Como sabes, a veces se publican en el blog artículos de nuestros buenos amigos.

Hoy Evgeniy nos hablará sobre la virtualización de enrutadores Cisco.

Existe un esquema clásico de organización de la red: nivel de acceso (SW1, SW2, SW3), nivel de distribución (R1) y conexión a la red global (R2). En el enrutador R2, se organiza la recopilación de estadísticas y se configura NAT. Se instala un firewall de hardware con funciones de enrutamiento y filtrado de tráfico entre R2 y R3 (Esquema 1)

No hace mucho, se propuso la tarea de migrar toda la red a una puerta de enlace alternativa (R4). La nueva puerta de enlace tiene funcionalidad de clúster y es capaz de escalar horizontalmente aumentando la cantidad de nodos del clúster. Según el plan de puesta en servicio, se requería que en un cierto período de tiempo hubiera dos puertas de enlace en la red al mismo tiempo: la antigua (R2) para todas las redes de clientes y la nueva (R4) para las redes participantes. al probar la nueva puerta de enlace (Esquema 2).

Los intentos de implementar PBR (enrutamiento basado en políticas) en el enrutador interno (R1) no tuvieron éxito: el tráfico estaba en bucle. La dirección rechazó las solicitudes de equipo adicional. Pasó el tiempo, no había router, la tarea estaba estancada...

Y luego encontré un artículo de Internet que hablaba sobre el aislamiento de tablas de enrutamiento en enrutadores Cisco.

Decidí adquirir un enrutador adicional con una tabla de enrutamiento independiente basada en el equipo existente. Para solucionar el problema, se elaboró ​​​​un nuevo proyecto (Esquema 3), que implica la presencia de un enrutador adicional con capacidad PBR.

Red de conexión entre R1 y R5:

Red: 172.16.200.0 /30

Interfaz en R1: 172.16.200.2 /30

Interfaz en R5: 172.16.200.1 /30

VLANID: 100 – enrutador antiguo

VLANID: 101 – nuevo enrutador

Nota: como R5 se utiliza un enrutador virtual creado sobre la base de R3 (software Cisco IOS, software C2900 (C2900-UNIVERSALK9_NPE-M), versión 15.0(1)M1, RELEASE SOFTWARE (fc1)).

El enrutador R3 está equipado con tres puertos Gigabit Ethernet, la interfaz Gi0/0 se usa para el enrutamiento interno, Gi0/1 se usa para conectarse a un firewall de hardware y Gi0/2 se usa para conectarse a un proveedor externo.

Pasemos a configurar el enrutador R5.

Vayamos al modo de configuración:
R3(config)#ip vrf zona1
Este comando crea una tabla de enrutamiento aislada en el enrutador. Nombre zona 1 seleccionado por el administrador de forma independiente. También puedes asignar un identificador y una descripción. Se pueden encontrar más detalles en la documentación. Al finalizar, regrese al modo de configuración usando el comando salida.

Configuración de interfaces de red:
R3(config)#interfaz GigabitEthernet0/0.100

R3(config-subif)#encapsulación dot1Q 100
R3(config-subif)#dirección IP 172.16.100.2 255.255.255.252
R3(config-subif)#salir
R3(config)#interfaz GigabitEthernet0/0.101
R3(config-subif)#ip vrf zona de reenvío1
R3(config-subif)#encapsulación dot1Q 101
R3(config-subif)#dirección IP 172.16.100.6 255.255.255.252
R3(config-subif)#salir
R3(config)#interfaz GigabitEthernet0/0.1000
R3(config-subif)#ip vrf zona de reenvío1
R3(config-subif)#encapsulación dot1Q 1000
R3(config-subif)#dirección IP 172.16.200.1 255.255.255.252
R3(config-subif)#salir
Ahora necesitas configurar PBR. Para hacer esto, crearemos una ACL, guiándonos por la siguiente regla: todos los que ingresan a la ACL son enrutados a través de la puerta de enlace anterior y el resto a través de la nueva.
R3(config)#lista de acceso 101 denegar IP host 192.168.3.24 cualquiera
R3(config)#lista de acceso 101 denegar IP host 192.168.3.25 cualquiera
R3(config)#lista de acceso 101 denegar IP host 192.168.3.26 cualquiera
R3(config)#lista de acceso 101 permite ip cualquiera
Crear un mapa de ruta:
R3(config)#ruta-mapa gw1 permiso 50
R3(config-route-map)#match dirección IP 101
R3(config-route-map)#set ip vrf zona1 siguiente salto 172.16.100.1
R3(config-ruta-mapa)#salir
Y aplicarlo a la interfaz:
R3(config)#interfaz GigabitEthernet0/0.1000
R3 (config-subif) # mapa de ruta de política ip gw1
R3(config-subif)#salir
Agregar una ruta predeterminada a la tabla de enrutamiento zona 1:
R3(config)#ruta ip vrf zona1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
y verifique la tabla de enrutamiento para zona 1
R3#mostrar ruta ip vrf zona1
Tabla de enrutamiento: zona1
Códigos: L - local, C - conectado, S - estático, R - RIP, M - móvil, B - BGP
D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF entre áreas
N1 - OSPF NSSA externo tipo 1, N2 - OSPF NSSA externo tipo 2
E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - resumen IS-IS, L1 - IS-IS nivel-1, L2 - IS-IS nivel-2
ia - IS-IS entre áreas, * - candidato predeterminado, U - ruta estática por usuario
o - ODR, P - ruta estática descargada periódicamente, + - ruta replicada

