Маршрутизаторы Cisco как устройства обеспечения информационной безопасности

Маршрутизаторы Cisco как
устройства обеспечения
информационной
безопасности
Петякшев Евгений, Системный инженер Cisco

2xCCIE (Security, Data Center) #36020

План

1) Обзор проблем безопасности филиальных сетей
2) Защита самого маршрутизатора от DOS атак (CoPP, CPPr)
3) Межсетевой экран с политиками на основе зон (ZBF)
- Advanced features
- Security Group Access
- Zone Based Firewall с учетом меток SGT
4) IOS Cloud Web Security
5) FlexVPN, унифицированный метод построения виртуальных частных сетей
6) Сертифицированный VPN
7) Выводы

Безопасные Удаленные Офисы
SaaS

Центральный
Офис

Branch
Интернет
ЦОД

Remote Worker

Сложности:
Ограниченные или
отсутствующие ресурсы IT
и безопасности в
Удаленных Офисах

© 2013 Cisco and/or its affiliates. All rights reserved.

Доступ к Облакам и
ресурсам Центрального
офиса

Соблюдение требований
регуляторов
Cisco Confidential

3

Безопасные Удаленные Офисы

Центральный
Офис

Полный функционал безопасности
Удаленных Офисов
Лучшее ROI

$
+

Безопасность + оптимизация приложений
ISGR2

Решение CISCO:
VPN (IPSEc, GET VPN,
DMVPN, FlexVPN, SSL), FW,
IPS, CWS client;
Visibility (AVC, NetFlow);
Поддержка SGT

Лучший возврат инвестиций
(Простота, надежность,
Целостность),
Экономия инвестицый за
счет Split Tunneling

WAN оптимизация

Беспроводная сеть
Встроенный коммутатор
Встроенный модуль сервера
4
Cisco Confidential

Почему стоит инвестировать ?
Видео это новый ‘голос’, хотите ли вы быть человеком, который вовремя
не среагировал на требования бизнеса в области коммуникаций ?
Консолидация и централизация удаленных филиалов происходит уже
сегодня; Cisco UCS Express расширяет унифицированный ЦОД до
удаленных филиалов
Бизнес расширяется, защитите свои инвистиции с помощью ISR/ASR,
увеличьте доступность филиалов резервным 3G каналом
Сэкономьте на расширении полосы пропускания WAN канала с помощью
WAAS Express, до 10x увеличения производительности
Будьте готовы удовлетворять требования регуляторов

Массштабируемые VPN решения с веб безопасностью
•

Небезопасный доступ, Malware
могут скомпрометировать сеть
филиала, центрального офиса и
привести к остановке сервисов

•

Массштабируемые,
безопасные филиальные сети
используя VPN решения:
DMVPN, FlexVPN,…

•

Упрощенное решение с тесно
интегрируемыми сервисами
маршрутизации, безопасности и
пр.

•

Сложность решений
безопасности в филиалах и
невозможность
централизованного
обслуживания – дыры

•

Эффективная защита от угроз
с помощью Zone-Based Firewall,
Cisco Cloud Web Security

•

Меньшая стоимость по
сравнению с выделенными
аплайнсами; целостные сервисы

•

Удовлетворение требований
регуляторов

ДО

ПОСЛЕ

HQ
Branch

WAN

HQ
Branch

Branch

Secure
WAN

Branch

Непрерывность бизнес-процессов
с помощью безопасных сервисов WAN, LAN, Wireless
•

Ненадежное WAN соединение,
потеря WAN == потеря бизнес
процессов в филиалах

•

Автоматический переход на
подключение по 3G/4G LTE в
случае потери WAN сервисов

•

Высокая стоимость внедрения
проводных и беспроводных
сервисов в филиалах

•

Интегрированные сервисы
безопасности, LAN, WAN,
беспроводная сеть в одном
устройстве

•

802.11n беспроводные
сервисы в филиалах

ДО

Непрерывность бизнес
процессов и
катастрофоустойчивость с
автоматическим провижнингом

•

Гибкое внедрение – ‘плати по
мере роста’

