Ні для кого не секрет, що для побудови своєї обчислювальної інфраструктури раніше доводилося вдаватися до використання спеціалізованого обладнання, призначеного для різних цілей, і витрачати зайву копійку або на його придбання, або на оренду. І це лише початок епопеї, адже далі вся відповідальність управління інфраструктурою лягала на плечі компанії.

З появою технологій віртуалізації та зростаючими вимогами до продуктивності, доступності та надійності обчислювальних систем бізнес все частіше і частіше став робити вибір на користь хмарних рішень та віртуальних майданчиків надійних IaaS-провайдерів. І це цілком зрозуміло: у багатьох організацій підвищуються вимоги, більшість із них хочуть бачити гнучкі рішення, розгорнуті максимально швидко, і не мати при цьому жодних проблем щодо управління інфраструктурою.

Такий підхід на сьогоднішній день не є чимось новим, навпаки, стає дедалі більш звичною тактикою ефективного управління підприємством/інфраструктурою.

Перерозподіл та перенесення більшості робочих навантажень з фізичних майданчиків на віртуальні зокрема обумовлює необхідність опрацювання питань реалізації безпеки. Безпека – як з фізичної точки зору, так і з погляду віртуальної – має бути завжди на висоті. Безумовно, на ринку ІТ існує чимало рішень, покликаних забезпечувати та гарантувати високий рівень захисту віртуальних середовищ.

Зупинимося докладніше на відносно недавно анонсованому віртуальному міжмережевому екрані CiscoASAv, який прийшов на зміну фаерволу хмарному Cisco ASA 1000v. Компанія Cisco на своєму офіційному сайті повідомляє про припинення продажу та підтримки Cisco ASA 1000v, представивши в заміну флагманський засіб захисту хмарних, віртуальних інфраструктур в особі продукту Cisco ASAv.

За останні роки Cisco посилила активність у сегменті віртуалізації, доповнивши лінійку апаратних рішень віртуалізованими продуктами. Поява Cisco ASAv – чергове підтвердження цього.

Cisco ASAv (The Cisco Adaptive Security Virtual Appliance), як було озвучено раніше, представляє віртуальний міжмережевий екран. Орієнтований на роботу в віртуальному оточенніі володіє основними функціональними можливостями"залізної" Cisco ASA, за винятком багатоконтекстового режиму та кластеризації.

Огляд Cisco ASAv

Cisco ASAv забезпечує функціональність міжмережевого екрану, виконуючи захист даних у дата-центрах та хмарних оточеннях. Cisco ASAv є віртуальною машиною, яка може бути запущена на різних гіпервізорах, включаючи VMware ESXi, взаємодіючи з віртуальними «свічами» для обробки трафіку. Віртуальний брандмауер може працювати з різними віртуальними комутаторами, включаючи Cisco Nexus 1000v, VMware dvSwitch та vSwitch. Cisco ASAv підтримує реалізацію Site-to-Site VPN, VPN віддаленого доступу, а також організацію безклієнтного віддаленого доступу VPN, як і на фізичних пристроях Cisco ASA.

Рисунок 1. Архітектура Cisco ASAv

Cisco ASAv використовує ліцензування Cisco Smart Licensing, що значно спрощує розгортання, керування та відстеження віртуальних екземплярів Cisco ASAv, що використовуються на стороні замовників.

Ключові особливості та переваги Cisco ASAv

• Єдиний міждоменний рівень безпеки

Cisco ASAv забезпечує єдиний рівень безпеки між фізичними та віртуальними майданчиками з можливістю використання кількох гіпервізорів. У контексті побудови ІТ-інфраструктури клієнти часто використовують гібридну модель, коли частина додатків заточена під фізичну інфраструктуру компанії, а інша – під віртуальний майданчик із кількома гіпервізорами. Cisco ASAv використовує консолідовані опції розгортання, при яких єдина безпекова політика може застосовуватися як для фізичних, так і для віртуальних пристроїв.

• Простота управління

Cisco ASAv використовує програмний інтерфейс передачі репрезентативного стану (Representational State Transfer, REST API) на основі звичайного HTTP-інтерфейсу, який дає можливість керувати самим пристроєм, а також змінювати політики безпеки та моніторити статус станів.

• Легкість розгортання

Cisco ASAv із заданою конфігурацією може бути розгорнута за дуже короткий проміжок часу.

Cisco ASAv представляє сімейство продуктів, доступних у таких моделях:

Рисунок 2. Сімейство продуктів Cisco ASAv

Специфікація Cisco ASAv

Функціональність VMware, що підтримується в ASAv

Розгортання ASAv за допомогою веб-клієнта VMware vSphere

Якщо ви вирішили розгорнути ASAv на віддаленому майданчику IaaS-провайдера або на будь-якому іншому віртуалізованому майданчику, щоб уникнути несподіваних і неробочих моментів відразу варто звернути увагу на додаткові вимоги та обмеження:

• Розгортання ASAv із файлу ova не підтримує локалізацію. Необхідно переконатися, що VMware vCenter та LDAP сервери у вашому оточенні використовують режим сумісності ASCII.
• До установки ASAv та використання консолі віртуальних машин необхідно задати певну розкладку клавіатури (United States English).

Для встановлення ASAv можна скористатися веб-клієнтом VMware vSphere. Для цього необхідно здійснити підключення за допомогою визначеного посилання у форматі . За замовчуванням використовується порт 9443, але, залежно від специфіки налаштування, значення може відрізнятися.

• При початковому зверненні до веб-клієнта VMware vSphere необхідно виконати інсталяцію плагіна (Client Integration Plug-in), який доступний для завантаження безпосередньо з вікна аутентифікації.
• Після успішної інсталяції слід перепідключитися до веб-клієнта VMware vSphere та виконати вхід, ввівши логін та пароль.
• Перед початком встановлення Cisco ASAv необхідно завантажити файл ASAv OVA з сайту http://cisco.com/go/asa-software , а також переконатися в наявності як мінімум одного налаштованого мережевого інтерфейсу vSphere.
• У вікні навігації веб-клієнта VMware vSphere потрібно перейти на панель vCenterі перейти в HostsandClusters. Клацаючи по дата-центру, кластеру або хосту, в залежності від того, куди ви вирішили встановити Cisco ASAv, вибрати опцію розгортання шаблону OVF ( DeployOVFTemplate).

Рисунок 3. Розгортання OVF шаблону ASAv

• У вікні майстра розгортання шаблону OVF у секції Sourceнеобхідно вибрати інсталяційний файл OVA Cisco ASAv. Зауважте, що у вікні огляду деталей ( Review Details) виводиться інформація про пакет ASAv.