La puerta de enlace de último recurso es 172.16.100.5 a la red 0.0.0.0

S* 0.0.0.0/0 a través de 172.16.100.5, GigabitEthernet0/0.101
172.16.0.0/16 tiene subredes variables, 6 subredes, 2 máscaras
C 172.16.100.0/30 está conectado directamente, GigabitEthernet0/0.100
L 172.16.100.2/32 está conectado directamente, GigabitEthernet0/0.100
C 172.16.100.4/30 está conectado directamente, GigabitEthernet0/0.101
L 172.16.100.6/32 está conectado directamente, GigabitEthernet0/0.101
C 172.16.200.0/30 está conectado directamente, GigabitEthernet0/0.1000
L 172.16.200.1/32 está conectado directamente, GigabitEthernet0/0.1000
Se ha solucionado el problema de dividir el tráfico de la red del cliente en diferentes puertas de enlace. Entre las desventajas de la solución adoptada, me gustaría señalar una mayor carga en el hardware del enrutador y una seguridad debilitada, ya que el enrutador conectado a la red global tiene una conexión directa a la red local, sin pasar por el firewall del hardware.

No es ningún secreto que para construir su propia infraestructura informática, antes era necesario recurrir al uso de equipos especializados diseñados para diversos fines y gastar un centavo extra en comprarlos o alquilarlos. Y esto es sólo el comienzo de la epopeya, porque entonces toda la responsabilidad de gestionar la infraestructura recayó sobre los hombros de la propia empresa.

Con la llegada de las tecnologías de virtualización y los crecientes requisitos de rendimiento, disponibilidad y confiabilidad de los sistemas informáticos, las empresas comenzaron a elegir cada vez más soluciones en la nube y plataformas virtuales de proveedores confiables de IaaS. Y esto es comprensible: muchas organizaciones tienen requisitos cada vez mayores, la mayoría quiere ver implementadas soluciones flexibles lo más rápido posible y no tener ningún problema con la gestión de la infraestructura.

Este enfoque no es algo nuevo hoy en día; al contrario, se está convirtiendo en una táctica cada vez más común para una gestión empresarial/de infraestructura eficaz.

La redistribución y transferencia de la mayoría de las cargas de trabajo de los sitios físicos a los virtuales también requiere la necesidad de estudiar cuestiones de implementación de seguridad. La seguridad, tanto desde el punto de vista físico como virtual, debe ser siempre la mejor. Por supuesto, existen muchas soluciones en el mercado de TI diseñadas para proporcionar y garantizar un alto nivel de protección para entornos virtuales.

Echemos un vistazo más de cerca al firewall virtual anunciado hace relativamente poco tiempo. ciscoASAv, que reemplazó el firewall en la nube Cisco ASA 1000v. Cisco en su sitio web oficial anuncia el cese de ventas y soporte de Cisco ASA 1000v, introduciendo en su reemplazo el producto estrella para proteger la nube y las infraestructuras virtuales en forma del producto Cisco ASAv.

En general, cabe destacar que en los últimos años Cisco ha incrementado su actividad en el segmento de virtualización, sumando productos virtualizados a su línea de soluciones de hardware. La aparición de Cisco ASAv es otra confirmación de ello.

Cisco ASAv (el dispositivo virtual de seguridad adaptable de Cisco), como se dijo anteriormente, representa Es un cortafuegos virtual. Está enfocado a trabajar en un entorno virtual y tiene la funcionalidad básica del hardware Cisco ASA, a excepción del modo multicontexto y clustering.

Descripción general de Cisco ASAv

Cisco ASAv proporciona funcionalidad de firewall para proteger los datos en centros de datos y entornos de nube. Cisco ASAv es una máquina virtual que puede ejecutarse en una variedad de hipervisores, incluido VMware ESXi, interactuando con conmutadores virtuales para procesar el tráfico. El firewall virtual puede funcionar con una variedad de conmutadores virtuales, incluidos Cisco Nexus 1000v, VMware dvSwitch y vSwitch. Cisco ASAv admite la implementación de VPN de sitio a sitio, VPN de acceso remoto y VPN de acceso remoto sin cliente, al igual que en los dispositivos físicos de Cisco ASA.

Figura 1. Arquitectura de Cisco ASAv

Cisco ASAv utiliza Cisco Smart Licensing, lo que simplifica enormemente la implementación, administración y monitoreo de las instancias virtuales de Cisco ASAv utilizadas por el cliente.

Características y beneficios clave de Cisco ASAv

• Única capa de seguridad entre dominios

Cisco ASAv proporciona un único nivel de seguridad entre sitios físicos y virtuales con la capacidad de utilizar múltiples hipervisores. En el contexto de la construcción de una infraestructura de TI, los clientes suelen utilizar un modelo híbrido, cuando algunas aplicaciones están diseñadas para la infraestructura física de la empresa y otras para una plataforma virtual con varios hipervisores. Cisco ASAv utiliza opciones de implementación consolidadas donde se puede aplicar una única política de seguridad a dispositivos físicos y virtuales.

• Facilidad de gestión

Cisco ASAv utiliza una transferencia de estado representacional (REST API) basada en una interfaz HTTP normal, lo que permite administrar el dispositivo en sí, así como cambiar las políticas de seguridad y monitorear los estados de estado.

• Facilidad de implementación

Cisco ASAv con una configuración determinada se puede implementar en un período de tiempo muy corto.

