antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘МСЭ’

Опубликовано 21 Май , 2013

          Попались нам в руки пара маршрутизаторов Cisco 3925E. Мощнее из ISR G2 только 3945E, а дальше что?… ASR? Но про ASR 1002, который мы тоже оттестировали в следующих выпусках, а здесь посмотрим на что способны маршрутизаторы Cisco 3925E.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 14 Апрель , 2013

          После определения целей и методологий в предыдущих двух статьях начинаем публиковать результаты тестирования оборудования.

          Рассмотрим ситуацию, когда маршрутизатор обеспечивает только подключение некоторого офиса к сети Интернет. Какие функции мы на нём используем в этом случае? Как правило, помимо статической маршрутизации это будут NAT/PAT и какой-то из вариантов МСЭ: CBAC или ZBF. В данной статье представлены результаты тестирования NAT и Firewall по отдельности и при одновременном использовании. Читать продолжение записи »

 

Метки: , ,
Опубликовано: Маршрутизаторы и коммутаторы | 1 комментарий »

Опубликовано 31 Март , 2011

Сегодня мы рассмотрим механизм, родственный объектным группам в ASA, о которых ранее писал Сергей. Группы позволяют сделать правила МСЭ более читаемыми и масштабируемыми за счет использования ссылки на группу вместо явного перечисления объектов.

Группы настраиваются в set firewall group ...

Какие они бывают? Сейчас доступно три вида групп:

  • network-group — группа подсетей;
  • address-group — группа хостов;
  • port-group — группа портов.

Читать продолжение записи »

 

Метки:
Опубликовано: Vyatta | 4 комментария »

Опубликовано 21 Сентябрь , 2010

(данная часть использует знания по ACL.)
Итак, порезали ненужный трафик. Пришло время заняться межсетевым экранированием. Надо обеспечить внутренних пользователей Интернетом, но при этом не пропустить снаружи внутрь несанкционированные подключения. Маршрутизаторы cisco умеют быть межсетевыми экранами с сохранением сессий (stateful firewall).
Если у вас задачи простые, нет выделенных зон безопасности, нет анонса сервисов наружу, то проще всего воспользоваться базовым межсетевым экраном.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Маршрутизаторы и коммутаторы | 1 комментарий »

Опубликовано 19 Март , 2010

Едем дальше. Попробуем добавить безопасности.

Первым делом, что хочется сделать, это построить правильный межсетевой экран с сохранением сессий (stateful inspection) и учетом сложных протоколов (advanced protocol handling).

Посмотрим, что vyatta умеет делать с точки зрения фильтрации трафика, а сложные протоколы рассмотрим позже.

Все глобальные параметры межсетевого экранирования собраны в режиме

edit firewall

Все функции фильтрации, которые можно применить для конкретного интерфейса, собраны в настройке

edit firewall name {ИМЯ}

Там можно фильтровать как по МАС-адресам (фильтр на канальном уровне), так и по IP и TCP/UDP портам (статические списки доступа).

Для начала описываем действие, которое мы хотим сделать с пакетом
[edit firewall name {ИМЯ}]
set rule {RULENUMBER} action {accept|drop|reject|inspect}

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 5 комментариев »