•

Эффективное
централизованное управление
и мониторинг
HQ

HQ
ISP/WAN

•

3G/4G
Cellular

ISP/WAN

ПОСЛЕ

Оптимизация сети, Cisco Thread Defence
•

Рост объема WAN трафика
филиалов

•

Высокие затраты на ряд
решений по оптимизации WAN

•

AVC, IP SLA,…

•

Безопасность

CISCO PRIME INFRASTRUCTURE

•

Высокая стоимость решений

•

Отсутствие информации о
событиях безопасности в
филиальной сети
Сеть готова
к видео

•

Безопасная и прозрачная
оптимизация WAN

•

Оптимизация видео и трафика
приложений

•

MediaNet – сеть ‘знает’ о
трафике видео

•

Гибкие модели внедрения

•

Visibility (AVC, netflow) и
контроль

•

Видимость и управление
событиями безопасности
филиальной сети

•

Удаленный офис – сенсор в
решении Cisco Cyber Thread
Defense в центральном офисе

Удаленный офис

Internet
WAN

Оптимизация
VDI решений
приложений

IPSLA
PA
PfR
QoS MediaNet

WAAS/
WAASX

VDS

CTD

Плотность интерфейсов

Маршрутизаторы Cisco ISRg2
3900 Series
3900E Series

Маршрутизаторы с
интегрированными
сервисами - Безопасность,
Голос, Видео, БЛВС,
Оптимизация WAN

Новинка

4451-X
2951

Филиал

2921
2911
2901
1900 Series

800 Series
25Mbps

35Mbps

Производительность с включенными сервисами
50Mbps

75Mbps 100Mbps

250Mbps

500Mbps 2Gbps
350Mbps

Плотность интерфейсов

Маршрутизаторы Cisco ASR
Центральный офис / Агрегация WAN
Маршрутизаторы с
интегрированными
сервисами - Безопасность,
Голос, Видео, БЛВС,
Оптимизация WAN

ASR 1000, ESP40

ASR 1000, ESP20
ASR 1000, ESP10

ASR 1001, ESP2.5G/5G

Производительность с включенными сервисами
2,5 Gbps

10 Gbps

20 Gbps

40 Gbps

Безопасность самого
маршрутизатора: CoPP, CPPr

Терминология
Вх. пакеты

Вых. пакеты

Data
Service
CEF

Control
Management

Route
Processor
CPU

Transit
Receive
Exception

Определение проблем:

- Высокие требования к безотказной работе сети
- DOS атаки, направленные на Control Plane маршрутизатора
- DOS атаки направленные на RP могут приводить к высокой
утилицации RP, потеря трафика
- Неправильно настроенные сетевые устройства

Control Plane Policing (CoPP)
CONTROL PLANE
Management
SNMP, Telnet

ICMP

IPv6

INPUT
to the Control Plane

Routing
Updates

Management
SSH, SSL

…..

OUTPUT
from the Control Plane

CONTROL PLANE POLICING

SILENT MODE
Processor
Switched Packets

PACKET
BUFFER

Locally
Switched Packets

INCOMING
PACKETS

OUTPUT PACKET
BUFFER

CEF/FIB LOOKUP

Пакеты направленные к control plane потребляют ресурсы Route Processor (RP)
Входящий трафик к Control Plane может быть ограничен -> освобождение ресурсов RP,
нормальная обработка пользовательского трафика
© 2004 Cisco Systems, Inc. All rights reserved.

15

CoPP Настройка
• Для классификации сервисов Control Plane используется MQC
• Class maps и policy maps определяются для всего control plane

Пример ограничения UDP трафика до 16 Kbps, предотвращение UDP
флуда:

Control Plane Protection (CPPr)
Вх. пакеты

Вых. пакеты

Sub-интерфейсы:
1

2
3

Route
Processor
CPU

1) Host
2) Transit
3) CEF-Exeption

Control Plane Host
• Сбрасывает все пакеты направленные на закрытые или не на

используемые маршрутизатором TCP/UDP порты.
• Обрабатывает TCP/UDP трафик направленный к маршрутизатору
• Большее количество функционала чем на CEF-exeption и transit Sub-