Cisco ASAv es una familia de productos disponibles en los siguientes modelos:

Figura 2. Familia de productos Cisco ASAv

Especificación de Cisco ASAv

	Cisco ASAv5	Cisco ASAv10	Cisco ASAv30
Rendimiento con estado (máximo)	100Mbps	1 Gbit/s	2 Gbit/s
Rendimiento con conexiones con estado (multiprotocolo)	50 Mbit/s	500 Mbit/s	1 Gbit/s
Rendimiento con VPN (3DES/AES)	30Mbps	125Mbps	300Mbps
Número de conexiones por segundo	8 000	20 000	60 000
Número de sesiones simultáneas	50 000	100 000	500 000
Número de redes locales virtuales (VLAN)	25	50	200
Número de sesiones de usuario de VPN entre hosts y con un cliente IPsec	50	250	750
Número de sesiones de usuario VPN AnyConnect o acceso sin programa cliente	50	250	750
Número de usuarios del sistema de protección en la nube contra amenazas de Internet Cisco Cloud Web Security	250	1 000	5 000
Soporte de alta disponibilidad	Activo/en espera	Activo/en espera	Activo/en espera
Soporte de hipervisor	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0
Número de vCPU	1	1	4
Memoria	2GB	2GB	8GB
disco duro	8GB	8GB	16 GB

Funcionalidad de VMware compatible con ASAv

Funcionalidad	Descripción	Soporte (Sí/No)
Clonación en frío	Las máquinas virtuales se apagan durante la clonación	Sí
DRS	Se utiliza para la programación dinámica de recursos y la gestión de capacidad distribuida.	Sí
Añadir caliente	Las máquinas virtuales permanecen en ejecución mientras se agregan recursos adicionales	Sí
clon caliente	Durante el proceso de clonación, las máquinas virtuales permanecen en ejecución.	No
eliminación en caliente	Durante la eliminación de recursos, las máquinas virtuales permanecen en ejecución	Sí
Fotos	Las máquinas virtuales se detienen durante unos segundos.	Sí
Suspensión y reanudación	Las máquinas virtuales se pausan y luego se reanudan	Sí
Director de vCloud	Permite el despliegue automático de máquinas virtuales.	No
Migración de máquinas virtuales	Las máquinas virtuales se apagan durante la migración	Sí
vMotion	Se utiliza la migración en vivo de máquinas virtuales.	Sí
VMware FT (tecnología de disponibilidad continua)	Se utiliza para alta disponibilidad de máquinas virtuales.	No
Alta disponibilidad de VMware	Minimiza las pérdidas por fallas de hardware físico y reinicia las máquinas virtuales en otro host del clúster en caso de una falla.	Sí
Cliente independiente de Windows VMware vSphere		Sí
Cliente web VMware vSphere	Se utiliza para implementar máquinas virtuales.	Sí

Implementación de ASAv utilizando VMware vSphere Web Client

Si decide implementar ASAv en un sitio remoto de un proveedor de IaaS o en cualquier otro sitio virtualizado, para evitar momentos inesperados y de inactividad, debe prestar atención de inmediato a los requisitos y restricciones adicionales:

• La implementación de ASAv desde un archivo ova no admite la localización. Debe asegurarse de que los servidores VMware vCenter y LDAP de su entorno utilicen el modo de compatibilidad ASCII.
• Antes de instalar ASAv y utilizar la consola de la máquina virtual, debe configurar la distribución del teclado predefinida (inglés de Estados Unidos).

Puede utilizar el cliente web VMware vSphere para instalar ASAv. Para hacer esto, debe conectarse mediante un enlace predefinido en el archivo . El puerto predeterminado es 9443, pero según la configuración específica, el valor puede diferir.

• Cuando accede por primera vez al cliente web VMware vSphere, debe instalar el complemento de integración del cliente, que está disponible para descargar directamente desde la ventana de autenticación.
• Después de una instalación exitosa, debe volver a conectarse al cliente web VMware vSphere e iniciar sesión ingresando su nombre de usuario y contraseña.
• Antes de comenzar a instalar Cisco ASAv, debe descargar el archivo ASAv OVA de http://cisco.com/go/asa-software y también asegurarse de tener al menos una interfaz de red vSphere configurada.
• En la ventana de navegación del cliente web VMware vSphere, debe cambiar al panel vCentro E ir a HospedadoresyClústeres. Al hacer clic en el centro de datos, clúster o host, dependiendo de dónde decida instalar Cisco ASAv, seleccione la opción para implementar la plantilla OVF ( DesplegarOVFPlantilla).

Figura 3. Implementación de OVF de plantilla ASAv

• En la ventana del asistente de implementación de plantillas OVF en la sección Fuente Debe seleccionar el archivo OVA de instalación de Cisco ASAv. Tenga en cuenta que en la ventana de descripción general de piezas ( Revisar Detalles) se muestra información sobre el paquete ASAv.

Figura 4. Descripción general de los detalles de instalación de ASAv

• Al aceptar el acuerdo de licencia en la página Aceptar CLUF, pasamos a determinar el nombre de la instancia de Cisco ASAv y la ubicación de los archivos de la máquina virtual.
• Al final de la selección de configuración ( Seleccionar configuración) es necesario utilizar los siguientes valores:
  • Para la configuración independiente, seleccione 1 (o 2, 3, 4) vCPU independiente.
  • Para una configuración de conmutación por error, seleccione 1 (o 2, 3, 4) vCPU HA primaria.
• En la ventana de selección de almacenamiento ( Seleccionar Almacenamiento) determine el formato del disco virtual, para ahorrar espacio será útil seleccionar la opción Aprovisionamiento fino. También debe seleccionar el almacenamiento en el que se ejecutará ASAv.

Figura 5. Ventana de selección de almacenamiento

• En la ventana de configuración de red ( Configuración red) selecciona la interfaz de red que se utilizará cuando ASAv funcione. Tenga en cuenta: la lista de interfaces de red no está especificada en orden alfabético, lo que a veces dificulta encontrar el elemento deseado.

Figura 6. Ventana de configuración de parámetros de red

Cuando implementa una instancia de ASAv, puede usar el cuadro de diálogo Editar configuración de red para realizar cambios en la configuración de red. La Figura 7 muestra un ejemplo de la correspondencia entre los ID del adaptador de red y los ID de la interfaz de red ASAv.

