ProHoster > Блог > Maamulka > Sida loo xakameeyo kaabayaasha shabakadaada. Cutubka saddexaad. Amniga shabakada Qaybta koowaad

Sida loo xakameeyo kaabayaasha shabakadaada. Cutubka saddexaad. Amniga shabakada Qaybta koowaad

Maqaalkani waa kii saddexaad ee taxane maqaallo ah "Sida Loo Xakameeyo Kaabayaasha Shabakaddaada." Waxa ku jira dhammaan maqaallada taxanaha ah iyo xiriiriyeyaasha waa la heli karaa halkan.

Sida loo xakameeyo kaabayaasha shabakadaada. Cutubka saddexaad. Amniga shabakada Qaybta koowaad

Ma jirto wax macno ah in laga hadlo gabi ahaanba baabi'inta khataraha amniga. Mabda 'ahaan, ma dhimi karno iyaga oo eber ah. Waxaan sidoo kale u baahannahay inaan fahamno in marka aan ku dadaalno inaan ka dhigno shabakad aad iyo aad u badan, xalalkeena waxay noqonayaan kuwo qaali ah oo qaali ah. Waxaad u baahan tahay inaad hesho is-dhaafsi u dhexeeya kharashka, kakanaanta, iyo amniga taasoo macno u samaynaysa shabakadaada.

Dabcan, naqshadeynta amniga ayaa si dabiici ah loogu dhex daray dhismaha guud iyo xalalka amniga ee la isticmaalay waxay saameeyaan miisaanka, kalsoonida, maareynta, ... kaabayaasha shabakada, taas oo sidoo kale ah in la tixgeliyo.

Laakiin aan ku xasuusiyo in hadda aan laga hadlin samaynta shabakad. Sida ay noo sheegeen shuruudaha bilowga ah waxaan horey u dooranay naqshadeynta, xulashada qalabka, iyo abuurista kaabayaasha, iyo marxaladdan, haddii ay suurtogal tahay, waa in aan "noolaan" oo aan xal u helno habka hore ee la doortay.

Hawsheenu hadda waa in aan ogaano khataraha la xidhiidha amniga ee heerka shabakada oo aan hoos u dhigno heer macquul ah.

Hantidhawrka amniga shabakada

Haddii ururkaagu uu hirgeliyay hababka ISO 27k, markaa xisaabinta amniga iyo isbeddelada shabakadu waa inay si aan kala go 'lahayn ugu habboonaadaan geeddi-socodka guud ee habkan. Laakiin heerarkani wali maaha kuwo ku saabsan xalal gaar ah, maaha kuwo ku saabsan qaabeynta, maaha naqshadeynta ... Ma jiraan talo-bixin cad, ma jiraan wax heerar ah oo si faahfaahsan u qeexaya sida shabakadaadu u egtahay, tani waa kakanaanta iyo quruxda hawshan.

Waxaan iftiimin lahaa dhawr xisaab hubin oo amniga shabakada ah:

  • Xisaabinta habaynta qalabka (adkeynta)
  • Hantidhawrka naqshadaynta amniga
  • hantidhawrka gelitaanka
  • hab xisaabeedka

Xisaabinta qaabeynta qalabka (adkeynta)

Waxay u muuqataa in inta badan kiisaska tani ay tahay meesha ugu fiican ee laga bilaabo xisaabinta iyo hagaajinta amniga shabakadaada. IMHO, tani waa muujinta wanaagsan ee sharciga Pareto (20% dadaalku wuxuu soo saaraa 80% natiijada, 80% ee soo hadhayna wuxuu soo saaraa 20% natiijada).

Xariiqda hoose ayaa ah in aan inta badan ka hayno talooyinka iibiyeyaasha ee ku saabsan "dhaqannada ugu wanaagsan" ee amniga marka la habeynayo qalabka. Tan waxaa loo yaqaan "adkeysi".

Waxa kale oo aad inta badan heli kartaa xog-ururinta (ama mid laftaada u abuurto) iyada oo ku saleysan talooyinkan, taas oo kaa caawin doonta inaad go'aamiso sida ugu wanaagsan ee qaabaynta qalabkaagu u hoggaansamo "dhaqannada ugu wanaagsan" iyo, si waafaqsan natiijada, isbeddel ku samee shabakadaada . Tani waxay kuu ogolaanaysaa inaad si fudud u yarayso khataraha amniga, kharash la'aan.