Рисунок 4. Огляд деталей установки ASAv

• Прийнявши ліцензійну угодуна сторінці Accept EULA, переходимо до визначення імені екземпляра Cisco ASAv та розташування файлів віртуальної машини.
• У коні вибору конфігурації ( Select configuration) потрібно використовувати такі значення:
  • Для конфігурації Standalone вибрати 1 (або 2, 3, 4) vCPU Standalone.
  • Для конфігурації Failover вибрати 1 (або 2, 3, 4) vCPU HA Primary.
• У вікні вибору сховища ( Select Storage) визначити формат віртуального диска, для економії місця корисним буде вибір опції Thin provision. Також необхідно вибрати сховище, в якому запускатиметься ASAv.

Малюнок 5. Вікно вибору сховища

• У вікні конфігурації мережі ( Setup network) вибирається мережевий інтерфейс, який використовуватиметься під час роботи ASAv. Зверніть увагу: список мережевих інтерфейсів задається не в алфавітному порядку, що часом викликає складність знаходження потрібного елемента.

Малюнок 6. Вікно конфігурації параметрів мережі

При розгортанні екземпляра ASAv за допомогою діалогового вікна редагування налаштувань мережі можна вносити зміни до мережеві параметри. На малюнку 7 показаний приклад відповідності ідентифікаторів мережевих адаптерів (Network Adapter ID) та ідентифікаторів мережевих інтерфейсів ASAv (ASAv Interface ID).

Рисунок 7. Відповідність мережевих адаптерів та інтерфейсів ASAv

• Немає необхідності використовувати всі інтерфейси ASAv, проте веб-клієнт vSphere вимагає призначення мереж усім інтерфейсам. Інтерфейси, які не планується задіяти, необхідно перевести у стан Disabled(вимкнено) у налаштуваннях ASAv. Після розгортання ASAv на веб-консолі vSphere можна видалити зайві інтерфейси, використовуючи діалогове вікно редагування налаштувань ( Edit Settings).
• У вікні кастомізації шаблону ( Customize template) необхідно виставити ряд ключових налаштувань, включаючи конфігурацію параметрів IP-адреси, маски підмережі та стандартного шлюзу. Аналогічно слід задати IP-адресу клієнта, дозволену для ASDM-доступу, і, якщо потрібно окремий шлюз для зв'язку з клієнтом, задати його IP-адресу.

Малюнок 8. Вікно кастомізації шаблону

• Крім того, в опції «Тип розгортання» ( Type of deployment) слід вибрати тип установки ASAv з трьох можливих варіантів: Standalone, HA Primary, HA Secondary.

Рисунок 9. Вибір відповідного типу установки ASAv

У вікні готовності до завершення ( Ready to complete) відображається сумарна інформація конфігурації Cisco ASAv. Активація опції запуску після розгортання ( Power on after deployment) дозволить запустити віртуальну машину після завершення роботи майстра.

• За процесом розгортання OVF-шаблону ASAv та статусом виконаних завдань можна стежити в консолі завдань ( Task Console).

Малюнок 10. Статус розгортання OVF-шаблону

• Якщо віртуальна машина ASAv ще не запущена, необхідно виконати її старт, використовуючи опцію запуску ( Power on the virtual machine). При першому запуску ASAv відбувається зчитування параметрів, заданих у файлі OVA та конфігурація системних значень на його основі.

Рисунок 11. Запуск віртуальної машини ASAv

Підбиваючи підсумки по установці ASAv, не можемо не відзначити приємний факт, що весь процес - від завантаження пакета, розгортання та запуску - займає не більше 15-20 хвилин. При цьому наступні налаштування, наприклад, такі як VPN, характеризуються незначними тимчасовими витратами, тоді як при налаштуванні фізичної ASA знадобилося б набагато більше часу. Cisco ASAv можна розгортати та віддалено, забезпечуючи гнучкість та зручність процесу для компаній, що використовують віддалені майданчики.

Від установки до керування ASAv

Для управління ASAv можна скористатися старим добрим інструментом ASDM (Adaptive Security Device Manager), який є зручне рішенняз графічним інтерфейсом користувача. У процесі розгортання ASAv визначається доступ до ASDM, за допомогою якого надалі можна виконувати різні налаштування, моніторинг та усунення несправностей. З клієнтської машини, IP-адреса якої вказувався в процесі розгортання, надалі відбувається підключення. Для доступу до ASDM використовується веб-браузер із зазначенням значення IP-адреси ASAv.

Запуск ASDM

На машині, визначеній клієнтом ASDM, необхідно запустити браузер і вказати значення ASAv у форматі https://asav_ip_address/admin , в результаті чого з'явиться вікно з такими опціями:

• встановити ASDM Launcher та запустити ASDM;
• запустити ASDM;
• стартувати майстер запуску.

Рисунок 12. Приклад запуску інструменту ASDM

ВстановитиASDMLauncher і запуститиASDM

Для запуску установника вибираємо "Встановити ASDM Launcher та запустити ASDM". У полях «ім'я користувача» та «пароль» (у разі нової установки) можна не ставити значення та натиснути «ОК». Без налаштованої автентифікації HTTPS доступ до ASDM відбувається без вказівки вірчих даних. У разі включення автентифікації HTTPS необхідно вказати логін і пароль.

• Збережіть інсталятор локально і почніть інсталяцію. Після встановлення ASDM-IDM Launcher запуститься автоматично.
• Введіть IP-адресу ASAv та натисніть «OK».

ЗапуститиASDM

Також можна використовувати Java Web Start для запуску ASDM без виконання установки. Вибираємо опцію "Запустити ASDM", після чого відкриється вікно ASDM-IDM Launcher.

Рисунок 13. Підключення до ASAv за допомогою ASDM-IDM Launcher

Стартувати майстер запуску

Якщо вибрано опцію «Стартувати майстер запуску» (Run Startup Wizard), ви можете задати наступні параметри конфігурації ASAv

• Hostname (Ім'я хоста)
• Domain name (Домове ім'я)
• Administrative password (Пароль адміністратора)
• Interfaces (Інтерфейси)
• IP addresses (IP-адреси)
• Static routes (Статичні маршрути)
• DHCP server (DHCP-сервер)
• NAT rules (Правила NAT)
• and more (та інші налаштування…)

Використання консоліVMware vSphere

Для виконання початкової конфігурації, усунення несправностей, доступу до інтерфейсу командного рядка(CLI) можна скористатися консоллю ASAv, доступною із веб-клієнта VMware vSphere.

Важливо!Для роботи з консоллю ASAv необхідно встановити плагін (Client Integration Plug-In).

Доти, доки не встановлено ліцензію, спостерігатиметься обмеження пропускної спроможності в 100 кбіт. У продакшен-середовищі для повноцінної функціональності потрібна наявність ліцензії. Інформація про ліцензію відображається в консолі ASAv.

Рисунок 15. Приклад відображення інформації про ліцензію

Підключаючись до консолі ASAv, можна працювати у кількох режимах.

