Nets – Weril

Network: общее о SD-WAN и Cisco SD-WAN

SD-WAN

Cisco SD-WAN
VMware SD-WAN
Kaspersky SD-WAN
Bi.zone SD-WAN
low touch provisioning cisco ngfw/ftd в статье про ngfw/ftd
Богатка и Клещ🤣

Форти SD-WAN очень похоже на решение для пивной палатки 🤣

Заметки по результату изучения SD-WAN Cisco на базе множества открытых источников.

Читать дальше

Network: capacity planning, среднее потребление трафика в крупной сети (throughput, CC, CPS); количество правил NGFW/firewall/ACL

(google malt/autorepair, будущее после SNMP, ZTP, Capacity planning) Библиотека полезных статей от research Google:

Ruleset size, ACL size, policy size

В среднем у заказчиков до 10 тыс.

Network: ntttcp

(iperf/ntttcp) Microsoft не рукомендует использование iperf3 на Windows в пользу использования ntttcp (в первую очередь)/ctstraffic – iperf3 оффициально на винде не поддерживается (в отличии от второй версии), он обычно использует прослойку в виде cygwin и нестандартные вызовы сетевого стека – первое может накладывать задержку, второе не эмулирует реальные приложения.

Network Security: L2 (switching) security

Layer 2 attacks

Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.

Disrupt the bottom of the wall and the top is disrupted too.

Рекомендация/технология и от чего защищает:

Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
Configure access ports as access ports – DTP attacks
Limit mac addresses by port security – CAM attacks, mac spoofing

BPDU guard/root guard – STP topology (DOS, MITM attacks)

Disable CDP/LLDP – reconnaissance attacks

Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

DAI – arp spoofing attacks, rate limit

IPSG – ip spoofing attacks
Storm control – flood/DOS attacks
802.1x – authentication before access to network
ACL – control by policy

RFC, IETF (о самих документах)

Есть даже RFC 1796, которая говорит, что не каждый RFC является стандартом!

https://tools.ietf.org/html/rfc1796
https://en.m.wikipedia.org/wiki/Request_for_Comments

Not all RFCs are standards.^[20][21]Each RFC is assigned a designation with regard to status within the Internet standardization process. This status is one of the following: Informational, Experimental, Best Current Practice, Standards Track, or Historic.

Coding/Network: Программирование для сетевых инженеров, сетевая автоматизация (devnet, netdevops, netops); ZTP

Про системы конфигурации отдельная статья – CMS
Про NMS отдельная статья – NMS
(devnet, CMS annet) Нужно общаться с пользователям очень плотно если вы автоматизируете из работу – собирать требования/фидбеки, реагировать
(devnet, автоматизация) Опрос на habr.

Как Вы управляете конфигурацией?

Cisco SOHO: Cisco Small Business RV Series Routers (RV1xx, RV3xx)

О серии роутеров на сайте самой Cisco.

Крайне функциональный и простой в настройке роутер от Cisco (на основе обзора Cisco RV340). Цена всего 20к рублей.
Поддерживает 4 WAN аплинка
- 2 WAN аплинка в виде линков 1G
- 2 WAN аплинка в виде USB модемов
С меткой P – устройства с поддержкой PoE (удобно для камер/AP)
С меткой W – модель с Wi-FI 802.11 ac

Поддерживает множество серверов VPN, подключение возможно со стандартными VPN клиентами (не только any connect).

Network: Proxy (direct/redirection, transparent), SQUID

Про Security: Cisco IronPort AsyncOS based solutions (WSA, ESA) – Web & Email security отдельная статья.

Анализ рынка proxy и два

Microsoft Tmg ((Microsoft Forefront Threat Management Gateway proxy сервер)) очень даже был, и ssl инспектировал и категории url были и NIS была и ra был и reverse proxy.

Network: VMware SD-WAN

SD-WAN

Материалы

АйТиБорода “Ни единого разрыва” VMware SD-WAN
Презентация

VMware SD-WAN (VeloCloud) – топ в Magic Quadrant 2020 Wan EDGE (SD-WAN), далее уже Fortinet, Cisco, etc.

Сценарий – любые филиалы, проблемные или не проблемные, требующие надежные/особые сервисы (офисы банков, страховых компаний, медицинские и проч).

Network: SDN (Cisco ACI, Cisco DNA, Open/Juniper Contrail, openflow)

SDN – Software Defined Networking

О Juniper contrail
openflow – по сути с контроллера на ноды транслируется набор правил match-action, где в качестве action может быть pass_to/drop/mirror/etc (по сути ACL c действиями)
Tungsten: vrouter на базе dpdk.
- You can try run vrouter with dpdk.