Tusaalooyin dhowr ah oo loogu talagalay nidaamyada hawlgalka Cisco qaarkood.

Adkeynta Habaynta Cisco IOS
Adkeynta Isku xirka Cisco IOS-XR
Adkeynta Habaynta Cisco NX-OS
Liiska Hubinta Ammaanka Saldhigga Cisco

Iyada oo ku saleysan dukumentiyadan, liiska shuruudaha qaabeynta ee nooc kasta oo qalab ah ayaa la abuuri karaa. Tusaale ahaan, Cisco N7K VDC shuruudahan waxay u ekaan karaan sidaas darteed.

Sidan, faylasha qaabeynta ayaa loo abuuri karaa noocyo kala duwan oo qalab firfircoon ah oo ka mid ah kaabayaasha shabakadaada. Marka xigta, gacanta ama adoo isticmaalaya otomaatig ah, waxaad "dararsan kartaa" faylasha qaabeynta. Sida loo habeeyo habkan waxa si tafatiran looga hadli doonaa maqaallo kale oo taxane ah oo ku saabsan habsocodka iyo otomaatiga.

Hantidhawrka naqshadaynta amniga

Caadi ahaan, shabakada ganacsigu waxay ka kooban tahay qaybaha soo socda hal qaab ama mid kale:

  • DC (Adeegyada Dadweynaha DMZ iyo Xarunta xogta Intranetka)
  • helitaanka Internet
  • Helitaanka fog ee VPN
  • gees WAN
  • Laanta
  • Campus (Xafiiska)
  • Core

Ciwaanka laga soo qaatay Cisco SAFE model, laakiin looma baahna, dabcan, in si sax ah loogu dhejiyo magacyadan iyo qaabkan. Sidaas oo ay tahay, waxaan rabaa in aan nuxurka ka hadlo oo aanan ku milmin hab-raacyada.

Mid kasta oo ka mid ah qaybahan, shuruudaha amniga, khatarta iyo, sidaas awgeed, xalalku way ka duwanaan doonaan.

Aynu mid kasta si gaar ah u eegno dhibaatooyinka aad kala kulmi karto dhinaca nashqadeynta amniga. Dabcan, waxaan mar kale ku celinayaa in sinaba maqaalkani aanu iskaga dhigin mid dhammaystiran, taas oo aan fududayn (haddii aanay suurtogal ahayn) in lagu gaadho mawduucan qoto dheer oo dhinacyo badan leh, balse waxay ka tarjumaysaa waayo-aragnimadayda shakhsi ahaaneed.

Ma jiro xal qumman (ugu yaraan weli). Had iyo jeer waa tanaasul. Laakiin waxaa muhiim ah in go'aanka isticmaalka hal hab ama mid kale uu ahaado mid miyir leh, iyada oo la fahmayo faa'iidooyinka iyo khasaaraha labadaba.

Xarunta Macluumaadka

Qeybta ugu xasaasisan marka laga eego dhanka amniga.
Iyo, sida caadiga ah, ma jiro xal caalami ah halkan midkoodna. Dhammaan waxay si weyn ugu xiran yihiin shuruudaha shabakadda.

Dab-damisku ma loo baahan yahay mise maaha?

Waxay u ekaan kartaa in jawaabtu ay iska caddahay, laakiin wax walba ma cadda sida ay u muuqan karto. Doorashadaadana ma saameyn karto oo keliya qiimaha.

Tusaale 1. Dib u dhac

Haddii daahitaanka hooseeya uu yahay shuruud lagama maarmaan ah oo u dhaxaysa qaybaha shabakadaha qaarkood, taas oo ah, tusaale ahaan, run marka la eego is-weydaarsiga, markaa ma awoodi doono inaan isticmaalo dabka u dhexeeya qaybahan. Way adag tahay in la helo daraasado ku saabsan daahitaanka dab-damiska, laakiin dhowr nooc oo beddel ah ayaa bixin kara daahitaan ka yar ama amarka 1 mksec, markaa waxaan u maleynayaa haddii microseconds ay muhiim kuu yihiin, markaa dab-damisku adiga maaha.

