По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Привет! Сегодня мы расскажем про то как настроить Site-To-Site IPSec VPN туннель между роутерами Cisco. Такие VPN туннели используются обеспечения безопасной передачи данных, голоса и видео между двумя площадками (например, офисами или филиалами). Туннель VPN создается через общедоступную сеть интернет и шифруется с использованием ряда продвинутых алгоритмов шифрования, чтобы обеспечить конфиденциальность данных, передаваемых между двумя площадками.
В этой статье будет показано, как настроить и настроить два маршрутизатора Cisco для создания постоянного безопасного туннеля VPN типа «сеть-сеть» через Интернет с использованием протокола IP Security (IPSec) . В рамках статьи мы предполагаем, что оба маршрутизатора Cisco имеют статический публичный IP-адрес.
ISAKMP (Internet Security Association and and Key Management Protocol) и IPSec необходимы для построения и шифрования VPN-туннеля. ISAKMP, также называемый IKE (Internet Key Exchange) , является протоколом согласования (negotiation protocol), который позволяет двум хостам договариваться о том, как создать сопоставление безопасности IPsec. Согласование ISAKMP состоит из двух этапов: фаза 1 и фаза 2.
Во время фазы 1 создается первый туннель, который защищает последующие сообщения согласования ISAKMP. Во время фазы 2 создается туннель, который защищает данные. Затем в игру вступает IPSec для шифрования данных с использованием алгоритмов шифрования и предоставляющий аутентификацию, шифрование и защиту от повторного воспроизведения.
Требования к IPSec VPN
Чтобы упростить понимание настройки разделим его на две части:
Настройка ISAKMP (Фаза 1 ISAKMP)
Настройка IPSec (Фаза 2 ISAKMP, ACL, Crypto MAP)
Делать будем на примере, который показан на схеме – два филиала, оба маршрутизатора филиалов подключаются к Интернету и имеют статический IP-адрес, назначенный их провайдером. Площадка №1 имеет внутреннею подсеть 10.10.10.0/24, а площадка №2 имеет подсеть 20.20.20.0/24. Цель состоит в том, чтобы безопасно соединить обе сети LAN и обеспечить полную связь между ними без каких-либо ограничений.
Настройка ISAKMP (IKE) - ISAKMP Phase 1
IKE нужен только для установления SA (Security Association) для IPsec. Прежде чем он сможет это сделать, IKE должен согласовать отношение SA (ISAKMP SA) с одноранговым узлом (peer).
Начнем с настройки маршрутизатора R1 первой площадки. Первым шагом является настройка политики ISAKMP Phase 1:
R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400
Приведенные выше команды означают следующее:
3DES - метод шифрования, который будет использоваться на этапе 1
MD5 - алгоритм хеширования
Pre-Share - использование предварительного общего ключа (PSK) в качестве метода проверки подлинности
Group 2 - группа Диффи-Хеллмана, которая будет использоваться
86400 - время жизни ключа сеанса. Выражается либо в килобайтах (сколько трафика должно пройти до смены ключа), либо в секундах. Значение установлено по умолчанию.
Мы должны отметить, что политика ISAKMP Phase 1 определяется глобально. Это означает, что если у нас есть пять разных удаленных площадок и настроено пять разных политик ISAKMP Phase 1 (по одной для каждого удаленного маршрутизатора), то, когда наш маршрутизатор пытается согласовать VPN-туннель с каждой площадкой, он отправит все пять политик и будет использовать первое совпадение, которое принято обоими сторонами.
Далее мы собираемся определить Pre-Shared ключ для аутентификации с нашим партнером (маршрутизатором R2) с помощью следующей команды:
R1(config)# crypto isakmp key merionet address 1.1.1.2
Pre-Shared ключ партнера установлен на merionet, а его публичный IP-адрес - 1.1.1.2. Каждый раз, когда R1 пытается установить VPN-туннель с R2 (1.1.1.2), будет использоваться этот ключ.
Настройка IPSec – 4 простых шага
Для настройки IPSec нам нужно сделать следующее:
Создать расширенный ACL
Создать IPSec Transform
Создать криптографическую карту (Crypto Map)
Применить криптографическую карту к общедоступному (public) интерфейсу
Давайте рассмотрим каждый из вышеперечисленных шагов.
Шаг 1: Создаем расширенный ACL
Нам нужно создать расширенный access-list (про настройку Extended ACL можно прочесть в этой статье) и в нем определить какой траффик мы хотим пропускать через VPN-туннель. В этом примере это будет трафик из одной сети в другую с 10.10.10.0/24 по 20.20.20.0/24. Иногда такие списки называют crypto access-list или interesting traffic access-list.