Figura 7. Correspondencia entre adaptadores de red e interfaces ASAv

• No es necesario utilizar todas las interfaces ASAv, pero vSphere Web Client requiere que se asignen redes a todas las interfaces. Las interfaces que no están previstas para su uso deben configurarse en Desactivado(deshabilitado) en la configuración de ASAv. Después de implementar ASAv en vSphere Web Console, puede eliminar interfaces innecesarias usando el cuadro de diálogo Editar configuración ( Editar Ajustes).
• En la ventana de personalización de la plantilla ( Personalizar plantilla) debe establecer una serie de configuraciones clave, incluida la configuración de la dirección IP, la máscara de subred y los parámetros de la puerta de enlace predeterminada. De manera similar, debe configurar la dirección IP del cliente permitida para el acceso a ASDM y, si se requiere una puerta de enlace separada para comunicarse con el cliente, configurar su dirección IP.

Figura 8. Ventana de personalización de plantilla

• Además, en la opción Tipo de implementación ( Tipo de implementación) debe seleccionar el tipo de instalación de ASAv entre tres opciones posibles: Independiente, HA primaria, HA secundaria.

Figura 9. Selección del tipo de instalación ASAv apropiado

En la ventana listo para completar ( Listo a completo) muestra información resumida de configuración de Cisco ASAv. Activando la opción de lanzamiento después de la implementación ( Fuerza en después despliegue) le permitirá iniciar la máquina virtual una vez que se complete el asistente.

• Puede monitorear el proceso de implementación de la plantilla ASAv OVF y el estado de las tareas completadas en la consola de tareas ( Tarea Consola).

Figura 10. Estado de implementación de la plantilla OVF

• Si la máquina virtual ASAv aún no se está ejecutando, debe iniciarla usando la opción de inicio ( Fuerza en el virtual máquina). Cuando ASAv se inicia por primera vez, lee los parámetros especificados en el archivo OVA y configura los valores del sistema en función de ellos.

Figura 11. Iniciando la máquina virtual ASAv

Resumiendo la instalación de ASAv, no podemos dejar de notar el hecho agradable de que todo el proceso, desde la descarga del paquete, la implementación y el inicio, no lleva más de 15 a 20 minutos. Al mismo tiempo, las configuraciones posteriores, como VPN, se caracterizan por un coste de tiempo insignificante, mientras que configurar un ASA físico requeriría mucho más tiempo. Cisco ASAv también se puede implementar de forma remota, lo que brinda flexibilidad y conveniencia a las empresas que utilizan sitios remotos.

De la instalación a la gestión de ASAv

Para administrar ASAv, puede utilizar la antigua herramienta ASDM (Adaptive Security Device Manager), que es una solución conveniente con una interfaz gráfica de usuario. El proceso de implementación de ASAv proporciona acceso al ASDM, que luego se puede utilizar para realizar diversas configuraciones, monitoreo y resolución de problemas. Posteriormente, la conexión se realiza desde la máquina cliente, cuya dirección IP se especificó durante el proceso de implementación. Para acceder a ASDM, se utiliza un navegador web con la dirección IP de ASAv especificada.

Lanzamiento de ASDM

En una máquina definida como cliente ASDM, debe iniciar un navegador y especificar los valores ASAv en el formato https://asav_ip_address/admin, lo que generará una ventana con las siguientes opciones:

• instale ASDM Launcher e inicie ASDM;
• ejecutar ASDM;
• inicie el asistente de inicio.

Figura 12. Ejemplo de lanzamiento de la herramienta ASDM

InstalarASDMLanzador y ejecutarASDM

Para iniciar el instalador, seleccione "Instalar ASDM Launcher e iniciar ASDM". En los campos “nombre de usuario” y “contraseña” (en caso de una nueva instalación), no puede dejar ningún valor y hacer clic en “Aceptar”. Sin la autenticación HTTPS configurada, el acceso a ASDM se produce sin especificar credenciales. Si la autenticación HTTPS está habilitada, debe especificar un nombre de usuario y una contraseña.

• Guarde el instalador localmente y comience la instalación. Una vez que se complete la instalación, ASDM-IDM Launcher se iniciará automáticamente.
• Ingrese la dirección IP de ASAv y haga clic en Aceptar.

LanzamientoASDM

También puede utilizar Java Web Start para ejecutar ASDM directamente, sin instalarlo. Seleccione la opción "Iniciar ASDM", después de lo cual se abrirá la ventana del iniciador ASDM-IDM.

Figura 13. Conexión a ASAv usando ASDM-IDM Launcher

Iniciar asistente de inicio

Cuando selecciona la opción Ejecutar asistente de inicio, puede establecer los siguientes parámetros de configuración de ASAv

• Nombre de host
• Nombre de dominio
• Contraseña administrativa
• Interfaces
• Direcciones IP
• Rutas estáticas
• Servidor DHCP
• reglas NAT
• y más (y otras configuraciones...)

Usando la consolaVMware vEsfera

Para la configuración inicial, la resolución de problemas y el acceso a la interfaz de línea de comandos (CLI), puede utilizar la consola ASAv, a la que se puede acceder desde VMware vSphere Web Client.

¡Importante! Para trabajar con la consola ASAv, necesita instalar un complemento (Complemento de integración de cliente).

Hasta que se instale una licencia, habrá un límite de ancho de banda de 100 kbps. En un entorno de producción, la funcionalidad completa requiere una licencia. La información de la licencia se muestra en la consola ASAv.

Figura 15. Ejemplo de visualización de información de licencia

Al conectarse a la consola ASAv, puede trabajar en varios modos.

