Prijatelji, sa zadovoljstvom objavljujemo da počinjemo objavljivati članke naših čitatelja.
Današnji materijal našeg podcast gosta Alexandera zvanog Sinister.
============================
Posebno za projekt linkmeup
Postoji prilično velik broj simulatora i emulatora za opremu Cisco Systems.
U ovom kratkom pregledu pokušat ću prikazati sve postojeće alate koji rješavaju ovaj problem.
Informacije će biti korisne onima koji proučavaju mrežne tehnologije, pripremaju se za polaganje Cisco ispita, skupljaju police za rješavanje problema ili istražuju sigurnosna pitanja.
Prvo, malo terminologije.
Simulatori - oponašaju određeni skup naredbi, ugrađen je i čim prijeđemo dalje, odmah ćemo dobiti poruku o pogrešci. Klasičan primjer je Cisco Packet Tracer.
Emulatori, naprotiv, omogućuju reprodukciju (prevođenje bajtova) slika (firmware) stvarnih uređaja, često bez vidljivih ograničenja. Primjer je GNS3/Dynamips.
Pogledajmo prvo Cisco Packet Tracer.
Cisco Packet Tracer
Ovaj simulator dostupan je i za Windows i za Linux, besplatan za studente Cisco mrežne akademije.
U 6. verziji postojale su stvari poput:
- iOS 15
- HWIC-2T i HWIC-8A moduli
- 3 nova uređaja (Cisco 1941, Cisco 2901, Cisco 2911)
- HSRP podrška
- IPv6 u postavkama krajnjeg uređaja (stolna računala)
Njegove prednosti su jednostavnost i logika sučelja. Osim toga, zgodno je provjeriti rad raznih mrežnih usluga, kao što su DHCP / DNS / HTTP / SMTP / POP3 i NTP.
A jedna od najzanimljivijih značajki je mogućnost prebacivanja u način simulacije i gledanja kako se paketi kreću s dilatacijom vremena.
To me podsjetilo na isti Matrix.
minusi:
- Gotovo sve što izlazi iz okvira CCNA ne može se prikupiti na njemu. Na primjer, EEM je potpuno odsutan.
- Također, ponekad se mogu pojaviti razni problemi koji se rješavaju samo ponovnim pokretanjem programa. STP protokol je posebno poznat po tome.
- Dobar alat za one koji su tek započeli upoznavanje s Cisco opremom.
GNS3
Sljedeći je GNS3, koji je GUI (u Qt-u) za dynamips emulator.
Besplatan projekt, dostupan za Linux, Windows i Mac OS X.
Web stranica GNS projekta - www.gns3.net/
Ali većina njegovih značajki za poboljšanje performansi radi samo pod Linuxom (ghost IOS, koji radi kada se koristi mnogo istog firmware-a), 64-bitna verzija također je samo za Linux.
Trenutna verzija GNS-a u ovom trenutku je 0.8.5
Ovo je emulator koji radi s pravim iOS firmwareom. Da biste ga koristili, morate imati firmware. Recimo da ste kupili Cisco usmjerivač, možete ih izvući iz njega.
Na njega možete povezati VirtualBox ili VMware Workstation virtualne strojeve i stvoriti prilično složene sheme, ako želite, možete ići dalje i pustiti ga u stvarnu mrežu.
Osim toga, Dynamips može emulirati i stari Cisco PIX i ozloglašeni Cisco ASA, čak i verziju 8.4.
Ali uz sve to ima puno nedostataka.
- Broj platformi je strogo ograničen: mogu se pokrenuti samo one šasije koje su osigurali dynamips programeri.
- Moguće je pokrenuti verziju ios 15 samo na platformi 7200.
- Nemoguće je u potpunosti koristiti Catalyst sklopke, to je zbog činjenice da koriste veliki broj specifičnih integriranih sklopova, koje je stoga iznimno teško emulirati. Ostaje koristiti mrežne module (NM) za usmjerivače.
- Kada koristite veliki broj uređaja, performanse će zajamčeno opadati.
- Alat u kojem možete kreirati prilično složene topologije, pripremiti se za ispite CCNP razine, uz neke rezerve.
Bozon NetSim
Nekoliko riječi o Boson NetSim simulatoru koji je nedavno ažuriran na verziju 9.
Dostupno samo za Windows, cijena se kreće od 179 USD za CCNA do 349 USD za CCNP.
To je zbirka laboratorijskih radova, grupiranih po ispitnim temama.
Kao što možete vidjeti na snimkama zaslona, sučelje se sastoji od nekoliko odjeljaka: opis zadatka, mapa mreže, s lijeve strane nalazi se popis svih laboratorija.
Kada završite, možete provjeriti rezultat i saznati je li sve učinjeno.
Moguće je izraditi vlastite topologije, uz određena ograničenja.
Cisco CSR
Sada razmislite o relativno nedavnom Cisco CSR-u.Relativno nedavno pojavio se virtualni Cisco Cloud Service Router 1000V.
Savršeno za svakoga tko se priprema krenuti na stazu podatkovnog centra.
Ima neke osobitosti - nakon uključivanja počinje proces pokretanja (kao u slučaju CSR-a, vidjet ćemo i Linux) i zaustavlja se. Čini se da je sve zaleđeno, ali nije.
Veza s ovim emulatorom ostvaruje se putem imenovanih cijevi.
Imenovani kanal jedna je od metoda međuprocesne komunikacije.
Postoje i na sustavima sličnim Unixu i na Windowsima.
Da biste se povezali, samo otvorite Putty, primjerice, odaberite vrstu serijske veze i odredite \\.\pipe\vmwaredebug.
Koristeći GNS3 i QEMU (lagani OS emulator koji dolazi s GNS3 za Windows), možete izgraditi topologije koje će koristiti Nexus prekidače. I opet, ovaj virtualni prekidač možete pustiti u stvarnu mrežu.
