antiCisco blogs » 2011 » Декабрь

antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за Декабрь, 2011

Опубликовано 28 Декабрь , 2011

Первоначально целью использования коммутации по меткам было повышение скорости коммутации 3-го уровня до скорости 2-го уровня. В настоящее время такая возможность MPLS не рассматривается как ее основное достоинство, поскольку современные коммутаторы 3-го уровня, использующие технологии на базе специализированных интегральных микросхем (Application-Specific Integrated Circuit — ASIC),могут осуществлять обзор маршрутов с достаточной скоростью для поддержки большинства типов интерфейсов (об ограничениях, связанных с пропускной способностью backplane, мы здесь умалчиваем).
Раз нет разницы в производительности между коммутацией и маршрутизацией, то для чего сейчас использовать названную технологию? Впервую очередь для предоставления провайдером VPN-услуг своим клиентам. Но здесь Вы можете возразить: ведь есть же IPsec! – и будете правы, но лишь отчасти. Почему? А потому, что IPsec со всеми своими достоинствами обладает и существенными недостатками: высокая нагрузка на железо при шифровании трафика (особенно AES’ом), низкая масштабируемость (если не рассматривать решение Cisco DMVPN, у которого тоже есть свои минусы) и плюс ко всему вся задача по защите трафика ложится на пользователя.
Читать продолжение записи »

 

Метки: ,
Опубликовано: Маршрутизаторы и коммутаторы | 3 комментария »

Опубликовано 26 Декабрь , 2011

Перед тем как переходить к описанию технологии, давайте вспомним, как происходит передача данных в сетях с традиционной IP-маршрутизацией: каждый маршрутизатор сети на пути следования пакета от точки А к точке Б анализирует заголовок 3го уровня, сравнивает его со своей таблицей маршрутизации и принимает решение о перенаправлении этого пакета на тот или иной интерфейс (при этом следует отметить, что процедура route lookup происходит на каждом маршрутизаторе сети независимо).

Как видим, вышеописанный процесс довольно ресурсоемкий. В MPLS предлагается помечать каждый пакет с данными специальным идентификатором (меткой, label) и перейти от маршрутизации к коммутации по меткам. Наличие метки (или стека меток) позволяют маршрутизаторам определять следующий хоп в процессе передачи пакета по сети без выполнения поиска адреса. Сегодня существуют три области применения MPLS:

  • Управление траффиком (Traffic engineering, TE)
  •  QoS
  •  VPN

Прим. : основной упор в данном цикле статей будет сделан на реализацию MPLS VPN.
Читать продолжение записи »

 

Метки:
Опубликовано: Маршрутизаторы и коммутаторы | 4 комментария »

Опубликовано 10 Декабрь , 2011

Вот мы и добрались до главного: а в какой же последовательности все это богатство трансляций обрабатывается?

Глобально всю последовательность можно разделить на 3 больших блока:
I – Twice NAT
II – Object NAT
III – Twice NAT (after-auto)

Да-да, именно так. И с до и после. По умолчанию трансляции Twice NAT добавляются в конец первой секции, но можно явно указать, в какое место их ставить (ура!) указав номер правила.
nat (INS,OUT) {НОМЕР} …
Логика здесь такая же, как у строк ACL — если пишем «номер 1», то добавляем самым первым правилом, а остальные сдвигаются ниже.

Это очень предусмотрительно со стороны циски 🙂 потому что сами правила в I и III секциях (там, где Twice NAT) обрабатываются по порядку, в котором они записаны в конфиге. Как только совпадение будет найдено, заголовок пакета сразу транслируется и новый пакет отправляется по назначению.

Мы можем принудительно записать трансляции Twice NAT и в третью секцию, указав ключевое слово after-auto. Такое правило вставится в конец третьей секции по умолчанию или в то место третьей секции, которое мы явно укажем при помощи номера строки.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 2 комментария »

Опубликовано 9 Декабрь , 2011

Пришло время добавить destination, а именно тут и начинается самое интересное.