интерфейсах: policing, port filtering и per-protocol queue thresholds
Пример: сброс всего трафика, кроме TCP 3020, 3040 или UDP 520

Control Plane Host (Queue Threshold)
• Ограничения на уровне отдельных протоколов (BGP, DNS, FTP, HTTP,
IGMP, SNMP, SSH, SYSLOG, TELNET, TFTP, host-protocols)

• Только для Host Sub-интерфейсе
• Защита от переполнения входной очереди каким-либо одним

протоколом
Пример: настройка queue-limit для HTTP – 100 пакетов

Control Plane Transit
• Трафик ‘через’ маршрутизатор, обрабатываемый на RP (не CEF)

Пример: ограничение фрагментированных пакетов до 1Mpps:

Control Plane CEF Exception
• Пакеты вызывающие CEF-Exeption
• Весь не-IP трафик от хостов
• Примеры: CDP, не-UDP локальный мультикаст, ARP...

Пример: уменьшение влияния широковещательных штормов,
ограничение не-IP трафика до 100 пакетов в секунду:

Control Plane
BGP
SNMP
OSPF

Feature
path

Глобальный IP input queue

Port filter

Queue
threshold

Policer

Policer
Policer

CoPP
перенаправление

Классификация

Буффер

Буффер

Вх. пакет

Вых. пакет
CEF/FIB
lookup

Межсетевой экран с политиками на основе зон
(Cisco ZFW)

Межсетевой экран с политиками на основе зон (Cisco ZFW)
Зона - набор интерфейсов
с определенным общим
"уровнем доверия”

DMZ
Int 2

Inside

ДОВЕРЕННАЯ зона

Int 1

Int 3

ZFW

Политика зоны
OUTBOUND

Outside

НЕДОВЕРЕННАЯ зона

Политики ZFW являются однонаправленными: от источника к получателю

1) Настраиваем зоны МСЭ
2) Помещаем интерфейсы в зоны
3) Определяем пары зон между которыми будет ходить трафик
zone security Inside
zone security DMZ
zone security Outside

DMZ

int gi 0/0
zone-member security Inside

Int 2

Inside

Int 1

Int 3

ZFW

In_to_Out

Outside

4) Описываем трафик с помощью class-map
5) Описываем действия с трафком с помощью policy-map
6) Создаем пары зон и применяем действия к парам зон
ip access-list extended INTERNAL_Lan
permit ip 10.0.0.0 0.0.0.8 any
!
class-map type inspect match-all INTERNAL_Lan
match access-group INTERNAL_Lan
!
class-map type inspect match-any In_to_Out_protocols
match protocol http
match protocol https
match protocol dns
match protocol icmp
!
class-map type inspect match-all In_to_Out_Cmap
match class-map In_to_Out_protocols
match class-map INTERNAL_Lan

policy-map type inspect In_to_Out
class type inspect In_to_Out_Cmap
inspect
zone-pair security In_to_out_ZP source Inside destination Outside
service-policy type inspect In_to_Out

WIN !

ZFW: Дополнительные элементы политик
ZFW1# show parameter-map type inspect default
audit-trail off
alert on
max-incomplete low 2147483647
max-incomplete high 2147483647
one-minute low 2147483647
one-minute high 2147483647
udp idle-time 30
icmp idle-time 10
dns-timeout 5
tcp idle-time 3600
tcp finwait-time 5
tcp synwait-time 30
tcp max-incomplete host 4294967295 block-time 0
sessions maximum 2147483647

parameter-map type inspect TRACKING
audit-trail on
parameter-map type inspect global
log dropped-packets enable

policy-map type inspect Outbond
class type inspect CMAP2
inspect parameter-map-name PMAP1

parameter-map type inspect-zone ZONE_PMAP_1
tcp syn-flood rate per-destination 400
max-destination 10000
parameter-map type inspect global
tcp syn-flood limit number

ASR

Полезный совет:
указывать имена
элементов политики в
верхнем регистре. Поиск
в интерфейсе командной
строки производится с
учетом регистра

