Network: общее о SD-WAN и Cisco SD-WAN

SD-WAN

 

Заметки по результату изучения SD-WAN Cisco на базе множества открытых источников.

Источники информации (изучил полностью)


Читать дальше

Network: capacity planning, среднее потребление трафика в крупной сети (throughput, CC, CPS); количество правил NGFW/firewall/ACL

Ruleset size, ACL size, policy size

  • У некоторых заказчиков по 10 тыс. и больше правил (25К – реальные пример, пример Батранкова с 80К – он видел максимум, личные примеры общения с оч крупным заказчиком «до десятков тысяч на периметре, до сотни тысяч в ДЦ»); но по факту тут нужен зачастую уже функционал оптимизации правил в продукте, скорей всего большая часть правил ненужная
  • Потребность в большом количестве правил есть и будет, поэтому многие вендоры реализовали так или иначе быстрый поиск по множеству правил, зачастую с ростом количества правил производительность или не деградирует или деградирует минимально
    • YaNet – Yandex NexHop 2021-2022 https://github.com/yanet-platform/yanet?tab=readme-ov-file


Читать дальше

Network: ntttcp

В целом утилита возможна для получения “пристрелочных” результатов как замена iperf – генерирует raw TCP/UDP трафик (не HTTP) с преднастроенным payload (AAA…) по указанному количеству потоков между серверной и клиентской частью.

Сотрудники Microsoft авторы утилиты и MS именно ее рекомендует использовать для throughput тестирования в Azure.

Читать дальше

Network Security: L2 (switching) security

Layer 2 attacks
Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.
Disrupt the bottom of the wall and the top is disrupted too.
Рекомендация/технология и от чего защищает:
  • Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
  • Configure access ports as access ports – DTP attacks
  • Limit mac addresses by port security – CAM attacks, mac spoofing

  • BPDU guard/root guard – STP topology (DOS, MITM attacks)

  • Disable CDP/LLDP – reconnaissance attacks

  • Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
  • DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

  • DAI – arp spoofing attacks, rate limit

 

  • IPSG – ip spoofing attacks
  • Storm control – flood/DOS attacks
  • 802.1x – authentication before access to network
  • ACL – control by policy


Читать дальше

RFC, IETF (о самих документах)

Есть даже RFC 1796, которая говорит, что не каждый RFC является стандартом!
https://tools.ietf.org/html/rfc1796
https://en.m.wikipedia.org/wiki/Request_for_Comments

Not all RFCs are standards.[20][21]Each RFC is assigned a designation with regard to status within the Internet standardization process. This status is one of the following: InformationalExperimentalBest Current PracticeStandards Track, or Historic.


Читать дальше

Coding/Network: Программирование для сетевых инженеров, сетевая автоматизация (devnet, netdevops, netops)

  • Местами информация взята из собственного достаточно богатого опыта, местами из статьи habr и подкастов linkmeup
  • `Автоматизация позволяет допускать меньше ошибок за счет учета алгоритмами типовых вещей, с другой стороны, если в самой автоматизации будет допущена ошибка, масштаб этой ошибки может быть очень глобальным (на моей памяти были примеры массовых окирпичиваний :)) – поэтому скорость деплоя зачастую не так важна при работе с сетевыми устройствами (в том числе поэтому от использования cli интерфейса для автоматизации не слишком страдают) и администраторы кучу раз перестраховываются перед массовым деплоем в прод, в том числе разнося изменения по времени.


Читать дальше

Cisco SOHO: Cisco Small Business RV Series Routers (RV1xx, RV3xx)

О серии роутеров на сайте самой Cisco.

  • Крайне функциональный и простой в настройке роутер от Cisco (на основе обзора Cisco RV340). Цена всего 20к рублей.
  • Поддерживает 4 WAN аплинка
    • 2 WAN аплинка в виде линков 1G
    • 2 WAN аплинка в виде USB модемов
  • С меткой P – устройства с поддержкой PoE (удобно для камер/AP)
  • С меткой W – модель с Wi-FI 802.11 ac

  • Поддерживает множество серверов VPN, подключение возможно со стандартными VPN клиентами (не только any connect).


Читать дальше

Network: Proxy (direct/redirection, transparent), SQUID

Про Security: Cisco IronPort AsyncOS based solutions (WSA, ESA) – Web & Email security отдельная статья.

Анализ рынка proxy и два

  • Proxy зачастую лучше NGFW в задачах гранулярности инспекции – глубокая инспекция (напр. запрещение методов) HTTP, antivirus, URLF, SSL inspection, etc (см.


Читать дальше

Network: VMware SD-WAN

SD-WAN

 

Материалы

 

VMware SD-WAN (VeloCloud) – топ в Magic Quadrant 2020 Wan EDGE (SD-WAN), далее уже Fortinet, Cisco, etc.

  • Сценарий – любые филиалы, проблемные или не проблемные, требующие надежные/особые сервисы (офисы банков, страховых компаний, медицинские и проч).


Читать дальше

Network: SDN (Cisco ACI, Cisco DNA, VXLAN, Open/Juniper Contrail)

SDN – Software Defined Networking

Ни для кого не секрет, что оверлейная сеть, обеспечивающая мультитенантностьYandex.Cloud, реализована на OpenContrail (ныне Tungsten Fabric).


Читать дальше