Часть II. Построение распределенной корпоративной сети



Вторая часть видеокурса состоит из нескольких отдельных модулей*


Модуль I. Построение корпоративной сети


Краткое описание модуля:

Изученные сетевые технологии в первой части видеокурса, являются никак не связанными друг с другом кусочками пазла. Еще с начала первой части, мы обещали Вам консолидировать, объединить все изученные знания в одном большом проекте. Наше обещание будет исполнено в этом модуле. Мы грамотно объединим технологии таким образом, что они станут частью единого целого, объединим посредством построения единой корпоративной сети предприятия.

Построенная корпоративная сеть, а также полученные знания в области работы с платформой сетевой виртуализации UNetLab, предоставят нам прочную платформу для изучения принципиально иных, качественно новых сетевых технологий в следующих модулях.


Урок 1. Unified Networking Lab (UNetLab)


1.1. Знакомство с платформой сетевой виртуализации UNetLab. Необходимость применения эмуляторов Dynamips, QEMU, IOU/IOL, Docker и VPCS.

1.2. Способы установки UNetLab. Установка bare-metal и с использованием гипервизоров VMWare - преимущества и недостатки каждого из способов.

1.3. Единая и территориально-распределенная архитектура UNetLab для построения большой корпоративной сети.

1.4. Минимальные и рекомендованные системные требования для единой архитектуры.

1.5. Минимальные и рекомендованные системные требования для территориально-распределенной архитектуры.

1.6. Методология аренды серверов для развёртывания UNetLab. Отличие VPS/VDS от выделенного сервера, гипервизоры OpenVZ и KVM.

1.7. Развёртывание UNetLab на гипервизоре VMWare WorkStation и первичная настройка виртуальной машины.

1.8. Создание первой лабораторной работы в UNetLab, знакомство с интерфейсом.

1.9. Добавление образов виртуального оборудования для эмулятора Dynamips, рекомендации по выбору образов IOS, запуск сетевого устройства.

1.10. Установка клиентов протоколов удаленного доступа для управления виртуальным сетевым оборудованием.

1.11. Обновление UNetLab с помощью команд Linux. Добавление функции Dynamic Nodes Connection.

1.12. Изучение процессов, происходящих в эмуляторе Dynamips. Понятия Program Counter, idle-loop, idle-max, idle-sleep и idle-pc.

1.13. Оптимизация потребляемых ресурсов эмулятором Dynamips с помощью установки значения, указывающего на предположительное место простоя в программном коде (idle-pc).

1.14 Методология расчета idle-pc для образов IOS, выбор и установка оптимального значения. Работа с механизмом «status» и командой «top».

1.15 Кастомизация клиентов протоколов удаленного доступа. Настройка размера и цвета шрифта, отключение нежелательных диалоговых окон.

1.16 Особенности сохранения конфигураций виртуальных устройств в UNetLab. Возможность использования одного и того же node с разными startup-config.

1.17 Дополнительные возможности UNetLab. Обзор функционала.

1.18 Многопользовательский режим UNetLab. Создание пользователей и управление ролями Administrator, Editor и User. Особенности многопользовательского режима.



Урок 2. Эмуляторы и платформы сетевой виртуализации


2.1. Эмуляторы Dynamips, QEMU, IOU/IOL, Docker и VPCS. Назначение эмуляторов.

2.2. Эмулятор Dynamips и MIPS архитектура.

2.3. Платформы Cisco устройств, поддерживаемых в Dynamips. Различия между серией и платформой.

2.4. Ограничения Dynamips в UNetLab. Обычные и кроссплатформенные образы.

2.5. Преимущества и недостатки Dynamips как эмулятора архитектуры MIPS.

2.6. Различия между симулятором и эмулятором. Наборы команд RISC и CISC.

2.7. Ограничения модуля EtherSwitch в Dynamips.

2.8. Мультивендорный Quick Emulator (QEMU) – список поддерживаемого сетевого оборудования и аппаратные архитектуры.

2.9. Образы Cisco vIOS и Cisco vIOS L2 для QEMU. Список технологий, не поддерживающихся в образах.

2.10. Преимущества и недостатки эмулятора QEMU.

2.11. Эмулятор IOU/IOL (IOS over Unix / IOS over Linux). История возникновения эмулятора, особенности использования.

2.12. Образы оборудования Cisco для эмулятора IOU/IOL, ограничения функциональности в образах L2.

2.13. Преимущества и недостатки эмулятора IOU/IOL (IOS over Unix / IOS over Linux).

2.14. Рабочая станция в сетевой топологии. Virtual PC Simulator, Docker и внешняя виртуальная машина. Различия в поддерживаемых функциях между VPCS и Docker.

2.15. Какой эмулятор выбрать? Сравнительная таблица Dynamips, QEMU и IOU/IOL. Потребление аппаратных ресурсов каждым из эмуляторов. Рекомендации по выбору эмулятора.

2.16. Платформы сетевой виртуализации, отличные от UNetLab.

2.17. IOU-Web как web frontend для IOU/IOL. Особенности построения сетевых топологий, поддерживаемые эмуляторы.

2.18. Graphical Network Simulator (GNS3). Сравнительная таблица GNS3 и UNetLab.

2.19. Virtual Internet Routing Lab (VIRL). Внутреннее устройство, поддерживаемые образы, потребляемые ресурсы, стоимость.

2.20. Cisco CSR и Cisco Nexus Titanium как аналоги ASR1000 и Nexus. Внутреннее устройство, методология запуска.

2.21. Какую платформу сетевой виртуализации выбрать? Сравнение рассмотренных платформ и выбор оптимального варианта для построения большой корпоративной сети.



Урок 3. Построение корпоративной сети, этап I


3.1. Одноранговый сетевой дизайн. Методология построения сети с одноранговым дизайном.

3.2. Проблемы и ограничения, свойственные одноранговым сетям. Почему модель равноправных сетевых устройств можно применять только в небольших сетях?

3.3. Иерархический сетевой дизайн для построения крупных сетей предприятий. Трехуровневая иерархическая модель компании Cisco.

3.4. Уровень Access для подключения конечных абонентов. Требуемая мощность оборудования, расчет нагрузки и задачи, возлагаемые на уровень доступа.

3.5. Уровень Distribution для агрегирования трафика. Требуемая мощность оборудования, расчет нагрузки и задачи, возлагаемые на уровень распределения.

3.6. Уровень Core для передачи трафика между Distribution. Соединение Distribution коммутаторов в цепочку, по схеме каждый на каждого и с использованием уровня Core. Преимущества и недостатки каждого из способов.

3.7 Оборудование, устанавливаемое на уровень Core. Задачи, решаемые на этом уровне.

3.8. Нужен ли Core уровень? Практические и финансовые аспекты.

3.9. Уровни Enterprise Edge, Server Farm и DMZ.

3.10. Преимущества трехуровневой иерархической сетевой модели над одноранговым сетевым дизайном. Решение проблем, связанных с перегрузкой коммутаторов, управлением сетевой безопасностью на уровне протокола IP, размером широковещательного домена, масштабируемостью и отказоустойчивостью.

3.11. Начало практической работы и консолидации ранее изученных технологий в одном большом проекте. Настройка виртуальной машины VMWare в соответствии с рекомендуемыми системными требованиями для территориально-распределенной архитектуры.

3.12. Создание новой лабораторной работы и добавление необходимых устройств в сетевую топологию. Выбор подходящих образов для каждого уровня, установка необходимых модулей с интерфейсами, настройка отображения сетевых устройств. Установка значений NVRAM и idle-pc.

3.13. Соединение всех устройств топологии с использованием отказоустойчивых связей.

3.14. Предварительное определение IP адресации и Router ID в маршрутизируемой части сети. Рекомендации по применению loopback интерфейсов.

3.15. Конфигурирование сетевых устройств, входящих в маршрутизируемую часть сети. Настройка поведения роутера с использованием команд «logging synchronous», «exec-timeout», «no ip domain-lookup». Настройка интерфейсов, анонсирование сетей для обеспечения динамической маршрутизации на основе протокола OSPF.

3.16. Краткое напоминание о принципах работы L2 и L3 портов. Обозначение номера модуля и номера интерфейса.

3.17 Проблема автосогласования duplex в оборудовании, эмулируемом на Dynamips. Ручная установка duplex на интерфейсах устройств.

3.18. Обеспечение отказоустойчивости шлюза на основе HSRP в коммутируемой части сети. Краткое напоминание о принципах работы технологий First Hop Redundancy Protocol (FHRP).

3.19. Конфигурирование trunk и access интерфейсов, назначение VLAN, настройка L2 EtherChannel и режимов балансировки трафика. Особенности работы с командой «show vlan» в модуле EtherSwitch.

3.20. Конфигурирование HSRP на коммутаторах уровня Distribution. Настройка SVI интерфейсов и standby групп для каждого VLAN, установка приоритетов.

3.21. Настройка Spanning Tree на работу в составе HSRP. Назначение ролей «root» и «secondary root» за каждый VLAN в зависимости от активного коммутатора. Особенности работы с командой «show spanning-tree» в модуле EtherSwitch.

3.22. Отправка первого IP пакета и проверка перехода от коммутируемой к маршрутизируемой части сети.

3.23. Построение уровня Server Farm (Data Center) и подключение DHCP сервера. Дизайн Server Farm – почему требуется выделить отдельный Distribution блок?

3.24. Настройка DHCP сервера. Конфигурирование пула IP адресов, основного шлюза и DNS сервера для каждого VLAN. Назначение запрещенных к выдачи адресов командой «ip dhcp-excluded addresses».

3.25. Проверка конфигурации. Работа с командами «show running-config | section DHCP» и «show running-config | include DHCP». Разница в логике работы команд «section» и «include».

3.26. Краткое напоминание о принципах работы технологии DHCP Relay Agent. Сообщения DHCP Discover, Offer, Request и Acknowledge.

3.27. Настройка агентов-ретрансляторов на коммутаторах уровня Distribution с использованием команды «ip helper-address»

3.28. Проверка работы DHCP сервера и механизма DHCP Relay Agent. Изучение принципов поиска и устранения проблем (troubleshooting) на примере обнаруженной неисправности. Пошаговая проверка корректной работы цепочки механизмов, входящих в коммутируемую и маршрутизируемую часть сети.

3.29. Дополнительная настройка DHCP сервера. Установка времени аренды и просмотр «IP address binding».

3.30. Завершение первого этапа построения большой корпоративной сети. Особенности использования памяти в UNetLab.



Урок 4. Построение корпоративной сети, этап II


4.1. Соединение виртуальной лабораторной среды с реальной, физической сетью. Обеспечение выхода в Интернет для пограничных (EDGE) роутеров.

4.2. Структура перехода от виртуального программного обеспеченья к реальной, физической сети.

4.3. Принципы взаимодействия цепочки интерфейсов FastEthernet 0/0->pnet 0->eth 0->VMWare Network Adapter->сетевая карта хостовой машины->физический роутер->Интернет.

4.4. Альтернативный способ обеспечения доступа к физической сети с использованием NAT и DHCP на VMWare WorkStation.

4.5. Обеспечение выхода в интернет для конечных пользователей предприятия. Настройка NAT с перегрузкой на пограничном EDGE роутере. Использование access-lists для управления диапазоном частных IP адресов.

4.6. Выявление и устранение сетевой неисправности (troubleshooting), обнаруженной при попытке доступа в Интернет. Работа с командой «default-information originate» и таблицей NAT трансляций.

4.7. Особенности Virtual PC при работе с DNS сервером.

4.8. Резервирование подключения к провайдеру с использованием схемы Dual-homed (2 CE to 1 ISP).

4.9. Закрепление IP адреса за MAС адресом интерфейса в настройках DHCP физического роутера.

4.10. Переконфигурация NAT на пограничных роутерах для работы в среде Dual-homed.

4.11. Распределение потока трафика от конечных пользователей между двумя EDGE роутерами с помощью управления метрикой. Работа с параметром «metric» в команде «default information originate».

4.12. Динамическое изменение метрики маршрута по умолчанию в зависимости от состояния провайдера. Использование механизма IP SLA в сопряжении с prefix-list, route-map и default-information.

4.13. Альтернативный способ управления маршрутом по умолчанию с использованием Embedded Event Manager (EEM). Изучение принципов работы апплетов.

4.14. Использование команды «event syslog pattern» для регистрирования событий IP SLA и запуска Event Manager Applet.

4.15. Применение мер предосторожности, связанных с использованием удаленных линий управления line vty в механизме Event Manager.

4.16. Управление маршрутом по умолчанию на основе route-map и с помощью Embedded Event Manager (EEM). Сравнение и выбор оптимальной реализации.

4.17. Работа с функцией «wait» в механизме Event Manager Applet. Версии EEM.

4.18. Решение проблем, связанных с периодическим отказом в обслуживании виртуальных SVI интерфейсов коммутаторов. Использование Event Manager Applet с событием «timer countdown».

4.19. Дополнительные события (events) и действия (actions), доступные в Embedded Event Manager (EEM). Работа с командами диагностики.

4.20. Тестирование отказоустойчивости на уровне Distribution, Core и Edge. Проверка отказоустойчивости основных шлюзов в коммутируемой и маршрутизируемой части сети.

4.21. Выявление и устранение сетевых неисправностей (troubleshooting), обнаруженных в процессе тестирования отказоустойчивости.

4.22. Ускорение процесса восстановления сети после сбоя, за счёт подстройки hello и dead interval в протоколах IGP, а также hello и hold timers в протоколах FHRP. Преимущества, недостатки и требования к стабильности сети при малых значениях таймеров. Рекомендуемые значения таймеров.

4.23. Switched Campus Architecture и идеология end-to-end VLANs. L2 связность между Access коммутаторами. Достоинства и недостатки модели маршрутизации на Distribution.