Рассмотрим для начала формат команды:
nat [(SOURCE_INT,DEST_INT)] source {dynamic|static} SOURCE MAPPED_SOURCE destination static MAPPED_DEST DEST

Где SOURCE, MAPPED_SOURCE, MAPPED_DEST, DEST соответствующие объекты. Я обращаю ваше внимание на то, что разработчики ASA OS остались верны своей логике хоть где-нибудь запутать – группы для адресов назначения имеют обратный порядок.
Читать это надо так: если пакет идет с интерфейса SOURCE_INT на интерфейс DEST_INT, адрес источника пакета из группы SOURCE, а адрес назначения из группы DEST, то адрес источника меняется с SOURCE на MAPPED_SOURCE, а адрес назначения меняется с MAPPED_DEST на DEST. Обратный пакет, обращенный на адрес MAPPED_SOURCE пройдет внутрь, его адрес назначения сменится обратно с MAPPED_SOURCE на SOURCE. Но такая трансляция будет выполнена только если адрес источника пакета из группы DEST, и в этом случае адрес источника сменится обратно на MAPPED_DEST.
В случае создания статической трансляции можно будет обращаться (инициировать сессию) снаружи внутрь, а в случае динамической – нет.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 6 комментариев »

Опубликовано 9 Декабрь , 2011

С object NAT мы познакомились подробно в предыдущих статьях. Пришло время разобраться, что такое TWICE NAT и зачем он вообще нужен.

При помощи данной конструкции можно сделать две принципиальные вещи, которые нельзя сделать при помощи object NAT:
1. Сделать трансляции одной и той же сети в разные адреса в зависимости от того, в какую сеть идет пакет. Это необходимо, например, при построении IPSec – надо не транслировать адреса пакетов, если они направляются в туннель.
2. А еще (то, что нельзя было сделать в версии 8.2 вовсе) – статическая трансляция диапазона (или группы) портов кучкой. Например, пробросить целиком диапазон с 1024 по 65535.

Рассмотрим формат команды для динамических трансляций NAT пока без указания сети назначения:
nat [(SOURCE_INT,DEST_INT)] source dynamic SOURCE MAPPED_SOURCE [interface] [dns]
Читать продолжение записи »

 

Метки: , , , ,
Опубликовано: Безопасность cisco | 2 комментария »

Опубликовано 2 Декабрь , 2011

Продолжаем про новый синтаксис НАТа. Начало тут

Теперь вторая задача: анонсировать что-либо наружу, т.е. статические трансляции.
Продолжаем использовать эту топологию:

Для этого также используются объекты. Например, мы хотим анонсировать наружу сервер с адресом 10.100.1.1 (статический NAT) по адресу 20.1.1.102. Для этого мы тоже создаем группы:
object network SERVER
  host 10.100.1.1
!
object network SERVER_GLOBAL
  host 20.1.1.102

И применяем правило статического НАТа для группы, которая описывает реальный адрес сервера:
object network SERVER
  nat (INS,OUT) static SERVER_GLOBAL [dns]

Можно также явно указать адрес, в который мы транслируем
object network SERVER
  nat (INS,OUT) static 20.1.1.102 [dns]

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | 1 комментарий »

Опубликовано 2 Декабрь , 2011

Наверняка многие уже столкнулись с большими изменениями в синтаксисе настройки NAT при переходе от линейки ASA ОС 8.2 к 8.3. Трудно сказать, с чем связано такое резкое изменение подхода, но одно можно сказать уверенно: настройка стала менее понятна и прозрачна. Но это не повод вовсе не использовать версии 8.3, 8.4 и далее (вряд ли разработчики вернут старый синтаксис :))

Предлагаю постепенно, от простого к сложному, освоить новый синтаксис, ибо по нему регулярно возникают вопросы в форуме и необходимость статьи назрела. Даже перезрела, я бы сказал 🙂

Итак, cisco ввела два новых понятия: Object NAT и Twice NAT, заменив ими все предыдущие типы (Regular, Policy, Identity NAT).
______________
UPD 10.12.11
А также попутно отменила понятие nat-control. Теперь у нас тотальный no nat-control что означает «нет правила НАТ — просто маршрутизировать».
______________

Для начала познакомимся с понятием object NAT, узнаем про последовательность обработки правил object NAT, потом познакомимся с TWICE NAT и в конце подведем черту: опишем всю последовательность правил NAT в новом синтаксисе. Планирую небольшой цикл статей — штуки 4, дабы не перегружать сразу читателей.

Работать будем вот с такой топологией

Рассмотрим простейшую задачу: выйти через ASA в интернет.
Для этого, как и ранее, надо определить, какие внутренние адреса мы собираемся транслировать в какой внешний пул адресов (NAT) или какой адрес (РАТ).
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | 7 комментариев »