Cisco IOU
I na kraju, poznati Cisco IOU (Cisco IOS na UNIX-u) je vlasnički softver koji se uopće službeno ne distribuira.Postoji mišljenje da Cisco može pratiti i identificirati tko koristi IOU.
Prilikom pokretanja, poslužitelju xml.cisco.com pokušava se poslati HTTP POST zahtjev.
Podaci koji se šalju uključuju naziv hosta, korisničko ime, verziju IOU-a itd.
Poznato je da Cisco TAC koristi IOU.
Emulator je vrlo popularan među onima koji se pripremaju za CCIE.
U početku je radio samo pod Solarisom, ali je s vremenom prebačen na Linux.
Sastoji se od dva dijela - l2iou i l3iou, po nazivu možete pogoditi da prvi emulira sloj veze i preklopnike, a drugi - mrežu i usmjerivače.
Konfiguracija se provodi editiranjem tekstualnih konfiguracijskih datoteka, no prije nekog vremena za to je razvijeno i grafičko sučelje, web frontend.
Sučelje je prilično intuitivno, uz njegovu pomoć možete izvršiti gotovo sve radnje.
Pokretanje takve topologije dovodi do samo 20% iskorištenja CPU-a.
Usput, ovo je topologija za pripremu za CCIE.
Kako biste se povezali s bilo kojim uređajem na dijagramu, samo kliknite na njega i putty će se odmah otvoriti.
Mogućnosti IOU su stvarno vrlo velike.
Iako nije bez nedostataka, još uvijek postoje neki problemi na sloju podatkovne veze.
U nekima je, na primjer, nemoguće postaviti duplex, ali to su sve sitnice - sve glavne funkcije rade i rade dobro.
Autorica web sučelja je Andrea Dainese.
Njegova web stranica: www.routereroreflector.com/cisco/cisco-iou-web-interface/
Na samom mjestu nema IOU-a niti firmwarea, štoviše, autor navodi da je web sučelje kreirano za osobe koje imaju pravo korištenja IOU-a.
I mali rezime za kraj
Kako se pokazalo, trenutno postoji prilično širok raspon emulatora i simulatora Cisco opreme.To vam omogućuje gotovo potpunu pripremu za ispite različitih staza (klasični R/S, pružatelj usluga, pa čak i podatkovni centar).
Uz određeni napor, možete prikupiti i testirati razne topologije, provesti istraživanje ranjivosti i, ako je potrebno, pustiti emuliranu opremu u stvarnu mrežu.
(Most Bay koji povezuje San Francisco s Otokom s blagom pretvoren je u najveću svjetlosnu skulpturu na svijetu pomoću Cisco prekidača.)
===========================
Dodaci iz eukariota.
Želio bih reći o Huawei simulatoru opreme.
eNSP
Enterprise Network Simulation Platform simulira usmjerivače, preklopnike i krajnje točke na razini poduzeća. Zapravo, bliži je Cisco Packet Traceru, ima jasno grafičko sučelje i samo je simulator.
Distribuira se potpuno besplatno - samo se registrirajte na web mjestu.
Implementira ogroman broj funkcija stvarne opreme, zapravo, ne mogu se implementirati samo sasvim specifične stvari. Dostupni su MSTP, RRPP, SEP, BFD, VRRP, razni IGP-ovi, GRE, BGP, MPLS, L3VPN.
Možete pokrenuti multicast, odnosno odaberete video datoteku na poslužitelju i možete gledati video na klijentu kroz konfiguriranu mrežu (ovo ćemo svakako koristiti u SDSM izdanju o multicastu).
Možete uhvatiti pakete s wiresharkom.
Nisam puno radio s njim, ali nisu pronađeni kvarovi, opterećenje procesora je sasvim prihvatljivo.
I, oni kažu da postoji poseban super-moćni Huawei emulator koji u potpunosti implementira sve značajke high-end routera koje Huawei TAC koristi, ali svi znaju da su to samo glasine.
Nije tajna da ste, kako biste izgradili vlastitu računalnu infrastrukturu, morali pribjeći korištenju specijalizirane opreme dizajnirane za razne svrhe, te potrošiti dodatnu lipu bilo na njezinu kupnju ili najam. A to je tek početak epopeje, jer tada je cjelokupna odgovornost za upravljanje infrastrukturom pala na pleća same tvrtke.
S pojavom virtualizacijskih tehnologija i sve većim zahtjevima za performansama, dostupnošću i pouzdanošću računalnih sustava, poduzeća su se sve više počela odlučivati za rješenja u oblaku i virtualne stranice pouzdanih IaaS pružatelja usluga. I to je razumljivo: mnoge organizacije imaju povećane zahtjeve, većina njih želi vidjeti fleksibilna rješenja implementirana što je brže moguće, a da u isto vrijeme nemaju problema s upravljanjem infrastrukturom.
Ovaj pristup danas nije novost, naprotiv, postaje sve češća taktika za učinkovito upravljanje poduzećem/infrastrukturom.
Preraspodjela i prijenos većine radnih opterećenja s fizičkih mjesta na virtualna, između ostalog, zahtijevaju razvoj pitanja implementacije sigurnosti. Sigurnost - kako s fizičke, tako i s virtualne točke gledišta - uvijek mora biti na vrhu. Naravno, na IT tržištu postoje mnoga rješenja dizajnirana da pruže i jamče visoku razinu zaštite virtualnih okruženja.
Pogledajmo pobliže relativno nedavno najavljeni virtualni vatrozid CiscoASAv, koji je zamijenio vatrozid u oblaku Cisco ASA 1000v. Cisco na svojoj službenoj web stranici objavljuje prekid prodaje i podrške za Cisco ASA 1000v, zamjenjujući ga vodećim zaštitnim alatom za oblak, virtualne infrastrukture u odnosu na Cisco ASAv proizvod.
Općenito, vrijedi napomenuti da je Cisco posljednjih godina povećao svoju aktivnost u segmentu virtualizacije, nadopunjujući liniju hardverskih rješenja virtualiziranim proizvodima. Pojava Cisco ASAv je još jedna potvrda toga.