4.24. Routed Campus Architecture и идеология local VLANs. Правило распределения подсетей между Access коммутаторами. Еще раз об отличиях коммутации от маршрутизации. Достоинства и недостатки модели маршрутизации на Access.

4.25. Построение сети с архитектурой Routed Campus (маршрутизация на Access).

4.26. Построение local VLANs и настройка основных шлюзов для конечных пользователей. Распределение IP адресации в сети с учётом особенностей локальных VLANs.

4.27. Подробное изучение механизма перехода от конечного абонента к маршрутизируемой части сети в модели маршрутизации на Access. Обеспечение отказоустойчивости без использования First Hop Redundancy Protocols и Spanning Tree.

4.28. Детальное объяснение процессов, происходящих при передаче кадра в сети, построенной по модели маршрутизации на Access (Routed Campus). Сравнение с процессами, происходящими в сети, построенной по модели маршрутизации на Distribution (Switched Campus). Почему не возможна L2 связь между Access коммутаторами?

4.29. Моделирование ситуации неправильного распределения подсетей между Access коммутаторами в Routed Campus Architecture. Объяснение процессов, происходящих в сети при пересечении подсетей. Особенности балансировки трафика в механизме Cisco Express Forwarding (CEF)

4.30. Сравнение Routed и Switched Campus архитектур. Какую архитектуру выбрать?

4.31. Комбинирование архитектур. End-to-end VLANs в пределах одного Distribution блока. Проблемы коммутируемого ядра.

4.32. Нужна ли L2 связь между коммутаторами распределения в пределах одного Distribution блока в архитектуре Switched Campus? Моделирование ситуации отсутствия связи. Детальное отслеживание причин, приводящих к неоптимальному прохождению трафика при отсутствии L2 связи.

4.33. Нужна ли L3 связь между коммутаторами распределения в пределах одного Distribution блока в архитектуре Routed Campus? Влияние суммаризации на прохождения трафика в пределах Distribution блока при отсутствии L3 соединения.

4.34. Выполнение суммаризации маршрутов. Разделение сети, построенной по архитектуре Routed Campus на регионы OSPF. Краткое напоминание об особенностях суммаризации в EIGRP.

4.35. Влияние суммаризации на прохождения трафика в пределах Distribution блока при отсутствии резервирования между уровнем доступа и уровнем распределения.

4.36. Прямая линия связи между коммутаторами уровня ядра. Назначение линии связи.

4.37. Завершение второго этапа построения большой корпоративной сети. Подведение итогов.



Урок 5. Построение корпоративной сети, этап III


5.1. Способы подключения рабочей станции и серверов к платформе сетевой виртуализации UNetLab. Подключение с помощью Docker, QEMU и с использованием внешней виртуальной машины.

5.2. Подключение рабочей станции на Windows 7 к UNetLab с использованием внешней виртуальной машины на VMWare Workstation.

5.3. Создание и настройка новой виртуальной машины. Обзор и выбор редакции Windows 7, соответствующей требованиям проекта. Установка Windows 7.

5.4. Работа с виртуальными сетями VMnet для подключения Windows 7 к платформе сетевой виртуализации UNetLab. Установка сетевых адаптеров замыкания на себя Microsoft KM-TEST (loopback Windows).

5.5. Внесение изменений в структуру перехода от виртуального роутера до физической сети. Осуществление перехода через виртуальную сеть VMnet 0.

5.6. Объединение виртуальной машины UNetLab и виртуальной машиной Windows 7 с помощью виртуальной сети VMnet 1 и Network Adapters.

5.7. Проверка подключения Windows 7 к Access коммутатору в UNetLab с помощью трассировки. Внешняя виртуальная машина с Windows 7 получает доступ в интернет через всю иерархическую цепочку оборудования построенной корпоративной сети.

5.8. Детальное изучение взаимодействия интерфейсов «подключение по локальной сети в Windows 7» -> «Network Adapter» - > «VMnet 1 + Microsoft KM-TEST» -> «Network Adapter 2» -> «eth 1» - > «pnet 1» - > «Fast Ethernet 1/3» -> «корпоративная сеть в UNetLab».

5.9. Организация доступа к гостевой ОС с помощью Remote Desktop Protocol. Объединение хостовой и виртуальной машины с Windows 7 в единую канальную среду с помощью сети VMnet 2 в режиме host-only.

5.10. Обзор и выбор редакции Windows Server 2012, отвечающей требованиям проекта. Создание новой виртуальной машины и её настройка. Подключение новой ВМ к ранее созданной виртуальной сети VMnet 2 для осуществления доступа по RDP.

5.11. Детальное изучение взаимодействия цепочки интерфейсов, позволяющих объединить хостовую и гостевую ОС в единый широковещательный домен. Хостовая машина + Windows 7 + Windows Server 2012, объединённые с помощью виртуального коммутатора VMnet 2.

5.12. Установка Windows Server 2012. Особенности передачи сочетания клавиш control + alt + delete в виртуальную машину.

5.13. Установка компонента «пользовательские интерфейсы и инфраструктуры» для персонализации Windows Server. Инициализация дополнительного жесткого диска D.

5.14.Отказоустойчивое подключение внешней виртуальной машины с Windows Server 2012 к корпоративной сети в UNetLab. Добавление новых Microsoft KM-TEST, VMnet и Network Adapters. Подключение двух сетевых карт Windows Server к двум Distribution коммутаторам серверной фермы.

5.15. Настройка Distribution коммутаторов для подключения Windows Server. Настройка SVI, HSRP и Spanning-Tree. Причины возникновения петли коммутации при объединении сетевых карт Windows Server в режиме Bridge.

5.16. Таблица MAC адресов на Windows Server во взаимосвязи с HSRP. На какой из Distribution коммутаторов будут направляться пакеты от Windows Server?

5.17. Детальное изучение схемы подключения Windows Server к платформе сетевой виртуализации UNetLab. Цепочка интерфейсов «Network Bridge» -> «Ethernet 1» - > «Network Adapter 2» - > «VMnet 3 + Microsoft KM-TEST» -> «Network Adapter 3» -> «eth 2» - > «pnet 2» - > «fa 1/5 на FarmDistSwitch 1» -> «корпоративная сеть в UNetLab».

5.18. Отключение Cisco Express Forwarding (CEF) на Core коммутаторе и частичная потеря пакетов. Выполнение поиска неисправности в сети (troubleshooting) посредством отслеживания маршрута следования трафика. Использование команд диагностики «show ip route», «show ip ospf neighbors», «show interface fax/x switchport», «show ip interface brief», «show etherchannel summary». Устранение неисправности.

5.19. Устранение неисправности, связанной с динамически изменяющимися МАК адресами на интерфейсах роутеров.

5.20. Потеря маршрута по умолчанию при обращении к ресурсу в Интернет с Windows Server. Поиск причины, приводящей к потери маршрута (troubleshooting). Использование WireShark для отслеживания пути следования ICMP пакетов.

5.21. Особенности работы IP SLA при открытой NAT трансляции. Взаимосвязь поля BE Identifier в ICMP пакетах, формируемых Windows и Virtual PC, с потерей маршрута по умолчанию.

5.22. Устранение неисправности, приводящей к потери маршрута по умолчанию. Модификация конфигурации IP SLA.

5.23. Организация автоматического резервного копирования конфигураций активного сетевого оборудования. Установка ПО, принимающего подключения на 21 порт по протоколу FTP. Настройка FTP сервера.

5.24. Механизм автоматического резервного копирования конфигураций (running и startup configs) с помощью планировщика Kron (Command Scheduler). Знакомство с планировщиком.

5.25. Реализация механизма Command Scheduler на Cisco IOS. Работа с командами «policy-list», «cli copy startup-config», «kron occurrence». Изучение параметров настройки времени «oneshot», «recurring», «system-startup», а также «in» и «at».

5.26. Резервное копирование конфигураций по расписанию (running и startup configs) с помощью встроенной в IOS функции архивирования Archive & Rollback. Знакомство с Archive.

5.27. Настройка резервного копирования на Cisco IOS с помощью функции архивирования Archive. Установка пути до FTP сервера с помощью команды «path». Работа с переменными, возвращающими имя устройства «$H» и метку времени «$T».

5.28. Работа с командой «time-period», устанавливающей частоту резервного копирования, и командой «write-memory», позволяющей осуществлять выгрузку running-config на FTP сервер при каждом сохранении устройства.

5.29. Работа с командой «maximum» для ограничения количества резервных копий.

5.30. Необходимость установки корректного ip источника, при обращении к FTP серверу. Работа с командой «ip ftp source-interface».

5.31. Работа с лог-файлом FTP сервера. Особенности метки времени резервных копий в старых версиях IOS. Проверка работы функции Archive.

5.32. Автоматические восстановление роутера через заданный промежуток времени с помощью функции Rollback. Работа с командой «configure terminal revert timer X». Форсированное восстановление с помощью команды «configure revert now» и отказ от восстановления с помощью команды «configure confirm». Настройка времени ожидания FTP сервера с помощью «rollback retry timeout».

5.33. Альтернатива функции Rollback. Использование команды «reload in X» для автоматического восстановления роутера через заданный промежуток времени. Форсированная перезагрузка с помощью «reload» и отказ от перезагрузки с помощью «reload cancel».

5.34. Сравнение функций Rollback и Reload in X для автоматического восстановления Cisco IOS.

5.35. Методология ручного восстановления конфигурации устройства из резервной копии, находящейся на FTP сервере. Работа с командой «configure replace».

5.36. Журнал команд в механизме Archive & Rollback. Включение функции логирования и просмотр журнала.

5.37. Сравнение архивов с помощью «show archive config differences».

5.38. Использование параметра idle в команде «configure terminal revert timer X» механизма Rollback. Назначение параметра.

5.39. Обеспечение доступа к Access коммутаторам по IP адресам, не имеющих ни одного L3 интерфейса (подключенных по модели Switched Campus Architecture).

5.40. Особенности модуля EtherSwitch эмулируемого на Dynamips. Сообщение о недостаточном объеме flash памяти и способы устранения неисправности.

5.41. Настройка Archive & Rollback на L2+ коммутаторах.

5.42. Обеспечение neighbor взаимоотношений по протоколу OSPF для L3 коммутаторов, не имеющих ни одного физического L3 интерфейса (подключенных по модели Switched Campus Architecture).

5.43. Обеспечение доступа к Access коммутатору через редистрибьюцию маршрутов. Детальное объяснение алгоритмов работы. Рекомендации по применению редистрибьюции.

5.44. Установка доменных служб Active Directory и повышение роли Windows Server до уровня контроллера домена.

5.45. Добавление рабочей станции Windows 7 в состав домена.

5.46. Добавление новой учетной записи пользователя в Active Directory. Добавление пользователя в группы.

5.47. Осуществление входа в доменную учетную запись через консольное и RDP подключение. Windows 7, подключенный к Access коммутатору, через всю иерархическую структуру корпоративной сети, осуществляет взаимодействие с Windows сервером, подключенного к Distribution коммутаторам серверной фермы.

5.48. Консолидация знаний в области взаимодействия активного сетевого оборудования. Еще раз о базовых принципах работы сети.

5.49. Завершение третьего этапа построения большой корпоративной сети и подведение итогов.

5.50. Обзор технологий, протоколов и механизмов, изучаемых в следующих модулях.



Модуль II. VPN технологии


Краткое описание модуля:

Этот модуль является ключевым модулем второй части, в нём подается самая сложная, многоуровневая техническая информация, имеющая множество ответвлений. Мы тщательно выверяли подаваемую информацию и стремились создать максимально качественный продукт.

Часть II, модуль II - это детальная информация с глубиной подаваемой информации на уровне стандартов RFC, включающая сложнейшую криптографию, симметричное и асимметричное шифрование, принципы туннелирования, группу протоколов IPsec и траблшутинг, инфраструктуру открытого ключа PKI и центры сертификации Certificate Authority, инфраструктуру времени предприятия NTP и многое другое. Такой глубины подаваемой информации о сложнейших VPN технологиях Вы еще не встречали ни в одном интерактивном видеокурсе.

Мы не просто изучим VPN технологии, мы разберем принципы работы всех сложных технологий до винтиков, благодаря чему, в последствии Вы сможете не только объединять филиалы и досконально понимать принципы туннелирования, но и максимально гибко управлять своей сетевой инфраструктурой, выбирая оптимальные VPN решения под конкретные задачи Вашего предприятия.


Урок 1. Network Time Protocol (NTP). Практика


1.1. Необходимость синхронизации времени на активном сетевом оборудовании Cisco для последующей организации защищенных VPN соединений.

1.2. Единая точка отсчета для часовых поясов. Всемирное координированное время (Coordinated Universal Time, UTC).

1.3. Ручная конфигурация времени на устройствах Cisco. Установка даты, времени и часового пояса.

1.4. Автоматический переход на летнее время. Работа с командой «clock summer-time». Подсистема «date» и «recurring».

1.5. Различия между аппаратным и программным временем на устройствах Cisco. Назначение аппаратной микросхемы времени. Перенос времени из аппаратной микросхемы в операционную систему Cisco IOS. Оборудование, поддерживающее аппаратную микросхему времени.

1.6. Настройка отображения временных меток в log и debug сообщениях. Проштамповка сообщений журнала и отладки текущим временем устройства с учетом часового пояса. Проштамповка сообщений журнала и отладки временем от момента запуска устройства. Работа с командой «service timestamps» и подкомандами «debug», «log», «datetime», «localtime», «show-timezone». Рекомендации по применению механизма.

1.7. Недостатки ручной конфигурации времени на устройствах Cisco. Причины постепенного расхождения времени на сетевых устройствах.

1.8. Автоматическая синхронизация времени на активном сетевом оборудовании Cisco с помощью Network Time Protocol (NTP).

1.9. Топология NTP. Авторитетный источник времени. Понятие stratum для определения степени отдаления от авторитетного источника времени.

