Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése Kocsis Péter.

Hasonló előadás


Az előadások a következő témára: "Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése Kocsis Péter."— Előadás másolata:

1 Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése Kocsis Péter

2 Előadás célja Témakörönként egy-két megoldást/ötletet, vagy új témakört bemutatni. Ezek gyakorlati alkalmazását egy példán keresztül megmutatni.

3 Tartalomjegyzék Alap tervezési szempontok Switching Tűzfalazás/routing Virtuális tűzfalak Fiktív esettanulmány

4 Alap tervezési szempontok #1 Struktúrált IP-címzés Előny : route-aggregálás -> kisebb route-táblák -> erőforrások optimalizálása, áttekinthetőség javul

5 Alap tervezési szempontok #2 IP-címzés és VLAN-ID megfeleltetés – Könnyebb olvasni a konfigot, átlátni a hálózatot

6 Switching Layer-2 funkciók Routing (nem tűzfalazott VLAN-ok)

7 Régi hálózatok SSL VPN Firewall IPSec VPN IPS L2 Switch L2/L3 Switch WAN Edge Router Servers + Storage Túl sok eszköz és réteg (layer) 1 Különböző eszközök, OS-ek 2 Nagy késleltetés 3 Komplex ->bonyolult konfigurálni, változtatni 4 L2/L3 Switch Hard to manage STP in a flat L2 access network Security Sprawl WAN Edge Core Tier Aggregation Tier Access Tier

8 Egyszerűsített hálózat EX 8200 MX Series EX4200 SRX5800 EX4200/4500 VC top-of-the-rack vagy end-of-the-row EX4200 Virtual Chassis max. 480 GbE ports EX4500 Virtual Chassis max: GbE port EX8200 VC: nagy portsűrűség és teljesítmény Egy EX8200 switch max. 768 GbE port, vagy GbE port* EX8200 L2/L3 Boundary ECMP EX4500

9 Juniper előnyök VirtualChassis: – Teljesítmény: wire-rate + 128Gbps backplane – Stacking: VC-kábel + uplink interfészek – Skálázhatóság: max. 10 switch a VC-ben Vegyesen EX-4200 és EX4500 is lehet Növekedéstől függően GE, 10GE portszám – Kihasznált hálózati linkek (STP nem blokkol) – Redundancia: n+1 Licenszelés: nincsenek trükkök 1-féle plusz licensz van (IS-IS, BGP, MPLS, IPv6 routing)

10 Tűzfalak Tűzfalazás Site-to-Site VPN szolgáltatások Routing (tűzfalazott VLAN-ok) Internet-kapcsolat lekezelése

11 Egy ötlet: route-alapú VPN Logikai interfész – Elnevezés JunOS: st, ScreenOS: tunnel IF – IP-címmel vagy anélkül IP-cím segít a hibakeresésnél (pl. traceroute) – Security zónához rendelt VPN-használat – Routing tábla alapján Előnyök: – Dinamikus routing (tipikusan OSPF) VPN felett – Tűzfal-policy és VPN szétválasztása

12 Route-alapú vpn működése

13 Tűzfal Layer-2 módban A tűzfalnak (vagy adott interfész-párnak) nincsen IP-címe – Nem kell a címzést megváltoztatni – Gyorsan „bedobható” a megvédendő szerver/szegmens elé – A tűzfalszabályok ugyanúgy néznek ki (src IP/port -> dst IP/port (alkalmazások), akció, opciók) – Vegyes használat esetén (L2/L3) nincsen átjárás a 2 mód között eszközön belül

14 Tűzfal működése L2/L3 módban

15 Virtualizált környezet Probléma: VM-VM közti forgalom figyelése, szűrése Megoldások: – VMWare-en kívül tűzfalazni: teljesítmény, késleltetés, vMotion, … – Virtualizált tűzfal: Juniper vGW: stateful, IDS, AV VMSafe-certified

16 vGW architektúra

17 Egyszerű üzemeltetés STP mellőzése, ahol lehet – Virtual Chassis használata Linkhiba kezelése automatikusan – dinamikus routing, track IP, … Konfiguráció aktiválás – Időzítve – Baj esetén automatikus visszaállás

18 JunOS: konfiguráció aktiválás „commit” alapú működés commit at … (előtte „commit check”) commit confirmed [edit] root# commit confirmed 2 and-quit comment "hostname valtozott" commit confirmed will be automatically rolled back in 2 minutes unless confirmed commit complete Exiting configuration mode # commit confirmed will be rolled back in 2 minutes … # commit confirmed will be rolled back in 0 minutes Broadcast Message from (no tty) at 14:48 UTC... Commit was not confirmed; automatic rollback complete.

19 Fiktív esettanulmány Igények: – Redundáns bérelt vonali kapcsolat – Tűzfalazás telephelyen belül – Telephelyek között titkosítás és tűzfalazás – Internet elérés csak a Központon keresztül – Legyen egyszerűen üzemeltethető

20 Hálózati ábra

21 Konfiguráció-minta

22 Kérdések ??? Köszönöm a figyelmet!


Letölteni ppt "Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése Kocsis Péter."

Hasonló előadás


Google Hirdetések