Tusaale 2. Waxqabadka.

Soo saarida dareemaha sare ee L3 badanaa waa amar ka sarreeya soo saarida dab-damiska ugu awoodda badan. Sidaa darteed, xaaladda gaadiidka xoogga badan, waxaad sidoo kale u badan tahay inaad u ogolaato taraafikadan inay dhaafto dabka.

Tusaale 3. Kalsooni

Dab-damiska, gaar ahaan NGFW casriga ah (Jiilka Xiga FW) waa aalado adag. Aad bay uga adag yihiin shixnadaha L3/L2. Waxay bixiyaan tiro badan oo adeegyo ah iyo xulasho qaabeynta, sidaas darteed maahan wax la yaab leh in isku halaynta ay aad uga hooseeyaan. Haddii sii wadida adeeggu ay muhiim u tahay shabakada, markaas waxaa laga yaabaa inaad dooratid waxa u horseedi doona helitaan wanaagsan - badbaadada dab-damiska ama fududaynta shabakad lagu dhisay furayaasha (ama noocyo kala duwan oo dhar ah) adoo isticmaalaya ACL-yada caadiga ah.

Xaaladda tusaalayaasha sare, waxay u badan tahay (sida caadiga ah) inaad hesho tanaasul. U fiirso xalalka soo socda:

  • Haddii aad go'aansato inaadan isticmaalin dab-damiska gudaha xarunta xogta, markaa waxaad u baahan tahay inaad ka fikirto sida loo xaddido gelitaanka hareeraha hareeraha intii suurtagal ah. Tusaale ahaan, waxaad ka furi kartaa oo kaliya dekedaha lagama maarmaanka ah ee internetka (taraafikada macaamiisha) iyo helitaanka maamulka ee xarunta xogta oo kaliya laga bilaabo martigeliyayaasha boodada. Markaad booddo martida, samee dhammaan jeegaga lagama maarmaanka ah (xaqiijinta/oggolaanshaha, fayraska, gaynta, ...)
  • waxaad isticmaali kartaa qayb macquul ah oo ka mid ah shabakada xarunta xogta qaybo, oo la mid ah nidaamka lagu sifeeyay PSEFABRIC tusaale p002. Xaaladdan oo kale, dariiqa marintu waa in loo habeeyaa si dib-u-dhac xasaasi ah ama taraafikada xooggani ay u gasho "gudahood" hal qayb (haddii p002, VRF) oo aan soo marin dab-damiska. Gaadiidka u dhexeeya qaybo kala duwan ayaa sii socon doona si ay u sii maraan dabka. Waxa kale oo aad isticmaali kartaa dariiqa qulqulaya ee u dhexeeya VRF-yada si aad uga fogaato in taraafikada lagu wareejiyo dabka
  • Waxa kale oo aad u isticmaali kartaa firewall qaab hufan oo kaliya kuwa VLAN-yada ah halka arrimahan (daahitaanka/waxqabadka) aanay muhiim ahayn. Laakiin waxaad u baahan tahay inaad si taxadar leh u barato xayiraadaha la xidhiidha isticmaalka qaabkan iibiye kasta
  • Waxaa laga yaabaa inaad rabto inaad tixgeliso isticmaalka qaab dhismeedka silsiladda adeegga. Tani waxay u ogolaan doontaa kaliya taraafik lagama maarmaanka ah inay dhex maraan dabka. Waxay u muuqataa mid wanaagsan aragti ahaan, laakiin waligay ma arag xalkan wax soo saarka. Waxaan tijaabinay silsiladda adeegga ee Cisco ACI / Juniper SRX / F5 LTM qiyaastii 3 sano ka hor, laakiin wakhtigaas xalkani wuxuu noogu muuqday "mid aan cayriin".