1.10. Процесс передачи метки времени от авторитетного источника до конечного клиента. Ошибка времени, накапливаемая при переходе между серверами разных часовых слоев.

1.11. Механизм коррекции времени на величину сетевых задержек в протоколе NTP. Компенсация накопленной ошибки.

1.12. Подключение пограничных роутеров предприятия к NTP серверам в Интернет. Понятие основного и запасного NTP сервера. Работа с командами «ntp update-calendar», «ntp logging», «ntp server», «ntp source-interface» и другими.

1.13. Рекомендации по выбору NTP сервера и методология проверки работоспособности. Команды диагностики «show ntp status», «show ntp associations», «show run | section NTP», «show clock detail». Понятие состояния синхронизации времени в протоколе NTP.

1.14. Особенности прохождения NTP пакетов через Network Address Translation (NAT). Ограничения, накладываемые механизмом PAT.

1.15. Работа NTP в среде сетевой виртуализации. Зависимость синхронизации времени от скорости работы виртуального оборудования.

1.16. Режимы взаимодействия устройств по протоколу NTP. Режим «Server/Client», «Broadcast/Multicast», «Peer». Рекомендации по использованию режимов.

1.17. Иерархический, плоский и комбинированный NTP дизайн. Преимущества и недостатки каждого дизайна. Выбор NTP дизайна исходя из нагрузочной характеристики сети предприятия.

1.18. Практическая реализация плоского NTP дизайна в корпоративной сети. Настройка пограничных роутеров предприятия на работу в роли NTP сервера. Команды «ntp master» и «clock calendar-valid».

1.19. Настройка сетевого оборудования, входящего в уровни Core, Distribution и Access на получение метки точного времени от пограничных роутеров предприятия, запущенных в режиме NTP сервера. Настройка взаимодействия «Broadcast/Multicast». Настройка отказоустойчивого NTP кластера с помощью режима взаимодействия «Peer».

1.20. Практическая реализация иерархического NTP дизайна в корпоративной сети. Включение роли NTP сервера на оборудовании, входящего в уровни Core и Distribution. Настройка роли клиента на оборудовании, входящего в уровни Core, Distribution и Access.

1.21. Защита инфраструктуры NTP. Последствия нарушения безопасности инфраструктуры времени предприятия.

1.22. Механизм защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Сообщения «requests», «updates», «control queries».

1.23. Блокирование NTP сообщений с помощью access-lists и механизма NTP Access Groups. Режимы «query-only», «serve-only», «serve», «peer» .

1.24. Практическая реализация механизма защиты NTP с помощью access-lists на основе типов сообщений (NTP Access Groups). Настройка acсess-lists, применение режимов «peer» и «serve-only». Угрозы, нейтрализуемые данной защитой.

1.25. Проверка работоспособности инфраструктуры NTP, поиск и устранение неисправностей (troubleshooting). Использование команд «debug ntp», «ntp logging», «show ntp assosiations», «show ntp status».

1.26. Механизм защиты NTP с помощью аутентификации. Проверка подлинности источника. Угрозы, нейтрализуемые данной защитой.

1.27. Практическая реализация механизма защиты NTP с помощью аутентификации. Работа с командами «ntp authenticate», «ntp trusted key», «ntp authentication key». Защита клиентской и серверной части NTP. Реализация защиты на всех уровнях сетевой иерархической модели.

1.28. Принципы работы механизма аутентификации. Диагностика корректности работы механизма аутентификации с помощью debug и сниффера трафика WireShark.

1.29. Использование нескольких ключей в механизме аутентификации NTP. Сценарии применения ключевых цепочек.

1.30. Подключение Windows 7 к NTP серверу корпоративной сети предприятия. Отказоустойчивое подключение Windows Server 2012 к двум NTP серверам корпоративной сети, используя единый HSRP IP адрес.



Урок 2. Network Time Protocol (NTP). Теория


2.1. В каком виде передается время в NTP пакете? Структура NTP Timestamp.

2.2. Детальное изучение процесса синхронизации времени между NTP сервером и клиентом. Начальное время (t1), время приема (t2), время отправки (t3), время получения (t4). Формулы расчета задержки (delay) и смещения (offset).

2.3. Внутренние алгоритмы NTP. Первичная фильтрация пакетов. Этапы обработки пакетов и процессы «peer/poll», «system», «clock discipline», «clock adjust».

2.4. Структура NTP пакета. Детальное изучение полей «Leap Indicator», «VN», «Mode», «Stratum», «Polling Interval», «Precision», «Root Delay», «Root Dispersion», «Reference Identifier», «Reference Timestamp» и другие.

2.5. Односторонняя и двухсторонняя синхронизация. Symmetric active/passive и server/client modes.

2.6. Различия между root delay и peer (round-trip) delay. Различия между peer dispersion и root dispersion.

2.7. Управляющие NTP пакеты Kiss-o’-Death (KoD) и кодовые комбинации Kiss Codes. Назначение и возможные угрозы безопасности.

2.8. Детальное изучение показателей вывода команды диагностики «show ntp status». Понятие колебательной системы. Номинальная и фактическая частота локальных часов. Показатели синхронизации, номера часового слоя, источника времени, точности, времени обновления, смещения, задержки, дисперсии, дрифта, статуса фильтра обратной петли, времени последнего обновления.

2.9. Детальное изучение показателей вывода команды диагностики «show ntp associations». Сконфигурированные сервера и сервера, добавленные в автоматическом режиме. Сервера кандидаты (candidates), выбранные сервера (selected), сервера аутсайдеры (outliers), сервера-фальсификаторы (falsetickers), сервера правильного времени (truechimers). Показатель источника времени и неисправности (.LOCL, .STEP., INIT, DOWN), показатели stratum, when и poll. Работа с показателем reach. Различия между дисперсией и смещением.

2.10. Детальное изучение показателей вывода команды диагностики «show ntp associations detail». Состояния «сonfigured», «dynamic», «our_master», «selected», «sync distance».

2.11. Проверка входящих NTP пакетов на соответствие характеристикам с помощью Sanity Test. Коды ошибок и их значения. Состояния «sane», «insane», а также «valid» и «invalid».

2.12. Дополнительные функции NTP. Установка ограничений на количество ассоциаций. Отключение NTP на интерфейсе. Настройка round-trip delay в широковещательных и многоадресных пакетах.

2.13. Настройка продолжительности такта кварцевого генератора с помощью команды «ntp clock-period». Ускорение и замедление локальных часов. Отличия работы механизма в IOS 15.

2.14. Ускорение первичной синхронизации с помощью команд «burst» и ibusrt». Факторы, влияющие на скорость синхронизации. Ухудшение статистических данных при ускорении синхронизации.

2.15. Настройка минимальной (minpoll) и максимальной (maxpoll) частоты опроса NTP сервера. Работа с командами «ntp server version», «ntp server source-interface», «debug ntp validity». Практическая реализация дополнительных функций NTP в проекте корпоративной сети предприятия.

2.16. Simple Network Time Protocol (SNTP), настройка и конфигурация. Отличия от NTP. Структура SNTP пакета. Рекомендации по использованию протокола.

2.17. Инфраструктура времени предприятия. Подведение итогов.



Урок 3. Введение в VPN технологии. Generic Routing Encapsulation (GRE)


3.1. Построение мини-проекта, состоящего из головного офиса и филиала, необходимого для изучения протокола GRE.

3.2. Идеология виртуальных частных сетей (Virtual Private Network). Объединение нескольких удаленных друг от друга частных сетей в одну единую локальную сеть.

3.3. Реализация VPN туннеля с использованием протокола Generic Routing Encapsulation (GRE). Конфигурация GRE. Работа с командами «tunnel-source», «tunnel-destination», «tunnel-mode» и другими. Статические маршруты через туннельные интерфейсы.

3.4. Детальное изучение принципов туннелирования на примере протокола GRE. Механизмы инкапсуляции оригинального IP пакета (пассажира) во внешний IP пакет (пакет доставки). Каким образом удается обратиться к компьютеру филиала по его частному IP адресу, не смотря на то, что частные IP адреса не маршрутизируются в Интернет? Использование WireShark для отслеживания процесса инкапсуляции.

3.5. Терминология VPN. Понятие инкапсуляции и туннелирования. Заголовки «delivery», «GRE», «payload».

3.6. Версии GRE. Структура GRE пакета версии 0. Поля «Checksum», «Routing», «Key», «Sequence Number» и другие. Назначение полей.

3.7. Структура GRE пакета версии 1 в пакете PPTP. Отличие GRE пакета версии 0 от GRE пакета версии 1.

3.8. Включение аутентификации, проверки чек-суммы, а также отслеживания последовательности пакетов в настройке туннельного интерфейса.

3.9. Подключение второго филиала к лабораторному проекту. Логические топологии взаимодействия филиалов Full-Mesh и Hub-and-Spoke. Преимущества и недостатки каждой топологии. Рекомендации по выбору топологии. Настройка маршрутов для обеспечения взаимодействия между всеми филиалами согласно топологии Hub-and-Spoke.

3.10. Проблема MTU в VPN сетях. Максимальный размер сегмента TCP (MSS) и согласованный наименьший размер сегмента (SMSS).

3.11. Maximum Transmission Unit (MTU) и его влияние на количество передаваемых данных по VPN туннелю. Расчет количества полезных данных, которые можно передать внутри TCP заголовка без использования GRE.

3.12. Расчет количества полезных данных, которые можно передать внутри TCP заголовка при GRE инкапсуляции. Почему пропускная способность туннеля меньше, чем обычного интерфейса?

3.13. MTU на канальном и сетевом уровне. В чем разница между MTU физического интерфейса и MTU туннельного интерфейса?

3.14. Разница между размером кадра и размером MTU. Почему WireShark предоставляет недостоверную информацию о размере кадра?

3.15. Флаг Don’t Fragment в IP пакетах, препятствующий их прохождению через туннельный интерфейс.

3.16. Четыре способа решения проблемы MTU в VPN сетях и флага Don’t Fragment. Преимущества и недостатки каждого из способов.



Урок 4. Группа протоколов IPsec. Режимы инкапсуляции


4.1. Последствия нарушения конфиденциальности данных для предприятия. Типичные сценарии нарушения конфиденциальности.

4.2. Практическая работа по обеспечению конфиденциальности передаваемых по VPN туннелю данных посредством их шифрования. Шифрование GRE трафика. Базовая настройка IPsec на примере IPsec over GRE.

4.3. Подробнее о режиме инкапсуляции IPsec over GRE. Последовательность заголовков Ethernet->new IP->ESP->GRE->IP->ICMP->ESP Trailer->ESP Authentication. Недостатки этого режима. Использование WireShark для отслеживания последовательности заголовков.

4.4. Туннельный режим IPsec. Модификации, происходящие с оригинальной последовательностью заголовков при использовании этого режима. Назначение режима и сценарии его применения.

4.5. Практическая работа по организации Site-to-Site VPN с использованием туннельного режима IPsec. Поэтапная конфигурация. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Работа с прямым и зеркальным access-list.

4.6. Алгоритм обработки исходящих и входящих пакетов. Принципы работы конфигурации «IPsec c crypto-map». Почему отсутствует необходимость в настройке статических маршрутов? Путь прохождения трафика от компьютера в головном офисе до компьютера в филиале.

4.7. Транспортный режим IPsec - шифрование служебного трафика, передающегося между двумя устройствами Cisco, находящимися в пределах одной локальной сети. Отличия от туннельного режима. Вид последовательности заголовков.

4.8. Практическая реализация транспортного режима IPsec. Сценарии применения режима. Сценарий 1 – защита служебного трафика, передаваемого между двумя роутерами. Настройка фазы 1 и фазы 2. Конфигурация static crypto-map. Настройка правил обработки трафика с помощью прямых и зеркальных access-list’s. Работа с командой диагностики «show crypto ipsec sa».

4.9. Сценарий 2 – защита трафика, передаваемого от сервера на компьютер пользователя в пределах одной локальной сети. Почему система автоматически переключается в туннельный режим, несмотря на очевидное преимущество транспортного? Запрет автоматического переключения в туннельный режим с помощью команды «mode transport require».

4.10. Консолидация изученных режимов инкапсуляции. Сценарии применения туннельного, транспортного, IPsec over GRE, а также GRE over IPsec режимов. Преимущества и недостатки каждого из них.



Урок 5. Группа протоколов IPsec. Протоколы ESP, AH, ESP & AH


5.1. История создания группы протоколов IP Security. IPsec как надстройка над стеком TCP/IP.

5.2. Возможности IPsec. Знакомство с принципами обеспечения конфиденциальности данных (data encryption), целостности данных (data integrity), аутентификации пакетов и шлюзов (packets and peer authentication), защиты от воспроизведения данных (anti-replay protection), обмена ключами (key management).

5.3. Протоколы, входящие в состав IP Security. Протокол согласования параметров безопасности IKE и протоколы инкапсуляции и передачи данных по туннелю - ESP, AH, ESP & AH.

5.4. Протокол инкапсуляции и передачи данных Encapsulating Security Payload, ESP. Принципы работы и назначение протокола, его возможности.

5.5. Обеспечение конфиденциальности (шифрования) данных посредством протокола ESP. Принципы шифрования. Шифрование данных симметричными алгоритмами DES, 3DES, AES. Участок в последовательности заголовков, подвергаемый шифрованию.

5.6. Последствия нарушения целостности пакетов для предприятия. Атака «человек по середине (man in the middle)». Детальное изучение принципов обеспечения целостности данных и аутентификации пакетов (data integrity and packets authentication) посредством протокола ESP и HMAC хеш-функций. Проверка целостности и аутентификация пакетов в едином механизме благодаря keyed-hash функции. Поле Authentication в ESP пакете.

5.7. Защита данных от воспроизведения (anti-replay protection), реализуемая с помощью поля Sequence Number (SN) в ESP пакете. Перемешивание пакетов в пределах заданного размера окна (anti-replay window). Цели и задачи злоумышленника, преследуемые при реализации атаки воспроизведения пакетов.