Cisco ASAv (Cisco Adaptive Security Virtual Appliance), kao što je ranije spomenuto, jest virtualni vatrozid. Usmjeren na rad u virtualnom okruženju i ima osnovnu funkcionalnost "željeza" Cisco ASA, s iznimkom višekontekstnog načina rada i klasteriranja.
Pregled Cisco ASAv
Cisco ASAv pruža funkciju vatrozida za zaštitu podataka u podatkovnim centrima i okruženjima oblaka. Cisco ASAv je virtualni stroj koji može raditi na različitim hipervizorima, uključujući VMware ESXi, u interakciji s virtualnim "sklopkama" za obradu prometa. Virtualni vatrozid može raditi s različitim virtualnim prekidačima, uključujući Cisco Nexus 1000v, VMware dvSwitch i vSwitch. Cisco ASAv podržava implementaciju Site-to-Site VPN-a, VPN-a s udaljenim pristupom i VPN-a s daljinskim pristupom bez klijenta baš kao i fizički Cisco ASA uređaji.
Slika 1 Cisco ASAv arhitektura
Cisco ASAv koristi Cisco Smart Licensing, što uvelike pojednostavljuje implementaciju, upravljanje i nadzor Cisco ASAv virtualnih instanci koje koriste korisnici.
Ključne značajke i prednosti Cisco ASAv
- Single cross-domain security layer
Cisco ASAv pruža jedan sloj sigurnosti na fizičkim i virtualnim mjestima uz mogućnost korištenja višestrukih hipervizora. U kontekstu izgradnje IT infrastrukture korisnici često koriste hibridni model, kada su neke od aplikacija prilagođene fizičkoj infrastrukturi tvrtke, a druge za virtualnu stranicu s više hipervizora. Cisco ASAv koristi konsolidirane mogućnosti postavljanja gdje se jedna sigurnosna politika može primijeniti i na fizičke i na virtualne uređaje.
- Lakoća upravljanja
Cisco ASAv koristi Representational State Transfer (REST API) API koji se temelji na uobičajenom HTTP sučelju koje vam omogućuje upravljanje samim uređajem, kao i promjenu sigurnosnih pravila i praćenje statusa stanja.
- Jednostavnost postavljanja
Unaprijed konfigurirani Cisco ASAv može se implementirati u vrlo kratkom vremenu.
Cisco ASAv je obitelj proizvoda dostupnih u sljedećim modelima:
Slika 2. Obitelj proizvoda Cisco ASAv
Cisco ASAV specifikacija
| Cisco ASAv5 | Cisco ASAv10 | Cisco ASAv30 | |
| Stateful Bandwidth (Maksimum) | 100 Mbps | 1 Gbps | 2 Gbps |
| Stateful Bandwidth (Multiprotocol) | 50 Mbps | 500 Mbps | 1 Gbps |
| Propusnost s VPN-om (3DES/AES) | 30 Mbps | 125 Mbps | 300 Mbps |
| Broj veza u sekundi | 8 000 | 20 000 | 60 000 |
| Broj istodobnih sesija | 50 000 | 100 000 | 500 000 |
| Broj virtualnih lokalnih mreža (VLAN-ova) | 25 | 50 | 200 |
| Broj korisničkih VPN sesija između hostova i s IPsec klijentom | 50 | 250 | 750 |
| Broj korisničkih VPN AnyConnect sesija ili pristupa bez klijentskog programa | 50 | 250 | 750 |
| Broj korisnika sustava zaštite u oblaku Cisco Cloud Web Security | 250 | 1 000 | 5 000 |
| Podrška visoke dostupnosti | aktivno/stanje pripravnosti | aktivno/stanje pripravnosti | aktivno/stanje pripravnosti |
| Podrška za hipervizor | VMware ESX/ESXi 5.X, KVM 1.0 | VMware ESX/ESXi 5.X, KVM 1.0 | VMware ESX/ESXi 5.X, KVM 1.0 |
| Broj vCPU-a | 1 | 1 | 4 |
| Memorija | 2 GB | 2 GB | 8 GB |
| HDD | 8 GB | 8 GB | 16 GB |
VMware funkcionalnost podržana u ASAv
| Funkcionalnost | Opis | Podrška (Da/Ne) |
| hladno kloniranje | Virtualni strojevi se gase tijekom kloniranja | Da |
| DRS | Koristi se za dinamičko planiranje resursa i upravljanje distribuiranim kapacitetima | Da |
| vruće dodati | Virtualni strojevi ostaju aktivni dok se dodaju dodatni resursi | Da |
| Hot clone (vruće kloniranje) | Virtualni strojevi ostaju uključeni tijekom kloniranja | Ne |
| Vruće uklanjanje (vruće uklanjanje) | Virtualna računala ostaju pokrenuta tijekom brisanja resursa | Da |
| Snimke | Virtualni strojevi se zaustavljaju na nekoliko sekundi | Da |
| Obustavite i nastavite | Virtualni strojevi se pauziraju i zatim nastavljaju | Da |
| vCloud Manager | Omogućuje automatsku implementaciju virtualnih strojeva | Ne |
| Migracija virtualnih strojeva | Virtualni strojevi se gase tijekom migracije | Da |
| vKretanje | Koristi se živa migracija virtualnih strojeva | Da |
| VMware FT (Tehnologija kontinuirane dostupnosti) | Koristi se za visoku dostupnost virtualnih strojeva | Ne |
| VMware HA | Minimizira gubitke od kvarova fizičkog hardvera i ponovno pokreće virtualne strojeve na drugom hostu u klasteru u slučaju kvara | Da |
| VMware vSphere samostalni Windows klijent | Da | |
| VMware vSphere web klijent | Koristi se za postavljanje virtualnih strojeva | Da |
Uvođenje ASAv s VMware vSphere web klijentom
Ako odlučite implementirati ASAv na udaljenu stranicu IaaS pružatelja ili na bilo koju drugu virtualiziranu stranicu, kako biste izbjegli neočekivane i neradne trenutke, trebali biste odmah obratiti pozornost na dodatne zahtjeve i ograničenja:
- Implementacija ASAv iz ova datoteke ne podržava lokalizaciju. Morate biti sigurni da VMware vCenter i LDAP poslužitelji u vašem okruženju koriste ASCII način kompatibilnosti.
