Easy VPN между маршрутизаторами Cisco ISR

Cisco Easy VPN (EZVPN) позволяет использовать в качестве VPN-клиента как «софтварный» Cisco VPN Client, так и «хардварный» маршрутизатор Cisco ISR или Cisco ASA. При этом для сервера Cisco Easy VPN нет никакой разницы кто выступает в качестве VPN-клиента.

Маршрутизатор, выступающий в роли Easy VPN клиента, аутентифицируется Easy VPN сервером следующим образом: Читать далее

Easy VPN между Cisco ISR и Cisco VPN Client (Remote access Easy VPN)

Настройка Cisco Easy VPN с использованием Virtual Tunnel Interfaces (VTI) на сервере и Cisco VPN Client у VPN-клиента состоит из следующих шагов:
1. Настройка основных функций (политик и профилей) на сервере. На этом шаге настраиваются группы, которые содержат настройки для клиентов. К таким настройкам относятся профили ISAKMP, сетевые настройки (IP-адресация, DNS-сервера, WINS-сервера, имя домена) для различных групп пользователей удалённого доступа.

Настройка Cisco Easy VPN будет производиться на маршрутизаторе в следующей топологии:

EZVPN_001На Host2 установлен Cisco VPN Client, который через Easy VPN будет подключаться к маршрутизатору Router.

Читать далее

Cisco Easy VPN (EZVPN) — обзор

Отличительной особенностью данной технологии является то, что большинство параметров VPN-подключения настраивается на сервере Easy VPN (в качестве которого выступает маршрутизатор Cisco ISR или Cisco ASA), поэтому на VPN-клиенте настроек, касающихся VPN-подключения, совсем немного. При подключении клиентской стороны к Easy VPN-серверу, сервер передаёт клиенту политики (настройки) IPSec и создаёт соответствующий VPN-туннель. Cisco Easy VPN может использоваться как для построения Site-to-Site, так и для Remote access туннелей, а сервер Easy VPN выступает в роли шлюза VPN. Читать далее

BGP Communities и Blackhole

BGP Communities

BGP Communities является опциональным транзитивным (optional transitive) атрибутом маршрутов BGP, т.е. маршрутизатор, не поддерживающий данный атрибут, просто передаст его другому маршрутизатору без изменений. Атрибут BGP Communities может передаваться как внутри одной AS, так и между разными AS. С помощью BGP Communities «помечаются» (можно ещё сказать теггируются) маршруты BGP, с которыми в дальнейшем возможно выполнить те или иные действия на основании данного Community (например поменять Local Preference, ). Т.о. данный атрибут «приклеивается» к определённому маршруту/префиксу, передаваемому в update’ах через BGP. Атрибут BGP Communities в чём-то напоминает теггирование маршрутов (route tag) в классическом варианте.  Читать далее

14.1 Основы MPLS

14. MPLS

14.1 Основы MPLS

MPLS был разработан для быстрой обработка трафика маршрутизаторами. MPLS использует метки (label) для принятия решения о путях пересылки трафика через сеть. Основное преимущество MPLS в том, что он обеспечивает чёткое разделение между маршрутизацией (control) и пересылкой (moving data). Такое разделение позволяет развернуть единый алгоритм пересылки — MPLS, который может быть использован для различных сервисов и типов трафика. Пакетам может быть присвоен label-switched path (LSP) основываясь на различных комбинациях критериев: сеть назначения и тип приложения, сеть источника и назначения, требованиях QoS, IP multicast группы, идентификатора VPN. Читать далее

13.2 Link Aggregation Groups (LAG)

13. High Availability and Network Optimization

13.2 Link Aggregation Groups (LAG)

  В данной главе рассмотрен обзор протокола Link Aggregation Groups (LAG), его настройка и проверка.

Протокол LAG

Протокол LAG описан в стандарте IEEE 802.3ad. Позволяет объединить несколько L2 Ethernet интерфейсов и т.о. сформировать один логический L2 интерфейс, называемый link aggregation group (LAG) или bundle. Физические линки, составляющие LAG, являются членами этой LAG. Как правило LAG используется в транках между коммутатором уровня доступа и агрегирующим коммутатором: Читать далее

13.1 Ethernet Ring Protection (ERP)

13. High Availability and Network Optimization

13.1  Ethernet Ring Protection (ERP)

 В данной главе рассмотрен обзор протокола Ethernet Ring Protection (ERP), его настройка и проверка.

Протокол ERP

Протокол описан в ITU-T G.8032. Обеспечивает высокую надёжность, стабильность, защиту от петель в кольцевых Ethernet-топологиях, обеспечивая время сходимости менее 50 ms. Таким образом может служить заменой для STP. При применении ERP в сетях на основе «меди», рекомендуется в дополнение задействовать connectivity fault management (CFM) для помощи в обнаружении неисправностей между устройствами. Читать далее

12. Ethernet OAM

12. Ethernet OAM

Сама аббревиатура OAM означает «Operation, Administration, Maintenance», т.е. процессы, затрагивающие эксплуатацию, управление и обслуживание. OAM позволяет следить за состоянием сети — определять местоположение дефектов, измерять производительность сети, производить диагностическое тестирование. Ethernet-сети имеют необходимые инструменты для выполнения вышеуказанных функций. Читать далее

11.5 Защита в Spanning Tree

11. Spanning Tree Protocols

11.5 Защита в Spanning Tree

 Для защиты топологии Spanning Tree от несанкционированных и незапланированных изменений существует несколько способов:

  • BPDU Protection
  • Loop Protection
  • Root Protection

Рассмотрим подробнее каждую из перечисленных технологий. Читать далее

11.4 VLAN Spanning Tree Protocol (VSTP)

11. Spanning Tree Protocols

11.4 VLAN Spanning Tree Protocol (VSTP)

 VSTP позволяет создавать экземпляры spanning tree отдельно для каждой VLAN. Поддерживается до 4096 экземпляров spanning tree, создавая до 4096 различных путей в топологии. Является собственным протоколом Juniper, совместим с протоколами Cisco Per-VLAN Spanning Tree Plus (PVST+) и Rapid Per-VLAN Spanning Tree Plus (Rapid-PVST+). При использовании большого числа VLAN может быть очень требователен к ресурсам CPU. Читать далее