Heerka ilaalinta

Hadda waxaad u baahan tahay inaad ka jawaabto su'aasha ah qalabka aad rabto inaad isticmaasho si aad u shaandhayso taraafikada. Waa kuwan qaar ka mid ah sifooyinka inta badan ka jira NGFW (tusaale ahaan, halkan):

  • Dab-damis dawladeed (default)
  • firewalling codsiga
  • ka hortagga khatarta ah (anti-virus, anti-spyware, iyo nuglaanta)
  • shaandhaynta URL
  • shaandhaynta xogta (content filter)
  • xannibista faylka (noocyada faylka oo xannibaya)
  • ka ilaalinta

Wax walbana ma cadda. Waxay u egtahay in heerka sare ee ilaalinta, ay ka sii fiicnaan doonto. Laakiin sidoo kale waxaad u baahan tahay inaad taas tixgeliso

  • Inta badan shaqooyinka dab-damiska sare ee aad isticmaashid, waa qaali qaali ahaan waxay ahaan doontaa ( shatiyo, qaybo dheeri ah)
  • Isticmaalka algorithms-yada qaarkood waxay si weyn u yareeyn kartaa wax-soo-saarka dab-damiska iyo sidoo kale kordhinta dib-u-dhacyada, eeg tusaale ahaan halkan
  • Sida xal kasta oo adag, isticmaalka hababka ilaalinta adag waxay yarayn kartaa isku halaynta xalkaaga, tusaale ahaan, marka la isticmaalayo firewalling codsiga, waxaan la kulmay xannibaadda qaar ka mid ah codsiyada shaqada caadiga ah (dns, smb)

Sida had iyo jeer, waxaad u baahan tahay inaad hesho xalka ugu fiican shabakadaada.

Suuragal maaha in si dhab ah looga jawaabo su'aasha ah waxa loo baahan karo ilaalinta hawlaha. Marka hore, sababtoo ah dabcan waxay kuxirantahay xogta aad gudbinayso ama kaydinayso oo aad isku dayayso inaad ilaaliso. Marka labaad, xaqiiqda, inta badan xulashada qalabka amniga waa arrin iimaan iyo kalsooni lagu qabo iibiyaha. Ma garanaysid algorithms-yada, ma ogid sida ay waxtar u leeyihiin, oo si buuxda uma tijaabin kartid.

Sidaa darteed, qaybaha muhiimka ah, xalka wanaagsan wuxuu noqon karaa in la isticmaalo dalabyada shirkado kala duwan. Tusaale ahaan, waxaad awood u siin kartaa fayraska ka hortagga fayraska, laakiin sidoo kale waxaad isticmaashaa ilaalinta fayraska (ka soo saaraha kale) gudaha gudaha martida loo yahay.

Qaybinta

Waxaan ka hadlaynaa qaybta macquulka ah ee shabakadda xarunta xogta. Tusaale ahaan, u qaybinta VLAN-yada iyo shabakadaha hoose sidoo kale waa qayb macquul ah, laakiin ma tixgelin doono sababtoo ah caddaynteeda. Qeybaha xiisaha leh iyadoo la tixgalinayo hay'adaha sida aagagga amniga FW, VRFs (iyo analoogyadooda ee la xiriira iibiyeyaasha kala duwan), aaladaha macquulka ah (PA VSYS, Cisco N7K VDC, Cisco ACI Tenant, ...), ...

Tusaalaha qaybta macquulka ah ee noocaas ah iyo naqshadaynta xarunta xogta hadda ee baahida ayaa lagu bixiyaa p002 ee mashruuca PSEFABRIC.

Markaad qeexday qaybaha macquulka ah ee shabakadaada, waxaad markaa sharaxi kartaa sida taraafikada u dhexeeyo qaybaha kala duwan, qalabka shaandhaynta lagu samayn doono iyo macnaha.

Haddii shabakadaadu aysan lahayn qayb macquul ah oo cad iyo sharciyada lagu dabaqo siyaasadaha amniga ee socodka xogta kala duwan aan la rasmi ahayn, tani waxay ka dhigan tahay marka aad furto tan ama taas galitaanka, waxaa lagugu qasbay inaad xalliso dhibaatadan, iyo suurtogalnimada sare. mar walba si ka duwan ayuu u xalin doonaa.