5.8. Структура ESP заголовка. Назначение полей Security Parameters Index (SPI), Sequence Number (SN), ESP Payload Data, Padding, Pad Length, Next Header, ESP Authentication Data. Размеры полей. Сравнение со структурой GRE заголовка.

5.9. Протокол инкапсуляции и передачи данных Authentication Header, AH. Режимы работы и возможности AH. Принципиальное отличие AH от ESP. Сценарии применения Authentication Header – когда AH лучше, чем ESP?

5.10. Структура AH заголовка. Назначение полей Next Header, Payload Length, Reserved, Security Parameters Index (SPI), Sequence Number (SN), Authentication Data, Payload Length. Размеры полей. Сравнение со структурой ESP заголовка.

5.11. Практическая работа – переход на использование AH вместо ESP в лабораторном проекте. Настройка политики второй фазы с помощью команды «crypto ipsec transform-set» и установка параметра «ah-sha-hmac». Работа с командами «crypto map», «show run | section crypto», «clear crypto sa». Использование WireShark для изучения новой последовательности заголовков.

5.12. Комбинированный режим ESP + AH. Совмещение возможностей двух протоколов в одном пакете. Двойная аутентификация. Защита от изменения всего пакета (включая внешний IP заголовок) при сохранении возможности шифрования данных. Вид последовательности заголовков при использовании ESP + AH.

5.13. Практическая работа по переходу на комбинированный режим. Модификация конфигурации политики второй фазы «transform-set» и установка параметров «esp-aes | esp-sha-hmac |ah-sha-hmac». Объяснение параметров.

5.14. Сравнение протоколов ESP, AH, ESP & AH. Участки в последовательности заголовков, подвергаемые подписи и шифрованию. Преимущества и недостатки комбинированного режима, сценарии применения.



Урок 6. Группа протоколов IPsec. Internet Key Exchange, фаза 1


6.1. Протокол согласования параметров безопасности Internet Key Exchange Protocol (IKE). Детальное изучение назначения и принципов работы протокола.

6.2. Фазы построения IPsec туннеля. IKE фаза 1 и IKE фаза 2. Основная идеология IKE.

6.3. IKE фаза 1 в Main Mode. Шесть сообщений и три этапа согласований. Этап согласования политик, этап генерации ключевого материала и обмен Diffie-Hellman, этап аутентификации и проверки подлинности.

6.4. Этап I - согласования политик. Что такое политика первой фазы и для каких целей требуется её согласование. Алгоритм согласования политик.

6.5. Протоколы ISAKMP, Oakley и SKEME, лежащие в основе гибридного протокола IKE. Принцип действия и назначение каждого протокола.

6.6. Структура заголовка ISAKMP. Многоуровневые вложения (payload) в ISAKMP. Вложения SA, Proposal и Transform. Флаги C, E, A. Назначение флагов. Поля SPI инициатора, SPI ответчика, Next Payload, Major, Minor, Exchange Type, Message ID, Total Message Length. Детальное описание полей.

6.7. Практическая работа по конфигурации политик первой фазы. Работа с командой «crypto isakmp policy». Атрибуты политики. Атрибуты encryption, hash, group, authentication, lifetime -детальное описание каждого атрибута. Назначение каждого атрибута.

6.8. Использование WireShark для изучения процесса согласования политик первой фазы на практическом примере. Обмен пакетами этапа I первой фазы IKE (сообщения 1 и 2).

6.9. Номера политик в Cisco IOS. Приоритет политик. Порядок расположения политик в ISAKMP пакете.

6.10. Изменение приоритета политик для гибкого управления процессом согласования. Как заставить роутер согласовывать конкретные политики?

6.11. Понятие «инициатор соединения». Согласование политик с разными атрибутами в зависимости от инициатора.

6.12. Политики с неполными атрибутами. Что будет, если выполнить частичную конфигурацию политики?

6.13. Поведение роутеров при отсутствии политик. Политики по умолчанию в IOS 15 и IOS 12.4. Особенности вывода команды «show crypto isakmp policy» в случае отсутствия политик сконфигурированных вручную.

6.14. Этап II - генерация ключевого материала и обмен Diffie-Hellman. Получение общего секретного ключа без его фактической передачи.

6.15. Детальное изучение принципов работы алгоритма Diffie-Hellman. Математические функции, основанные на асимметричных ключах. Псевдослучайное число «p» и первообразный корень «g». Формулы расчета общего секретного ключа Shared Secret.

6.16. Практическая работа. Самостоятельный расчет общего секретного ключа Shared Secret по формулам Diffie-Hellman.

6.17. Группа Diffie-Hellman как атрибут политики первой фазы. На что влияет номер группы Diffie-Hellman? Использование WireShark для изучения обмена пакетами этапа II первой фазы IKE (сообщения 3 и 4).

6.18. Общий ключевой материал SKEYID. Сессионные ключи SKEYID_a (authentication key), SKEYID_e (encryption key), SKEYID_d (derivative key). Назначение и использование каждого ключа.

6.19. Генерация SKEYID в случае аутентификации по pre-shared ключу. Обмен информацией KE и nonсe (Ni, Nr).

6.20. Подробнее о pre-shared ключе. Pre-shared ключ и Shared Secret – это одно и то же? Команда для установки pre-shared ключа. Роль pre-shared в формуле расчета общего ключевого материала SKEYID.

6.21. Формула расчета SKEYID в случае аутентификации по pre-shared ключу. Что такое PRF (pseudo-random function)?

6.22. Генерация SKEYID в случае аутентификации RSA Encrypted Nonces (шифрование открытым ключом). Суть метода аутентификации. Роль псевдослучайных чисел nonce (Ni и Nr) в рассматриваемом методе аутентификации. Обмен информацией CKY, hash, IDi, PK. Назначение каждой переменной. Формула расчета SKEYID.

6.23. Генерация SKEYID в случае аутентификации RSA Signature (по цифровым сертификатам). Суть метода аутентификации, отличия от RSA Encrypted Nonces. Обмен информацией CERT и SIG. Формула расчета SKEYID.

6.24. Формулы расчета сессионных ключей SKEYID_a, SKEYID_e, SKEYID_d. Общий SKEYID и Shared Secret как основа для расчета сессионных ключей.

6.25. Этап III - аутентификация и проверка подлинности VPN шлюзов на примере pre-shared аутентификации. Понятие identity. Формулы расчета HASH_I и HASH_R, которые используются для аутентификации VPN шлюзов. Изучение переменных (g^xi, g^xr, CKY-I, SAi, Idi), входящих в формулу расчета HASH_I и HASH_R. Каким образом pre-shared ключ участвует в механизме аутентификации. Как конкретно происходит процедура проверки подлинности и аутентификации с использованием identity hash.

6.26. Разница между проверкой подлинности и аутентификацией. Использование WireShark для изучения обмена пакетами этапа III первой фазы IKE (сообщения 5 и 6).

6.27. Конечный результат 3-х этапов первой фазы IKE в режиме Main Mode – ассоциация безопасности IKE. Что такое IKE Security Association, её назначение.

6.28. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa detail» Детальное изучение вывода команды. Столбцы ID, DST, SRC, VRF, STATUS и другие. Еще раз о том, что такое ассоциация безопасности.

6.29. Просмотр установленных IKE Security Association с помощью команды «show crypto isakmp sa» без параметра «detail». Детальное изучение вывода команды. Разница между диагностическими колонками status и state.

6.30. Таблица расшифровки состояний ассоциаций, отображаемых в колонке state. Состояния MM_NO_STATE, MM_SA_SETUP, MM_KEY_EXCH, MM_KEY_AUTH, QM_IDLE и другие.

6.31. Команды диагностики IKE фазы 1, не относящиеся к Security Association. Команды «show crypto isakmp» с параметрами «default policy, key, peers, profile, sa».

6.32. IKE фаза 1 в Aggressive Mode. Построение мини-ISAKMP туннеля за 3 сообщения. Обмен сообщениями в Main и Aggressive режиме – сравнение. Детальное изучение процессов, происходящих в течении Aggressive обмена. Что способствует его ускорению? Почему в Аggressive режиме этап аутентификации защищается только частично?

6.33. Преимущества и недостатки Aggressive режима. Что выбрать – Main Mode или Aggressive Mode?

6.34. Практическая работа по переходу на Aggressive Mode. Работа с профилем первой фазы и командой «crypto isakmp profile». Настройка профиля командами «initiate mode aggressive», «match identity», «keyring default». Как указать identity в случае pre-shared аутентификации? Что такое keyring? Как профиль влияет на поведение IPsec? Разница между профилем первой фазы и профилем второй фазы. Подключение профиля к текущей конфигурации.

6.35. Использование WireShark для изучения обмена первой фазы в Aggressive Mode на практическом примере. В каких случаях Aggressive режим будет инициирован принудительно?

6.36. Мини-ISAKMP туннель как конечный результат IKE фазы 1.



Урок 7. Группа протоколов IPsec. Internet Key Exchange, фаза 2


7.1. IKE фаза 2 Quick Mode. Процессы, происходящие на второй фазе IKE. Цели и задачи второй фазы.

7.2. Политики второй фазы transform. Назначение политик второй фазы. Изучение процесса обмена политиками второй фазы. Настройка политик второй фазы с помощью команды «сrypto ipsec transform-set». Взаимодействие transform-set и crypto-map.

7.3. Политики по умолчанию. Работа с командой «show crypto ipsec default transform-set». Дефолтные политики в IOS 15 и IOS 12.4.

7.4. Порядок подключения политик к crypto-map. Приоритет политик второй фазы. Согласование политик в зависимости от инициатора. Как заставить роутер согласовывать конкретные политики? Эмулирование ситуаций, при которых роутеры согласовывают разные политики.

7.5. Другие процессы, происходящие на второй фазе IKE. Проверка целостности и аутентификация источника с помощью расчета HASH. Ключевой материал SKEYID_a как основа для расчета HASH (1), HASH (2) и HASH (3). Детальное изучение алгоритма, с помощью которого два VPN шлюза проверяют подлинность отправителя на второй фазе IKE.

7.6. Переменные SKEYID_a, M-ID, SA, Ni, KE, IDi, IDr в формулах расчета HASH.

7.7. Генерация ключевого материала KEYMATERIAL, из которого создаются ключи для симметричных алгоритмов шифрования DES, 3DES, AES, а также для HMAC хеш-функций. Ключевой материал SKEYID_d как основа для формулы расчета KEYMATERIAL.

7.8. Perfect Forward Secrecy (PFS). Формула расчета KEYMATERIAL в зависимости от применения PFS. На что влияет PFS?

7.9. Целесообразность применения Perfect Forward Secrecy (PFS). Компрометация злоумышленником ключевого материала SKEYID_d. Влияние технологии PFS на скорость обмена второй фазы. Стоит ли включать PFS?

7.10. Практическая работа. Включение PFS с помощью команд Cisco IOS. Тест производительности роутеров с активированной и деактивированной технологией PFS. Объяснение причин, по которым снижается производительность роутера.

7.11. Знакомство с IPsec Security Association (ассоциация безопасности второй фазы). Особенности создания IPsec Security Association и их взаимосвязь с PFS. Просмотр Security Associations второй фазы с помощью команды «show crypto ipsec sa».

7.12. Модификация лабораторной работы и добавление дополнительных подсетей пользователей. Создание нескольких Security Associations второй фазы, путем направления трафика в разные подсети. Закрепление материала с помощью отслеживания событий, происходящих в сети.

7.13. Подробнее о Security Associations. Разница между IKE Security Association (ассоциация первой фазы) и IPsec Security Associations (ассоциации второй фазы). Какую информацию содержат Security Associations и для чего они используются?

7.14. Однонаправленные (unidirectional) и двунаправленные (bidirectional) Security Associations. Особенности двунаправленных SAs. Входящие и исходящие ассоциации.

7.15. Номер Security Parameter Index (SPI) и его взаимосвязь с Security Association (SA). Сопоставление входящего ISAKMP, ESP или AH пакета с соответствующей ассоциацией безопасности.

7.16. Формула расчета SPI номеров. Разница между IKE SPI и IPsec SPI. Изучение на примере расшифрованного пакета второй фазы.

7.17. Практическая работа с IPsec SAs и SPI номерами. Отслеживание сопоставления SPI номеров с входящими и исходящими IPsec SAs на практическом примере. Как конкретно роутер сопоставляет входящий ISAKMP, ESP или AH пакет с соответствующей SA. Понятие шаблона SA.

7.18. Продолжение детального изучения вывода команды «show crypto ipsec sa». Счетчики пакетов. Использование счетчиков для диагностики второй фазы. Понятие initialization vector (IV size).

7.19. Другие команды диагностики второй фазы IKE. Работа с командой «show crypto ipsec» и параметрами «policy», «profile», «default transform-set», «spi-lookup». Объяснение вывода команд. Разница между командами «sa» и «security associations».

7.20. Общие команды диагностики IPsec. Работа с командами «show crypto map» и «show crypto session».

7.21. Время жизни ассоциаций безопасности, Security Associations lifetime. Почему необходимо ограничивать время жизни ассоциаций? Время жизни по умолчанию.

7.22. Механизм автоматической смены Security Association по истечению времени жизни.

7.23. Особенности согласования значений lifetime между роутерами для разных типов SAs.

7.24. Установка значения lifetime для ассоциаций первой фазы. Два способа установки значения lifetime для ассоциаций второй фазы.

7.25. Глобальный способ установки времени жизни IPsec ассоциаций. Работа с командой «crypto ipsec security-association lifetime». Ограничение периода существования IPsec SAs по времени и количеству обработанных килобайт. Отключение лимитирования по количеству обработанных килобайт. Преимущества и недостатки глобального способа установки lifetime.