Modo privilegiado

• Parámetro ciscoasa> en la ventana de la consola indica operación en modo EXEC, en el que solo están disponibles los comandos básicos. Para cambiar al modo EXEC privilegiado, debe ejecutar el comando ciscoasa>permitir, después de lo cual deberá ingresar una contraseña (Contraseña), si se ha configurado una contraseña, de lo contrario, presione Entrar.
• Valor de salida ciscoasa# en la ventana de la consola indica cambiar al modo privilegiado. Permite el uso de comandos que no son de configuración. Para ejecutar comandos de configuración, debe cambiar al modo de configuración. También puedes cambiar a él desde el modo privilegiado.
• Para salir del modo privilegiado, use los comandos desactivar, salida o abandonar.

Modo de configuración global

• Para cambiar al modo de configuración global use el comando:

ciscoasa#configurarTerminal

• Si cambia correctamente al modo de configuración, el indicador de preparación del modo de configuración global aparece de la siguiente manera:

ciscoasa (configuración)#

• Para acceder a una lista de todos los comandos posibles, consulte la ayuda:

ciscoasa (configuración)#¿ayuda?

Luego se muestra una lista de todos los comandos disponibles en orden alfabético, como se muestra en la Figura 16.

Figura 16. Ejemplo de visualización de comandos en modo de configuración global

• Para salir del modo de configuración global, use los comandos salida,abandonar o fin.

Hola a todos.

Hubo un tiempo en que tuve que tratar con Cisco. No por mucho tiempo, pero aún así. Todo lo relacionado con Cisco es ahora muy popular. Hubo un tiempo en que estuve involucrado en la apertura de una Academia Cisco local en una universidad local. Hace un año asistí al curso "". Pero no siempre tenemos acceso al equipo en sí, especialmente mientras estudiamos. Los emuladores vienen al rescate. También los hay para Cisco. Comencé con Boson NetSim y casi todos los estudiantes ahora usan Cisco Packet Tracer. Sin embargo, el conjunto de simuladores no se limita a estos dos tipos.

Hace algún tiempo, en nuestra serie “Redes para los más pequeños”, cambiamos al emulador GNS3, que se adaptaba mejor a nuestras necesidades que Cisco Packet Tracer.

¿Pero qué alternativas tenemos? Alexander, también conocido como Sinister, que aún no tiene una cuenta en Habré, le contará sobre ellos.

Existe una gran cantidad de simuladores y emuladores para equipos de Cisco Systems. En esta breve reseña intentaré mostrar todas las herramientas existentes que solucionan este problema. La información será útil para quienes estudian tecnologías de redes, se preparan para realizar exámenes de Cisco, ensamblan bastidores para solucionar problemas o investigan problemas de seguridad.

Un poco de terminología.

Simuladores- imitan un determinado conjunto de comandos, está integrado y si superas los límites, recibirás inmediatamente un mensaje de error. Un ejemplo clásico es Cisco Packet Tracer.

Emuladores por el contrario, permiten reproducir (realizar traducción de bytes) imágenes (firmware) de dispositivos reales, a menudo sin restricciones visibles. Como ejemplo: GNS3/Dynamips.

Veamos primero Cisco Packet Tracer.

1. Rastreador de paquetes de Cisco

Este simulador está disponible para Windows y Linux y es gratuito para los estudiantes de Cisco Networking Academy.

En la versión 6, aparecieron cosas como:

• iOS 15
• Módulos HWIC-2T y HWIC-8A
• 3 nuevos dispositivos (Cisco 1941, Cisco 2901, Cisco 2911)
• Soporte HSRP
• IPv6 en la configuración de los dispositivos finales (escritorios).

La sensación es que la nueva versión se programó para coincidir con la actualización del examen CCNA a la versión 2.0.

Sus ventajas son la facilidad de uso y la coherencia de la interfaz. Además, es conveniente comprobar el funcionamiento de varios servicios de red, como DHCP/DNS/HTTP/SMTP/POP3 y NTP.

Y una de las características más interesantes es la capacidad de cambiar al modo de simulación y ver el movimiento de paquetes con dilatación del tiempo.

Me recordó a esa misma Matrix.

• Casi todo lo que va más allá del alcance de CCNA no se puede ensamblar en él. Por ejemplo, EEM está completamente ausente.
• Además, a veces pueden aparecer varios fallos que solo se pueden solucionar reiniciando el programa. El protocolo STP es especialmente famoso por esto.

¿Con qué terminamos?

Una buena herramienta para quienes recién comienzan a familiarizarse con los equipos Cisco.

El siguiente es GNS3, que es una GUI (en Qt) para el emulador dynamips.

Un proyecto gratuito, disponible para Linux, Windows y Mac OS X. El sitio web del proyecto GNS es www.gns3.net. Pero la mayoría de sus funciones diseñadas para mejorar el rendimiento funcionan solo en Linux (IOS fantasma, que funciona cuando se usan muchos firmware idénticos), la versión de 64 bits también es solo para Linux. La versión actual de GNS en este momento es 0.8.5. Este es un emulador que funciona con firmware iOS real. Para poder utilizarlo es necesario tener el firmware. Supongamos que compró un enrutador Cisco, puede eliminarlo. Puede conectarle máquinas virtuales VirtualBox o VMware Workstation y crear esquemas bastante complejos, si lo desea, puede ir más allá y liberarlo en una red real; Además, Dynamips puede emular tanto el antiguo Cisco PIX como el conocido Cisco ASA, incluso la versión 8.4.

Pero con todo esto hay muchas deficiencias.

El número de plataformas está estrictamente limitado: sólo se pueden lanzar aquellos chasis proporcionados por los desarrolladores de dynamips. Es posible ejecutar la versión iOS 15 solo en la plataforma 7200. Es imposible utilizar completamente los conmutadores Catalyst, esto se debe a que utilizan una gran cantidad de circuitos integrados específicos, que por lo tanto son extremadamente difíciles de emular. Todo lo que queda es utilizar módulos de red (NM) para enrutadores. Cuando se utiliza una gran cantidad de dispositivos, se garantiza la degradación del rendimiento.