R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
Шаг 2: Создаем IPSec Transform
Следующим шагом является создание набора преобразования (Transform Set), используемого для защиты наших данных. Мы назвали его TS.
R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
Приведенная выше команда определяет следующее:
ESP-3DES - метод шифрования
MD5 - алгоритм хеширования
Шаг 3: Создаем Crypto Map
Crypto Map является последнем этапом нашей настройки и объединяет ранее заданные конфигурации ISAKMP и IPSec:
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# set peer 1.1.1.2
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC
Мы назвали нашу криптографическую карту CMAP. Тег ipsec-isakmp сообщает маршрутизатору, что эта криптографическая карта является криптографической картой IPsec. Хотя в этой карте (1.1.1.2) объявлен только один пир, существует возможность иметь несколько пиров.
Шаг 4: Применяем криптографическую карту к общедоступному интерфейсу
Последний шаг - применить криптографическую карту к интерфейсу маршрутизатора, через который выходит траффик. Здесь исходящим интерфейсом является FastEthernet 0/1.
R1(config)# interface FastEthernet0/1
R1(config- if)# crypto map CMAP
Обратите внимание, что интерфейсу можно назначить только одну криптокарту.
Как только мы применим криптографическую карту к интерфейсу, мы получаем сообщение от маршрутизатора, подтверждающее, что isakmp включен: “ISAKMP is ON”.
На этом этапе мы завершили настройку IPSec VPN на маршрутизаторе Площадки 1.
Теперь перейдем к маршрутизатору Площадки 2 для завершения настройки VPN. Настройки для R2 идентичны, с отличиями лишь в IP-адресах пиров и ACL.
R2(config)# crypto isakmp policy 1
R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400
R2(config)# crypto isakmp key merionet address 1.1.1.1
R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# match address VPN-TRAFFIC
R2(config)# interface FastEthernet0/1
R2(config- if)# crypto map CMAP
Трансляция сетевых адресов (NAT) и VPN-туннели IPSec
В реальной схеме трансляция сетевых адресов (NAT), скорее всего, будет настроена для предоставления доступа в интернет внутренним хостам. При настройке VPN-туннеля типа «Site-To-Site» обязательно нужно указать маршрутизатору не выполнять NAT (deny NAT) для пакетов, предназначенных для удаленной сети VPN.
Это легко сделать, вставив оператор deny в начало списков доступа NAT, как показано ниже:
Для первого маршрутизатора:
R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload
R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255
R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any
Для второго маршрутизатора:
R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload
R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255
R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any
Инициализация и проверка VPN-туннеля IPSec
К этому моменту мы завершили нашу настройку, и VPN-туннель готов к запуску. Чтобы инициировать VPN-туннель, нам нужно заставить один пакет пройти через VPN, и этого можно достичь, отправив эхо-запрос от одного маршрутизатора к другому:
R1# ping 20.20.20.1 source fastethernet0/0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms
Первое эхо-сообщение icmp (ping) получило тайм-аут, но остальные получили ответ, как и ожидалось. Время, необходимое для запуска VPN-туннеля, иногда превышает 2 секунды, что приводит к истечению времени ожидания первого пинга.
Чтобы проверить VPN-туннель, используйте команду show crypto session:
R1# show crypto session
Crypto session current status
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 1.1.1.2 port 500
IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active
IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0
Active SAs: 2, origin: crypto map
Готово! Мы только что успешно подняли Site-To-Site IPSEC VPN туннель между двумя маршрутизаторами Cisco!
В наше время, время цифровых технологий и интернета, уже невозможно представить современный бизнес без компьютеризированных технологий и новейших гаджетов.
Точно так же невозможно представить управление этим бизнесом без современной и удобной видеоконференцсвязи (ВКС), которая позволяет сэкономить время и деньги.
В наше время уже не обязательно лететь на другой конец света, чтобы заключить сделку/соглашение или дать указание подчиненному. Достаточно просто связаться по ВКС и проблема решена, никаких авиаперелетов и долгих поездок, ВКС - это выбор современной, двигающейся в ногу со временем, экономически продвинутой компании!
Популярность видеоконференцсвязи, среди компаний и бизнес-корпораций, повлияла на создание множества продуктов разных разработчиков, но все они имеют один серьезный недостаток - они несовместимы. Большая часть ВКС-решений, которые были представлены на рынке, построены на базе личных протоколов и стандартов, поэтому соединение систем различных производителей в одну единую систему - очень проблематичная и дорогостоящая задача, решением которой стало появление системы Meeting Server.