Привілейований режим

• Параметр ciscoasa>у вікні консолі свідчить про роботу в режимі EXEC, в якому доступні лише базові команди. Для перемикання у привілейований режим EXEC необхідно запустити команду ciscoasa>enable, після чого потрібно ввести пароль (Password), якщо пароль був заданий, а якщо ні - натиснути Enter.
• Виведення значення ciscoasa#у вікні консолі свідчить про перемикання у привілейований режим. У ньому можливе використання неконфігураційних команд. Для виконання команд конфігурації необхідно переключитися в режим конфігурації. Переключитися в нього можна з привілейованого режиму.
• Для виходу з привілейованого режиму використовуються команди disable, exitабо quit.

Глобальний режим конфігурації

• Для переключення у глобальний режим конфігурації використовують команду:

ciscoasa#configureterminal

• При успішному перемиканні в режим конфігурації відображається індикатор готовності глобального режиму конфігурації, який виглядає так:

ciscoasa (config)#

• Для виклику списку всіх можливих команд слід звернутися до довідки:

ciscoasa (config)#help?

Після цього виводиться список всіх доступних команд в алфавітному порядку, як показано на малюнку 16.

Рисунок 16. Приклад відображення команд у глобальному режимі конфігурації

• Для виходу з глобального конфігураційного режиму використовуються команди exit,quitабо end.

Друзі, ми раді повідомити, що ми починаємо публікувати статті наших читачів.
Сьогодні матеріал від гостя нашого подкасту Олександра aka Sinister.

============================
Спеціально для проекту linkmeup

Існує досить велика кількість симуляторів та емуляторів для обладнання Cisco Systems.
У цьому невеликому огляді я спробую показати всі існуючі інструменти, які вирішують це завдання.
Інформація буде корисною для тих, хто вивчає мережеві технології, готується складати іспити Cisco, збирає річки для траблшутингу або досліджує питання безпеки.

Спочатку трохи термінології.
Симулятори - імітують якийсь набір команд, він вшитий і варто лише вийти за рамки, одразу отримаємо повідомлення про помилку. Класичний приклад – Cisco Packet Tracer.
Емулятори навпаки - дозволяють програвати (виконуючи байт трансляцію) образи (прошивки) реальних пристроїв, часто без видимих ​​обмежень. Як приклад - GNS3/Dynamips.

Першим розглянемо Cisco Packet Tracer.

Cisco Packet Tracer

Цей симулятор доступний як під Windows, так і для Linux, безкоштовно для учнів Академії Cisco.
У 6-й версії з'явилися такі речі як:

• IOS 15
• Модулі HWIC-2T та HWIC-8A
• 3 нових пристроїв (Cisco 1941, Cisco 2901, Cisco 2911)
• Підтримка HSRP
• IPv6 у налаштуваннях кінцевих пристроїв (десктопи)

Його плюси – дружність та логічність інтерфейсу. Крім цього в ньому зручно перевіряти роботу різних мережевих сервісів, таких як DHCP/DNS/HTTP/SMTP/POP3 і NTP.
І одна з найцікавіших фіч – це можливість перейти в режим simulation та побачити переміщення пакетів із уповільненням часу.
Мені це нагадало ту саму Матрицю.

Мінуси:

• Майже все, що виходить за рамки CCNA, на ньому зібрати не вийде. Наприклад, EEM відсутня геть-чисто.
• Також іноді можуть проявлятися різноманітні глюки, які лікуються лише перезапуском програми. Особливо цим славиться протокол STP.

GNS3

Вільний проект доступний під Linux, Windows та Mac OS X.
Сайт проекту GNS - www.gns3.net/
Але більшість його функцій, покликаних поліпшити продуктивність, працюють тільки під Linux (ghost IOS, який спрацьовує у разі використання безлічі однакових прошивок), 64-бітна версія так само тільки для Linux.
Поточна версія GNS на даний момент - 0.8.5
Це емулятор, який працює зі справжніми прошивками IOS. Для того, щоб ним користуватися, у вас повинні бути прошивки. Скажімо, ви купили маршрутизатор Cisco, з нього можна їх витягти.
До нього можна підключати віртуальні машини VirtualBox або VMware Workstationі створювати достатньо складні схеми, за бажання можна піти далі і випустити його в реальну мережу.
Крім того, Dynamips вміє емулювати як старі Cisco PIX, так і відому Cisco ASA, причому навіть версії 8.4.

Але при цьому є безліч недоліків.

• Кількість платформ строго обмежена: запустити можна лише ті шасі, які передбачені розробниками dynamips.
• Запустити ios 15 версії можна лише на платформі 7200.
• Неможливо повноцінно використовувати комутатори Catalyst, це пов'язано з тим, що на них використовується велика кількість специфічних інтегральних схем, які вкрай складно емулювати. Залишається використовувати мережеві модулі (NM) для маршутизаторів.
• При використанні великої кількості пристроїв гарантовано спостерігатиметься просідання продуктивності.

Boson NetSim

Випускається лише під Windows, ціна коливається від 179 $ за CCNA і до 349 $ за CCNP.
Є якоюсь збіркою лабораторних робіт, згрупованою за темами іспиту.
Як можна спостерігати по скріншотах, інтерфейс складається з кількох секцій: опис завдання, карта мережі, у лівій частині знаходиться список усіх лаб.
Закінчивши роботу, можна перевірити результат і дізнатися, чи все було зроблено.
Є можливість створення власних топологій з деякими обмеженнями.

Cisco CSR

Відмінно підійде всім, хто готується здавати трек Data Center.
Має деяку особливість - після включення починається процес завантаження (як і у випадку CSR теж побачимо Linux) і зупиняється. Складається враження, що все зависло, але це не так.
Підключення до цього емулятора здійснюється через іменовані канали.

Іменований канал - це один із методів міжпроцесної взаємодії.
Існують як у Unix подібних системах, так і в Windows.

Використовуючи GNS3 та QEMU (легкий емулятор ОС, що йде в комплекті з GNS3 під Windows), можна збирати топології, в яких будуть задіяні комутатори Nexus. І знову ж таки можна випустити цей віртуальний комутатор у реальну мережу.

Cisco IOU

Існує думка, що Cisco може відстежити та ідентифікувати того, хто використовує IOU.
Під час запуску відбувається спроба HTTP POST запитусервер xml.cisco.com.
Дані, які при цьому відправляються, включають hostname, логін, версію IOU і т.д.

Відомо, що Cisco TAC використовує саме IOU.
Емулятор має велику популярність у тих, хто готується до здачі CCIE.
Спочатку працював лише під Solaris, але згодом був портований і на Linux.
Складається з двох частин - l2iou та l3iou, за назвою можна здогадатися, що перший емулює канальний рівень і комутатори, а другий - мережевий та маршрутизатори.