- Prije instaliranja ASAv-a i korištenja konzole virtualnog stroja, morate postaviti unaprijed definirani raspored tipkovnice (SAD engleski).
Možete koristiti VMware vSphere Web Client za instaliranje ASAv. Da biste to učinili, morate se povezati pomoću unaprijed definirane veze u . Prema zadanim postavkama koristi se port 9443, ali ovisno o specifičnostima konfiguracije, vrijednost se može razlikovati.
- Kada prvi put pristupite VMware vSphere Web Clientu, trebate instalirati dodatak (Client Integration Plug-in), koji je dostupan za preuzimanje izravno iz prozora za provjeru autentičnosti.
- Nakon uspješne instalacije trebate se ponovno spojiti na VMware vSphere Web Client i prijaviti se sa svojim korisničkim imenom i lozinkom.
- Prije pokretanja instalacije Cisco ASAv, morate preuzeti ASAv OVA datoteku s http://cisco.com/go/asa-software i provjeriti imate li barem jedno konfigurirano vSphere mrežno sučelje.
- U navigacijskom prozoru VMware vSphere Web Client morate se prebaciti na ploču vCenter i idi na domaćiniiGrozdovi. Klikom na podatkovni centar, klaster ili host, ovisno o tome gdje ste odlučili instalirati Cisco ASAv, odaberite opciju postavljanja OVF predloška ( RasporediOVFPredložak).
Slika 3. Uvođenje OVF predloška ASAv
- U prozoru čarobnjaka za implementaciju predloška OVF, u odjeljku Izvor morate odabrati Cisco ASAv instalacijsku OVA datoteku. Imajte na umu da u prozoru detaljnog prikaza ( Pregled pojedinosti) prikazuje informacije o ASAv paketu.
Slika 4. Pregled detalja instalacije ASAv
- Prihvaćanjem licencnog ugovora na stranici Prihvatiti EULA, prijeđimo na određivanje naziva Cisco ASAv instance i lokacije datoteka virtualnog stroja.
- U konju za odabir konfiguracije ( Izaberi konfiguracija) trebate koristiti sljedeće vrijednosti:
- Za samostalnu konfiguraciju odaberite 1 (ili 2, 3, 4) vCPU Samostalni.
- Za konfiguraciju Failovera odaberite 1 (ili 2, 3, 4) vCPU HA primarni.
- U prozoru za odabir pohrane ( Izaberi Skladištenje) odrediti format virtualnog diska, za uštedu prostora bit će korisno odabrati opciju tanka odredba. Također morate odabrati pohranu u kojoj će se ASAv izvoditi.
Slika 5. Prozor za odabir pohrane
- U prozoru konfiguracije mreže ( Postaviti mreža) odabire mrežno sučelje koje će se koristiti kada ASAv radi. Imajte na umu da popis mrežnih sučelja nije naveden abecednim redom, što ponekad otežava pronalaženje željenog elementa.
Slika 6. Prozor mrežnih postavki
Kada implementirate ASAv instancu, možete upotrijebiti dijaloški okvir Edit Network Settings za izmjene mrežnih postavki. Slika 7 prikazuje primjer preslikavanja ID-ova mrežnog adaptera i ID-ova ASAv sučelja.
Slika 7 Mapiranje mrežnih adaptera i ASAv sučelja
- Nije potrebno koristiti sva ASAv sučelja, međutim vSphere Web Client zahtijeva da mreže budu dodijeljene svim sučeljima. Sučelja koja se ne planiraju koristiti moraju se staviti u stanje Onemogućeno(onemogućeno) u ASAv postavkama. Nakon što je ASAv implementiran u vSphere web konzoli, možete ukloniti suvišna sučelja pomoću dijaloškog okvira za uređivanje postavki ( Uredi postavke).
- U prozoru za prilagodbu predloška ( Prilagodite šablona) potrebno je napraviti niz ključnih postavki, uključujući konfiguraciju IP adrese, podmrežne maske i parametara zadanog pristupnika. Slično, postavite klijentovu IP adresu dopuštenu za ASDM pristup, a ako je za komunikaciju s klijentom potreban poseban pristupnik, postavite njegovu IP adresu.
Slika 8. Prozor za prilagodbu predloška
- Također, u opciji Vrsta postavljanja ( Vrsta raspoređivanja) trebate odabrati ASAv vrstu instalacije između tri moguće opcije: Samostalna, HA primarna, HA sekundarna.
Slika 9 Odabir odgovarajuće vrste ASAv instalacije
U prozoru Spremno za završetak ( Spreman do potpuna) prikazuje sažetak konfiguracije Cisco ASAv. Aktiviranje opcije pokretanja nakon postavljanja ( vlast na nakon raspoređivanje) omogućit će vam pokretanje virtualnog stroja kada čarobnjak završi.
- Možete pratiti proces implementacije ASAv OVF predloška i status dovršenih zadataka u konzoli zadataka ( zadatak Konzola).
Slika 10. Status implementacije OVF predloška
- Ako ASAv virtualni stroj još nije pokrenut, morate ga pokrenuti pomoću opcije pokretanja ( vlast na the virtualan mašina). Prvi put kada se ASAv pokrene, on čita parametre postavljene u OVA datoteci i konfigurira sistemske vrijednosti na temelju njih.
Slika 11. Pokretanje ASAv virtualnog stroja
Rezimirajući instalaciju ASAv-a, ne možemo ne primijetiti ugodnu činjenicu da cijeli proces - od preuzimanja paketa, implementacije i pokretanja - ne traje više od 15-20 minuta. Istodobno, naknadne postavke, poput VPN-a, karakteriziraju beznačajni vremenski troškovi, dok bi postavljanje fizičkog ASA-a zahtijevalo puno više vremena. Cisco ASAv također se može implementirati na daljinu, pružajući fleksibilnost procesa i pogodnost za tvrtke koje koriste udaljena mjesta.