И сегодня мы с Вами поговорим о такой системе конференцсвязи, как Cisco Meeting Server.
Cisco Meeting Server является универсальной программой для подключения к ВКС.
Иными словами, данная система, позволяет подключиться к ВКС, независимо от вида, модели, и устройства видеоконференцсвязи:
смартфон;
ноутбук;
специальная комната для ВКС и другие.
Cisco Meeting Server - перевел видеоконференцсвязь на новый уровень
Так же, Cisco Meeting Server, позволяет подключиться к видеоконференции независимо от типа программного обеспечения при помощи:
видеоканалов Cisco или других компаний;
Cisco Jabber;
Skype for Business;
Cisco Meeting App (с помощью совместимого с WebRTC браузера).
Cisco Meeting Server - особенная модель лицензирования, не зависящая ни от кого сервера конференций и устроенная не на лицензировании количества видео соединений, а на лицензировании ВКС в целом
Основной из уникальных функций платформы Cisco Meeting Server является возможность объединения стандартных систем видеоконференцсвязи со Skype for Business.
Клиенты Skype for Business могут реализовывать видео-звонки на стандартные видеосистемы, с поддержкой высочайшего качества видео, и двухстороннего обмена различными аудио и видео материалами.
Стоит заметить, что, любая система ВКС в вашей компании или даже виртуальная комната пользователя на Cisco Meeting Server может быть добавлена в список контактов программного клиента Skype for Business, и звонки на нее будет выглядеть аналогично звонкам абонентам Skype.
Возникает вопрос: "Что же такое на самом деле Cisco Meeting Server, и является ли данная программа новейшей современной разработкой, или это очередная покупка Cisco?".
Начнем по порядку, и постараемся разобраться, где правда, а где фейк.
Основой системы Cisco Meeting Server являются разработки компании Acano, которую Cisco купила в январе 2016 года.
Acano- британская компания, занимающаяся производством аппаратной инфраструктуры для проведения совместной работы и программного обеспечения для видеоконференцсвязи. Оборудование и программы, которые выпускает Acano, позволяют компаниям находить взаимодействие ВКС-систем различных производителей. По сути, чем и является в данный момент Cisco Meeting Server.
Покупка Cisco, стартапа компании Acano, рискованный, но единственно верный шаг
Cisco Meeting Server могут оснащать совершенно любые организации- которые имеют лишь нескольких пользователей и до крупнейших бизнес-корпораций с тысячами сотрудников. Необходимые системы безопасности уже установлены в решение.
Клиенты могут устанавливать Cisco Meeting Server на основе разрешений по количеству пользователей, приобретая необходимый объем услуг и увеличивать его по мере необходимости.
Компания мотивирует партнеров в соединении переводить имеющуюся инфраструктуру ВКС на Cisco Meeting Server, что показывает абсолютно новые возможности прибыли,
Способствуя ускорению этого перехода, Cisco предлагает партнерам возможность перемещения со скидкой, чтобы ускорить обновление, а так же облегченное лицензирование при интеграции персональных систем.
Теперь, если заказчик выбрал систему Microsoft, а не Cisco, партнеры все равно не упустят возможность.
Иными словами, участник имеет возможность создать комплекс структур, который позволит обеспечить функциональную совместимость там, где это необходимо, и это гарантия того, что любая возможность, попадающая на стол партнёру, будет такой, где можно будет осуществить продажу.
Микросервисы – это шаблон сервис-ориентированной архитектуры, в котором приложения создаются в виде наборов небольших и независимых сервисных единиц. Такой подход к проектированию сводится к разделению приложения на однофункциональные модули с четко прописанными интерфейсами. Небольшие команды, управляющие всем жизненным циклом сервиса могут независимо развертывать и обслуживать микросервисы.
Термин «микро» относится к размеру микросервиса – он должен быть удобным в управлении одной командой разработчиков (5-10 специалистов). В данной методологии большие приложения делятся на крошечные независимые блоки.
Что такое монолитная архитектура?
Если говорить простым языком, то монолитная архитектура – это как бы большой контейнер, в котором все компоненты приложения соединяются в единый пакет.
В качестве примера монолитной архитектуры давайте рассмотрим сайт для электронной торговли. Например, онлайн-магазин.