7.26. Установка времени жизни IPsec ассоциаций локально для crypto-map. Работа с командой «set security-association lifetime». Преимущества и недостатки локального способа установки lifetime.

7.27. Почему время жизни Security Association на первой фазе, должно быть больше, чем время жизни Security Associations на второй фазе?

7.28. Выбор оптимального значения lifetime для Security Associations с учетом, и без учета PFS.

7.29. Установка idle-time. Чем idle-time отличается от lifetime? Идеология idle-time.

7.30. Настройка защиты от атаки воспроизведения пакетов (anti-replay protection). Использование команды «сrypto ipsec security-association replay» для изменения размера окна (window-size). Необходимость в управлении размером окна. Отключение защиты.

7.31. Протокол IP Payload Compression Protocol (PCP) и алгоритм сжатия lzs, обеспечивающие компрессию пакетов. Цели, преследуемые при активации механизма. Преимущества и недостатки сжатия пакетов – стоит ли включать компрессию? В какой последовательности применять механизм – сначала сжатие, а затем шифрование, или сначала шифрование, а затем сжатие? Включение механизма сжатия, путем добавления соответствующего параметра в политику второй фазы. Работа со счетчиками компрессии. Новая Security Association для протокола PCP.

7.32. Последовательное изучение всех этапов, которые проходит исходящий пакет, прежде чем будет отправлен по туннелю – алгоритмы обработки исходящих пакетов.

7.33. База данных политик безопасности Security Policy Database (SPD). Назначение базы данных. Обработка пакета на основании селекторов и политик – «отбросить», «пропустить без применения IPsec» или «пропустить с применением IPsec». Каким образом формируется SPD?

7.34. База данных ассоциаций безопасности Security Associations Database (SAD). Поиск конкретной ассоциации безопасности в базе данных ассоциаций SAD с помощью маркеров.

7.35. Последовательное изучение всех этапов, которые проходит входящий пакет, прежде чем будет отправлен на компьютер пользователя – алгоритмы обработки входящих пакетов.

7.36. Основной IPsec туннель как конечный результат IKE фазы 2.



Урок 8. Группа протоколов IPsec. Криптографические алгоритмы и поиск неисправностей


8.1. Криптографические алгоритмы, используемые в IPsec. Способы аутентификации VPN шлюзов (PSK, RSA Encrypted Nonces, Digital Certificates). Асимметричные шифры, используемые в некоторых методах аутентификации (RSA, DSA, ECDSA, etc.). Что такое асимметричный алгоритм шифрования?

8.2. Симметричные алгоритмы шифрования (RC4, SEAL, AES, DES, 3DES, etc.), использующиеся для шифрования трафика пользователей. Блочные и потоковые симметричные шифры – принципы работы, отличия. Как происходит шифрование. Что такое симметричный алгоритм? Что такое раунд? Сравнение AES и DES по криптографической стойкости при одинаковой длине ключа. Особенности алгоритма SEAL при работе с микросхемами аппаратного шифрования ASIC.

8.3. Алгоритмы хеширования (MD, SHA, BLAKE, Grostl, etc.), использующиеся для проверки целостности и аутентификации пакетов. Чем обычный хеш-алгоритм отличается от HMAC хеш-алгоритма – изучение принципов работы. Хэш-функции, поддерживаемые в Cisco IOS. Длина итогового хеш. Разница между аутентификацией пиров и аутентификацией пакетов.

8.4. Алгоритм обмена ключами Diffie-Hellman. Три вида групп – DH, ECDH, SUBDH. Детально про каждую из групп. Зависимость криптографической стойкости от номера группы. Стоит ли использовать SUBDH группы? Группы с эллиптическими кривыми – больший уровень криптографической стойкости при меньшей длине числа P.

8.5. Рекомендации по выбору криптографических алгоритмов. Какие криптографические алгоритмы выбрать для обеспечения максимальной безопасности передаваемых данных?

8.6. Слабые, средние и сильные алгоритмы. Выбор алгоритмов для аутентификации VPN шлюзов, шифрования трафика IKE (служебных ISAKMP сообщений), шифрования данных пользователей, проверки целостности и аутентификации пакетов.

8.7. Длина итогового hash. Особенность поля Authentication Data в ESP и AH пакетах. Что такое SHA-2-512-96?

8.8. От чего зависит безопасность IPsec? Рекомендации по выбору группы Diffie-Hellman для первой и второй фазы IKE.

8.9. Длина pre-shared ключа. Разница между бинарном и десятичным представлением. Случайные биты. Взаимосвязь между битовой длиной используемой хеш-функцией и символьной длиной pre-shared ключа. Формула расчета необходимой символьной длины pre-shared ключа.

8.10. Рекомендации по выбору оптимального значения времени жизни (lifetime) для IKE и IPsec Security Associations. Рекомендации, учитывающие наличие или отсутствия механизма Perfect Forward Secrecy (PFS).

8.11. Что делать, если производительности роутера не достаточно для применения сильных алгоритмов? Общие рекомендации по выбору криптографических алгоритмов. Стоит ли доверять новым алгоритмам?

8.12. Особенности лицензии Security в IOS 15. Ограничения на использование криптографических средств с длиной ключа более 56 бит. Аббревиатура NPE.

8.13. Рекомендации по выбору длины ключа для симметричных и асимметричных алгоритмов шифрования. До какого периода времени, данные зашифрованные алгоритмом AES с длиной ключа 128 не смогут быть расшифрованы атакой лобового перебора? Метод полного перебора ключа – необходимое количество итераций при длине ключа 56 бит. От чего зависит стойкость криптосистемы?

8.14. Encapsulation Security Payload (ESP) без шифрования (только аутентификация пакетов). Работа с параметром esp-null в Cisco IOS. Еще раз о разнице между аутентификацией VPN шлюзов и аутентификацией пакетов.

8.15. Методология просмотра зашифрованных ISAKMP и ESP пакетов в WireShark. Как посмотреть содержимое зашифрованного пакета в WireShark?

8.16. Troubleshooting IPsec. Методология поиска неисправностей в IPsec - разбор типовых кейсов. Эмуляция неисправностей, их поиск и устранение. Детальное изучение вывода debug. Debug первой и второй фазы. Работа с командами диагностики IPsec.



Урок 9. Группа протоколов IPsec. Internet Key Exchange version 2 (IKEv2)


9.1. Идеология Internet Key Exchange version 2. Отличия IKEv1 от IKEv2. Новые термины и определения.

9.2. Изучение процессов, происходящих на фазе IKE_SA_INIT. Передача политик (SA), открытого ключа Diffie-Hellman (DH) и псевдослучайно сгенерированных nonce (N). Запрос сертификата CERTREQ.

9.3. Общий ключевой материал SKEYSEED в IKEv2. Семь сеансовых ключей SK и формулы их расчета. Отличия SKEYID от SKEYSEED.

9.4. Изучение процессов, происходящих на фазе IKE_AUTH. Политики второй фазы (SA2), identity, вложение AUTH. Селекторы трафика TSi и TSr и их взаимосвязь с SPD базой. Влияние PFS на сообщения, передаваемые на фазе IKE_AUTH.

9.5. Конечных результат, получаемый по завершению фаз IKE_SA_INIT и IKE_AUTH.

9.6. Процесс CREATE_CHILD_SA для создания новых Сhild Security Associations и их обновления. Формулы расчета ключей для алгоритмов симметричного шифрования и хеш-функций при активированной и деактивированной технологии PFS.

9.7. Перегенерация ключевого материала (rekeying) без повторной аутентификации. Формула расчета SKEYSEED при обновлении Security Association.

9.8. Механизм защиты от DoS атак, представленный в IKEv2. Каким образом может быть совершена DoS атака на протокол IKE? Изучение принципов работы защитного механизма. Использование COOKIE для реализации защиты. Формула расчета COOKIE. Случайно сгенерированный секрет и параметр VersionID_of_Secret. Активация механизма защиты от DoS.

9.9. IKEv1 против IKEv2 – сравнительная таблица. Новые методы аутентификации (ecdsa-sig, EAP). Технология MOBIKE. Асимметричная аутентификация. Подтверждение информационных сообщений и другое. Важные преимущества IKEv2.

9.10. Практическая работа по конфигурации Internet Key Exchange v2. Подбор версии IOS, поддерживающей IKEv2 с помощью Cisco Feature Navigator.

9.11. Установка образа маршрутизатора vIOS-L3 на QEMU. Настройка VMWare для работы с эмулятором QEMU. Требования к центральному процессору хостовой машины. Понятие вложенной виртуализации (Nested Virtualization). Особенности запуска эмулятора QEMU на VirtualBox.

9.12. Конфигурация IKEv2. Настройка политик первой фазы IKE_SA_INIT. Атрибуты отдельно от политики. Изучение особенностей и отличий от IKEv1.

9.13. Механизм проверки целостности ISAKMP сообщений, реализованный в IKEv2. Почему отсутствует атрибут «hash»? Отличие атрибута «integrity» от атрибута «prf» в настройках политики первой фазы.

9.14. Новый режим аутентификационного шифрования AES-GCM (Galois/Counter Mode). Отличия, от режима AES-CBC (Cipher Block Chaining). Почему при использовании AES-GSM, нельзя выбрать алгоритм проверки целостности (внешнюю HMAC функцию)?

9.15. Новый механизм сравнения политик первой фазы – несколько значений для одного атрибута.

9.16. Создание группы ключей keyring и настройка IKEv2 профиля. Установка параметров проверки identity, настройка аутентификации и времени жизни ассоциаций первой фазы. Работа с командами «crypto ikev2 profile», «match identity», «keyring local» и другими.

9.17. Настройка политик второй фазы IKE_AUTH (политики IPsec). Алгоритмы ESP-GCM и ESP-GMAC. Что такое Galois Message Authentication Code (GMAC) и как протокол ESP будет работать в случае его использования?

9.18. Конфигурация acсess-list и crypto-map. Работа с командами «set pfs», «match address», «set transform-set» и другими. Проверка работоспособности конфигурации.

9.19. Изучения процесса обмена пакетами в IKEv2 на практическом примере с помощью WireShark. Обмен IKE_SA_INIT и IKE_AUTH. Обмен CREATE_CHILD_SA. Обмен информационными сообщениями.

9.20. Механизм обнаружения ретранслированных пакетов - Message ID (MID) в ISAKMP сообщениях. Альтернативное использование поля Message ID в IKEv1.

9.21. Диагностика IKEv2. Группа команд «show crypto ikev2» с параметрами «sa, sa detailed, policy, proposal» и другие. Изучение вывода команд диагностики.

9.22. Совместимость IKEv1 и IKEv2. Могут ли две версии IKE работать вместе?

9.23. Консолидация IPsec. Краткое повторение и закрепление материала, изученного в ходе этой серии уроков. Заключение.



Урок 10. Инфраструктура открытого ключа (PKI). Теория


10.1. Принципы шифрования с использованием одного и того же ключа. Недостатки симметричного шифрования.

10.2. Принципы асимметричного шифрования – открытый (public) и закрытый (private) ключ. Каким образом используются открытые и закрытые ключи для шифрования данных?

10.3. Применение пары открытый/закрытый ключ в сценарии обеспечения конфиденциальности и в сценарии аутентификации узлов.

10.4. Принципы асимметричной аутентификации. Каким образом используются открытые и закрытые ключи для аутентификации узлов?

10.5. Сложность задачи факторизации как основа криптографической системы RSA с открытым ключом. Назначение и применение RSA алгоритма.

10.6. Асимметричные алгоритмы DSA и ECDSA – отличия от алгоритма RSA. Критерии выбора конкретного алгоритма.

10.7. Основная идеология всех асимметричных алгоритмов шифрования.

10.8. Почему для шифрования трафика пользователей в IPsec, нельзя применять асимметричные алгоритмы? Как отличить симметричный алгоритм от асимметричного алгоритма?

10.9. Нарушение конфиденциальности данных в следствии атаки «человек по середине» (man in the middle) на перехват открытого ключа. Подробное изучение принципов атаки.

10.10. Повышение безопасности криптосистемы с открытым ключом с помощью цифровых сертификатов. Назначение и применение цифровых сертификатов. Сертификат как открытый ключ + информационная составляющая.

10.11. Сертификат стандарта X.509 для инфраструктуры открытого ключа и инфраструктуры управления привилегиями. Первое знакомство с полями сертификата.

10.12. Три формата X.509-того сертификата. Описание каждого формата. Основной принятый формат сертификата.

10.13. Кодировка сертификатов методами CER, DER, base64, ANS.1. Расширения итоговых файлов сертификатов - .CER, .CRT, .DER, .PEM, .P12, .P7B, .PFX. Каким образом информация из полей сертификата хранится в итоговом файле?

10.14. Особенности .PEM сертификатов.

10.15. Криптографические стандарты PKCS как аналог RFC в сетях. Стандарт PKCS12 и итоговый файл .P12 для хранения и транспортировки закрытого ключа. Стандарт PKCS10 для запроса сертификата у Certificate Authority. Стандарт PKCS7 и итоговый файл .P7B – хранилище нескольких сертификатов.

10.16. Консолидация знаний, изученных в этом разделе урока. Разбираемся в терминах PKCS, PEM, CRT, X.509, base64. Еще раз о стандартах сертификатов, форматах сертификатов, расширении итоговых файлов, кодировках и криптографических стандартах PKCS12.

10.17. Как доказать, что сертификат принадлежит конкретному лицу и окончательно предотвратить перехват открытого ключа и нарушение конфиденциальности передаваемых данных?

10.18. Инфраструктура открытого ключа (Public Key Infrastructure, PKI). Центр сертификации (Certificate Authority, CA). Роль центров сертификации в корпоративной сети предприятия.

10.19. Доскональное изучение принципов работы всех технологий, входящих в PKI. Запрос сертификата у Certificate Authority с помощью SCEP - Simple Certificate Enrollment Protocol.

