Nets – Weril

Network: общее о SD-WAN и Cisco SD-WAN

SD-WAN

Cisco SD-WAN
VMware SD-WAN
Kaspersky SD-WAN
Bi.zone SD-WAN
low touch provisioning cisco ngfw/ftd в статье про ngfw/ftd
Форти SD-WAN очень похоже на решение для пивной палатки 🤣

Заметки по результату изучения SD-WAN Cisco на базе множества открытых источников.

Источники информации (изучил полностью)

cisco site
- videos
- datasheets
- licensing
habr
видео Cisco CLNV SCOR
спецификации к серверам vManage/vBond/vSmart
youtube
- https://www.youtube.com/watch?v=isMnWZqAh0k

Network: capacity planning, среднее потребление трафика в крупной сети (throughput, CC, CPS); количество правил NGFW/firewall/ACL

Ruleset size, ACL size, policy size

У некоторых заказчиков по 10 тыс. и больше правил (25К – реальные пример, пример Батранкова с 80К – он видел максимум, личные примеры общения с оч крупным заказчиком «до десятков тысяч на периметре, до сотни тысяч в ДЦ»); но по факту тут нужен зачастую уже функционал оптимизации правил в продукте, скорей всего большая часть правил ненужная
Потребность в большом количестве правил есть и будет, поэтому многие вендоры реализовали так или иначе быстрый поиск по множеству правил, зачастую с ростом количества правил производительность или не деградирует или деградирует минимально
- YaNet – Yandex NexHop 2021-2022 https://github.com/yanet-platform/yanet?tab=readme-ov-file

Network: ntttcp

(iperf/ntttcp) Microsoft не рукомендует использование iperf3 на Windows в пользу использования ntttcp (в первую очередь)/ctstraffic – iperf3 оффициально на винде не поддерживается (в отличии от второй версии), он обычно использует прослойку в виде cygwin и нестандартные вызовы сетевого стека – первое может накладывать задержку, второе не эмулирует реальные приложения.

Network Security: L2 (switching) security

Layer 2 attacks

Если разрушить фундамент – разрушиться весь дом. Поэтому безопасность на канальном уровне крайне важна.

Disrupt the bottom of the wall and the top is disrupted too.

Рекомендация/технология и от чего защищает:

Select native vlan as unused vlan on trunk (not vlan 1) – vlan hopping attacks
Configure access ports as access ports – DTP attacks
Limit mac addresses by port security – CAM attacks, mac spoofing

BPDU guard/root guard – STP topology (DOS, MITM attacks)

Disable CDP/LLDP – reconnaissance attacks

Shut unused ports – Implicit deny/whitelisting/default deny: теория в security, пример практики в cisco ios nfp architecture
DHCP snooping – dhcp attacks, basic for DAI/IPSG (IP source guard)

DAI – arp spoofing attacks, rate limit

IPSG – ip spoofing attacks
Storm control – flood/DOS attacks
802.1x – authentication before access to network
ACL – control by policy

RFC, IETF (о самих документах)

Есть даже RFC 1796, которая говорит, что не каждый RFC является стандартом!

https://tools.ietf.org/html/rfc1796
https://en.m.wikipedia.org/wiki/Request_for_Comments

Not all RFCs are standards.^[20][21]Each RFC is assigned a designation with regard to status within the Internet standardization process. This status is one of the following: Informational, Experimental, Best Current Practice, Standards Track, or Historic.

Coding/Network: Программирование для сетевых инженеров, сетевая автоматизация (devnet, netdevops, netops)

Местами информация взята из собственного достаточно богатого опыта, местами из статьи habr и подкастов linkmeup
`Автоматизация позволяет допускать меньше ошибок за счет учета алгоритмами типовых вещей, с другой стороны, если в самой автоматизации будет допущена ошибка, масштаб этой ошибки может быть очень глобальным (на моей памяти были примеры массовых окирпичиваний :)) – поэтому скорость деплоя зачастую не так важна при работе с сетевыми устройствами (в том числе поэтому от использования cli интерфейса для автоматизации не слишком страдают) и администраторы кучу раз перестраховываются перед массовым деплоем в прод, в том числе разнося изменения по времени.

Cisco SOHO: Cisco Small Business RV Series Routers (RV1xx, RV3xx)

О серии роутеров на сайте самой Cisco.

Крайне функциональный и простой в настройке роутер от Cisco (на основе обзора Cisco RV340). Цена всего 20к рублей.
Поддерживает 4 WAN аплинка
- 2 WAN аплинка в виде линков 1G
- 2 WAN аплинка в виде USB модемов
С меткой P – устройства с поддержкой PoE (удобно для камер/AP)
С меткой W – модель с Wi-FI 802.11 ac

Поддерживает множество серверов VPN, подключение возможно со стандартными VPN клиентами (не только any connect).

Network: Proxy (direct/redirection, transparent), SQUID

Про Security: Cisco IronPort AsyncOS based solutions (WSA, ESA) – Web & Email security отдельная статья.

Анализ рынка proxy и два

Proxy зачастую лучше NGFW в задачах гранулярности инспекции – глубокая инспекция (напр. запрещение методов) HTTP, antivirus, URLF, SSL inspection, etc (см.

Network: VMware SD-WAN

SD-WAN

Материалы

АйТиБорода “Ни единого разрыва” VMware SD-WAN
Презентация

VMware SD-WAN (VeloCloud) – топ в Magic Quadrant 2020 Wan EDGE (SD-WAN), далее уже Fortinet, Cisco, etc.

Сценарий – любые филиалы, проблемные или не проблемные, требующие надежные/особые сервисы (офисы банков, страховых компаний, медицинские и проч).

Network: SDN (Cisco ACI, Cisco DNA, VXLAN, Open/Juniper Contrail)

SDN – Software Defined Networking

Ни для кого не секрет, что оверлейная сеть, обеспечивающая мультитенантностьYandex.Cloud, реализована на OpenContrail (ныне Tungsten Fabric).