Конфігурування проводиться шляхом редагування текстових конфігураційних файлів, але якийсь час тому для нього був розроблений і графічний інтерфейс, веб-френденд.

Інтерфейс досить інтуїтивний, за його допомогою можна робити практично всі дії.

Запуск ось такої топології призводить лише до 20% завантаження CPU.

До речі, це топологія для підготовки до здавання CCIE.

Для того щоб підключитися до будь-якого пристрою на схемі, досить просто натиснути на ньому і відразу ж відкриється putty.

Можливості IOU справді дуже великі.
Хоча і не без недоліків, деякі проблеми на канальному рівні все ж таки є.
У деяких, наприклад, неможливо жорстко виставити дуплекс, але це все дрібниці - весь основний функціонал працює і працює відмінно.

Автором веб-інтерфейсу є Andrea Dainese.
Його сайт: www.routereflector.com/cisco/cisco-iou-web-interface/
На самому сайті немає ні IOU ні будь-яких прошивок, навіть автор заявляє, що веб-інтерфейс був створений для людей які мають право на використання IOU.

І невеликі підсумки насамкінець

(Міст Бей Брідж, що з'єднує Сан-Франциско з Трежер-Айленд, був перетворений на найбільшу у світі світлову скульптуру. При цьому були використані комутатори Cisco.)

===========================

Доповнення від eucariot.

Хотілося б сказати про симулятор обладнання Huawei.

eNSP

Поширюється абсолютно безкоштовно – достатньо зареєструватися на сайті.

Реалізує безліч функцій справжнього устаткування, власне, лише досить специфічні речі не можна продати. Доступні MSTP, RRPP, SEP, BFD, VRRP, різні IGP, GRE, BGP, MPLS, L3VPN.
Можна запускати мультикаст, тобто ви вибираєте відеофайл на сервері і через налаштовану мережу на клієнті можна дивитися відео (це обов'язково використовуємо у випуску СДСМ про мультикаст).

Можна відловлювати пакети вайршарком.

Не дуже багато з ним працював, але глюків не виявлено, завантаження процесора цілком допустиме.

А також, подейкують, Що існує спеціальний суперпотужний емулятор Huawei, що повною мірою реалізує всі можливості high-end маршрутизаторів, яким користується Huawei TAC, але всім відомо, що це лише чутки.

Стаття:

В даний час технології віртуалізації є невід'ємною складовою IT-світу. Крім промислового застосування технології віртуальних машин, що дозволяє скоротити сукупну вартість володіння IT-інфраструктурою, про що вже кілька років пишуть усі кому не ліньки, технологія також широко використовується для вивчення або тестування системного, мережного та прикладного програмного забезпечення.

У більшості публікацій найчастіше розглядається віртуалізація першого рівня. На одному або кількох фізичних комп'ютерах, пов'язаних реальними мережами, на базі деякого віртуалізації ПЗ функціонує безліч віртуальних машин (VM), пов'язаних віртуальними мережами (також емульовані за допомогою ПЗ віртуалізації), які при необхідності зв'язуються з реальними мережами через мережеві адаптери фізичних комп'ютерів. Іншими словами найчастіше розглядається рівень реальних пристроїв та один рівень віртуальних об'єктів (зазвичай машин, на базі яких функціонують ті чи інші ОС). Щоправда, якщо бути точнішим, у прикладах, що розглядаються в публікаціях, неявно присутні об'єкти другого чи глибших рівнів віртуалізації, але автори практично ніколи не акцентують на цьому свою увагу.

Розглянемо наступну мережу, яка придумана виключно заради прикладу, і сама по собі особливої ​​практичної цінності в собі не несе (кожен може вибрати для себе будь-який інший приклад, у тому числі реальної практики). Є дві компанії, кожна має головний офіс з сервером в одній географічній точці, і філія з робочою станцією в іншій географічній точці. Географічні точки поділяє деякі MPLS-backbone на базі маршрутизаторів Cisco. Для кожної компанії окремо організовано Layer 2 VPN між головним офісом та філією за допомогою технології Ethernet over MPLS (EoMPLS) для можливості «прозорої» взаємодії на канальному рівні (Ethernet) між робочою станцією та сервером через MPLS-backbone.
Нижче показана фізична структура мережі.

Також нижче показана логічна структура взаємодії робочих станцій і серверів мережі. У кожній із компаній робоча станція та сервер можуть «прозоро» взаємодіяти один з одним, і ізольовані від робочої станції та сервера іншої компанії.

Завдання полягає в тому, що потрібно цю мережу змоделювати і протестувати, зокрема взаємодію робочих станцій з серверами через EoMPLS середовище, і все це необхідно виконати, маючи один персональний комп'ютер. Досить знайома ситуація для більшості фахівців із системних та мережевих технологій, перед якими виникає аналогічне завдання і у яких, як правило, немає під рукою. зайвих комп'ютерів, ні, тим більше, маршрутизаторів Cisco.

Що ж, реальні комп'ютери легко замінюються віртуальними машинами, що створюються та запускаються за допомогою того чи іншого програмного забезпечення, що реалізують технологію віртуальних машин, наприклад того ж VMware Workstation 6.0 (у цій статті автор розглядає багаторівневу віртуалізацію на прикладі саме даного програмного забезпечення). Для моделювання маршрутизаторів Cisco з підтримкою EoMPLS добре підходить популярний симулятор Dynamips (а також зручна та наочна) графічне середовищедо нього – GNS3). Однак, виникає проблема: можна окремо змоделювати віртуальні машини з встановленими на них "реальними" повнофункціональними ОС MS Windows, і окремо - маршрутизатори Cisco з "реальними" повнофункціональними ОС Cisco IOS, але як ув'язати між собою два середовища моделювання по мережі?

Проте вихід із ситуації є. У VMware Workstation можна прив'язувати віртуальні комутатори VMnet до мережних адаптерів фізичного комп'ютера (утилітою Virtual Network Editor), а віртуальні мережеві адаптери віртуальних машин, відповідно, прив'язувати до відповідних віртуальних комутаторів VMnet (при конфігуруванні віртуальної машини). Нижче наведено приклад такої прив'язки за допомогою віртуального комутатора VMnet0:

У свою чергу, в середовищі GNS3 на базі Dynamips є об'єкт типу «Cloud», який можна проектувати на мережні адаптери фізичного комп'ютера. Після цього об'єкт можна приєднувати до мережних інтерфейсів інших об'єктів середовища GNS3, у тому числі до маршрутизаторів Cisco. Слід особливо відзначити, що об'єкт типу «Cloud» по суті своїй не є будь-яким повноцінним віртуальним пристроєм – це все лише віртуальна «точка стику» (як роз'єм на комутаційній панелі), яку з мережевої точки зору можна на щось спроектувати, наприклад, на мережний адаптер комп'ютера. Забігаючи вперед, також зазначимо, що об'єкти «Computer» та «Server», які використовуються в середовищі GNS3, також є об'єктами типу «Cloud» (простими «точками стику» з відповідними іконками для наочності), а зовсім не якимись емуляціями комп'ютера чи сервера програмними засобами, як це, наприклад, робиться в навчальному симулятор Cisco Packet Tracer.

