Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése

Hasonló előadás


Az előadások a következő témára: "Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése"— Előadás másolata:

1 Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése
Kocsis Péter

2 Előadás célja Témakörönként egy-két megoldást/ötletet,
vagy új témakört bemutatni. Ezek gyakorlati alkalmazását egy példán keresztül megmutatni.

3 Tartalomjegyzék Alap tervezési szempontok Switching Tűzfalazás/routing
Virtuális tűzfalak Fiktív esettanulmány

4 Alap tervezési szempontok #1
Struktúrált IP-címzés Próbáljuk meg a VLAN-okat telephelyen belül tartani! Előny: route-aggregálás -> kisebb route-táblák -> erőforrások optimalizálása, áttekinthetőség javul

5 Alap tervezési szempontok #2
IP-címzés és VLAN-ID megfeleltetés Könnyebb olvasni a konfigot, átlátni a hálózatot Ugyanolyan vlan-ID ne jelenjen meg több telephelyen, ezáltal a vlan és a routing információ össze lesz kötve egyértelműen!

6 Switching Layer-2 funkciók Routing (nem tűzfalazott VLAN-ok)

7 Hard to manage STP in a flat L2 access network
Régi hálózatok Túl sok eszköz és réteg (layer) 1 WAN Edge WAN Edge Router WAN Edge Router Különböző eszközök, OS-ek 2 Core Tier L2/L3 Switch L2/L3 Switch Aggregation Tier Nagy késleltetés 3 SSL VPN Firewall Security Sprawl STP problémák: load-balancing nem támogatott (pl. MSTP-vel lehet trükközni, de az nem igazi load-balancing (pl. nem forgalomfüggő) Lassú konvergencia (RSTP javított rajta, de akkor is lassú; STP: 50sec, RSTP: jellemzően <10sec) Komplex konfiguráció Nehézkes hibakeresés/javítás IPSec VPN IPS Komplex ->bonyolult konfigurálni, változtatni 4 Hard to manage STP in a flat L2 access network L2/L3 Switch L2/L3 Switch Access Tier L2 Switch Servers + Storage

8 Egyszerűsített hálózat
EX4200/4500 VC top-of-the-rack vagy end-of-the-row EX4200 Virtual Chassis max. 480 GbE ports EX4500 Virtual Chassis max: GbE port MX Series EX 8200 EX8200 VC: nagy portsűrűség és teljesítmény Egy EX8200 switch max. 768 GbE port, vagy GbE port* Juniper: kétszintű hálózat: access layer, distribution/core layer egybe. Access layer-en belül az Access-switchek között van átjárás a VC-n keresztül. -> L2/L3 lemehet az access-szintre. Nagyon nagy és kritikus hálózatoknál QFabric ~ 1 layer. ECMP SRX5800 EX8200 EX4200 L2/L3 Boundary EX4500

9 Juniper előnyök VirtualChassis: Licenszelés: nincsenek trükkök
Teljesítmény: wire-rate + 128Gbps backplane Stacking: VC-kábel + uplink interfészek Skálázhatóság: max. 10 switch a VC-ben Vegyesen EX-4200 és EX4500 is lehet Növekedéstől függően GE, 10GE portszám Kihasznált hálózati linkek (STP nem blokkol) Redundancia: n+1 Licenszelés: nincsenek trükkök 1-féle plusz licensz van (IS-IS, BGP, MPLS, IPv6 routing) Nincsen STP-re szükség Redundancia: VC-master és backup szerepet bármely switch felveheti. A többi tekinthető linecard-nak. Advanced Feature License (AFL) includes licenses for IS-IS, BGP, MPLS and IPv6 routing BGP SRX-ben benne van. Magyarországra legtöbb esetben elég ez.

10 Tűzfalak Tűzfalazás Site-to-Site VPN szolgáltatások
Routing (tűzfalazott VLAN-ok) Internet-kapcsolat lekezelése

11 Egy ötlet: route-alapú VPN
Logikai interfész Elnevezés JunOS: st, ScreenOS: tunnel IF IP-címmel vagy anélkül IP-cím segít a hibakeresésnél (pl. traceroute) Security zónához rendelt VPN-használat Routing tábla alapján Előnyök: Dinamikus routing (tipikusan OSPF) VPN felett Tűzfal-policy és VPN szétválasztása

12 Route-alapú vpn működése

13 Tűzfal Layer-2 módban A tűzfalnak (vagy adott interfész-párnak) nincsen IP-címe Nem kell a címzést megváltoztatni Gyorsan „bedobható” a megvédendő szerver/szegmens elé A tűzfalszabályok ugyanúgy néznek ki (src IP/port -> dst IP/port (alkalmazások), akció, opciók) Vegyes használat esetén (L2/L3) nincsen átjárás a 2 mód között eszközön belül

14 Tűzfal működése L2/L3 módban

15 Virtualizált környezet
Probléma: VM-VM közti forgalom figyelése, szűrése Megoldások: VMWare-en kívül tűzfalazni: teljesítmény, késleltetés, vMotion, … Virtualizált tűzfal: Juniper vGW: stateful, IDS, AV VMSafe-certified

16 vGW architektúra

17 Egyszerű üzemeltetés STP mellőzése, ahol lehet
Virtual Chassis használata Linkhiba kezelése automatikusan dinamikus routing, track IP, … Konfiguráció aktiválás Időzítve Baj esetén automatikus visszaállás Ábrákat készíteni: VC: két szerverszoba,

18 JunOS: konfiguráció aktiválás
„commit” alapú működés commit at … (előtte „commit check”) commit confirmed [edit] root# commit confirmed 2 and-quit comment "hostname valtozott" commit confirmed will be automatically rolled back in 2 minutes unless confirmed commit complete Exiting configuration mode # commit confirmed will be rolled back in 2 minutes # commit confirmed will be rolled back in 0 minutes Broadcast Message from (no tty) at 14:48 UTC... Commit was not confirmed; automatic rollback complete.

19 Fiktív esettanulmány Igények: Redundáns bérelt vonali kapcsolat
Tűzfalazás telephelyen belül Telephelyek között titkosítás és tűzfalazás Internet elérés csak a Központon keresztül Legyen egyszerűen üzemeltethető

20 Hálózati ábra

21 Konfiguráció-minta

22 Kérdések ??? Köszönöm a figyelmet!


Letölteni ppt "Juniper-alapú hálózat és tűzfalrendszer tervezése és üzemeltetése"

Hasonló előadás


Google Hirdetések