ZFW: Дополнительный функционал: ISRg2, ASR
ZBF1

- Firewall Stateful Interchassis Redundancy

ZBF2
Failover

- User-based access control with Zone-based Policy Firewall
Contractor

Server1
Inside

ZBF1

Radius Server

Outside
class-map type inspect Contractors_CM
match user-group CONTRACTOR

Cisco av pair: supplicant-group = CONTRACTOR

- Security Group Access Zone-Based Policy Firewall

Присвоение меток SGT
Профессор
(SGT 7)

Статическая метка
SGT для серверов

Менеджер
(SGT 6)
SGT=7

Пользователи,
устройства

SGT
Enforcement

SXP

IT портал (SGT 4)
10.1.100.10

VLAN100

СWA
Campus
Network

802.1X, MAB,
LWA

Catalyst® 2960

MAB

Устройство
без агента

Динамическая метка
SGT
Untagged Frame

Catalyst 6K
Core

Nexus® 7000
Distribution

Catalyst® 4948

Публичный веб-сервер
(SGT 8)

ISE

Active
Directory

VLAN200

Внутренний портал
(SGT 9)
10.1.200.200

10.1.200.10

Tagged Frame
10.1.200.100

Формат фрейма с SGT
Аутентифицировано
Зашифровано

DMAC

SMAC

802.1AE Header

802.1Q

CMD

ETYPE

PAYLOAD

ICV

CRC

Overhead: 8 to 64 bytes with options

CMD EtherType

Version Length

SGT Opt Type

SGT Value

Other CMD Options

Cisco мета данные
Ethernet фрейм поля



802.1AE Header

CMD

ICV

это L2 802.1AE + TrustSec

8
 Фрейм всегде тегируется на входящем устройстве
 Тэгирование проходит ДО других L2 процессов, например QoS

Secure Group Access Zone-Based Policy Firewall

Zone-Based Policy Firewall с учетом SGT
Веб-сервер

SGT 21

Inside

Int 1

Int 3

ZFW

Outside

SGT 22

SXP

object-group security User01
security-group tag-id 21
!
object-group security Web-Server
security-group tag-id 22
policy-map type inspect OUTBOUND_PM
class type inspect OUTBOUND_CM
inspect

class-map type inspect match-all OUTBOUND_CM
match group-object security source User01
match group-object security destination Web-Server
match protocol http
zone-pair security In_to_Out source INSIDE destination OUTSIDE
service-policy type inspect OUTBOUND_PM

Сканирование контента с помощью IOS Cloud Web
Security
parameter-map type content-scan global
server scansafe primary name proxy2261.scansafe.net port http 8080 https 8080
server scansafe secondary name proxy1363.scansafe.net port http 8080 https 8080
license 0 CD4B25B79D131F08ABCDEFABCDEFFFFF
source interface Gi0/0
timeout server 30
user-group ciscogroup10 username ciscouser10
server scansafe on-failure block-all
interface Gi0/0
ip nat outside
content-scan out

CWS
2

1

IOS

3

Internet

Сканирование контента с помощью IOS Cloud Web
Security
IOS# show content-scan statistics
Current HTTP sessions: 0
Current HTTPS sessions: 0
Total HTTP sessions: 83
Total HTTPS sessions: 8
White-listed sessions: 0
Time of last reset: never

IOS# show content-scan summary
Primary: 201.94.155.42 (Up)*
Secondary: 70.39.231.99 (Up)
Interfaces: Dialer1

IOS# show content-scan session active
Protocol
Source
Destination
Bytes
Time
HTTP
172.19.99.101:57152
209.222.159.185:80
(1635:331595)
URI: www.maa.org
Username/usergroup(s): ciscouser10/ ciscogroup10
HTTP 172.19.99.101:57153 209.222.159.185:80 (2157:53326) 00:00:12
URI: www.maa.org
HTTP 172.19.99.101:57161 74.125.234.10:80 (1525:833) 00:00:09
URI: www.google-analytics.com