Od instalacije do ASAv upravljanja
Za upravljanje ASAv-om možete koristiti stari dobri alat ASDM (Adaptive Security Device Manager), koji je praktično rješenje s grafičkim korisničkim sučeljem. Proces implementacije ASAv definira pristup ASDM-u, koji se zatim može koristiti za izvođenje različitih konfiguracija, nadzora i rješavanja problema. S klijentskog stroja, čija je IP adresa navedena tijekom procesa postavljanja, veza se uspostavlja u budućnosti. Za pristup ASDM-u koristi se web preglednik koji navodi vrijednost IP adrese ASAv-a.
Pokrenite ASDM
Na stroju označenom kao ASDM klijent pokrenite preglednik i odredite ASAv vrijednosti u formatu https://asav_ip_address/admin , što će otvoriti prozor sa sljedećim opcijama:
- instalirajte ASDM Launcher i pokrenite ASDM;
- pokrenuti ASDM;
- pokrenite čarobnjaka za pokretanje.
Slika 12. Primjer pokretanja ASDM alata
InstaliratiASDMPokreni i trčiASDM
Za pokretanje instalacijskog programa odaberite "Instaliraj ASDM pokretač i pokreni ASDM". U poljima "korisničko ime" i "lozinka" (u slučaju nove instalacije) ne možete ostaviti nijednu vrijednost i kliknite "U redu". Bez konfigurirane HTTPS provjere autentičnosti, pristup ASDM-u odvija se bez navođenja vjerodajnica. Ako je HTTPS autentifikacija omogućena, morate navesti korisničko ime i lozinku.
- Lokalno spremite instalacijski program i pokrenite instalaciju. Nakon dovršetka instalacije, ASDM-IDM Launcher će se automatski pokrenuti.
- Unesite ASAv IP adresu i kliknite OK.
TrčanjeASDM
Također možete koristiti Java Web Start za izravno pokretanje ASDM-a bez izvođenja instalacije. Odaberite opciju "Launch ASDM", nakon čega će se otvoriti prozor ASDM-IDM Launcher.
Slika 13. Spajanje na ASAv pomoću ASDM-IDM pokretača
Pokrenite čarobnjaka za pokretanje
Kada odaberete opciju Run Startup Wizard, možete postaviti sljedeće ASAv konfiguracijske parametre
- Ime glavnog računala (ime glavnog računala)
- Naziv domene
- Administrativna lozinka
- sučelja
- IP adrese
- Statičke rute
- DHCP poslužitelj (DHCP poslužitelj)
- NAT pravila
- i više (i druge postavke...)
Korištenje konzoleVMware vSphere
Možete koristiti ASAv konzolu dostupnu iz VMware vSphere web klijenta za izvođenje početne konfiguracije, rješavanje problema i pristup sučelju naredbenog retka (CLI).
Važno! Za rad s ASAv konzolom potrebno je instalirati dodatak (Client Integration Plug-In).
Dok se licenca ne instalira, postojat će ograničenje propusnosti od 100 kbps. U proizvodnom okruženju, puna funkcionalnost zahtijeva licencu. Podaci o licenci prikazani su na ASAv konzoli.
Slika 15. Primjer prikaza informacija o licenci
Spajanjem na ASAv konzolu možete raditi u nekoliko načina.
Privilegirani način rada
- Parametar ciscoasa> u prozoru konzole označava rad u EXEC modu, u kojem su dostupne samo osnovne naredbe. Za prebacivanje u privilegirani EXEC mod, morate pokrenuti naredbu ciscoasa>omogućiti, nakon čega ćete morati unijeti lozinku (Password), ako je lozinka postavljena, ako nije, pritisnite Enter.
- Izlaz vrijednosti ciscoasa# u prozoru konzole označava prebacivanje u povlašteni način rada. U njemu je moguće koristiti nekonfiguracijske naredbe. Da biste izvršili konfiguracijske naredbe, morate se prebaciti u način konfiguracije. Na njega se također možete prebaciti iz privilegiranog načina rada.
- Za izlaz iz privilegiranog načina rada koristite naredbe onemogućiti, Izlaz ili prestati.
Način globalne konfiguracije
- Za prebacivanje u način globalne konfiguracije upotrijebite naredbu:
ciscoasa#konfiguriratiterminal
- Ako se uspješno prebacite na način konfiguracije, prikazuje se indikator spremnosti načina globalne konfiguracije koji izgleda ovako:
ciscoasa (konfiguracija)#
- Za pozivanje popisa svih mogućih naredbi, pogledajte pomoć:
ciscoasa (konfiguracija)#Pomozite?
Nakon toga, prikazuje se popis svih dostupnih naredbi po abecednom redu, kao što je prikazano na slici 16.
Slika 16. Primjer prikaza naredbi u načinu globalne konfiguracije
- Za izlaz iz načina globalne konfiguracije koristite naredbe Izlaz,prestati ili kraj.
Kao što znate, ponekad se na blogu objavljuju članci naših dobrih prijatelja.
Danas će nam Eugene govoriti o virtualizaciji Cisco usmjerivača.
Postoji klasična shema organizacije mreže: pristupna razina (SW1, SW2, SW3), distribucijska razina (R1) i uključenje u globalnu mrežu (R2). Prikupljanje statistike organizirano je na R2 routeru i NAT je konfiguriran. Hardverski vatrozid s funkcijama filtriranja prometa i usmjeravanja instaliran je između R2 i R3 (Shema 1)
Ne tako davno postavljen je zadatak migrirati cijelu mrežu na alternativni pristupnik (R4). Novi pristupnik ima funkcionalnost klastera i može se horizontalno skalirati povećanjem broja čvorova klastera. Prema planu puštanja u rad bilo je potrebno da u određenom vremenskom razdoblju u mreži istovremeno budu dva pristupnika - stari (R2) - za sve klijentske mreže, i novi (R4) - za mreže koje sudjeluju u testiranju novog pristupnika (shema 2).