Нижче наведено приклад проектування об'єкта типу «Cloud» C0, з'єднаного з мережним інтерфейсом маршрутизатора R0 у середовищі GNS3, на мережевий адаптер фізичного комп'ютера:

Недосвідчених фахівців може збентежити довгий код (ідентифікатор мережного транспорту, що призначається ОС MS Windows для мережного адаптера) в налаштуваннях, і щоб не заплутатися в назвах мережного підключення, назвах мережного адаптера, MAC-адресі адаптера та його ідентифікаторі, можна скористатися вбудованою в ОС Windows утилітою GETMAC, що запускається з ключем V (Verbose - докладна інформація):

Таким чином, через подібне «двостороннє проектування» на канальному рівні OSI (по суті Layer 2 Bridging) на той самий мережевий адаптер фізичного комп'ютера віртуальні маршрутизатори в середовищі GNS3 на базі Dynamips можуть на Ethernet-рівні взаємодіяти з віртуальними машинами в середовищі VM (це багаторазово перевірено експериментально). Безпосередньо пов'язати по мережі комутатори VMnet з VMware-середовища з об'єктами типу «Cloud» (точками стику) з GNS3 на базі Dynamips, на жаль, немає можливості (принаймні без застосування будь-яких спеціальних програмних засобів).

Тепер виникає нова загвоздка: кількість мережевих «точок дотику» між VMware-середовищем і Dynamips-середовищем може бути далеко не одне, а кілька (у прикладі їх 4 - дві робочі станції і два сервери), у той час як на фізичному комп'ютері може бути один-два або взагалі жодного мережного адаптера. До того ж, прихильність до мережних адаптерів фізичного комп'ютера в будь-якому випадку думка не найрозумніша з погляду безпеки. Нарешті, ми особливо прагнемо все розмістити першому рівні віртуалізації, мета цієї статті - багаторівнева віртуалізація.

У цій ситуації ми вдамося до наступного нехитрого виверту: ніхто нам не заважає створити ще одну допоміжну віртуальну машину з необхідною кількістю мережевих адаптерів (стільки, скільки потрібно точок «дотику»), встановити на неї ОС, і найголовніше – програмне забезпечення GNS3 на базі Dynamips. Потім вже в GNS3 створити, налаштувати та запустити потрібну для моделювання мережу на базі маршрутизаторів Cisco. Таким чином, маршрутизатори Cisco переїжджають на другий рівень віртуалізації (на першому знаходиться сама допоміжна віртуальна машина). Мережеві «точки дотику» будуть здійснюватися через відповідні об'єкти типу «Cloud» (точки стику) в GNS3 на базі Dynamips, прив'язані до відповідних мережних адаптерів віртуальної машини CISCONET, які, у свою чергу, прив'язані до відповідних віртуальних комутаторів VM приєднувати інші віртуальні машини. У нашому прикладі ми будемо використовувати допоміжну віртуальну машину CISCONET з 4-ма мережними адаптерами (VMware Workstation 6.0 підтримує до 10 мережевих адаптерів для віртуальної машини), прив'язаних до відповідних віртуальних комутаторів VMnet.

Таким чином, ми приходимо до двох рівнів віртуалізації: VMware-інфраструктура всередині фізичного комп'ютера (1-й рівень віртуалізації), і Dynamips-інфраструктура всередині допоміжної віртуальної машини (2-й рівень віртуалізації).

Нарешті, якщо згадати, що EoMPLS - це теж свого роду віртуалізація засобами Cisco IOS, то побачимо, що в цьому прикладі є ще й 3-й рівень віртуалізації. На 3-му рівні віртуалізації знаходяться віртуальна «хмара» MPLS та віртуальні ланцюжки передачі даних (virtual circuits) поверх цієї хмари, які емулюються засобами Cisco IOS на двох маршрутизаторах Cisco.

У результаті ми отримуємо таку багаторівневу схему віртуалізації:

Як видно із схеми вище, комп'ютер експериментатора знаходиться на рівні реальних об'єктів і з мережевої точки зору повністю ізольований від віртуальних машин та віртуальних маршрутизаторів, що цілком розумно та правильно. Перший рівень віртуалізації забезпечується програмним забезпеченням VMware Workstation, на цьому рівні знаходяться віртуальні робочі станції (WINPC1, WINPC2), віртуальні сервери(WINSRV1, WINSRV2), та допоміжна віртуальна машина CISCONET, а також віртуальні комутатори VMnet3-VMnet6. Другий рівень віртуалізації забезпечується програмним засобом GNS3 на базі Dynamips, що працює на віртуальній машині CISCONET, на цьому рівні знаходяться віртуальні маршрутизатори Cisco (R1, R2), а також віртуальні комутатори SW1-SW4, приєднані до відповідних мережних інтерфейсів маршрутизаторів (R1, R2). Мережева взаємодія між першим і другим рівнем віртуалізації здійснюється за рахунок «двостороннього проектування» на канальному рівні OSI: віртуальні комутатори VMnet3-VMnet6 прив'язані до відповідних мережевих адаптерів LAN1-LAN4 допоміжної віртуальної машини CISCONET, а відповідних «Cloud» (на схемі вони не показані, оскільки по суті вони є простими «точками стику» і не більше того), також прив'язані до відповідних мережних адаптерів LAN1-LAN4 допоміжної віртуальної машини CISCONET. Нарешті, третій рівень віртуалізації забезпечується засобами ОС Cisco IOS, що працюють на віртуальних маршрутизаторах, на цьому рівні знаходяться віртуальна хмара MPLS і віртуальні ланцюжки (VC 111, VC 222) за технологією EoMPLS. Віртуальні ланцюжки EoMPLS засобами самої ОС Cisco OS проектуються на відповідні інтерфейси віртуальних маршрутизаторів (R1, R2) і забезпечується мережева взаємодія між другим і третім рівнем віртуалізації.