00:00:12

FlexVPN, унифицированный метод построения
виртуальных частных сетей

EazyVPN, DMVPN, Crypto Maps
+ GRE, VTI, DVTI, IPSEC, Get VPN, ….
crypto isakmp policy 1
encr 3des
authentication pre-share


group 2

encr 3des
crypto isakmp client configuration group cisco
encr 3des
key cisco123
group 2
pool dvti
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
group 2
acl 100
mode transport
crypto isakmp client configuration group cisco
crypto isakmp profile dvti
match identity group cisco
client authentication list lvpn
isakmp authorization list lvpn

crypto ipsec profile vpnprofile
set transform-set vpn-ts-set
interface Tunnel0

key pr3sh@r3dk3y
pool vpnpool
acl 110

ip
client configuration address respond address 10.0.0.254 255.255.255.0

crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac

virtual-template 1

crypto dynamic-map dynamicmap 10

ip nhrp map multicast dynamic

crypto ipsec transform-set dvti esp-3des esp-sha-hmac
ip nhrp network-id 1
crypto ipsec profile dvti
set transform-set dvti
set isakmp-profile dvti

tunnel source Serial1/0

crypto map client-vpn-map client authentication list userauthen

tunnel protection ipsec profile vpnprof

crypto map client-vpn-map isakmp authorization list groupauthor

bgp log-neighbor-changes

tunnel protection ipsec profile dvti redistribute static
neighbor DMVPN peer-group
ip local pool dvti 192.168.2.1 192.168.2.2
ip route 0.0.0.0 0.0.0.0 10.0.0.2

reverse-route

tunnel mode gre multipoint

interface Virtual-Template1 type tunnel
ip route 192.168.0.0 255.255.0.0 Null0router bgp 1
ip unnumbered Ethernet0/0
tunnel mode ipsec ipv4

set transform-set vpn-ts-set

bgp listen range 10.0.0.0/24 peer-group DMVPN

access-list 100 permit ip 192.168.1.0 0.0.0.255 DMVPN remote-as 1
neighbor any
no auto-summary

crypto map client-vpn-map client configuration address initiate
crypto map client-vpn-map client configuration address respond
crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap
interface FastEthernet0/0

ip address 83.137.194.62 255.255.255.240
crypto map client-vpn-map
ip local pool vpnpool 10.10.1.1 10.10.1.254
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255

IKEv2
HDR, SAi, KEi, NONCEi
HDR, SAr, KEr, NONCEr, [CERTREQ]
HDR, IDi, [CERT], [CERTREQ], [IDr], AUTH, SA2i, TSi, TSr
HDR, IDr, [CERT], AUTH, SA2, TSi, TSr
HDR
AUTH
SA
TSi,r
IDi,r
KE
NONCEi,r

Зачем мигрировать на IKEv2 ?
1) IKEv2 более стоек к DOS атакам (HDR, N(coockie),…)

2) IKEv2 это стандарт, в котором есть поддержка NAT transparency
(хэш source IP+port -> N, (,… NONCEi, N(NATT)
3) Dead Peer Detection (INFORMATIONAL обмен без payload)
-> лучшее interoperability
4) Меньше overhead по сравнению с IKEv1

5) Меньшее время для процесса rekey

Зачем мигрировать на IKEv2 ?
6) В IKEv2 пакетах, можно обмениваться на URL ссылки сертификатов
(меньше payload)
7) Поддержка EAP (EAP-IKEv2) – authentication remote eap [query-identity]
8) Multiple Crypto engines (например один для IPv4, другой для IPv6)
9) Reliability (использует Sequence Numbers) , error-processing
10) Более ‘прозрачный’ debug
11) Поддержка Suit-B (SHA-2, ECDSA, signature (ECDSA-sig)) (RFC 4869);
AES-GCM (128, 256); AES-GMAC; DH using Elliptic Curves)

IKEv2 конфигурация
crypto ikev2 proposal PROPOSAL-1
encryption 3des aes-cbc-128 aes-cbc-256
integrity sha512 md5
group 2 5
crypto ikev2 keyring I-KEYRING-1
peer VPN-PEER-1
address 10.10.10.1
identity address email R1@cisco.com
pre-shared-key local 0 cisco_local
pre-shared-key remote 0 cisco_remote
crypto ikev2 name-mangler NM-01
email username

crypto ikev2 policy I-POLICY-1
proposal PROPOSAL-1
match fvrf VPN
crypto ikev2 profile IKE-Profile-01
authentication local pre-share
authentication remote rsa-sig
aaa authorization user cert ISE-01
name-mangler NM_01
identity local email R1@cisco.com
keyring I-KEYRING-1
match certificate CM-01
pki trustpoint TRUSTPOINT_01

Теперь можем контролировать какое IKE-ID посылает initiator, какие
поля этого IKE-ID может использовать responder. Гибкость !