Pokušaji implementacije PBR-a (Policy-based routing) na internom usmjerivaču (R1) bili su neuspješni - promet se vrtio u petlji. Uprava je odbila zahtjeve za dodatnom opremom. Vrijeme je prolazilo, usmjerivača nije bilo, zadatak je odugovlačio ...
A onda mi je za oko zapeo članak s interneta koji je govorio o izolaciji tablica usmjeravanja na Cisco usmjerivačima.
Odlučio sam nabaviti dodatni usmjerivač s neovisnom tablicom usmjeravanja na temelju postojeće opreme. Kako bi se riješio problem, izrađen je novi projekt (shema 3), koji podrazumijeva prisutnost dodatnog usmjerivača s PBR mogućnošću.
Povezivanje mreže između R1 i R5:
Mreža: 172.16.200.0 /30
Sučelje na R1: 172.16.200.2 /30
Sučelje na R5: 172.16.200.1 /30
VLANID: 100 - stari ruter
VLANID: 101 - novi ruter
Napomena: R5 koristi virtualni usmjerivač temeljen na R3 (Cisco IOS softver, C2900 softver (C2900-UNIVERSALK9_NPE-M), verzija 15.0(1)M1, RELEASE SOFTWARE (fc1)).
R3 ruter opremljen je s tri gigabitna Ethernet priključka, sučelje Gi0/0 se koristi za interno usmjeravanje, Gi0/1 se koristi za spajanje na hardverski vatrozid, a Gi0/2 se koristi za povezivanje s vanjskim pružateljem usluga.
Prijeđimo na konfiguraciju R5 rutera.
Idite na način konfiguracije:
R3(config)#ip vrf zone1
Ova naredba stvara izoliranu tablicu usmjeravanja na usmjerivaču. Ime zona1 po izboru administratora. Također možete dodijeliti ID i opis. Više detalja možete pronaći u dokumentaciji. Nakon završetka vraćamo se u način konfiguracije pomoću naredbe Izlaz.
Postavljanje mrežnih sučelja:
R3(config)#interface GigabitEthernet0/0.100
R3(config-subif)#encapsulation dot1Q 100
R3(config-subif)#ip adresa 172.16.100.2 255.255.255.252
R3(config-subif)#izlaz
R3(config)#interface GigabitEthernet0/0.101
R3(config-subif)#ip vrf zona prosljeđivanja1
R3(config-subif)#encapsulation dot1Q 101
R3(config-subif)#ip adresa 172.16.100.6 255.255.255.252
R3(config-subif)#izlaz
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip vrf zona prosljeđivanja1
R3(config-subif)#encapsulation dot1Q 1000
R3(config-subif)#ip adresa 172.16.200.1 255.255.255.252
R3(config-subif)#izlaz
Sada trebate konfigurirati PBR. Da bismo to učinili, sastavit ćemo ACL, vodeći se sljedećim pravilom: svi koji upadnu u ACL usmjeravaju se kroz stari pristupnik, a ostali kroz novi.
R3(config)#access-list 101 deny ip host 192.168.3.24 bilo koji
R3(config)#access-list 101 deny ip host 192.168.3.25 bilo koji
R3(config)#access-list 101 deny ip host 192.168.3.26 bilo koji
R3(config)#access-list 101 dozvola ip bilo koji bilo koji
Izradi kartu rute:
R3(config)#route-map gw1 dopuštenje 50
R3(config-route-map)#match ip adresa 101
R3(config-route-map)#set ip vrf zone1 next-hop 172.16.100.1
R3(config-route-map)#izlaz
I primijenite ga na sučelje:
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip mapa smjera politike gw1
R3(config-subif)#izlaz
Dodavanje zadane rute u tablicu usmjeravanja zona1:
R3(config)#ip route vrf zone1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
i provjerite tablicu usmjeravanja zona1
R3#prikaži ip rutu vrf zone1
Tablica usmjeravanja: zona1
Kodovi: L - lokalni, C - povezani, S - statički, R - RIP, M - mobilni, B - BGP
D - EIGRP, EX - EIGRP vanjski, O - OSPF, IA - OSPF unutar područja
N1 - OSPF NSSA vanjski tip 1, N2 - OSPF NSSA vanjski tip 2
E1 - OSPF vanjski tip 1, E2 - OSPF vanjski tip 2
i - IS-IS, su - IS-IS sažetak, L1 - IS-IS razina-1, L2 - IS-IS razina-2
ia - IS-IS inter area, * - zadani kandidat, U - statička ruta po korisniku
o - ODR, P - periodično preuzeta statična ruta, + - replicirana ruta
Pristupnik u krajnjoj nuždi je 172.16.100.5 za mrežu 0.0.0.0
S* 0.0.0.0/0 putem 172.16.100.5, GigabitEthernet0/0.101
172.16.0.0/16 je promjenjivo podmreža, 6 podmreža, 2 maske
C 172.16.100.0/30 je izravno povezan, GigabitEthernet0/0.100
L 172.16.100.2/32 je izravno povezan, GigabitEthernet0/0.100
C 172.16.100.4/30 je izravno povezan, GigabitEthernet0/0.101
L 172.16.100.6/32 je izravno povezan, GigabitEthernet0/0.101
C 172.16.200.0/30 je izravno povezan, GigabitEthernet0/0.1000
L 172.16.200.1/32 je izravno povezan, GigabitEthernet0/0.1000
Riješen je zadatak podjele prometa klijentskih mreža na različite pristupnike. Od nedostataka odluke, želio bih primijetiti povećanje opterećenja na hardveru usmjerivača i slabljenje sigurnosti, budući da usmjerivač povezan s globalnom mrežom ima izravnu vezu s lokalnom mrežom zaobilazeći hardverski vatrozid.
