Изучение основных функций маршрутизаторов Cisco SB101, Cisco 871w, Cisco 1801w.
Cisco SB101 (Cisco Small Business Secure Broadband Router)
Маршрутизатор Cisco SB101 ориентирован
на предприятия малого бизнеса, обеспечивающий защищённое соединение с сетью
Интернет. Необходимо отметить, что маршрутизатор является младшей моделью в
линейке маршрутизаторов Cisco Systems и не позволяет расширять ни оперативную,
ни flash память, но для целей, на которые он позиционируется, этих характеристик
вполне достаточно. Из протоколов маршрутизации поддерживаются RIPv1, RIPv2 и
ODR.
Маршрутизатор оборудован:
- 4-портовым коммутатором 10/100 Mbps с возможностью автоматического выбора
MDI/MDX (все порты представляют собой единый ethernet интерфейс).
- Одним WAN портом Ethernet 10 Mbps full-duplex.
Cisco 871w (Cisco Integrated Services Routers for Small Offices)
Данный маршрутизатор Cisco Systems
позиционирует, как решение для мобильных пользователей, филиалов компаний. Быстрая
установка и легкость подключения в сочетании с интегрированными сервисами, работающими
совместно, такими как: FireWall, VPN, Wireless LANs c широкой полосой пропускания.
По программным возможностям Cisco 871w является полноценным маршрутизатором.
Существует возможность использования таких протоколов как - IPv6, BGP, QoS,
PIM, Multigroup HSRP, также имеется система предотвращения атак (IPS) и возможность
фильтрации url; полный же список возможностей можно посмотреть по ссылке в конце
статьи.
Маршрутизатор оборудован:
- 4-портовым управляемым коммутатором 10/100 Mbps с возможностью автоматического
выбора MDI/MDX и возможность создавать не более трёх 802.1q VLAN. (для создания
VLAN необходим IOS Advanced IP Services).
- Одним WAN портом 100Mbps.
- WiFi 802.11b/g.
- Аппаратным модулем шифрования 3DES for IPSec / AES for IPSec c поддержкой
до 10 одновременных тоннелей.
Cisco 1801W (Cisco Integrated Services Router)
Маршрутизатор Cisco 1801w относится
к серии маршрутизаторов Cisco 1800, это поколение маршрутизаторов, следующее
за маршрутизаторами серии Cisco 1700. Как и Cisco 871w маршрутизатор Cisco 1801w
поддерживает функции обеспечения безопасности и удалённого доступа, объединенных
в одном устройстве.
Маршрутизатор оборудован:
- 8-портовым управляемый коммутатором 10/100 Mbps с возможностью автоматического
выбора MDI/MDX (хотя это не указано в datasheet, выяснилось экспериментальным
путём), поддержкой 802.1q VLAN`ов.
- ISDN BRI порт.
- ADSL over POTS (Plain Old Telephone Service).
- WiFi 802.11b/g (два интерфейса)
- Аппаратным модулем шифрования 3DES for IPSec / AES for IPSec c поддержкой
до 50 одновременных тоннелей.
В качестве второго устройства
для тестирования IPSec был выбран маршрутизатор: Cisco 2801 (IOS: c180x-advipservicesk9-mz.123-8.YI1.bin)
При покупке маршрутизатора лучше сразу
подумать о том, какие "features IOS" Вы будете использовать, т.к. именно под
размер файла и будет подогнан FLASH (это не относится к маршрутизатору Cisco
SB101, так как он имеет фиксированный объём flash памяти). По возможности, наилучшим
вариантом будет покупка маршрутизатора с максимально-возможным объемом памяти,
что в дальнейшем избавит Вас от раздумий о том, сможете ли Вы установить тот
или иной IOS.
По заявлению производителя, максимальное
количество пользователей, для модели Cisco SB101 составляет 5, Cisco 871w -
20, а для Cisco 1801w - 50. К сожалению, у нас не было возможности проверить
все модели, поэтому ограничились в проверке модели Cisco SB101. Подключив 6
устройств, проверка показала, что на данный момент никакого физического ограничения
нет.
Security Device Manager
SDM - это WEB-based программа, позволяющая быстро
настроить маршрутизатор. Программа может быть установлена как на маршрутизаторе,
так и на рабочей станции, с которой производится настройка.
SDM Express - это просто урезанная версия SDM.
Ее отличие заключается в более простом режиме настройки и отсутствии возможности
настройки многих функций маршрутизатора. Также, особенностью SDM Express является
режим первоначального запуска, т.е. - при первом запуске программы, Вы увидите
Wizard, состоящий из 7 шагов. До тех пор, пока Вы не пройдете весь этап настройки
в этом режиме, к главному меню у Вас доступа не будет. Опять же, стоит упомянуть
об объеме FLASH памяти маршрутизатора, SDM требует 6Mb.