В любом таком приложении есть ряд типовых опций: поиск, рейтинг и отзывы, а также оплаты. Данные опции доступны клиентам через браузер или приложение. Когда разработчик сайта онлайн-магазина развертывает приложение, это считается одной монолитной (неделимой) единицей. Код различных опций (поиска, отзывов, рейтинга и оплаты) находится на одном и том же сервере. Чтобы масштабировать приложение, вам нужно запустить несколько экземпляров (серверов) этих приложений.
Что такое микросервисная архитектура?
Микросервисной архитектурой называется методика разработки архитектуры, позволяющая создавать приложения в виде набора небольших автономных сервисов для работы с конкретными предметными областями. Такой вариант структурированной архитектуры позволяет организовать приложения в множество слабосвязанных сервисов. Микросервисная архитектура содержит мелкомодульные сервисы и упрощенные протоколы.
Давайте рассмотрим пример приложения для онлайн-торговли с микросервисной архитектурой. В данном примере каждый микросервис отвечает за одну бизнес-возможность. У «Поиска», «Оплаты», «Рейтинга и Отзывов» есть свои экземпляры (сервер), которые взаимодействуют между собой.
В монолитной архитектуре все компоненты сливаются в одну модель, тогда как в микросервисной архитектуре они распределяются по отдельным модулям (микросервисам), которые взаимодействуют между собой (см. пример выше).
Коммуникация между микросервисами – это взаимодействие без сохранения состояния. Каждая пара запросов и ответов независима, поэтому микросервисы легко взаимодействуют друг с другом. Микросервисная архитектура использует федеративные данные. Каждый микросервис имеет свой отдельный массив данных.
Микросервисы и монолитная архитектура: сравнение
Микросервисы
Монолитная архитектура
Каждый блок данных создается для решения определенной задачи; его размер должен быть предельно малым
Единая база кода для всех бизнес-целей
Запуск сервиса происходит сравнительно быстро
На запуск сервиса требуется больше времени
Локализовать ошибки довольно просто. Даже если один сервис сломается, другой – продолжит свою работу
Локализовать ошибки сложно. Если какая-то определенная функция не перестает работать, то ломается вся система. Чтобы решить проблему, придется заново собирать, тестировать и развертывать приложение.
Все микросервисы должны быть слабо связанными, чтобы изменения в одном модуле никак не влияли на другой.
Монолитная архитектура тесно связана. Изменения в одному модуле кода влияет на другой
Компании могут выделять больше ресурсов на самые рентабельные сервисы
Сервисы не изолированы; выделение ресурсов на отдельные сервисы невозможно
Можно выделить больше аппаратных ресурсов на самые популярные сервисы. В примере выше посетители чаще обращаются к каталогу товаров и поиску, а не к разделу оплат. Таким образом, будет разумнее выделить дополнительные ресурсы на микросервисы каталога товаров и поиска
Масштабирование приложения – задача сложная и экономически не выгодная
Микросервисы всегда остаются постоянными и доступными
Большая нагрузка на инструменты для разработки, поскольку процесс необходимо запускать с нуля
Федеративный доступ к данным, благодаря чему под отдельные микросервисы можно подбирать наиболее подходящую модель данных
Данные централизованы
Небольшие целевые команды. Параллельная и ускоренная разработка
Большая команда; требуется серьезная работа по управлению командой
Изменения в модели данных одного микросервиса никак не сказывается на других микросервисах
Изменения в модели данных влияют на всю базу данных
Четко прописанный интерфейс позволяет микросервисам эффективно взаимодействовать между собой
Не предусмотрено
Микросервисы делают акцент на продуктах (модулях), а не проектах
Сосредоточены на проекте в целом
Отсутствие перекрестных зависимостей между базами кода. Для разных микросервисов можно использовать разные технологии
Одна функция или программа зависит от другой
Сложности в работе с микросервисами
Микросервисы полагаются друг на друга, поэтому необходимо выстроить коммуникацию между ними.
В микросервисах создается больше модулей, чем в монолитных системах. Эти модули пишутся на разных языках, и их необходимо поддерживать.
Микросервисы – это распределенная система, так что, по сути, мы имеем дело со сложной системой.
В разных сервисах используются свои механизмы; для неструктурированных данных требуется больший объем памяти.
Для предотвращения каскадных сбоев необходимо эффективное управление и слаженная командная работа.
Трудно воспроизвести ошибку, если она пропадает в одной версии и вновь появляется в другой.
Независимое развертывание и микросервисы – вещи слабо совместимые.
Микросервисная архитектура требует большего количества операций.
Сложно управлять приложением, когда в систему добавляются новые сервисы.