Bok svima.
Jedno vrijeme sam imao posla s Ciscom. Ne zadugo, ali ipak. Sve vezano za Cisco je sada mega popularno. Svojedobno sam sudjelovao u otvaranju lokalne Cisco akademije na lokalnom sveučilištu. Prije godinu dana bio sam na tečajevima "". Ali nemamo uvijek pristup samoj opremi, pogotovo tijekom učenja. Emulatori dolaze u pomoć. Ima ih i za Cisco. Počeo sam s Boson NetSimom, a sada gotovo svi studenti koriste Cisco Packet Tracer. Ipak, skup simulatora nije ograničen na ove dvije vrste.
Prije nekog vremena, u našem ciklusu "Mreže za najmlađe", prebacili smo se na GNS3 emulator koji je više odgovarao našim potrebama nego Cisco Packet Tracer.
Ali koje alternative imamo? O njima će govoriti Alexander aka Sinister, koji još nema račun na Habréu.
Postoji prilično velik broj simulatora i emulatora za opremu Cisco Systems. U ovom kratkom pregledu pokušat ću prikazati sve postojeće alate koji rješavaju ovaj problem. Informacije će biti korisne onima koji proučavaju mrežne tehnologije, pripremaju se za polaganje Cisco ispita, skupljaju police za rješavanje problema ili istražuju sigurnosna pitanja.
Malo terminologije.
Simulatori- oponašaju određeni skup naredbi, to je ušiveno i samo trebate ići dalje, odmah ćemo dobiti poruku o pogrešci. Klasičan primjer je Cisco Packet Tracer.
Emulatori naprotiv, oni vam omogućuju reprodukciju (prevođenje bajtova) slika (firmware) stvarnih uređaja, često bez vidljivih ograničenja. Primjer je GNS3/Dynamips.
Pogledajmo prvo Cisco Packet Tracer.
1. Cisco Packet Tracer
Ovaj simulator dostupan je i za Windows i za Linux, besplatan za studente Cisco mrežne akademije.
U 6. verziji postojale su stvari poput:
- iOS 15
- HWIC-2T i HWIC-8A moduli
- 3 nova uređaja (Cisco 1941, Cisco 2901, Cisco 2911)
- HSRP podrška
- IPv6 u postavkama krajnjih uređaja (stola).
Osjećaj je da je novo izdanje bilo upravo na vrijeme za ažuriranje CCNA ispita na verziju 2.0.
Njegove prednosti su jednostavnost i logika sučelja. Osim toga, zgodno je provjeriti rad raznih mrežnih usluga, kao što su DHCP / DNS / HTTP / SMTP / POP3 i NTP.
A jedna od najzanimljivijih značajki je mogućnost prebacivanja u način simulacije i gledanja kretanja paketa s vremenskom dilatacijom.
To me podsjetilo na isti Matrix.
- Gotovo sve što izlazi iz okvira CCNA ne može se prikupiti na njemu. Na primjer, EEM je potpuno odsutan.
- Također, ponekad se mogu pojaviti razni problemi koji se rješavaju samo ponovnim pokretanjem programa. STP protokol je posebno poznat po tome.
Što ćemo dobiti na kraju?
Dobar alat za one koji su tek započeli upoznavanje s Cisco opremom.
Sljedeći je GNS3, koji je GUI (u Qt-u) za dynamips emulator.
Besplatan projekt, dostupan za Linux, Windows i Mac OS X. Web stranica GNS projekta je www.gns3.net. Ali većina njegovih značajki za poboljšanje performansi radi samo pod Linuxom (ghost IOS, koji radi kada se koristi mnogo istog firmware-a), 64-bitna verzija također je samo za Linux. Trenutna verzija GNS-a u ovom trenutku je 0.8.5. Ovo je emulator koji radi s pravim iOS firmwareom. Da biste ga koristili, morate imati firmware. Recimo da ste kupili Cisco usmjerivač, možete ih izvući iz njega. Na njega možete povezati VirtualBox ili VMware Workstation virtualne strojeve i stvoriti prilično složene sheme, ako želite, možete ići dalje i pustiti ga u stvarnu mrežu. Osim toga, Dynamips može emulirati i stari Cisco PIX i ozloglašeni Cisco ASA, čak i verziju 8.4.
Ali uz sve to ima puno nedostataka.
Broj platformi je strogo ograničen: mogu se pokrenuti samo one šasije koje su osigurali dynamips programeri. Pokretanje verzije iOS 15 moguće je samo na platformi 7200. Nemoguće je u potpunosti koristiti Catalyst preklopnike, to je zbog činjenice da koriste veliki broj specifičnih integriranih sklopova, koje je stoga iznimno teško emulirati. Ostaje koristiti mrežne module (NM) za usmjerivače. Kada koristite veliki broj uređaja, performanse će zajamčeno opadati.
Što imamo u suhom ostatku?
Alat u kojem možete kreirati prilično složene topologije, pripremiti se za ispite na CCNP razini, uz određene rezerve.
3.Boson NetSim
Nekoliko riječi o Boson NetSim simulatoru koji je nedavno ažuriran na verziju 9.
Dostupno samo za Windows, cijena se kreće od 179 USD za CCNA do 349 USD za CCNP.
To je zbirka laboratorijskih radova, grupiranih po ispitnim temama.
Kao što možete vidjeti na snimkama zaslona, sučelje se sastoji od nekoliko odjeljaka: opis zadatka, mapa mreže, s lijeve strane nalazi se popis svih laboratorija. Kada završite, možete provjeriti rezultat i saznati je li sve učinjeno. Moguće je izraditi vlastite topologije, uz određena ograničenja.