USB
Очень многих волнует вопрос использования
USB в маршрутизаторах, которые были относительно недавно представлены в новой
линейке маршрутизаторов Cisco ISR. Существует две возможности использования:
USB eTOKEN FEATURE:
USB eToken обеспечивает безопасное
хранение любых файлов, VPN сертификатов. Возможность доступа к информации по
PIN, для предотвращения доступа к информации, хранящейся на маршрутизаторе,
третьим лицам. Операции по работе с файлами можно проводить как из CLI (Comman
Line Interface), а также посредством специальной утилиты: Token Management System
(TMS).
Здесь все просто. Простая замена Compact
Flash, обеспечивающая вторичное хранение любых файлов, образов IOS, конфигурационных
файлов, которые возможно передавать как с USB на FLASH, так и в обратном порядке.
Следует отметить, что Compact Flash в будущем планируется полностью заменить
USB носителями.
Необходимо знать, что поддерживаются
только Cisco USB. На данный момент существуют три варианта: 64, 128 и 256MB.
USB eToken и USB Flash поддерживаются IOS, начиная с версии 12.3(14)T. USB eToken
поддерживается только в следующих наборах IOS: Advanced Security, Advanced IP
Services, or Advanced Enterprise Services Cisco IOS feature set. USB Flash не
предъявляет требований к составу IOS (начиная 12.3(14)T).
Несмотря на богатый набор возможностей маршрутизаторов класса SOHO (101, 850, 870), все же больший уклон делается на безопасность обмена информацией.
Одно из средств, которое обеспечивает
высокий уровень безопасности - CBAC (Context-Based Access Control).
CBAC - обеспечивает безопасность работы
TCP- и UPD- приложений, работа которых осуществляется через общеизвестные порты,
например, такие как потоки данных FTP и электронной почты, путем тщательного
изучения адресов отправителя и получателя потоков данных.
Механизм CBAC имеет возможность "интеллектуальной"
фильтрации TCP- и UDP-пакетов данных, основанной на информации об используемых
в ходе сеанса протоколах уровня приложения. Информация о состоянии сеансов приводит
к созданию временных разрешающих записей (Access-Control-Entry) в списках управления
доступом брандмауэра (Access-Control-List), необходимых для получения возвращающегося
потока данных и создания дополнительных соединений для передачи данных в разрешенных
сеансах связи.
ACL - не обеспечивает высокий уровень
безопасности, т.к. ACL-списки являются статическими. Каждое новое разрешение
на доступ в списке управления доступом создает дополнительные возможности для
взлома системы. Поэтому по возможности необходимо использовать CBAC, который
позволяет динамически создавать и (или) удалять списки управления доступом,
что обеспечивает более высокую безопасность сети.
Проверка, осуществляемая механизмом
CBAC, позволяет распознать команды приложений в канале управления (например
FTP - 20 DATA-PORT; 21 PORT-CONTROL-CHANNEL), что, в свою очередь, позволяет
определять и предотвращать некоторые взломы на уровне приложений. Кроме того,
механизм CBAC осуществляет проверку порядковый номеров TCP- сегментов и удаляет
те, номера которых не входят в заданный диапазон.
Тестирование.
Описание оборудования и используемого программного
обеспечения, с помощью которого производилось тестирование.
В качестве рабочих станций использовались два достаточно
производительных компьютера, на базе процессора IPIV:
CPU: 1.3 MHz
RAM: 768Mb
В качестве программного обеспечения использовался следующий
набор программ:
Netwox
Это комплект инструментов, который помогает найти и решить сетевые проблемы.
С помощью этой программы мы имитировали:
"посылает множество ip пакетов со случайным src ip-адресом"
"посылает множество ethernet фреймов, со случайным dst-mac адресом, заполняя
cam таблицу"
Ttcp
Утилита для измерения производительности TCP и UDP трафика.
DUMeter
Программа, показывающая в режиме OnLine Download и Upload трафики.
Ttcp показывает только статические данные по завершении работы. Для подтверждения
этих данных, во время работы ttcp, мы использовали DUMeter.
15 марта Денис Коденцев, технический архитектор Cisco, проведет вебинар, на котором подробно расскажет о расширении модельного ряда коммутаторов Cisco Catalyst 9000: о новых высокопроизводительных сериях Catalyst 9300X, 9400X, 9500X и 9600X.
3 марта на виртуальном семинаре вы сможете узнать обо всех действующих промо, которые всегда актуальны и о которых вы часто спрашиваете. Семинар ориентирован на менеджеров по маркетингу и вендор-менеджеров в партнрских компаниях