Inta badan kala qaybintu waxay ku salaysan tahay oo keliya aagagga ammaanka FW. Markaa waxaad u baahan tahay inaad ka jawaabto su'aalaha soo socda:

  • waa maxay aagagga ammaanka aad u baahan tahay
  • Ilaa heerkee ayaad rabtaa inaad ka codsato mid kasta oo ka mid ah aagaggaan
  • ma loo ogolaan doonaa taraafikada aagga gudaha si caadi ah?
  • haddii kale, waa maxay siyaasadaha shaandhaynta taraafikada ee lagu dabaqi doono aag kasta
  • waa maxay siyaasadaha shaandhaynta taraafikada ee lagu dabaqi doono lamaane kasta

TCAM

Dhibaatada caadiga ah ayaa ah TCAM oo aan ku filnayn (Xusuusinta Mawduucyada Ternary Addressable), labadaba xagga marinka iyo marin u helidda. IMHO, tani waa mid ka mid ah arrimaha ugu muhiimsan marka aad dooranayso qalabka, markaa waxaad u baahan tahay inaad arrintan ku daaweyso heerka daryeelka ku habboon.

Tusaale 1. Gudbinta Miiska TCAM.

Bal aynu eegno Palo Alto 7k firewall
Waxaan aragnaa in cabbirka miiska gudbinta ee IPv4* = 32K
Intaa waxaa dheer, tiradan waddooyinka ayaa ah mid caadi u ah dhammaan VSYS-yada.

Aynu ka soo qaadno in iyadoo la raacayo naqshaddaada aad go'aansatay inaad isticmaasho 4 VSYS.
Mid kasta oo ka mid ah VSYS-yadan waxay ku xidhan tahay BGP laba MPLS PEs oo daruur ah oo aad u isticmaasho BB ahaan. Haddaba, 4 VSYS waxay isweydaarsadaan dhammaan dariiqyada gaarka ah waxayna leeyihiin miis gudbin ah oo leh qiyaas isku mid ah (laakiin NH-yada kala duwan). Sababtoo ah VSYS kastaa waxay leedahay 2 kulan oo BGP ah (oo leh isla jaangooyo isku mid ah), dabadeed dariiq kasta oo lagu helo MPLS wuxuu leeyahay 2 NH iyo, sidaas awgeed, 2 FIB oo galmood ah oo ku jira miiska gudbinta. Haddii aan ka soo qaadno in kani yahay firewallka kaliya ee ku yaala xarunta xogta oo ay tahay inuu ogaado dhammaan waddooyinka, markaa tani waxay ka dhigan tahay in tirada guud ee dariiqyada xarunta xogtayadu aysan ka badnaan karin 32K/(4 * 2) = 4K.

Hadda, haddii aan u maleyno inaan haysano 2 xarumood oo xog ah (oo leh naqshad isku mid ah), oo aan rabno inaan isticmaalno VLAN-yada "la fidsan" inta u dhaxaysa xarumaha xogta (tusaale ahaan, vMotion), ka dib si loo xalliyo dhibaatada dariiqa, waa inaan isticmaalnaa waddooyinka martida loo yahay. . Laakiin tani waxay ka dhigan tahay in xarumaha xogta 2 aynaan lahaan doonin wax ka badan 4096 martigeliyayaal suurtagal ah, dabcan, tani kuma filna.

Tusaale 2. ACL TCAM.

Haddii aad qorsheyneyso inaad ku shaandhayso taraafikada furayaasha L3 (ama xalalka kale ee isticmaala L3 furayaasha, tusaale ahaan, Cisco ACI), markaa markaad dooranayso qalabka waa inaad fiiro gaar ah u yeelataa TCAM ACL.

Ka soo qaad in aad rabto in aad xakamayso gelitaanka SVI interfaces ee Cisco Catalyst 4500. Markaa, sida laga arki karo maqaalkan, si loo xakameeyo taraafikada baxaysa (iyo sidoo kale kuwa soo galaya) ee isdhexgalka, waxaad isticmaali kartaa kaliya 4096 khadadka TCAM. Kaas oo marka la isticmaalayo TCAM3 uu ku siin doono ilaa 4000 kun oo ACE ( khadadka ACL).