Extensible Authentication Protocol (EAP)
No X-AUTH in IKEv2; используется EAP
EAP – framework для различных методов:
• Tunneling - EAP-TLS, EAP/PSK, EAP-PEAP…
• Non-tunneling – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,…

Дополнительные IKE_AUTH сообщения
Аутентифицирует только initiator to responder
Responder ДОЛЖЕН использовать сертификат
Количество сообщений увеличивается до (12-16)

NonTunneling
Recommen
ded

Что может FlexVPN

Один VPN, все работает

Site-to-Site
LAN2

LAN1
crypto ikev2 keyring KR
peer RightPeer
address 172.16.2.1
pre-shared-key local CISCO
pre-shared key remote CISCO

peer LeftPeer
address 172.16.1.1
pre-shared-key local CISCO
pre-shared key remote CISCO

crypto ikev2 profile default
match identity fqdn RouterRight.cisco.com
identity local fqdn RouterLeft.cisco.com
authentication local pre-shared
authentication remote pre-shared
keyring local KR

match identity fqdn RouterLeft.cisco.com
identity local fqdn RouterRight.cisco.com
keyring local KR

interface Tunnel0
ip address 10.0.0.1 255.255.255.252
tunnel source FastEthernet0/0
tunnel destination 172.16.2.1
tunnel protection ipsec profile default

interface Tunnel0
ip address 10.0.0.2 255.255.255.252

ip route <LAN2> Tunnel0

м.б.
dynamic

ip route <LAN1> Tunnel0

Hub&Spoke
Virtual-Access
Interfaces

Radius Server
Static Tunnel
Interface

Hub&Spoke; Spoke конфигурация
HUB

R3-Spoke
LAN1

Radius Server
aaa authorization network default local

Сonfig-exchange
IP address
назначает HUB

match certificate CERTMAP
identity local fqdn R3-Spoke.cisco.com
keyring local KR
pki trustpoint CA
aaa authorization group cert list default default
interface Tunnel0
ip address negotiated

access-list 99 permit <LAN1>
crypto ikev2 authorization policy default
route set access-list 99
peer HUB
address 172.16.0.1
pre-shared-key local cisco

Hub&Spoke; HUB
конфигурация

HUB

LAN2

R3-Spoke

LAN1

Radius Server
aaa authorization network default group radius

PSK на RADIUS

Virtual-Access из
Virtual-Template

match identity remote fqdn domain cisco.com
identity local dn
authentication local rsa-sig
keyring aaa default name-mangler extract-host
pki trustpoint CA
aaa authorization user psk cached
virtual-template 1

interface virtual-template1 type tunnel
ip unnumbered loopback0

ipsec:ikev2-password-remote=cisco
ip:interface-config=policy-map PM out
framed-ip=10.0.0.1
ipsec:route-set=interface
ipsec:route-set=prefix <LAN2> ipsec:routeaccept=any
IKEv2 routing

aaa group server radius radius
server-private 192.168.100.254
auth-port 1812 acct-port 1813
key cisco123
crypto ikev2 name-mangler extract-host
fqdn hostname

Отказоустойчивость HUB
LAN
.1

Активные туннели
на обоих HUB

Маршруты либо
IKEv2 либо
маршрутизация

Active/standby, либо loadbalance

.2

...
dpd 30 2 on-demand
interface Tunnel0
tunnel destination <HUB1>
tunnel protection ipsec profile
default
interface Tunnel1
tunnel destination <HUB2>
tunnel protection ipsec profile
default