¿Qué tenemos en el resultado final?

Una herramienta en la que puedes crear topologías bastante complejas y prepararte para exámenes de nivel CCNP, con algunas reservas.

3. Bosón NetSim

Unas palabras sobre el simulador Boson NetSim, que recientemente se actualizó a la versión 9.

Disponible sólo para Windows, el precio oscila entre $179 para CCNA y hasta $349 para CCNP.

Es una especie de colección de trabajos de laboratorio, agrupados por temas de examen.

Como puede ver en las capturas de pantalla, la interfaz consta de varias secciones: una descripción de la tarea, un mapa de red y en el lado izquierdo hay una lista de todos los laboratorios. Una vez finalizado el trabajo, podrás comprobar el resultado y saber si se hizo todo. Es posible crear sus propias topologías, con algunas restricciones.

Características principales de Boson NetSim:

• Admite 42 enrutadores, 6 conmutadores y otros 3 dispositivos
• Simula el tráfico de red utilizando tecnología de paquetes virtuales.
• Proporciona dos estilos de navegación diferentes: modo Telnet o modo consola
• Admite hasta 200 dispositivos en una topología
• Le permite crear sus propios laboratorios.
• Incluye laboratorios que admiten la simulación SDM.
• Incluye dispositivos que no son de Cisco, como TFTP Server, TACACS+ y Packet Generator (probablemente sean los mismos otros 3 dispositivos)

Tiene las mismas desventajas que Packet Tracer.

Para aquellos a quienes no les importa hasta cierto punto y, al mismo tiempo, no quieren comprender y crear sus propias topologías, sino que solo quieren practicar antes del examen, esto será muy útil.

Sitio web oficial: www.boson.com/netsim-cisco-network-simulator.

4. Responsabilidad social corporativa de Cisco

Ahora veamos el CSR de Cisco bastante reciente.

Hace relativamente poco tiempo, apareció el Cisco Cloud Service Router 1000V virtual.

Está disponible en el sitio web oficial de Cisco.

Para descargar este emulador, sólo necesita registrarse en el sitio. Gratis. No se requiere contrato con Cisco. Esto es realmente un evento, ya que anteriormente Cisco luchaba contra los emuladores de todas las formas posibles y solo recomendaba alquilar equipos. Puedes descargar, por ejemplo, un archivo OVA, que es una máquina virtual, aparentemente RedHat o sus derivados. Cada vez que se inicia la máquina virtual, carga una imagen iso, dentro de la cual se puede encontrar CSR1000V.BIN, que es el firmware real. Bueno, Linux actúa como un contenedor, es decir, un conversor de llamadas. Algunos requisitos que se indican en el sitio son DRAM 4096 MB Flash 8192 MB. Con la capacidad actual, esto no debería causar problemas. CSR se puede utilizar en topologías GNS3 o junto con un conmutador virtual Nexus.

El CSR1000v está diseñado como un enrutador virtual (muy parecido a Quagga, pero con IOS de Cisco), que se ejecuta en el hipervisor como una instancia de cliente y proporciona los servicios de un enrutador ASR1000 normal. Esto podría ser algo tan simple como enrutamiento básico o NAT, hasta cosas como VPN MPLS o LISP. Como resultado, tenemos un proveedor casi completo Cisco ASR 1000. La velocidad de funcionamiento es bastante buena, funciona en tiempo real.

No sin sus defectos. Sólo puedes utilizar una licencia de prueba gratuita, que dura sólo 60 días. Además, en este modo el rendimiento está limitado a 10, 25 o 50 Mbps. Una vez finalizada dicha licencia, la velocidad bajará a 2,5 Mbps. El costo de una licencia de 1 año costará aproximadamente $1000.

5. Cisco Nexus Titanio

Titanium es un emulador del sistema operativo del conmutador Cisco Nexus, también llamado NX-OS. Nexus se posicionan como conmutadores para centros de datos.

Este emulador fue creado directamente por Cisco para uso interno.

La imagen Titanium 5.1.(2), compilada sobre la base de VMware hace algún tiempo, estuvo disponible públicamente. Y después de un tiempo, apareció el Cisco Nexus 1000V, que se puede comprar legalmente por separado o como parte de la edición vSphere Enterprise Plus de VMware. Puede verlo en el sitio web: www.vmware.com/ru/products/cisco-nexus-1000V/

Perfecto para cualquiera que se esté preparando para tomar el camino del centro de datos. Tiene una peculiaridad: después de encenderlo, comienza el proceso de arranque (como en el caso de CSR, también veremos Linux) y se detiene. Parece que todo está congelado, pero no es así. La conexión a este emulador se realiza a través de canalizaciones con nombre.

Una canalización con nombre es uno de los métodos de comunicación entre procesos. Existen tanto en sistemas tipo Unix como en Windows. Para conectarse, simplemente abra PuTTY, por ejemplo, seleccione el tipo de conexión en serie y especifique \\.\pipe\vmwaredebug.

Usando GNS3 y QEMU (un emulador de sistema operativo liviano que viene incluido con GNS3 para Windows), puede ensamblar topologías que usarán conmutadores Nexus. Y nuevamente, puede liberar este conmutador virtual en la red real.

6. Pagaré de Cisco

Y finalmente, el famoso Cisco IOU (Cisco IOS en UNIX) es un software propietario que no se distribuye oficialmente en absoluto.

Se cree que Cisco puede rastrear e identificar quién está utilizando el pagaré.

Cuando se inicia, se intenta realizar una solicitud HTTP POST al servidor xml.cisco.com. Los datos que se envían incluyen nombre de host, inicio de sesión, versión de pagaré, etc.