Перейдемо тепер безпосередньо до результатів моделювання цієї багаторівневої конструкції на персональному комп'ютері. Ось як все виглядає після створення, налаштування та запуску віртуальних машин, включаючи CISCONET, усередині якої також створено, налаштовано та запущено мережу з маршрутизаторами Cisco:

У віртуальній машині CISCONET чотири мережеві адаптери: LAN1, LAN2, LAN3 і LAN4, які прив'язані до відповідних віртуальних комутаторів VMnet3, VMnet4, VMnet5 і VMnet6. У свою чергу, мережевий адаптер віртуальної машини WINPC1 прив'язаний до віртуального комутатора VMnet3, мережевий адаптер WINPC2 - VMnet4, мережевий адаптер WINSRV1 - VMnet5 і мережевий адаптер WINSRV2 - VMnet6. Так реалізується одна сторона точок «дотику»: віртуальні машини WINPC1, WINPC2, WINSRV1 та WINSRV2 можуть взаємодіяти з віртуальною машиною CISCONET через відповідні мережеві адаптери цієї машини. Дуже важливо відзначити, що будь-яка комутація чи маршрутизація між мережевими адаптерами віртуальної машини CISCONET засобами самої ОС MS Windows на цій машині за визначенням має бути заборонена. У свою чергу, на машині CISCONET запущено середовище GNS на базі Dynamips, в якому працюють два віртуальні маршрутизатори Cisco. Відповідні інтерфейси маршрутизаторів приєднані до відповідних віртуальних комутаторів SW1, SW2, SW3 і SW4 (не плутати їх з віртуальними комутаторами VMnet), а комутатори, у свою чергу, підключені до відповідних об'єктів PC1, PC2, SRV1 і SR VMware з аналогічними назвами). PC1, PC2, SRV1 та SRV2 по суті є об'єктами типу «Cloud» - простими «точками стику», спроектованими на відповідні мережеві адаптери LAN1, LAN2, LAN3 та LAN4 віртуальної машини CISCONET. Таким чином, реалізується друга сторона точок «дотику»: відповідні інтерфейси маршрутизаторів можуть взаємодіяти з віртуальною машиною CISCONET через відповідні мережеві адаптери цієї машини.

Нижче частково показано, як реалізуються необхідні прив'язки між віртуальними комутаторами VMnet та мережевими адаптерами віртуальної машини CISCONET, а також між об'єктами PC1, PC2, SRV1 та SRV2 (точками стику) та мережевими адаптерами віртуальної машини CISCONET. На знімку екрана видно вікно з конфігураційним файломвіртуальної машини CISCONET, на якій видно MAC-адреси мережевих адаптерів та прив'язка до віртуальних комутаторів VMnet. В іншому вікні відображено таблицю мережевих підключеньвіртуальної машини CISCONET та відповідні їм назви мережевих адаптерів (присвоєні в ОС MS Windows цієї машини), MAC-адреси адаптерів та ідентифікатори мережевого транспорту. Нарешті, у третьому вікні відображено прив'язку об'єкта PC1 типу «Cloud» (точки стику) до відповідного ідентифікатора мережного транспорту віртуальної машини CISCONET.

Щоб не заплутатися в мережевих прив'язках між різними об'єктами різних рівнях віртуалізації, зведемо в одну наочну таблицю:

Тепер перейдемо до результатів тестування. На наведеному нижче знімку екрана видно, що відповідні робочі станції та сервери «бачать» один одного по мережі (у тому числі за допомогою мережевих служб, що використовують широкомовні запити) крізь MPLS-хмара, завдяки віртуальним ланцюжкам EoMPLS. Фахівцям з мережевих технологій також буде цікаво подивитися на таблиці MPLS-комутації та стан віртуальних ланцюжків EoMPLS на маршрутизаторах Cisco. На другому знімку екрана видно, що віртуальні ланцюжки (VC 111, VC 222) успішно функціонують і по них в обидві сторони передано кілька байтів:

Таким чином, багаторівнева віртуалізація дозволяє вивчати та тестувати різноманітні приклади мережевої інфраструктури, ефективно використовуючи обчислювальні ресурси персонального комп'ютера, що є під рукою, який на сьогоднішній день нерідко має на «борті» багатоядерний процесор і оперативну пам'ять великої ємності. До того ж багаторівнева віртуалізація дозволяє гнучкіше розподіляти обчислювальні ресурси та контролювати їх використання. Так, наприклад, у розглянутому вище прикладі віртуальні маршрутизатори працюють в рамках обчислювальних ресурсів допоміжної віртуальної машини, а не реального комп'ютера, як це було б у разі однорівневої віртуалізації.

Всім привіт.

Свого часу довелося займатися Cisco. Не довго, але все-таки. Все, що пов'язано з Cisco зараз мега популярно. Я свого часу стосувався відкриття локальної академії Cisco у місцевому університеті. Рік тому був на курсах. Але не завжди ми маємо доступ до самого обладнання, особливо під час навчання. На допомогу приходять емулятори. Є такі й у Cisco. Я починав з Boson NetSim, а студенти майже зараз сидять на Cisco Packet Tracer. Проте цими двома видами набір симуляторів не обмежується.

Якийсь час тому ми у своєму циклі «Мережі для найменших» перейшли на емулятор GNS3, який краще задовольняв наші потреби, ніж Cisco Packet Tracer.

Але які взагалі маємо альтернативи? Про них розповість Олександр aka Sinister, у якого поки що немає акаунту на хабрі.

Існує досить велика кількість симуляторів та емуляторів для обладнання Cisco Systems. У цьому невеликому огляді я спробую показати всі існуючі інструменти, які вирішують це завдання. Інформація буде корисна тим, хто вивчає мережеві технології, готується складати іспити Cisco, збирає річки для траблшутингу або досліджує питання безпеки.

Небагато термінології.

Симулятори- Імітують якийсь набір команд, він вшитий і варто тільки вийти за рамки, відразу отримаємо повідомлення про помилку. Класичний приклад – Cisco Packet Tracer.

Емуляториа навпаки - дозволяють програвати (виконуючи байт трансляцію) образи (прошивки) реальних пристроїв, часто без видимих ​​обмежень. Як приклад - GNS3/Dynamips.

Першим розглянемо Cisco Packet Tracer.

1. Cisco Packet Tracer

Цей симулятор доступний як під Windows, так і для Linux, безкоштовно для учнів Академії Cisco.

У 6-й версії з'явилися такі речі як:

• IOS 15
• Модулі HWIC-2T та HWIC-8A
• 3 нових пристроїв (Cisco 1941, Cisco 2901, Cisco 2911)
• Підтримка HSRP
• IPv6 у налаштуваннях кінцевих пристроїв (десктопи).

Відчуття таке, що новий випуск був приурочений до оновлення іспиту CCNA до версії 2.0.

Його плюси – дружність та логічність інтерфейсу. Крім цього в ньому зручно перевіряти роботу різних мережевих сервісів, таких як DHCP/DNS/HTTP/SMTP/POP3 і NTP.

І одна з найцікавіших фіч – це можливість перейти в режим simulation та побачити переміщення пакетів із уповільненням часу.

Мені це нагадало ту саму Матрицю.

• Майже все, що виходить за рамки CCNA, на ньому зібрати не вийде. Наприклад, EEM відсутня геть-чисто.
• Також іноді можуть проявлятися різноманітні глюки, які лікуються лише перезапуском програми. Особливо цим славиться протокол STP.

Що маємо у результаті?