10.20. Что такое цифровая подпись? Как Certificate Authority подписывает сертификат, который выпускает для PKI клиента? Роль закрытого ключа центра сертификации.

10.21. Роль открытого ключа центра сертификации (сертификата CA). Доверие к личным сертификатам на основании сертификата CA.

10.22. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения PKI. Доскональное изучение принципов аутентификации. Как именно роутеры используют поле «digital signature» и открытый ключ CA для проверки подлинности и целостности полученного сертификата от соседнего VPN шлюза? Какова роль центра сертификации (Certificate Authority) в цепочке взаимодействия двух VPN шлюзов? Что такое hash сертификата, как он используется и для чего он нужен?

10.23. Попытка подмены сертификата роутера А человеком по середине (man in the middle) - эмуляция двух сценариев атаки. Объяснение причин, по которым рассмотренные сценарии атак не могут увенчаться успехом в случае, если личный сертификат роутера А является подписанным со стороны центра сертификации.

10.24. Что будет, если злоумышленник украдет сертификат роутера А и попытается с помощью него аутентифицироваться на роутере Б? Какими механизмами располагает IPsec для предотвращения этого класса атак?

10.25. Краткое напоминание о принципах аутентификации в IPsec по предварительно-распределенному секрету (pre-shared ключу).

10.26. Аутентификация VPN шлюзов по цифровым сертификатам с точки зрения IPsec. Отличия внутренней логики аутентификации по цифровым сертификатам от аутентификации по pre-shared ключу.

10.27. Взаимосвязь закрытого ключа роутера А и цифровой подписи SIG_I в IPsec. Как именно IPsec взаимодействует с инфраструктурой открытого ключа PKI и для каких целей IPsec создает цифровую подпись SIG_I?

10.28. Детальное изучение алгоритма аутентификации двух IPsec пиров посредством цифровых сертификатов во взаимодействии с Public Key Infrastructure и Certificate Authority.

10.29. Что будет, если злоумышленник украдет не только сертификат, но и закрытый ключ роутера А? Механизм отзыва сертификатов с помощью Certificate Revocation List (CRL), Online Certificate Status Protocol (OCSP) и AAA Server.

10.30. Детальное изучение принципов работы механизма проверки отзыва сертификатов с помощью CRL файла. Процедура подписи и публикации CRL файла на web сервере. Процедура загрузки CRL файла с web сервера для проверки сертификата на факт отзыва PKI клиентами. Преимущества и недостатки механизма с CRL файлом.

10.31. Подробнее о механизме проверки отзыва сертификатов с помощью СУБД OCSP. Преимущества и недостатки этого механизма.

10.32. Подробнее о механизме проверки отзыва сертификатов с помощью AAA Server, доступного в Cisco Secure ACS. Целесообразность применения данного механизма.

10.33. Детальное изучение полей, входящих в состав сертификата стандарта X.509 версии 3. Поля «Version Number», «Signature Algorithm ID», «Validity Period», «Subject Public Key Info», «Certificate Signature Algorithm», «Digital Signature». Назначение и использование каждого поля.

10.34. Особенности полей «X.500 Issuer Name» и «X.500 Subject Name». Подробнее о стандарте X.500 и службе распределенного каталога. Relative Distinguished Names (RDNs), такие как CN, OU, O, L, S, C.

10.35. Поле «Extensions» (дополнения) и суб-поля. Применяемость сертификата, специфика применения ключа, ограничения на использование. Политики выдачи сертификата, Certificate Policy. Класс выдачи сертификата.

10.36. Этапы видоизменения сертификата. Вид сертификата в HEX редакторе->в декодированном виде->после интерпретации программным обеспечением. Особенности интерпретации.

10.37. Изучение инфраструктуры открытого ключа на примере Global PKI.

10.38. Обзор структуры реального сертификата, полученного с сайта банка в среде Global PKI.

10.39. Object Identifier (OID) в одном из суб-полей сертификата и понятие extended-validation.

10.40. Каким образом компьютеру клиента удается проверить, что сайт банка не является поддельным? О чем свидетельствует иконка зеленого замка в левом верхнем углу браузера?

10.41. Детальное изучение алгоритма проверки подлинности полученного сертификата от банка – закрытый ключ банка, дочерние (подчиненные) центры сертификации и цепочка доверия (пути сертификации).

10.42. Глобальные центры сертификации и хранилище корневых сертификатов Windows. Работа с хранилищем сертификатов Windows. Особенности хранилища сертификатов у браузера Mozilla Firefox.

10.43. Переход к развертываю корпоративного, Enterprise PKI.



Урок 11. Инфраструктура открытого ключа (PKI). Практика, часть I


11.1. Практическая работа по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде (Enterprise PKI).

11.2. Добавление сервера центра сертификации (Сertificate Authority) к лабораторному проекту. Памятка, касающаяся IDLE-PC и несколько дополнительных моментов. Разница между удостоверяющим центром и центром сертификации, а также различия между Global PKI и Enterprise PKI.

11.3. Конфигурирование центра сертификации на Cisco IOS. Генерация пары открытый/закрытый ключ, работа с командой «crypto key generate» и её параметрами. Генерация ключей с помощью RSA и ECDSA алгоритма. Рекомендации по выбору длины ключа.

11.4. Опция «exportable» при генерации ключевой пары. Стоит ли делать закрытый ключ CA экспортируемым? Последствия компрометации закрытого ключа центра сертификации. Ситуации, при которых требуется наличие копии закрытого ключа. Рекомендации по безопасному хранению закрытого ключа.

11.5. Продолжение конфигурации центра сертификации на Cisco IOS. Настройка trustpoint, активация http сервера. Работа с командой «issuer-name CN=, OU=, O=, S=, C=».

11.6. Настройка расположения базы данных CA сервера, работа с командой «Database url». Месторасположение базы дынных для образов IOS работающих на Dynamips, QEMU, IOU/IOL. Месторасположение для реального оборудования. Сведения, хранящиеся в базе данных CA сервера.

11.7. Настройка полноты информации, хранящейся в базе данных CA сервера. Работа с командой «database level». Режимы «complete», «names» и «minimum». Рекомендации по выбору режима.

11.8. Настройка алгоритма хеширования. Для каких целей в настройках центра сертификации указывается hash алгоритм?

11.9. Установка сроков действия CA сертификата; сертификата, который будет выпускаться для PKI клиентов и CRL файла. Работа с командами «lifetime certificate, lifetime ca-certificate, lifetime CRL».

11.10. Настройка поведения Сertificate Authority при получении запроса на выдачу сертификата от клиента. Работа с командой «grant» и режимами «auto», «ra-auto», «none», «no grant auto». Описание каждого режима.

11.11. Завершение конфигурации и запуск CA сервера. Объяснение механизмов, при которых открытый ключ CA сервера преобразуется в сертификат CA. Понятие самоподписанного (self-signed) сертификата. Рекомендации по генерации безопасного пароля для защиты закрытого ключа.

11.12. Настройка PKI клиентов – VPN шлюзов предприятия. Постановка задачи.

11.13. Генерация пары открытый/закрытый ключ на клиенте с помощью алгоритма RSA. Стоит ли делать закрытый ключ экспортируемым в случае PKI клиента? Обзор двух разных сценариев, приводящих к двум разным решениям. Немного о EFS - Encrypting File System.

11.14. Настройка trustpoint на PKI клиенте. Команда «enrollment url» - особенности синтаксиса. Понятие FQDN, Fully Qualified Domain Name. Отличие имени домена от полного имени домена. Назначение FQDN. Настройка «subject-name».

11.15. Запрос CA-сертификата у центра сертификации с помощью команды «crypto pki authenticate». Еще раз о назначении CA-сертификата и его роли в аутентификации VPN шлюзов.

11.16. Отпечаток (fingerprint) CA-сертификата. Предотвращение атаки подмены центра сертификации - механизм дополнительного ручного подтверждения подлинности полученного CA-сертификата (Out of Band Authentication).

11.17. Получение личного сертификата для VPN шлюза у центра сертификации, работа с командой «crypto pki enroll». Challenge Password, как еще один механизм Out of Band аутентификации, повышающий безопасность. Роль и назначение Challenge Password.

11.18. Работа с командой «show crypto PKI certificates» для просмотра полученных сертификатов на Cisco IOS PKI клиенте.

11.19. Получение сертификатов для второго PKI клиента (VPN шлюза). Работа с командой проверки сертификатов на факт отзыва «revocation check» и параметрами «crl», «none» и «oscp».

11.20. Команда диагностики центра сертификации – «show crypto pki server». Детальное объяснение вывода команды.

11.21. Переход на аутентификацию по цифровым сертификатам в IPsec. Внесение изменений в ISAKMP политики первой фазы на обоих VPN шлюзах. Проверка соединения посредством просмотра IKE и IPsec Security Associations.

11.22. Методология ручного запроса сертификатов у Сertificate Authority без использования SCEP. Пошаговая инструкция по получению и ручному импорту сертификата CA на PKI клиента, а так же ручному запросу личного сертификата для PKI клиента. Практическая работа с кодировкой base64 и запросом PKCS10. Работа с командами «enrollment terminal», «crypto pki import» «crypto pki export NAME pem terminal» и другими.

11.23. Практическая работа с командой «grant» и режимом «no grant auto» в настройках Сertificate Authority для включения механизма ручного подтверждения запросов на выдачу сертификатов со стороны администратора CA. Изучение и использование команды для просмотра запросов, ожидающих одобрения (pending). Команда для одобрения конкретного запроса.

11.24. Сценарии, в которых применяется механизм ручного подтверждения запроса со стороны администратора CA (Out of Band authentication).

11.25. Центры регистрации, Registration Authority (RA). Назначение и применение центров регистрации. Режим «ra-auto» в настройках Cisco CA.



Урок 12. Инфраструктура открытого ключа (PKI). Практика, часть II


12.1. Практическая работа по развертыванию системы проверки сертификатов на факт отзыва с помощью CRL файла – подключение виртуальной машины с Windows Server к тестовому лабораторному проекту.

12.2. Установка Denwer (веб-сервера) на Windows Server. Работа с каталогами веб-сервера. Обеспечение доступа к веб-серверу по внешнему IP адресу. Создание тестовой html-страницы для проверки его работоспособности.

12.3. Настройка новой учетной записи FTP-сервера на связь с каталогом веб-сервера. Объяснение принципов взаимодействия FTP-сервера + веб-сервера + Сertificate Authority + VPN шлюза.

12.4. Внесение изменений в конфигурацию Сertificate Authority - настройка публикации списка отозванных сертификатов (CRL файла) на внешний FTP сервер. Использование команды «database url crl publish» с указанием пути до FTP сервера.

12.5. Проверка корректности конфигурации посредством отзыва и восстановления сертификата. Работа с командами «crypto pki server NAME revoke X» и «crypto pki server NAME unrevoke X».

12.6. Изучение структуры опубликованного CRL файла. Поля CRL файла и вкладка «список отзыва». Механизм автоматического обновления CRL файла центром сертификации по истечению срока его действия.

12.7. Certificate Revocation List Distribution Point (CDP) – каким образом VPN шлюзы узнают о местонахождении CRL файла? Еще раз о том, как именно VPN шлюзы проверяют сертификаты на факт отзыва.

12.8. Внесение изменений в конфигурацию Сertificate Authority – настройка CDP. Работа с командой «cdp-url http://путь до веб-сервера».

12.9. Перенастройка trustpoint на PKI клиентах на проверку сертификатов на факт отзыва посредством команды «revocation-check crl». Перевыпуск сертификатов.

12.10. Проверка работоспособности конфигурации. Ошибки, связанные с расхождением системного времени на устройствах – ручная корректировка времени.

12.11. Альтернативное месторасположение CRL файла – хостинг-провайдер предприятия как хранилище CRL файла.

12.12. Механизм кеширования CRL файла на устройствах Cisco IOS. Методы сброса и обновления кеша.

12.13. Методы полного отключения механизма кеширования CRL файла. Плюсы и минусы кеширования CRL файла - сценарии, при которых допустимо отключать механизм кеширования CRL файла. Работа с WireShark для просмотра http запроса на загрузку CRL файла.

12.14. Отзыв и восстановление сертификатов – демонстрация работы механизма проверки сертификатов на факт отзыва с помощью CRL файла.

12.15. Ситуация резкого обрыва IPsec Security Associations – объяснение ошибки «invalid SPI number».

12.16. Имитация события истечения срока действия CRL файла. Объяснение механизма автоматической перепубликации CRL файле на веб-сервере.

12.17. Рекомендации по организации инфраструктуры PKI для имплементации VPN-only. Рекомендации по установке времени действия CRL файла, кешированию CRL файла, возможности экспорта закрытого ключа.

12.18. Рекомендации по организации инфраструктуры PKI для других имплементаций на примере 802.1x сетевого карантина.

12.19. Пошаговая методика резервного копирования Сertificate Authority на Cisco IOS. Условия, необходимые для осуществления резервного копирования. Работа с командой «database archive».

12.20. Экспорт конфигурационных файлов центра сертификации на внешний FTP сервер. Сертификат CA и закрытый ключ в одном .p12 файле. Подробнее о стандарте PKCS12.

12.21. Подробнее об экспортируемых конфигурационных файлах CA сервера - .crl, .ser, .p12. Рекомендации по безопасному хранению закрытого ключа CA сервера.

12.22. Пошаговая методика восстановления Сertificate Authority на Cisco IOS с помощью резервных копий конфигурационных файлов. Проверка работоспособности восстановленного центра сертификации.

12.23. Пошаговая методика резервного копирования и восстановления PKI клиента (VPN шлюза) на Cisco IOS. Целесообразность резервного копирования PKI клиента в случае VPN-only имплементации. Условия, необходимые для осуществления резервного копирования.