Haddii aad la kulanto dhibaatada TCAM ku filan, markaa, marka hore, dabcan, waxaad u baahan tahay inaad tixgeliso suurtogalnimada hagaajinta. Markaa, haddii ay dhacdo dhibaato xagga cabbirka miiska gudbinta, waxaad u baahan tahay inaad tixgeliso suurtagalnimada isku-darka waddooyinka. Haddii ay dhacdo dhibaato xagga cabbirka TCAM ee gelitaanka, helitaanka hanti-dhawrka, ka saar diiwaannada duugoobay iyo kuwa is-dul-saaran, iyo suurtogalnimada in dib-u-eegis lagu sameeyo habka furitaanka gelitaanka (waxaa si faahfaahsan looga hadli doonaa cutubka gelitaanka hanti-dhawrka).

Helitaanka Habboonaanta

Su'aashu waxay tahay: Miyaan u isticmaalaa HA ee dab-damiska ama ku rakibaa laba sanduuq oo madax-bannaan "is barbar socda" iyo, haddii mid iyaga ka mid ah uu ku guuldareysto, jidka labaad ee taraafikada?

Waxay u egtahay in jawaabtu ay caddahay - isticmaal HA. Sababta ay su'aashani wali u soo baxayso ayaa ah, nasiib daro, aragtida iyo xayaysiinta 99 iyo dhawr jajab tobanle ee helitaanku ficil ahaan waxay noqdeen kuwo aad uga fog casaan. HA si macquul ah waa shay adag, iyo qalab kala duwan, iyo iibiyeyaal kala duwan (ma jirin wax ka reeban), waxaan qabanay dhibaatooyin iyo cayayaan iyo joogsiga adeegga.

Haddii aad isticmaasho HA, waxaad heli doontaa fursad aad ku damiso qanjidhada shakhsi ahaaneed, u kala beddelo iyaga oo aan joojin adeegga, taas oo muhiim ah, tusaale ahaan, markaad hagaajinayso, laakiin isla mar ahaantaana waxaad ka fog tahay suurtogalnimada eber ee labada noodu. isla mar ahaantaana jebin doona, iyo sidoo kale in soo socda casriyeyntu ma socon doonto si habsami leh sida uu ballanqaaday iibiyuhu (dhibaatada waa laga fogaan karaa haddii aad fursad u leedahay inaad tijaabiso casriyeynta qalabka shaybaarka).

Haddii aadan isticmaalin HA, ka dib marka laga eego aragtida guuldarada labanlaab ah khatarahaagu aad bay u hooseeyaan (maadaama aad leedahay 2 dab-damis oo madaxbannaan), laakiin tan iyo ... Fadhiyada lama wada shaqayn, markaas mar kasta oo aad u kala beddesho dab-damisyadan waxaad lumin doontaa isu socodka. Dabcan, waxaad isticmaali kartaa dab-damis aan waddan lahayn, laakiin markaa barta isticmaalka dab-damiska ayaa inta badan lumaya.

Sidaa darteed, haddii natiijada hanti-dhowrka awgeed aad heshay dab-damis cidla ah, oo aad ka fekereyso inaad kordhiso kalsoonida shabakadaada, markaa HA, dabcan, waa mid ka mid ah xalalka lagu taliyey, laakiin sidoo kale waa inaad tixgelisaa khasaarooyinka la xidhiidha. Habkan iyo, laga yaabee, gaar ahaan shabakadaada, xal kale ayaa ku haboonaan lahaa.

Maareynta

Mabda 'ahaan, HA waxay sidoo kale ku saabsan tahay xakamaynta. Halkii aad si gooni ah u habayn lahayd sanduuqyada 2 oo aad wax uga qaban lahayd dhibaatada ku haynta qaabaynta isku xidhka, waxaad u maaraysaa wax badan sida haddii aad haysato hal qalab.

Laakiin waxaa laga yaabaa inaad leedahay xarumo xog badan iyo dab-damisyo badan, markaa su'aashani waxay soo baxdaa heer cusub. Su'aashuna maaha oo kaliya qaabeynta, laakiin sidoo kale waxay ku saabsan tahay

  • habaynta kaydinta
  • updates
  • casriyaynta
  • la socodka
  • goynta

Oo waxaas oo dhan waxaa lagu xallin karaa by hababka maamulka dhexe.

Marka, tusaale ahaan, haddii aad isticmaalayso Palo Alto firewalls, markaa Panorama waa sida xal.

In la sii wado.

Source: www.habr.com

Add a comment