Непоганий інструмент для тих, хто тільки почав своє знайомство з обладнанням компанії Cisco.

Наступний — GNS3, який є графічним інтерфейсом (на Qt) для емулятора dynamips.

Вільний проект, доступний під Linux, Windows та Mac OS X. Сайт проекту GNS - www.gns3.net. Але більшість його функцій, покликаних поліпшити продуктивність, працюють тільки під Linux (ghost IOS, який спрацьовує у разі використання безлічі однакових прошивок), 64-бітна версія так само тільки для Linux. Поточна версія GNS на даний момент – 0.8.5. Це емулятор, який працює зі справжніми прошивками IOS. Для того, щоб ним користуватися, у вас повинні бути прошивки. Скажімо, ви купили маршрутизатор Cisco, з нього можна їх витягти. До нього можна підключати віртуальні машини VirtualBox або VMware Workstation та створювати досить складні схеми, за бажання можна піти далі та випустити його в реальну мережу. Крім того, Dynamips вміє емулювати як старі Cisco PIX, так і відому Cisco ASA, причому навіть версії 8.4.

Але при цьому є безліч недоліків.

Кількість платформ строго обмежена: запустити можна лише ті шасі, які передбачені розробниками dynamips. Запустити ios 15 версії можна лише на платформі 7200. Неможливо повноцінно використовувати комутатори Catalyst, це пов'язано з тим, що на них використовується велика кількість специфічних інтегральних схем, які відповідно вкрай складно емулювати. Залишається використовувати мережні модулі (NM) для маршрутизаторів. При використанні великої кількості пристроїв гарантовано спостерігатиметься просідання продуктивності.

Що маємо у сухому залишку?

Інструмент, в якому можна створювати досить складні топології, готуватися до іспитів рівня CCNP з деякими застереженнями.

3. Boson NetSim

Кілька слів про симулятор Boson NetSim, який нещодавно оновився до 9-ї версії.

Випускається лише під Windows, ціна коливається від 179 $ за CCNA і до 349 $ за CCNP.

Є якоюсь збіркою лабораторних робіт, згрупованою за темами іспиту.

Як можна спостерігати по скріншотах, інтерфейс складається з кількох секцій: опис завдання, карта мережі, у лівій частині знаходиться список усіх лаб. Закінчивши роботу, можна перевірити результат і дізнатися, чи все було зроблено. Є можливість створення власних топологій з деякими обмеженнями.

Основні фічі Boson NetSim:

• Підтримує 42 маршрутизатори, 6 комутаторів та 3 інших пристрої
• Симулює мережевий трафік за допомогою технології віртуальних пакетів
• Надає два різні стилі перегляду: режим Telnet'а або режим підключення по консолі
• Підтримує до 200 пристроїв на одній топології
• Дозволяє створювати свої власні лабораторії
• Включає лабораторії, які підтримують симуляцію SDM
• Включає не-Cisco пристрої, такі як TFTP Server, TACACS + і генератор пакетів (це, ймовірно, ті самі 3 інших пристрої)

Недоліки у нього ті ж, що й у Packet Tracer.

Тим, кому не жаль певної суми, і при цьому не хочеться розбиратися і створювати свої топології, а хочеться просто попрактикуватися перед іспитом, буде дуже доречним.

Офіційний сайт - www.boson.com/netsim-cisco-network-simulator.

4. Cisco CSR

Тепер розглянемо досить новий Cisco CSR.

Нещодавно з'явився віртуальний Cisco Cloud Service Router 1000V.

Він доступний на офіційному сайті Cisco.

Щоб скачати цей емулятор, достатньо просто зареєструватися на сайті. Безкоштовно. Контракт із Cisco не потрібен. Це дійсно подія, оскільки раніше Cisco всіма способами боролася з емуляторами і рекомендувала лише орендувати обладнання. Завантажити можна, наприклад, OVA файл, який є віртуальною машиною, судячи з усього, RedHat або його похідні. Віртуальна машинапри кожному запуску підвантажує iso образ, всередині якого можна знайти CSR1000V.BIN, який є власне прошивкою. Ну а Linux виступає у ролі враппера (wrapper) - тобто перетворювача викликів. Деякі вимоги, які вказані на сайті – пам'ять DRAM 4096 MB Flash 8192 MB. За сьогоднішніх потужностей це не повинно доставити проблем. CSR можна використовувати в топологіях GNS3 або у зв'язці з віртуальним комутатором Nexus.

CSR1000v виконаний у вигляді віртуального маршрутизатора (приблизно як Quagga, але IOS від Cisco), який крутиться на гіпервізорі як екземпляра клієнта та надає послуги звичайного маршрутизатора ASR1000. Це може бути щось звичайне, як базова маршрутизація або NAT, і аж до таких речей, як VPN MPLS або LISP. У результаті маємо майже повноцінний провайдерський Cisco ASR 1000. Швидкість роботи досить хороша, працює в реальному часі.

Не обійшлося і без вад. Безкоштовно можна використовувати лише ознайомлювальну ліцензію, яка триває лише 60 днів. Крім того, у цьому режимі пропускна спроможністьобмежена до 10, 25 чи 50 Mbps. Після закінчення такої ліцензії швидкість впаде до 2.5 Мбіт/с. Вартість ліцензії на 1 рік коштуватиме приблизно 1000$.

5. Cisco Nexus Titanium

Titanium – це емулятор операційної системикомутаторів Cisco Nexus, яка ще називається NX-OS. Nexus'и позиціонуються як комутатори для ЦОДів.

Цей емулятор був створений безпосередньо компанією Cisco для внутрішнього використання.

Titanium 5.1.(2) зібраний на основі VMware деякий час тому, потрапив у публічний доступ. Через деякий час з'явився і Cisco Nexus 1000V, який можна цілком легально придбати окремо або у складі редакції vSphere Enterprise Plus компанії Vmware. Можна спостерігати на сайті - www.vmware.com/ru/products/cisco-nexus-1000V/

Відмінно підійде всім, хто готується здавати трек Data Center. Має деяку особливість - після включення починається процес завантаження (як і у випадку CSR теж побачимо Linux) і зупиняється. Складається враження, що все зависло, але це не так. Підключення до цього емулятора здійснюється через іменовані канали.

Іменований канал - це один з методів міжпроцесної взаємодії. Існують як у Unix подібних системах, так і в Windows. Для підключення достатньо відкрити наприклад putty, вибрати тип підключення serial і вказати \\.\pipe\vmwaredebug.

Використовуючи GNS3 та QEMU (легкий емулятор ОС, що йде в комплекті з GNS3 під Windows), можна збирати топології, в яких будуть задіяні комутатори Nexus. І знову ж таки можна випустити цей віртуальний комутатор у реальну мережу.

6. Cisco IOU

Ну і нарешті знаменитий Cisco IOU (Cisco IOS on UNIX) - це пропрієтарний софт, який офіційно не поширюється взагалі.

