Построение сетей CISCO с нуля. Часть 2. Модуль 4
Автор: IT DarkMaycal Sysadmins
Часть II.
Модуль IV. Remote Access VPNs и мониторинг сети.
В отличии от предыдущих модулей, которые были больше теоретические, чем практические, этот модуль будет иметь исключительно практический уклон. В этот раз, мы не будем так глубоко погружаться в принципы работы технологий на уровне стандартов RFC, а уделим внимание именно практической реализации изучаемых в этом модуле технологий, их практическому применению в корпоративной сети. Конфигурация, конфигурация и еще раз конфигурация!
Описание
В этом модуле, мы будем изучать Remote Access VPN. Основные технологии для организации подобных соединений, носят названия Cisco Easy, и SSL VPN. Это технологии, при которых на компьютер или смартфон удаленных сотрудников устанавливается специализированное ПО, позволяющее им подключаться к корпоративной сети из любой точки планеты. В отличии от простого RDP, когда удаленное подключение как правило осуществляется только к одному конкретному серверу, и при этом оно не защищено, технологии Remote Access, позволяют сотрудникам работающим дома или в кафе, получить либо частичный, либо полный доступ как к головной, так и к филиальной сети, при этом весь их обмен будет зашифрован.
Аутентификация и, что важнее, авторизация пользователей будет осуществляться посредством Radius сервера, развернутого на Windows Server. Когда удаленный сотрудник, посредством специализированного приложения, будет подключаться к корпоративной сети, Edge роутер будет посылать запрос на Radius сервер. Radius сервер вернет Edge роутеру информацию об уровне привилегии пользователя. Кому-то будет разрешен доступ только к серверам, кому-то только в определенные VLAN, кому-то к филиалу, а кому-то будет предоставлен полный, не ограниченный доступ. При этом Radius сервер будет вести аудит. Администратор всегда будет знать кто, когда и к каким сетевым ресурсам получал доступ. Мы будем создавать нескольких пользователей и на практике делать все то, о чем я только что рассказал.
Особый интерес представляет технология SSL VPN. Во первых, наилучшим образом с этой технологией справляется Cisco ASA. Именно ASA будет терминировать на себе подключения удаленных пользователей, и именно с этим устройством нам предстоит серьезная работа. Во вторых, принципы туннелирования в SSL VPN, значительно отличаются от общепринятых принципов туннелирования, которые известны нам по технологиям GRE и IPsec. Эти отличия, обеспечивают дополнительные преимущества, которые невозможно получить в рамках стандартного IPsec.
Вторая половина модуля будет посвящена мониторингу сети. Программное обеспеченье для мониторинга, установленное на Windows сервер, будет опрашивать по протоколу SNMP каждое устройство. В результате, система мониторинга будет выводить подробные отчеты, таблицы и графики по работе каждого коммутатора, маршрутизатора, IPS или ASA. Будет присутствовать возможность отслеживать степень загрузки интерфейсов, использование оперативной памяти и загрузку CPU на каждом устройстве. Это позволит Вам полностью контролировать работу сети. Вы будите знать, какое устройство в настоящий момент перегружено и в случае необходимости сможете принять меры, например заменить оборудование на более производительное, или же направить поток трафика через другой сетевой участок посредством управления протоколами динамической маршрутизации.
Дополнительно изучаемая технология NetFlow позволит отслеживать весь проходящий трафик. Если Вы обнаружите неоптимальный расход интернет-трафика, Вы сможете узнать, какой конкретно сотрудник нерационально расходует Интернет-трафик предприятия через ту же центральную систему мониторинга.
ВНИМАНИЕ!
Прошу обратить внимание на конечную цену.
Цена за курс: 3 620р. + комиссия
Цена за обход защиты: 6 500 р.
Ссылка на курс
http://www.darkmaycal-it.ru/cisco/index.html