Se sabe que Cisco TAC utiliza pagarés. El emulador es muy popular entre quienes se preparan para realizar el CCIE. Al principio sólo funcionaba en Solaris, pero con el tiempo se trasladó a Linux. Consta de dos partes: l2iou y l3iou; por el nombre se puede adivinar que la primera emula la capa de enlace de datos y los conmutadores, y la segunda emula la capa de red y los enrutadores.

El autor de la interfaz web es Andrea Dainese. Su sitio web: www.routereflector.com/cisco/cisco-iou-web-interface/. El sitio en sí no contiene IOU ni ningún firmware; además, el autor afirma que la interfaz web fue creada para personas que tienen derecho a utilizar IOU;

Y algunas conclusiones finales.

Al final resultó que, en este momento existe una gama bastante amplia de emuladores y simuladores de equipos Cisco. Esto le permite prepararse casi por completo para los exámenes de varias áreas (R/S clásico, Proveedor de servicios e incluso Centro de datos). Con un poco de esfuerzo, puede recopilar y probar una amplia variedad de topologías, realizar investigaciones de vulnerabilidades y, si es necesario, liberar equipos emulados en una red real.

Queremos hablarte del sistema operativo. iOS, desarrollado por la empresa cisco. Cisco IOS o Sistema operativo de red(Sistema operativo de Internet) es el software utilizado en la mayoría de los conmutadores y enrutadores de Cisco (las primeras versiones de los conmutadores se ejecutaban en CatOS). iOS Incluye funciones de enrutamiento, conmutación, interconexión de redes y telecomunicaciones integradas en un sistema operativo multitarea.

No todos los productos Cisco utilizan iOS. Las excepciones incluyen productos de seguridad. COMO UN., que utilizan el sistema operativo Linux y enrutadores que ejecutan iOS-XR. Cisco IOS incluye varios sistemas operativos diferentes que se ejecutan en una variedad de dispositivos de red. Hay muchas variantes diferentes de Cisco IOS: para conmutadores, enrutadores y otros dispositivos de red de Cisco, versiones de IOS para dispositivos de red específicos, conjuntos de funciones de IOS que proporcionan diferentes paquetes de funciones y servicios.

El archivo en sí iOS Tiene un tamaño de varios megabytes y se almacena en un área de memoria semipermanente llamada destello. La memoria flash proporciona almacenamiento no volátil. Esto significa que el contenido de la memoria no se pierde cuando el dispositivo se queda sin energía. En muchos dispositivos Cisco, el IOS se copia desde la memoria flash a la RAM cuando el dispositivo está encendido y luego el IOS se inicia desde la RAM cuando el dispositivo está en ejecución. La RAM tiene muchas funciones, incluido el almacenamiento de datos, que el dispositivo utiliza para respaldar las operaciones de red. Ejecutar iOS en RAM mejora el rendimiento del dispositivo, pero la RAM se considera memoria volátil porque los datos se pierden durante el ciclo de encendido. Un ciclo de encendido es cuando un dispositivo se apaga intencional o accidentalmente y luego se vuelve a encender.

Gestión de dispositivos con iOS ocurre usando la interfaz de línea de comando ( CLI), cuando se conecta mediante un cable de consola, mediante Telnet, SSH o usando auxiliar puerto.

Nombres de versión Cisco IOS Consta de tres números y varios símbolos. a B C D e, Dónde:

• a– número de versión principal
• b– número de versión menor (cambios menores)
• C– liberar número de serie
• d– número de compilación intermedio
• mi(cero, una o dos letras): identificador de secuencia de lanzamiento de software, como none (que indica la línea principal), T (Tecnología), E (Empresa), S (Proveedor de servicios), funcionalidad especial XA, XB como otra funcionalidad especial etc.

Reconstruir– a menudo se lanzan reconstrucciones para solucionar un problema o vulnerabilidad específica para una versión determinada de iOS. Las reconstrucciones se realizan para solucionar rápidamente un problema o para satisfacer las necesidades de los clientes que no desean actualizar a una versión principal posterior porque pueden estar ejecutando una infraestructura crítica en sus dispositivos y, por lo tanto, prefieren minimizar los cambios y los riesgos.

liberación provisional– publicaciones intermedias, que normalmente se producen semanalmente y constituyen una instantánea de la evolución actual.

Liberación de mantenimiento– Versiones probadas, que incluyen mejoras y correcciones de errores. Cisco recomienda actualizar a la versión de mantenimiento siempre que sea posible.

Etapas de desarrollo:

• Implementación temprana (ED)– implementación más temprana, se introducen nuevas funciones y plataformas.
• Implementación limitada (LD)– Lanzamiento inicial limitado, incluye correcciones de errores.
• Despliegue general (GD)– implementación general del sistema operativo, pruebas, perfeccionamiento y preparación para el lanzamiento de la versión final. Estos lanzamientos son generalmente estables en todas las plataformas.
• Implementación de mantenimiento (MD)– Estas versiones se utilizan para soporte adicional, corrección de errores y mantenimiento continuo del software.

La mayoría de los dispositivos Cisco que utilizan iOS, también tienen uno o más "conjuntos de características" o "paquetes" - Conjunto de características. Por ejemplo, las versiones de Cisco IOS destinadas a su uso en conmutadores Catalyst están disponibles como versiones "estándar" (que proporcionan solo enrutamiento IP básico), versiones "avanzadas" que brindan soporte completo de enrutamiento IPv4 y versiones de "servicios IP avanzados" que brindan funciones avanzadas. así como soporte IPv6.