Існує думка, що Cisco може відстежити та ідентифікувати того, хто використовує IOU.

При запуску відбувається спроба запиту HTTP POST на сервер xml.cisco.com. Дані, які при цьому відправляються, включають hostname, логін, версію IOU і т.д.

Відомо, що Cisco TAC використовує саме IOU. Емулятор має велику популярність у тих, хто готується до здачі CCIE. Спочатку працював лише під Solaris, але згодом був портований і на Linux. Складається з двох частин - l2iou та l3iou, за назвою можна здогадатися, що перший емулює канальний рівень і комутатори, а другий - мережевий та маршрутизатори.

Автором інтерфейсу є Andrea Dainese. Його сайт: www.routereflector.com/cisco/cisco-iou-web-interface/. На самому сайті немає ні IOU ні будь-яких прошивок, навіть автор заявляє, що веб-інтерфейс був створений для людей які мають право на використання IOU.

І невеликі підсумки насамкінець.

Як виявилося, зараз існує досить широкий спектр емуляторів та симуляторів обладнання компанії Cisco. Це дозволяє практично повноцінно готуватися до іспитів різних треків (класичного R/S, Service Provider і навіть Data Center). Приклавши певні зусилля можна збирати і тестувати найрізноманітніші топології, проводити дослідження вразливостей та за необхідності випускати емульоване обладнання реальну мережу.

Як ви знаєте, іноді на блозі публікуються статті наших добрих знайомих.

Сьогодні Євген розповість нам про віртуалізацію маршрутизатора Cisco.

Є класична схема організації мережі: рівень доступу (SW1, SW2, SW3), рівень розподілу (R1) та приєднання до глобальної мережі (R2). На маршрутизаторі R2 організовано збір статистики та налаштовано NAT. Між R2 та R3 встановлений апаратний брандмауер з функціями фільтрації трафіку та маршрутизації (схема 1)

Нещодавно було поставлено завдання з міграції всієї мережі на альтернативний шлюз (R4). Новий шлюз має кластерний функціонал і здатний горизонтально масштабуватися за рахунок збільшення кількості нод кластера. Згідно з планом введення в експлуатацію, потрібно, щоб у певний періодчасу в мережі було одночасно два шлюзи - старий (R2) - для всіх клієнтських мереж, і новий (R4) - для мереж, що беруть участь у тестуванні нового шлюзу (схема 2).

Спроби реалізувати PBR (Policy-based routing) на внутрішньому маршрутизаторі (R1) не мали успіху – трафік зациклювався. Керівництво на прохання додаткового обладнання відповіло відмовою. Час минав, маршрутизатора не було, завдання буксувало…

І тут на очі потрапила стаття з Інтернету, яка розповідала про ізоляцію таблиць маршрутизації на маршрутизаторах Cisco.

Я вирішив отримати додатковий маршрутизатор із незалежною таблицею маршрутизації на базі існуючого обладнання. Для вирішення завдання було складено новий проект (Схема 3), який передбачає наявність додаткового маршрутизатора з можливістю PBR.

Сполучна мережа між R1 та R5:

Мережа: 172.16.200.0/30

Інтерфейс R1: 172.16.200.2 /30

Інтерфейс на R5: 172.16.200.1/30

VLANID: 100 – старий маршрутизатор

VLANID: 101 – новий маршрутизатор

Примітка: В якості R5 використовується віртуальний маршрутизатор, створений на базі R3 (Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9_NPE-M), Version 15.0(1)M1, RELEASE SOFTWARE (fc1)).

Маршрутизатор R3 оснащений трьома гігабітними портами Ethernet, інтерфейс Gi0/0 – використовується для внутрішньої маршрутизації, Gi0/1 – для підключення до апаратного брандмауера, а Gi0/2 – для підключення до зовнішнього провайдера.

Перейдемо до налаштування маршрутизатора R5.

Переходимо в режим конфігурування:
R3(config)#ip vrf zone1
цією командою на маршрутизаторі створюється ізольована таблиця маршрутизації. Назва zone1вибирається адміністратором самостійно. Також можна призначити ідентифікатор та опис. Докладніше можна прочитати у документації. По завершенню повертаємось у режим конфігурування за допомогою команди exit.

Налаштовуємо мережеві інтерфейси:
R3(config)#interface GigabitEthernet0/0.100

R3(config-subif)#encapsulation dot1Q 100
R3(config-subif)#ip address 172.16.100.2 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.101
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#encapsulation dot1Q 101
R3(config-subif)#ip address 172.16.100.6 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#encapsulation dot1Q 1000
R3(config-subif)#ip address 172.16.200.1 255.255.255.252
R3(config-subif)#exit
Зараз потрібно налаштувати PBR. Для цього складемо ACL, керуючись наступним правилом: усі, хто потрапляє до ACL – маршрутизуються через старий шлюз, інші – через новий.
R3(config)#access-list 101 deny ip host 192.168.3.24 any
R3(config)#access-list 101 deny ip host 192.168.3.25 any
R3(config)#access-list 101 deny ip host 192.168.3.26 any
R3(config)#access-list 101 permit ip any any
Створюємо Route-Map:
R3(config)#route-map gw1 permit 50
R3(config-route-map)#match ip address 101
R3(config-route-map)#set ip vrf zone1 next-hop 172.16.100.1
R3(config-route-map)#exit
І застосовуємо його на інтерфейс:
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip policy route-map gw1
R3(config-subif)#exit
Додаємо маршрут за замовчуванням до таблиці маршрутизації zone1:
R3(config)#ip route vrf zone1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
та перевіряємо таблицю маршрутизації для zone1
R3#show ip route vrf zone1
Routing Table: zone1
Codes: L - локальний, C - connected, S - static, R - RIP, M - мобільний, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 172.16.100.5 to network 0.0.0.0

S* 0.0.0.0/0 via 172.16.100.5, GigabitEthernet0/0.101
172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks
C 172.16.100.0/30 is directly connected, GigabitEthernet0/0.100
L 172.16.100.2/32 є безпосередньо підключеним, GigabitEthernet0/0.100
C 172.16.100.4/30 є безпосередньо підключеним, GigabitEthernet0/0.101
L 172.16.100.6/32 є безпосередньо підключеним, GigabitEthernet0/0.101
C 172.16.200.0/30 is directly connected, GigabitEthernet0/0.1000
L 172.16.200.1/32 є безпосередньо підключеним, GigabitEthernet0/0.1000
Завдання щодо поділу трафіку клієнтських мереж на різні шлюзи вирішено. З мінусів прийнятого рішення хотілося б відзначити збільшення навантаження на апаратну частину маршрутизатора та ослаблення безпеки, оскільки маршрутизатор, підключений до глобальної мережі пряме підключеннядо локальної мережів обхід апаратного брандмауера.