Radius Server

R3-Spoke

LAN1

HUB LAN2

Отказоустойчивость HUB

LAN

.2 .1

Активные туннели

на обоих HUB

Active/standby, либо load-

balance

Маршруты либо

IKEv2 либо

маршрутизация


...

dpd 30 2 on-demand

interface Tunnel0

ip address negotiated


tunnel destination <HUB1>

tunnel protection ipsec profile

default

interface Tunnel1



tunnel destination <HUB2>

tunnel protection ipsec profile

default

Отказоустойчивость HUB

Stateless Failover

Tunnels down

Virtual IP (HSRP)

LAN

crypto ikev2 client flexvpn

default

client connect tunnel 0

peer 1 172.16.0.1

peer 2 172.16.0.2

interface Tunnel0


tunnel source

FastEthernet0/0

tunnel destination dynamic

tunnel protection ipsec

profile default

FlexMesh (DMVPN “phase 4”)

LAN

172.16.0.1


Static Tunnel Interface


FlexMesh

FlexMesh, NHRP

HUB Spoke1 Spoke2 VA 1 VA2

Redirect

Resolution request Resolution request

IKEv2 init

IKEv2 init

Resolution Reply

FlexMesh, конфигурация


match identity remote fqdn domain cisco.com

identity local fqdn hub.cisco.com

authentication local rsa-sig

authentication remote rsa-sig

pki trustpoint CA

aaa authorization group cert list default default

virtual-template 1


ip unnumbered Loopback0


ip nhrp redirect


HUB Spoke


…

virtual-template 1

interface Tunnel0



ip nhrp shortcut virtual-template 1

ip nhrp redirect

tunnel source Ethernet0/0

tunnel destination <HUB>



ip unnumbered Tunnel0


ip nhrp shortcut virtual-template 1

ip nhrp redirect


LAN1

FlexMesh

Isolated branches

Remote Access

VRF1 VRF2

“Все-в-одном”

Release 3.5

w/out QoS

ASR1001 ASR1002-F ASR1000-ESP5 ASR1000-

ESP10

ASR1000-

ESP20

ASR1000-

ESP40

Throughput (Max / IMIX)

1.8 / 1Gbps 1 / 0.8 Gbps 1.8 / 1 Gbps 4 / 2.5 Gbps 7 / 6 Gbps 11 / 7.4 Gbps

Max tunnels (RP1 / RP2)

4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000

EIGRP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000

BGP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000

Release 3.5

w/ QoS

ASR1001 ASR1000-

ESP20

ASR1000-

ESP40

Throughput

(Max / IMIX)

1.8 / 1Gbps 7 / 6 Gbps 11 / 7.4 Gbps

Max tunnels

(RP2 only)

2000 2000 2000

Max tunnels 2000 2000 2000

Производительность и массштабируемость

Сертифицированный VPN

VPN-решения Cisco в России

VPN-решения Cisco признаны лучшими во многих

странах и признаны стандартом де-факто многими

специалистами

Использование VPN-решений Cisco в России

сопряжено с рядом трудностей

Порядок ввоза на территорию Таможенного союза

шифровальных средств

Требование использования национальных

криптографических алгоритмов

Обязательная сертификация СКЗИ

Cisco – лицензиат ФСБ

Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения,

поддерживающие российские криптоалгоритмы на базе

оборудования Cisco

Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-

1626 от 28 февраля 2011 года

Сертификат по классу КС1/КС2/КС3

Решение для удаленных офисов

• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)

Управление безопасностью сети с помощью

Cisco Prime Infrastructure

Управление безопасностью с помощью Cisco

Prime Infrastructure





Выводы

Одно устройство Подход Cisco

Несколько устройств Обычный подход

Маршрутизация

Коммутация

Безопасность

Контроль

Оптимизация

Голос Снижение CapEx

Небольшой OpEx

Простая управляемость

Разницав подходе Cisco и ‘остальных’

В заключении

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 88

13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

Пожалуйста, заполните анкеты.

Ваше мнение очень важно для нас.

Спасибо

Contacts:

Name

Phone

E-mail

Technology

Маршрутизаторы Cisco как устройства обеспечения информационной безопасности