Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése Kocsis Péter

Előadás célja Témakörönként egy-két megoldást/ötletet, vagy új témakört bemutatni. Ezek gyakorlati alkalmazását egy példán keresztül megmutatni.

Tartalomjegyzék Alap tervezési szempontok Switching Tűzfalazás/routing Virtuális tűzfalak Fiktív esettanulmány

Alap tervezési szempontok #1 Struktúrált IP-címzés Próbáljuk meg a VLAN-okat telephelyen belül tartani! Előny: route-aggregálás -> kisebb route-táblák -> erőforrások optimalizálása, áttekinthetőség javul

Alap tervezési szempontok #2 IP-címzés és VLAN-ID megfeleltetés Könnyebb olvasni a konfigot, átlátni a hálózatot Ugyanolyan vlan-ID ne jelenjen meg több telephelyen, ezáltal a vlan és a routing információ össze lesz kötve egyértelműen!

Switching Layer-2 funkciók Routing (nem tűzfalazott VLAN-ok)

Hard to manage STP in a flat L2 access network Régi hálózatok Túl sok eszköz és réteg (layer) 1 WAN Edge WAN Edge Router WAN Edge Router Különböző eszközök, OS-ek 2 Core Tier L2/L3 Switch L2/L3 Switch Aggregation Tier Nagy késleltetés 3 SSL VPN Firewall Security Sprawl STP problémák: load-balancing nem támogatott (pl. MSTP-vel lehet trükközni, de az nem igazi load-balancing (pl. nem forgalomfüggő) Lassú konvergencia (RSTP javított rajta, de akkor is lassú; STP: 50sec, RSTP: jellemzően <10sec) Komplex konfiguráció Nehézkes hibakeresés/javítás IPSec VPN IPS Komplex ->bonyolult konfigurálni, változtatni 4 Hard to manage STP in a flat L2 access network L2/L3 Switch L2/L3 Switch Access Tier L2 Switch Servers + Storage

Egyszerűsített hálózat EX4200/4500 VC top-of-the-rack vagy end-of-the-row EX4200 Virtual Chassis max. 480 GbE ports EX4500 Virtual Chassis max: 400 10GbE port MX Series EX 8200 EX8200 VC: nagy portsűrűség és teljesítmény Egy EX8200 switch max. 768 GbE port, vagy 640 10GbE port* Juniper: kétszintű hálózat: access layer, distribution/core layer egybe. Access layer-en belül az Access-switchek között van átjárás a VC-n keresztül. -> L2/L3 lemehet az access-szintre. Nagyon nagy és kritikus hálózatoknál QFabric ~ 1 layer. ECMP SRX5800 EX8200 EX4200 L2/L3 Boundary EX4500

Juniper előnyök VirtualChassis: Licenszelés: nincsenek trükkök Teljesítmény: wire-rate + 128Gbps backplane Stacking: VC-kábel + uplink interfészek Skálázhatóság: max. 10 switch a VC-ben Vegyesen EX-4200 és EX4500 is lehet Növekedéstől függően GE, 10GE portszám Kihasznált hálózati linkek (STP nem blokkol) Redundancia: n+1 Licenszelés: nincsenek trükkök 1-féle plusz licensz van (IS-IS, BGP, MPLS, IPv6 routing) Nincsen STP-re szükség Redundancia: VC-master és backup szerepet bármely switch felveheti. A többi tekinthető linecard-nak. Advanced Feature License (AFL) includes licenses for IS-IS, BGP, MPLS and IPv6 routing BGP SRX-ben benne van. Magyarországra legtöbb esetben elég ez.

Tűzfalak Tűzfalazás Site-to-Site VPN szolgáltatások Routing (tűzfalazott VLAN-ok) Internet-kapcsolat lekezelése

Egy ötlet: route-alapú VPN Logikai interfész Elnevezés JunOS: st, ScreenOS: tunnel IF IP-címmel vagy anélkül IP-cím segít a hibakeresésnél (pl. traceroute) Security zónához rendelt VPN-használat Routing tábla alapján Előnyök: Dinamikus routing (tipikusan OSPF) VPN felett Tűzfal-policy és VPN szétválasztása

Route-alapú vpn működése

Tűzfal Layer-2 módban A tűzfalnak (vagy adott interfész-párnak) nincsen IP-címe Nem kell a címzést megváltoztatni Gyorsan „bedobható” a megvédendő szerver/szegmens elé A tűzfalszabályok ugyanúgy néznek ki (src IP/port -> dst IP/port (alkalmazások), akció, opciók) Vegyes használat esetén (L2/L3) nincsen átjárás a 2 mód között eszközön belül

Tűzfal működése L2/L3 módban

Virtualizált környezet Probléma: VM-VM közti forgalom figyelése, szűrése Megoldások: VMWare-en kívül tűzfalazni: teljesítmény, késleltetés, vMotion, … Virtualizált tűzfal: Juniper vGW: stateful, IDS, AV VMSafe-certified

vGW architektúra

Egyszerű üzemeltetés STP mellőzése, ahol lehet Virtual Chassis használata Linkhiba kezelése automatikusan dinamikus routing, track IP, … Konfiguráció aktiválás Időzítve Baj esetén automatikus visszaállás Ábrákat készíteni: VC: két szerverszoba,

JunOS: konfiguráció aktiválás „commit” alapú működés commit at … (előtte „commit check”) commit confirmed [edit] root# commit confirmed 2 and-quit comment "hostname valtozott" commit confirmed will be automatically rolled back in 2 minutes unless confirmed commit complete Exiting configuration mode # commit confirmed will be rolled back in 2 minutes root@EuroOne> … # commit confirmed will be rolled back in 0 minutes Broadcast Message from root@EuroOne (no tty) at 14:48 UTC... Commit was not confirmed; automatic rollback complete.

Fiktív esettanulmány Igények: Redundáns bérelt vonali kapcsolat Tűzfalazás telephelyen belül Telephelyek között titkosítás és tűzfalazás Internet elérés csak a Központon keresztül Legyen egyszerűen üzemeltethető

Hálózati ábra

Konfiguráció-minta

Kérdések ??? Köszönöm a figyelmet!