12.24. Автоматическое обновление личных сертификатов PKI клиентов по окончании их срока действия. Логика работы команды «auto-enroll». Методология ручного обновления личных сертификатов. Обновление сертификата с сохранением старого открытого ключа и с генерацией новой ключевой пары.

12.25. Ручное обновление CA-сертификата центра сертификации. Моменты, на которые следует обратить внимание. Понятие «rollover» и теневого «shadow» сертификата.

12.26. Автоматическое обновление CA-сертификата за некоторое время до окончания старого. Работа с командой «auto-rollover». Имитация истечения срока действия старого сертификата - изучение принципа работы механизма на практических примерах.

12.27. Рекомендации по использованию механизма автоматического обновления CA-сертификата. Завершение практической работы по развертыванию инфраструктуры открытого ключа (PKI) в корпоративной среде.

12.28. Сравнение VPN-only и Enterprise PKI. Задачи, реализуемые в Enterprise PKI.

12.29. Еще раз о принципах работы криптографии с открытым ключом на примере цифровой подписи и шифрования e-mail.

12.30. Топологии PKI. Архитектура Single-Root CA и Hierarchical CAs. Особенности иерархической архитектуры, преимущества и принципы её построения.

12.31. Архитектура кросс-сертификации (Cross-Certified CAs). Сетевая и мостовая кросс-сертификация. Сферы применения архитектур и принципы их построения. Отличия от архитектур Single-Root CA и Hierarchical CAs.

12.32. Альтернатива PKI – PGP (Pretty Good Privacy). Отличия PGP от PKI. Принципы работы PGP. Система доверия «web of trust» в PGP. Сравнение и выбор между PGP и PKI – что лучше?

12.33. Подведение итогов. Разговор о технологиях, протоколах и механизмах, изучаемых в следующих модулях.



Модуль III. Site-to-Site VPNs


Краткое описание модуля:

Этот модуль является продолжением предыдущего. Он имеет еще больший практический уклон. В этом модуле, мы перейдем к практическому внедрению изученных технологий в большую корпоративную сеть, в наш основной проект. Именно так, как Вы будите делать это в рамках реального предприятия - два филиала, будут отдалены друг от друга посредством реального Интернет. Однако, без знаний из предыдущего модуля, сделать это будет невозможно.

Нам предстоит на удаленном компьютере развернуть филиальную сеть и подключить её к головной сети посредством DMVPN - основной технологии, изучаемой в этом модуле.

DMVPN, это многогранная и сложная технология для автоматического построения туннелей между spoke роутерами, которая может быть реализована различными способами. DMVPN может работать в режиме фазы 1, 2 и 3. Каждая из фаз, накладывает свои ограничения на поведение туннелей, на возможность суммаризации маршрутов, а так же на возможность применения того или иного протокола динамической маршрутизации. Мы узнаем, почему в сети DMVPN, при количестве spoke роутеров более 100, применение OSPF невозможно. Узнаем, почему необходимо запрещать query сообщения в EIGRP и почему BGP является наилучшим решением. Но если BGP, то iBGP или eBGP? В случае нахождения филиальных роутеров за NAT, потребуется применение технологии NAT-Traversal, но и здесь всё не так просто - не каждый филиал может быть закрыт за динамическим NAT. В режиме фазы 2, образуется incomplete запись в CEF, которая влияет на производительность сети - нам предстоит разобраться и с этим вопросом. Отказоустойчивость Hub, может быть реализована посредством Dual Hub Single Cloud и Dual Hub Dual Cloud, и каждый из вариантов реализации обладает своими преимуществами и недостатками. В этом модуле, мы, на практических примерах, перепробуем десятки всевозможных вариантов касательно фаз, протоколов динамической маршрутизации, суммаризации, NAT, отказоустойчивости и выберем наилучшее сочетание конфигураций, исходя из конкретных задач предприятия. Помимо DMVPN, нами будут изучаться еще несколько VPN технологий, одна из которых - Static and Dynamic VTI, обладающая десятком преимуществ и одним существенным недостатком...

Таким образом, изучив этот модуль, Вы сможете развертывать полноценные Site-to-Site VPN решения в реальной корпоративной среде, выбирая для этого наилучшую технологию.


Урок 1. Static and Dynamic VTI


1. Определение системных требований для построения сети филиала. Выбор между единой и территориально-распределенной архитектурой.

2. Развертывание небольшой сети филиала на удаленном компьютере.

3. VPN технологии категории Site-to-Site для объединения филиалов, такие как IPSec (GRE и Crypto-Map); IPSec (Static and Dynamic VTI); IPSec + GRE (DMVPN).

4. Недостатки технологии IPSec Crypto-Map, изученной в модуле II. Static and Dynamic VTI как лучшая альтернатива – отсутствие необходимости в наличии публичного IP адреса со стороны spoke + автоматическая настройка hub роутера при подключении каждого нового spoke.

5. Практическая работа по конфигурации Static and Dynamic VTI на примере лабораторного проекта, в котором Branch роутер сокрыт за NAT. Совместная работа IPSec и ISAKMP профилей.

6. Идеология Dynamic VTI. Шаблон Virtual Template, на основании которого происходит автоматическое создание виртуальных туннельных интерфейсов (VTI). Особенности и назначение команды IP unnumbered.

7. Отключение проверки identity в IPSec – механизм автоматического подключения неограниченного количества филиалов к роутеру MainOffice без внесения каких-либо изменений в его конфигурацию + подключение филиальных роутеров, сокрытых за NAT (без публичного IP адреса).

8. Особенности маршрутизации в VPN сети, построенной с использованием технологии Dynamic VTI. Почему статическая маршрутизация не работает?

9. Обеспечение маршрутизации с помощью протокола Open Shortest Path First (OSPF). Определение роли DR роутера. Почему в топологии Hub-and-Spoke, spoke роутер никогда не должен становится DR-ом?

10. Детальное объяснение принципов работы технологии Static and Dynamic VTI. Принцип построения связи между туннельным ip адресом Branch роутера и виртуальным интерфейсом virtual-template на Hub роутере в связки с динамическим маршрутом. Совместная работа профиля ISAKMP, pre-shared ключа и группы keyring, virtual access и virtual template, профиля IPSec и политики transform-set. Изучение процесса установки туннелей и процесса передачи трафика.

11. Подключение дополнительного филиала к тестовому лабораторному проекту, конфигурация роутера Branch 2 по принципу Static VTI. В каких случаях применять технологию Dynamic VTI, а в каких Static VTI?

12. Особенности ассоциаций безопасности (Security Associations) в изучаемой конфигурации.

13. Ситуация, при которой несколько удаленных пиров (Branch роутеров) сокрыты за одним единственным NAT IP-адресом. Механизмы, с помощью которых Hub роутер сопоставляет конкретный ESP пакет с конкретной ассоциацией безопасности.

14. Технология NAT Traversal (NAT-T). Дополнительный UDP заголовок перед ESP c целью прохождения пакета через NAT без нарушения целостности. UDP порты 500 и 4500.

15. Особенности NAT Traversal при использовании Authentication Header (AH) и комбинированного режима ESP + AH.

16. Изучение процесса передачи IPSec пакета с включенной технологией NAT Traversal по сети. Почему изменение номеров портов в UDP заголовке PAT-устройством, не приводит к нарушению целостности пакета при использовании ESP?

17. Автоматическая активация технологии NAT Traversal при обнаружении NAT устройства на пути следования трафика. Механизмы обнаружения. Изучение команды для ручной активации технологии NAT Traversal.

18. Детальное изучение механизма трансляции портов при прохождении ESP пакета через PAT устройство. Отдельные ассоциации безопасности для каждого порта. Branch роутеры как инициаторы соединения.

19. Перевод Static and Dynamic VTI на аутентификацию по сертификатам. Особенности RDN поля Organization Unit в личных сертификатах, выпускаемых для филиальных роутеров. Работа с картой сертификатов (certificate map).

20. Подведение итогов по теме Static and Dynamic VTI. Многочисленные преимущества и один существенный недостаток.



Урок 2. DMVPN, часть I


1. Технология Dynamic Multipoint Virtual Private Network (DMVPN), знакомство. Преимущества перед Static and Dynamic VTI.

2. Идеология DMVPN – автоматическое построение логической топологии Full-Mesh (связей каждый на каждого) при физической топологии Hub-and-Spoke. Детальное изучение принципов построения автоматических связей в DMVPN.

3. Протоколы, входящие в состав DMVPN – mGRE, NHRP, IPsec, IGP. Роль каждого протокола в технологии DMVPN.

4. Протокол разрешения шлюза Next Hop Resolution Protocol (NHRP), входящий в состав DMVPN. Назначение и принцип действия.

5. Практическая работа по развертыванию DMVPN на примере лабораторного проекта.

6. Конфигурация на Spoke. Встроенный механизм аутентификации NHRP и целесообразность его применения. Активация дополнительной защиты, встроенной в протокол GRE.

7. Продолжение конфигурации. Работа с командами «ip nhrp map multicast», «ip nhrp nhs», «ip nhrp registration no-unique». Описание и назначение каждой команды.

8. Команда «ip nhrp network-id» как идентификатор DMVPN сессии. Обзор ситуаций, при которых необходимо выполнять разграничение сессий.

9. Понятие Next-Hop Server и Next-Hop Client в топологии DMVPN. Роль NHS и NHC.

10. Конфигурация на Hub. Отличия от конфигурации на Spoke. Особенности команды «ip nhrp map multicast dynamic».

11. Point-to-Multipoint взаимодействие между Hub и Spoke. Модифицированный протокол multipoint GRE (mGRE), обеспечивающий возможность работы в многоадресной среде. Необходимость применения команды «tunnel mode GRE multipoint».

12. Знакомство с NHRP таблицей резолюций. NHRP таблица как основное средство диагностики. Детальное изучение вывода таблицы.

13. Изучение принципов работы механизма автоматического сопоставления физических IP адресов с адресами туннельных интерфейсов Spoke роутеров (основа работы DMVPN). Статический и динамический mapping.

14. Особенности IP адресации туннельных интерфейсов в сети DMVPN.

15. Обмен служебными сообщениями в сети DMVPN. Сообщения типа Registration Request/Reply, Resolution Request/Reply, Purge Request, Error Indication. Изучение каждого сообщения с помощью WireShark. Роль каждого из сообщений в механизме автоматического построения логической топологии Full-Mesh.

16. Настройка маршрутизации в DMVPN сети. Настройка статической и динамической маршрутизации. Особенности neighbor взаимодействия. Определение DR роутера с помощью настройки приоритетов «ip ospf priority».

17. Некорректная работа OSPF в Point-to-Multipoint среде. Объяснение причин возникновения проблем. Решение проблем с помощью настройки OSPF.

18. Краткая памятка по методам ускорения маршрутизации. Process Switching и Cisco Express Forwarding. Таблица FIB.

19. Проблема маршрутизации первого пакета с использованием медленного метода Process Switching в DMVPN сети. Incomplete запись в CEF.

20. Статические и динамические туннели. Ограничение времени жизни динамических туннелей как способ экономии ресурсов Spoke роутеров. Условия, при которых динамический туннель остается открытым.

21. Регулирование времени жизни динамических туннелей с помощью команды «ip nhrp holdtime». Рекомендации по установке оптимального значения таймера.

22. Регулировка частоты отправки сообщений типа NHRP Resolution Request. Целесообразность регулировки.

23. Ограничение количества отправок служебных NHRP сообщений в единицу времени для уменьшения сетевой нагрузки.

24. Возможна ли корректная работа DMVPN без активного хаб роутера? Проверка на практике.

25. Фазы DMVPN. Понятие фаз.

26. DMVPN фаза 2. Принципы работы, преимущества и недостатки. Необходимость отключения механизма предотвращения возникновения петель split-horizon при использовании EIGRP в сети DMVPN. Почему нет необходимости в отключении split-horizon в случае использования OSPF?

27. Особенности сохранения информации об оригинальном next-hop адресе в протоколе EIGRP. Причины, по которым необходимо запрещать изменение next-hop адреса в режиме второй фазы.

28. Сохранение оригинального next-hop адреса в протоколе OSPF. Команда «ip ospf network (broadcast / point-to-multipoint)».

29. DMVPN фаза 3. Огромные преимущества и полностью нивелированные недостатки фазы 2. Дополнительные команды «ip nhrp redirect» и «ip nhrp shortcut» в настройках туннельных интерфейсов. Особенности настройки протоколов OSPF и EIGRP.

30. Практическая работа по переводу сети DMVPN в режим третьей фазы. Сравнение принципов работы фазы 2 и фазы 3 на практических примерах. Фаза 3 как решение проблемы incomplete записи в CEF. Почему для фазы 3 требуется разрешить изменение next-hop адреса в маршрутах, проходящих через Hub роутер?

31. Новое сообщение NHRP Traffic Indication (NHRP Redirect), свойственное фазе 3. Роль сообщения.

32. DMVPN фаза 1 – передача данных между филиалами только через Hub роутер. Преимущества и недостатки фазы 1. Команды конфигурации и особенности взаимодействия с протоколами динамической маршрутизации.

33. Практическая реализация фазы 1. Сравнение принципов работы с фазой 2 и 3. Изучение сообщений, свойственных фазе 1 с помощью WireShark.

34. Сравнение и выбор наилучшей фазы для организации защищенных VPN соединений в корпоративной среде.

35. Протоколы динамической маршрутизации в DMVPN сети. Сложный выбор одного из трех протоколов - OSPF, EIGRP и BGP. А может IS-IS? И что насчет RIP?

36. Серьезные ограничения протокола OSPF при работе в DMVPN сети. Проблема при попытке разделения OSPF на регионы из-за multipoint интерфейсов.

37. Грамотное разделение OSPF на регионы в условиях существующих ограничений. Схема 1 и схема 2. Рекомендации по выбору схемы.

38. Бесконтрольное распространение LSU сообщений, отсутствие суммаризации на Hub и возможности фильтрации маршрутов на ABR роутере посредством prefix-list.