Glavne značajke Boson NetSima:
- Podržava 42 usmjerivača, 6 preklopnika i 3 druga uređaja
- Simulira mrežni promet pomoću tehnologije virtualnih paketa
- Omogućuje dva različita stila pregledavanja: Telnet način ili način povezivanja s konzolom
- Podržava do 200 uređaja na jednoj topologiji
- Omogućuje vam stvaranje vlastitih laboratorija
- Uključuje laboratorije koji podržavaju SDM simulaciju
- Uključuje uređaje koji nisu Cisco kao što su TFTP poslužitelj, TACACS+ i generator paketa (ovo su vjerojatno ista 3 druga uređaja)
Ima iste nedostatke kao Packet Tracer.
Oni kojima nije žao određenog iznosa, a pritom ne žele razumjeti i stvarati vlastite topologije, već samo žele vježbati prije ispita, bit će od velike pomoći.
Službena web stranica je www.boson.com/netsim-cisco-network-simulator.
4.Cisco CSR
Sada razmislite o relativno nedavnom Cisco CSR-u.
Relativno nedavno pojavio se virtualni Cisco Cloud Service Router 1000V.
Dostupan je na službenoj web stranici Cisca.
Da biste preuzeli ovaj emulator, samo se registrirajte na web mjestu. Besplatno. Ugovor sa Ciscom nije potreban. Ovo je doista događaj, budući da se Cisco i prije na sve načine borio protiv emulatora i preporučivao samo iznajmljivanje opreme. Možete preuzeti, na primjer, OVA datoteku, koja je virtualni stroj, naizgled RedHat ili njegove izvedenice. Virtualni stroj učitava iso sliku svaki put kada se pokrene, unutar koje možete pronaći CSR1000V.BIN, što je stvarni firmware. Pa, Linux djeluje kao omotač - odnosno pretvarač poziva. Neki od zahtjeva navedenih na stranici su DRAM 4096 MB Flash 8192 MB. S današnjim kapacitetima to ne bi trebao biti problem. CSR se može koristiti u GNS3 topologijama ili u kombinaciji s Nexus virtualnim prekidačem.
CSR1000v implementiran je kao virtualni usmjerivač (kao Quagga, ali IOS iz Cisca), koji radi na hipervizoru kao klijentska instanca i pruža usluge običnog ASR1000 usmjerivača. To može biti nešto jednostavno poput osnovnog usmjeravanja ili NAT-a, pa sve do stvari kao što su VPN MPLS ili LISP. Kao rezultat toga, imamo gotovo punopravnog pružatelja usluga Cisco ASR 1000. Brzina rada je prilično dobra, radi u stvarnom vremenu.
Nije bilo bez nedostataka. Možete besplatno koristiti samo licencu za procjenu koja traje samo 60 dana. Osim toga, u ovom načinu rada propusnost je ograničena na 10, 25 ili 50 Mbps. Nakon isteka takve licence, brzina će pasti na 2,5 Mbps. Cijena licence za 1 godinu koštat će oko 1000 USD.
5.Cisco Nexus Titanium
Titanium je emulator operativnog sustava za Cisco Nexus preklopnike, koji se naziva i NX-OS. Nexusi su pozicionirani kao preklopnici za podatkovne centre.
Ovaj emulator kreirao je izravno Cisco, za internu upotrebu.
Slika Titaniuma 5.1.(2) izgrađenog na bazi VMware-a je prije nekog vremena dospjela u javnost. I nakon nekog vremena pojavio se Cisco Nexus 1000V, koji se sasvim legalno može kupiti zasebno ili kao dio izdanja Vmware vSphere Enterprise Plus. Može se vidjeti na web stranici - www.vmware.com/ru/products/cisco-nexus-1000V/
Savršeno za svakoga tko se priprema krenuti na stazu podatkovnog centra. Ima neke osobitosti - nakon uključivanja počinje proces pokretanja (kao u slučaju CSR-a, vidjet ćemo i Linux) i zaustavlja se. Čini se da je sve zaleđeno, ali nije. Veza s ovim emulatorom ostvaruje se putem imenovanih cijevi.
Imenovani kanal jedna je od metoda međuprocesne komunikacije. Postoje i na sustavima sličnim Unixu i na Windowsima. Za povezivanje, samo otvorite putty, primjerice, odaberite vrstu serijske veze i navedite \\.\pipe\vmwaredebug.
Koristeći GNS3 i QEMU (lagani OS emulator koji dolazi s GNS3 za Windows), možete izgraditi topologije koje će koristiti Nexus prekidače. I opet, ovaj virtualni prekidač možete pustiti u stvarnu mrežu.
6. Cisco IOU
I na kraju, poznati Cisco IOU (Cisco IOS na UNIX-u) je vlasnički softver koji se uopće službeno ne distribuira.
Postoji mišljenje da Cisco može pratiti i identificirati tko koristi IOU.
Prilikom pokretanja, poslužitelju xml.cisco.com pokušava se poslati HTTP POST zahtjev. Podaci koji se šalju uključuju naziv hosta, korisničko ime, verziju IOU-a itd.
Poznato je da Cisco TAC koristi IOU. Emulator je vrlo popularan među onima koji se pripremaju za CCIE. U početku je radio samo pod Solarisom, ali je s vremenom prebačen na Linux. Sastoji se od dva dijela - l2iou i l3iou, po nazivu možete pogoditi da prvi emulira sloj veze i preklopnike, a drugi - mrežu i usmjerivače.
Autorica web sučelja je Andrea Dainese. Njegova web stranica je www.routereroreflector.com/cisco/cisco-iou-web-interface/. Na samom mjestu nema IOU-a niti firmwarea, štoviše, autor navodi da je web sučelje kreirano za osobe koje imaju pravo korištenja IOU-a.
I mali rezime za kraj.
Kako se pokazalo, trenutno postoji prilično širok raspon emulatora i simulatora Cisco opreme. To vam omogućuje gotovo potpunu pripremu za ispite različitih staza (klasični R/S, pružatelj usluga, pa čak i podatkovni centar). Uz određeni napor, možete prikupiti i testirati razne topologije, provesti istraživanje ranjivosti i, ako je potrebno, pustiti emuliranu opremu u stvarnu mrežu.