Отказоустойчивость HUB
Stateless Failover

LAN

Virtual IP (HSRP)
Tunnels down
crypto ikev2 client flexvpn
default
client connect tunnel 0
peer 1 172.16.0.1
peer 2 172.16.0.2
interface Tunnel0
tunnel source
FastEthernet0/0
tunnel destination dynamic
tunnel protection ipsec
profile default

FlexMesh
(DMVPN “phase 4”)

FlexMesh
LAN
Virtual-Access Interfaces

172.16.0.1
Static Tunnel Interface

Virtual-Access Interfaces

FlexMesh, NHRP
Spoke1

Spoke2

HUB
VA 1

VA2

Redirect
Resolution request

Resolution request
IKEv2 init
IKEv2 init

Resolution Reply

FlexMesh, конфигурация
HUB

match identity remote fqdn domain cisco.com
identity local fqdn hub.cisco.com
authentication local rsa-sig
pki trustpoint CA
aaa authorization group cert list default default
virtual-template 1
ip unnumbered Loopback0
ip nhrp redirect

Spoke

…
virtual-template 1
interface Tunnel0
ip nhrp shortcut virtual-template 1
ip nhrp redirect
tunnel source Ethernet0/0
tunnel destination <HUB>
ip unnumbered Tunnel0
ip nhrp shortcut virtual-template 1
ip nhrp redirect

“Все-в-одном”
LAN1

VRF1
VRF2

Remote Access

Isolated branches

FlexMesh

Производительность и массштабируемость
Release 3.5
w/out QoS

ASR1001

ASR1002-F

ASR1000-ESP5

ASR1000ESP10

ASR1000ESP20

ASR1000ESP40

Throughput

1.8 / 1Gbps

1 / 0.8 Gbps

1.8 / 1 Gbps

4 / 2.5 Gbps

7 / 6 Gbps

11 / 7.4 Gbps

4000

1000

1000

1000 / 4000

1000 / 4000

1000 / 4000

EIGRP neighbors

4000

1000

1000

1000 / 4000

1000 / 4000

1000 / 4000

BGP neighbors

4000

1000

1000

1000 / 4000

1000 / 4000

1000 / 4000

(Max / IMIX)

Max tunnels
(RP1 / RP2)

Release 3.5
w/ QoS

ASR1001

ASR1000ESP20

ASR1000ESP40

Throughput
(Max / IMIX)

1.8 / 1Gbps

7 / 6 Gbps

11 / 7.4 Gbps

Max tunnels
(RP2 only)

2000

2000

2000

Max tunnels

2000

2000

2000

Сертифицированный VPN

VPN-решения Cisco в России
VPN-решения Cisco признаны лучшими во многих
странах и признаны стандартом де-факто многими
специалистами
Использование VPN-решений Cisco в России
сопряжено с рядом трудностей
 Порядок ввоза на территорию Таможенного союза
шифровальных средств
 Требование использования национальных
криптографических алгоритмов
 Обязательная сертификация СКЗИ

Cisco – лицензиат ФСБ
Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения,
поддерживающие российские криптоалгоритмы на базе
оборудования Cisco
Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 1241626 от 28 февраля 2011 года
 Сертификат по классу КС1/КС2/КС3

Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)

Управление безопасностью сети с помощью
Cisco Prime Infrastructure

Управление безопасностью с помощью Cisco
Prime Infrastructure

Разницав подходе Cisco и ‘остальных’
Несколько устройств
Обычный подход

Одно устройство
Подход Cisco
Маршрутизация
Коммутация
Безопасность
Контроль
Голос

Снижение CapEx
Небольшой OpEx
Простая управляемость

В заключении

13.01.2014


88

Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Contacts:
Name
Phone
E-mail
13.01.2014


Маршрутизаторы Cisco как устройства обеспечения информационной безопасности

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Маршрутизаторы Cisco как устройства обеспечения информационной безопасности

Similar to Маршрутизаторы Cisco как устройства обеспечения информационной безопасности (20)

More from Cisco Russia

More from Cisco Russia (20)

Recently uploaded

Recently uploaded (9)

Маршрутизаторы Cisco как устройства обеспечения информационной безопасности