39. Максимальное количество Spoke роутеров, при котором всё еще возможно использовать OSPF в DMVPN сети, и количество Spoke роутеров, при котором использование OSPF недопустимо.

40. EIGRP как более оптимальный протокол для обеспечения динамической маршрутизации в DMVPN сети. Сравнение поведения OSPF и поведения EIGRP в случае добавления/удаления подсети, а также в случае полной потери одного из Spoke роутеров. Служебный трафик передаваемый по сети и его влияние на сходимость. Преимущества и недостатки EIGRP в контексте DMVPN сети.

41. BGP как наилучший вариант для обеспечения динамической маршрутизации в DMVPN сети. Десять причин, по которым стоит выбрать BGP и одна причина, по которой делать этого не стоит.

42. Выбор конкретного протокола динамической маршрутизации исходя из количества Spoke роутеров, входящих в состав DMVPN сети.

43. Суммаризация, как важная часть оптимизации сходимости любого протокола динамической маршрутизации. Начало практической работы по выполнению суммаризации в протоколах OSPF, EIGRP и BGP.

44. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в разные подсети по 16-той маске.

45. Влияние суммаризации на сходимость OSPF в DMVPN сети. В каких случаях происходит частичный, а в каких случаях полный запуск SPF алгоритма?

46. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в одну и ту же подсеть по 16-той маске. В чем преимущества этого типа суммаризации и почему её невозможно выполнить при использовании OSPF?

47. Суммаризация на Hub в EIGRP (DMVPN фаза 1 и 3). Преимущества суммаризации на Hub. Почему невозможно выполнить суммаризацию на Hub в режиме фазы 2?

48. Query сообщения в EIGRP и их влияние на производительность сети. Причины возникновения Query сообщений и их устранение. Stub роутеры.

49. Консолидация знаний в области суммаризации. Еще раз о типах суммаризации, которые можно применять при использовании OSPF, EIGRP и BGP. Зависимость типа суммаризации от используемой фазы DMVPN.

50. Перевод DMVPN на использование протокола динамической маршрутизации BGP (практическая работа).

51. Краткая памятка о принципах работы BGP. EBGP и IBGP связи. Особенности анонсирования сетей и установки neighbor взаимоотношений.

52. Реализация IBGP в DMVPN. Выбор номера автономной системы. Частные и публичные номера ASN.

53. Механизм защиты от петель маршрутизации в IBGP как причина некорректной работы. Решение проблемы с помощью технологии Route Reflector (RR).

54. Настройка функции «next-hop-self» на Hub роутере для обеспечения работы DMVPN в режиме фазы 3. Параметр «all».

55. Альтернативный способ настройки функции «next-hop-self» с помощью Route-Map. Объяснение принципов работы.

56. Суммаризация на Hub в BGP (DMVPN фаза 1 и 3). Использование команды «aggregate-address». Параметр «summary-only».

57. Невозможность автоматической настройки Hub роутера при подключении нового Spoke из-за особенностей BGP. Решение проблемы с помощью технологии BGP Dynamic Neighbors. Детальное изучение принципа работы технологии. Определение версии IOS, поддерживающей технологию с помощью Cisco Feature Navigator.

58. Преимущества и недостатки применения IBGP связей в DMVPN сети. IBGP без низлежащего IGP протокола.

59. Переход на использование EBGP связей, при которых каждый Spoke роутер находится в разных автономных системах. Почему нельзя использовать 16-ти битные номера автономных систем?

60. Особенности логики работы BGP при использовании EBGP связей. Требуется ли технология Route Reflector (RR)? Next-Hop адреса в маршрутах, проходящих через Hub.

61. Невозможность применения технологии BGP Dynamic Neighbors в рассмотренной конфигурации. Переход к использованию EBGP связей, при которых Spoke роутеры находятся в одной и той же автономной системе.

62. Игнорирование атрибута as-path в полученных маршрутах. Использование параметра «allowas-in» для отключения механизма защиты от петель маршрутизации.

63. Подведение итогов. Рекомендации по конечном выбору фазы DMVPN, метода суммаризации и протокола динамической маршрутизации для организации защищенных VPN соединений в корпоративной среде.



Урок 3. DMVPN, часть II


1. Необходимость организации отказоустойчивости NHS сервера. Эмуляция отказа в обслуживании HUB-роутера и отслеживание последствий.

2. Организация отказоустойчивости HUB-роутера путем избыточности по схеме «Dual Hub Single Cloud». Модификация сети.

3. Особенности совместной работы протоколов OSPF и DMVPN в новой конфигурации. Переход от маршрутов BGP к маршрутам OSPF без ридистрибуции. Выбор Primary и Backup роутера в OSPF сети головного офиса.

4. Увеличение сходимости DMVPN сети. Настройка BGP таймеров.

5. Необходимость применения команды «ip nhrp registration timeout» в DMVPN сети с двумя HUB-роутерами. Объяснение принципов работы команды. Поведение сети при отсутствии команды. Рекомендации по выбору значения таймеров.

6. Проблема ассиметричной маршрутизации в DMVPN сети. Выбор Primary и Backup HUB-роутера во внешней DMVPN сети. Что будет, если не предпринять соответствующих мер?

7. Использование атрибута MED и механизма Route-Map для расстановки приоритетов между двумя HUB-роутерами в протоколе BGP.

8. Настройка приоритетности HUB-роутера при использовании EIGRP во внешней DMVPN сети. Вспоминаем понятия «successor» и «feasible successor». Почему EIGRP не учитывает лишнее транзитное устройство в топологии?

9. Работа с новым механизмом «offset-list» для изменения характеристик маршрута EIGRP. Объяснение принципов работы «offset-list».

10. Альтернативный способ изменения характеристик маршрута в EIGRP с помощью параметра «bandwidth», пример использования параметра.

11. Особенности настройки приоритетности HUB-роутера при использовании OSPF во внешней DMVPN сети. Работа с командой «neighbor cost».

12. Ручная настройка маршрутов в DMVPN. Как сделать так, чтобы трафик до HUB-роутера всегда проходил через один из spoke роутеров? Пример настройки.

13. Альтернативная схема организации отказоустойчивости «Dual Hub Dual Cloud» с использованием двух mGRE интерфейсов на Spoke. Сравнение с конфигурацией «Dual Hub Single Cloud». Преимущества и недостатки обоих конфигураций.

14. Практическая работа по развертываю конфигурации «Dual Hub Dual Cloud» - «два хаба, два облака».

15. Детальное объяснение предназначения характеристики «network-id». Почему в конфигурации «Dual Hub Dual Cloud», «network-id» должен различаться на разных tunnel интерфейсах?

16. Способ выбора приоритетного HUB-роутера при наличии двух tunnel интерфейсов на одном и том же spoke. Демонстрация на примере OSPF.

17. Защита DMVPN с помощью IPSec. Практическая работа по настройке IPSec в DMVPN сети с аутентификацией по предварительно-распределенному секрету.

18. Особенности транспортного режима в DMVPN сети. Режим IPSec over GRE.

19. Общие Security Associations второй фазы для разных туннельных интерфейсов. Ранее неизученный параметр «shared» в команде «tunnel protection».

20. Детальное объяснение принципов работы параметра «shared» и дублированных Security Associations. Обзор ситуаций, в которых используется этот механизм.

21. Тестирование отказоустойчивости при активированном IPsec. Ошибка неверного SPI номера при восстановлении одного из Hub-роутеров после сбоя. Устранение неисправности с помощью технологии Dead Peer Detection (DPD). Команда «keepalive».

22. Взаимодействие DMVPN с различными типами NAT. Особенности поведения DMVPN роутеров, закрытых за NAT при использовании старых версий Cisco IOS. Поведение на новых версиях IOS.

23. Практическая работа по конфигурации PAT (Port Address Translation). Будет ли DMVPN работать с филиальным роутером, закрытым за PAT при отсутствии IPSec?

24. NBMA и Claimed IP адреса в NHRP таблице. Как роутер определяет, что на пути прохождения пакета встречается PAT?

25. Тестирование конфигурации, при которой один из филиальных роутеров закрыт за PAT. Мешает ли PAT прямому взаимодействию филиальных роутеров?

26. Роль сообщения «NHRP Traffic Indication» во взаимодействии двух spoke роутеров. Одновременное инициирование соединения обоими spoke роутерами для обеспечения возможности прохождения пакетов через PAT. Использовании WireShark для изучения поведения роутеров в ситуации, когда один из них закрыт за PAT.

27. Роль механизма Dead Peer Detection (DPD) при использовании PAT. Почему важно держать трансляции открытыми?

28. Ситуация, при которой два разных филиала закрыты за двумя разными PAT. Сохранится ли прямое Spoke-to-Spoke взаимодействие?

29. Вспоминаем принципы работы Static и Dynamic NAT. Практическая работа по конфигурации Dynamic NAT перед роутером второго филиала. Требуется ли применение IPSec в случае использования Static/Dynamic NAT?

30. Влияние различных типов NAT на Spoke-to-Spoke взаимодействие если:

а) два филиальных роутера закрыты за двумя разными PAT;
б) один филиальный роутер закрыт за PAT, а другой филиальный роутер имеет публичный IP адрес;
в) один филиальный роутер закрыт за PAT, а другой филиальный роутер закрыт за Static/Dynamic NAT;
г) два разных филиала закрыты за двумя разными Dynamic NAT;
д) два разных филиала закрыты за одним и тем же PAT;
е) два разных филиала закрыты за одним и тем же Dynamic NAT;
ж) на пути прохождения трафика встречается не один, а два PAT.

31. Подведение итогов. Краткое сравнение ранее изученных технологий для построения L3 Site-to-Site VPN. Выбор наилучшей технологии.



Урок 4. Объединение сетей


1. Реализация Site-to-Site VPN соединения между головным офисом и филиалом на примере большой корпоративной сети. Именно так, как Вы будите делать это в рамках реального предприятия.

2. Выбор типа подключения к интернет для UNetLab головного офиса. NAT или Bridge?

3. Подготовка к развертыванию DMVPN в головном офисе. Почему архитектуры Dual Cloud и Single Cloud не подходят при Dual-Homed подключении к провайдеру (два CE, один ISP)? Альтернативная архитектура для реализации отказоустойчивости DMVPN.

4. Конфигурация IPSec на устройствах корпоративной сети. Рекомендации по выбору криптографических алгоритмов для первой и второй фазы в зависимости от возможностей и задач реального предприятия. Выбор времени жизни Security Associations первой и второй фазы. Рациональность применения технологии Perfect Forward Secrecy.

5. Настройках DMVPN на пограничных роутерах головной сети и филиала. Особенности команды «ip nhrp registration no-unique».

6. Как трафик из филиала доставить к пограничному роутеру головной сети посредством реального Интернет? Проброс UDP портов 500 и 4500 на внешнем роутере. Изучение всей цепочки взаимодействия: «пограничный роутер филиала->реальный интернет->внешний роутер->внутренний роутер UNetLab».

7. Настройка внутреннего ISP роутера для реализации отказоустойчивости DMVPN вопреки Dual-Homed подключению (два CE, один ISP). Работа с Event Manager Applet, объяснение логики и принципов работы.

8. Настройка протокола динамической маршрутизации BGP на пограничных роутерах головного офиса и филиала.

9. Как передать маршруты из OSPF в BGP и наоборот? Перелинковка подсетей головного офиса и филиала без редистрибуции. Преимущества и недостатки изученного способа.

10. Перелинковка подсетей головного офиса и филиала посредством редистрибуции. Преимущества и недостатки способа передачи маршрутов между филиалом и головным офисом с использованием редистрибуции.

11. Суммаризация маршрутов и фильтрация нежелательных подсетей при их передаче между головным офисом и филиалом. Два способа фильтрации маршрутов. Необходимость фильтрации.

12. Тестирование отказоустойчивости. Рабочие станции филиала не теряют доступ к серверам головного офиса при отказе в обслуживании одного из Edge роутеров.

13. Развертывание инфраструктуры PKI в большой корпоративной сети. Подготовка CA роутера на Cisco IOS и настройка NTP. Работа с механизмами защиты «access-group serve-only» и «access-group peer».

14. Конфигурация сервера центра сертификации Certificate Authority (CA). Краткая памятка о принципах работы. Рекомендации по выбору длины hash алгоритма, времени жизни сертификатов и CRL файла для целей аутентификации VPN шлюзов с учетом задач современных предприятий.

15. Файл Certificate Revocation List (CRL) в корпоративной сети предприятия. Где он должен находиться? Реализуем систему проверки сертификатов на факт отзыва.

16. Настройка trustpoint и выпуск сертификатов для пограничных роутеров головного офиса и филиала (VPN шлюзов). Стоит ли отключать кеширование CRL фала?

17. Перевод IPSec на аутентификацию по сертификатам. Решение проблем с разрешением доменных имен при обращении к CRL Distribution Point.

18. Рекомендации по организации DCHP сервера в сети филиала. Стоит ли для филиала задействовать DHCP сервер, находящийся в головном офисе посредством технологии DHCP Relay Agent?

19. Тест-драйв построенной сети. Подключение Windows 7 к сети филиала и обращение к веб-серверу, который находится в головной сети по частному, не маршрутизируемому IP адресу.

20. Проблема MTU в IPsec. Размер сегмента MSS и флаг Don’t Fragment (DF). Почему филиальному компьютеру с Windows 7 удается загрузить изображение с веб-сервера головного офиса без применения дополнительных мер?

21. Настройка функции Archive на устройствах филиала и передача startup-configs на сервер, находящийся в головном офисе посредством построенного туннеля.

22. Подведение итогов. Технологии, протоколы и механизмы, изучаемые в следующих модулях.



В следующих модулях...


Остальные модули находятся в разработке. В этих модулях, мы продолжим заниматься построением большой корпоративной сети и изучением технологий, из которых она состоит.