Cada individuo conjunto de características corresponde a una categoría de servicios además del conjunto básico ( Base IP– Rutas estáticas, OSPF, RIP, EIGRP. ISIS, BGP, IMGP, PBR, multidifusión):

• datos de propiedad intelectual (Datos– agrega BFD, IP SLA, IPX, L2TPv3, IP móvil, MPLS, SCTP)
• Voz (Comunicaciones Unificadas– CUBO, SRST, Puerta de enlace de voz, CUCME, DSP, VXML)
• Seguridad y VPN (Seguridad- Cortafuegos, SSL VPN, DMVPN, IPS, GET VPN, IPSec)

¿Te resultó útil este artículo?

¿Por favor dime porque?

Lamentamos que el artículo no te haya sido útil: (Por favor, si no es difícil, indica por qué. Estaremos muy agradecidos por una respuesta detallada. ¡Gracias por ayudarnos a ser mejores!

La nueva infraestructura de experiencia de virtualización (VXI) de Cisco aborda la naturaleza fragmentada de las soluciones existentes que dificultan la adopción de escritorios virtuales. Además, la nueva infraestructura amplía las capacidades de virtualización de los sistemas de escritorio tradicionales para el procesamiento de vídeo y multimedia.

Cisco VXI ayuda a superar las barreras clave que impiden que las empresas aprovechen los beneficios financieros, de seguridad de los datos y de estilo de trabajo flexible de la virtualización de escritorios, así como la integración de funciones de colaboración multimedia y de vídeo, sin comprometer la experiencia del usuario. Además, Cisco VXI reduce el costo total de propiedad de las soluciones de virtualización de escritorio al aumentar radicalmente la cantidad de sistemas virtuales admitidos por servidor.

Los analistas predicen que la virtualización de escritorios podría reducir los costos de soporte de PC en un 51 por ciento (por usuario), mientras que representa el 67 por ciento de los presupuestos de TI de PC. Los escritorios virtuales también ayudan a proteger la propiedad intelectual corporativa al colocar la información en el centro de datos en lugar de en el dispositivo físico del usuario. Al mismo tiempo, los usuarios finales podrán elegir de forma independiente el dispositivo con el que accederán a su ordenador virtual. Todos estos beneficios, junto con una mayor productividad y agilidad empresarial a través de aplicaciones multimedia y de vídeo, aumentan el valor de las soluciones de red para los usuarios finales y las empresas.

Las arquitecturas basadas en Cisco VXI recomendadas por Cisco incluyen Cisco Collaboration, Cisco Data Center Virtualization y Cisco Borderless Networks, así como los mejores dispositivos y software de virtualización de escritorio.

Se ha probado la compatibilidad de las siguientes tecnologías de Cisco con la solución Cisco VXI: aplicaciones de Comunicaciones Unificadas de Cisco optimizadas para entornos virtuales y terminales, incluida la tableta Cisco Cius; Plataforma Cisco Quad™; solución para equilibrio de carga y optimización de aplicaciones Cisco ACE; Software de Cisco para acelerar redes globales; Dispositivos de seguridad todo en uno Cisco ASA; Cliente VPN Cisco AnyConnect™; Entorno informático unificado Cisco UCS™; Switches de la familia Cisco Nexus® y Cisco Catalyst® diseñados para centros de datos; conmutadores multinivel para redes de almacenamiento Cisco MDS; Enrutadores Cisco ISR.

La solución Cisco VXI incluye sistemas de virtualización de escritorio Citrix XenDesktop® 5 y VMware View™ 4.5 de los líderes de la industria Citrix y VMware. La nueva infraestructura también admite aplicaciones de administración y seguridad, sistemas de almacenamiento de EMC y NetApp, y muchas aplicaciones de Microsoft.

El sistema Cisco VXI admite una amplia gama de terminales, incluidos teléfonos IP de Cisco Unified, computadoras portátiles, tabletas empresariales, incluido Cisco Cius, y teléfonos inteligentes. Cisco, junto con el líder de la industria Wyse, ha optimizado una gama de tecnologías de hardware y software para mejorar el tiempo de respuesta de las aplicaciones que se ejecutan en el entorno Cisco VXI y arquitecturas relacionadas. Aprovechando la apertura del ecosistema de Cisco, DevonIT ​​​​e IGEL también han probado la compatibilidad de sus dispositivos con la solución Cisco VXI.

Los elementos de la solución Cisco VXI están diseñados y probados para funcionar juntos en una variedad de opciones de instalación para satisfacer mejor los requisitos del cliente. Además de soporte de medios flexible, la solución proporciona compatibilidad con una amplia gama de dispositivos de usuario y métodos de acceso, brindando a los usuarios la flexibilidad de elegir según los requisitos comerciales o de aplicaciones.

Dispositivos de virtualización de escritorios de Cisco optimizados para la experiencia multimedia

Cisco anunció dos dispositivos Cisco Virtualization Experience Client (VXC) que admiten funciones de virtualización de escritorio en forma "sin cliente" junto con Cisco Unified Communications:

• Cisco VXC 2100 es un dispositivo compacto que está físicamente integrado con los teléfonos IP de las series Cisco Unified 8900 y 9900 para optimizar el entorno de trabajo del usuario. Admite Power-over-Ethernet (PoE) y puede funcionar con uno o dos monitores. El dispositivo tiene cuatro puertos USB para conectar un mouse y un teclado, si es necesario para trabajar en un entorno virtual.
• Cisco VXC 2200 es un dispositivo independiente, compacto y sin cliente con un diseño optimizado que brinda a los usuarios acceso a un escritorio virtual y aplicaciones comerciales que se ejecutan en un entorno virtualizado. Diseñado teniendo en cuenta el medio ambiente, el Cisco VXC 2200 se puede alimentar mediante Power-over-Ethernet (PoE) o una fuente de alimentación opcional. Este dispositivo también cuenta con cuatro puertos USB y dos puertos de vídeo, a través de los cuales podrás conectar los dispositivos necesarios para trabajar en un entorno virtual.