Для поддержки всевозможных распределенных сервисов требуется большая команда опытных специалистов.
Микросервисы считаются дорогостоящими решениями, поскольку для разных задач создаются и поддерживаются разные серверные пространства.
Сервис-ориентированная архитектура (СОА) или микросервисы
СОА-сервисы (SOA - Service-oriented architecture) поддерживаются через реестр, который считается перечнем файлов каталога. Приложения должны найти сервис в реестре и вызвать его.
Иначе говоря, СОА похож оркестр: каждый музыкант играет на своем инструменте, а всеми артистами управляет дирижер.
Микросервисы – это разновидность СОА-стиля. Приложения создаются в виде набора небольших сервисов, а не цельной программы.
Микросервисы похожи на труппу артистов: каждый танцор знает свою программу и не зависит от других. Даже если кто-то забудет какое-то движение, вся труппа не собьется с ритма.
Теперь давайте поговорим о различиях между СОА и микросервисах.
Параметр
СОА
Микросервисы
Тип проектирования
В СОА компоненты приложения открыты для внешнего мира; они доступны в виде сервисов
Микросервисы – это часть СОА. Такая архитектура считается реализацией СОА
Зависимость
Подразделения – зависимы
Они не зависят друг от друга
Размер приложения
Размер приложения больше, чем у обычных программ
Размер приложения всегда небольшой
Стек технологий
Стек технологий ниже, чем у микросервисов
Стек технологий очень большой
Сущность приложения
Монолитная
Полностековая
Независимость и ориентированность
СОА-приложения создаются для выполнения множества бизнес-задач
Создаются для выполнения одной бизнес-задачи
Развертывание
Процесс развертывания растянут по времени
Несложное развертывание, на которое тратится меньше времени
Рентабельность
Более рентабельно
Менее рентабельно
Масштабируемость
Меньше, чем у микросервисов
Высокая масштабируемость
Бизнес-логика
Компоненты бизнес-логики хранятся внутри одного сервисного домена. Простые проводные протоколы (HTTP с XML JSON). API управляется с помощью SDK/клиентов
Бизнес-логика распределена между разными корпоративными доменами
Микросервисные инструменты
Wiremock – тестирование микросервисов
WireMock – это гибкая библиотека для создания заглушек и сервисов-имитаций. В ней можно настроить ответ, который HTTP API вернет при получении определенного запроса. Также может использоваться для тестирования микросервисов.
Docker
Docker – это проект с открытым кодом для создания, развертывания и запуска приложений с помощью контейнеров. Использование такого рода контейнеров позволяет разработчикам запускать приложение в виде одного пакета. Кроме того, в одном пакете могут поставляться библиотеки и другие зависимости.
Hystrix
Hystrix – это отказоустойчивая Java-библиотека. Данный инструмент предназначен для разделения точек доступа к удаленным сервисам, системам и сторонним библиотекам в распределенной среде (микросервисах). Библиотека улучшает всю систему в целом, изолируя неисправные сервисы и предотвращая каскадный эффект от сбоев.
Лучшие примеры использования микросервисной архитектуры
Отдельное хранение данных для каждого микросервиса.
Поддержание кода на едином уровне зрелости
Отдельная сборка для каждого микросервиса.
Заключение
Микросервисы – это СОА-шаблон, в котором приложения создаются как набор малых и независимых серверных единиц.
Микросервисная архитектура относится к стилям разработки архитектуры, позволяющим создавать приложение в виде небольших и автономных сервисов для определенных предметных областей.
Монолитная архитектура похожа на большой контейнер, в котором все компоненты приложения собраны в один пакет.
Каждый блок приложения в микросервисе имеет предельно малый размер и выполняет определенную функцию.
Большая база кода в монолитной архитектуре замедляет процесс разработки. Выход новых версий может растянуться на месяцы. Поддерживать такую базу кода довольно сложно.
Существует 2 типа микросервисов: Stateless (без сохранения состояния) и Stateful (с отслеживанием состояния)
Микросервисы на Java полагаются друг на друга; они должны взаимодействовать между собой. Микросервисы позволяют в большей степени сконцентрироваться на определенных функциях или потребностях бизнеса.
Сервисно-ориентированная архитектура, или СОА, – это усовершенствованные распределенные вычисления, основанные на проектной модели запроса/ответа в синхронных или асинхронных приложениях.
Компоненты приложения в СОА открыты для внешнего мира и представлены в виде сервисов; микросервисы считаются частью СОА. Это реализация СОА.
К популярным микросервисным инструментам относятся Wiremock, Docker и Hystrix.