Comme vous le savez, il arrive parfois que des articles de nos bons amis soient publiés sur le blog.

Aujourd'hui, Evgeniy nous parlera de la virtualisation des routeurs Cisco.

Il existe un schéma classique d'organisation du réseau : niveau d'accès (SW1, SW2, SW3), niveau de distribution (R1) et de connexion au réseau mondial (R2). Sur le routeur R2, la collecte des statistiques est organisée et le NAT est configuré. Un pare-feu matériel avec fonctions de filtrage du trafic et de routage est installé entre R2 et R3 (Schéma 1)

Il n’y a pas si longtemps, l’objectif était de migrer l’ensemble du réseau vers une passerelle alternative (R4). La nouvelle passerelle dispose d'une fonctionnalité de cluster et est capable d'une mise à l'échelle horizontale en augmentant le nombre de nœuds de cluster. Selon le plan de mise en service, il était nécessaire qu'à un certain moment il y ait deux passerelles sur le réseau en même temps - l'ancienne (R2) pour tous les réseaux clients et la nouvelle (R4) pour les réseaux participants. lors du test de la nouvelle passerelle (schéma 2).

Les tentatives d'implémentation du PBR (Routage basé sur des politiques) sur le routeur interne (R1) ont échoué - le trafic a été bouclé. La direction a refusé les demandes d'équipement supplémentaire. Le temps a passé, il n'y avait pas de routeur, la tâche était bloquée...

Et puis je suis tombé sur un article sur Internet qui parlait de l'isolation des tables de routage sur les routeurs Cisco.

J'ai décidé de me procurer un routeur supplémentaire avec une table de routage indépendante basée sur l'équipement existant. Pour résoudre le problème, un nouveau projet a été élaboré (schéma 3), impliquant la présence d'un routeur supplémentaire doté de la capacité PBR.

Réseau de connexion entre R1 et R5 :

Réseau : 172.16.200.0 /30

Interface sur R1 : 172.16.200.2 /30

Interface sur R5 : 172.16.200.1 /30

VLANID : 100 – ancien routeur

VLANID : 101 – nouveau routeur

Remarque : un routeur virtuel créé sur la base de R3 (logiciel Cisco IOS, logiciel C2900 (C2900-UNIVERSALK9_NPE-M), version 15.0(1)M1, RELEASE LOGICIEL (fc1)) est utilisé comme R5.

Le routeur R3 est équipé de trois ports Gigabit Ethernet, l'interface Gi0/0 est utilisée pour le routage interne, Gi0/1 est utilisée pour la connexion à un pare-feu matériel et Gi0/2 est utilisée pour la connexion à un fournisseur externe.

Passons à la configuration du routeur R5.

Passons en mode configuration :
R3(config)#ip vrf zone1
Cette commande crée une table de routage isolée sur le routeur. Nom zone1 sélectionné par l'administrateur de manière indépendante. Vous pouvez également attribuer un identifiant et une description. Plus de détails peuvent être trouvés dans la documentation. Une fois terminé, revenez en mode configuration à l'aide de la commande sortie.

Configuration des interfaces réseau :
R3(config)#interface GigabitEthernet0/0.100

R3(config-subif)#encapsulation dot1Q 100
R3(config-subif)#adresse IP 172.16.100.2 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.101
R3(config-subif)#ip vrf zone de transfert1
R3(config-subif)#encapsulation dot1Q 101
R3(config-subif)#adresse IP 172.16.100.6 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip vrf zone de transfert1
R3(config-subif)#encapsulation dot1Q 1000
R3(config-subif)#adresse IP 172.16.200.1 255.255.255.252
R3(config-subif)#exit
Vous devez maintenant configurer le PBR. Pour ce faire, nous allons créer une ACL, guidé par la règle suivante : tous ceux qui entrent dans l'ACL sont acheminés via l'ancienne passerelle, et les autres sont acheminés via la nouvelle.
R3(config)#access-list 101 refuser l'hôte IP 192.168.3.24 tout
R3(config)#access-list 101 refuser l'hôte IP 192.168.3.25 tout
R3(config)#access-list 101 refuser l'hôte IP 192.168.3.26 tout
R3(config)#access-list 101 autorisation IP quelconque
Créez une carte d'itinéraire :
R3(config)#route-map gw1 permis 50
R3(config-route-map)#match adresse IP 101
R3 (config-route-map) #set ip vrf zone1 prochain saut 172.16.100.1
R3(config-route-map)#exit
Et appliquez-le à l'interface :
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip stratégie route-map gw1
R3(config-subif)#exit
Ajouter une route par défaut à la table de routage zone1:
R3(config)#ip route vrf zone1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
et vérifiez la table de routage pour zone1
R3#show ip route vrf zone1
Table de routage : zone1
Codes : L - local, C - connecté, S - statique, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP externe, O - OSPF, IA - OSPF inter zone
N1 - OSPF NSSA externe type 1, N2 - OSPF NSSA externe type 2
E1 - OSPF externe type 1, E2 - OSPF externe type 2
i - IS-IS, su - Résumé IS-IS, L1 - IS-IS niveau-1, L2 - IS-IS niveau-2
ia - zone inter IS-IS, * - candidat par défaut, U - route statique par utilisateur
o - ODR, P - route statique téléchargée périodiquement, + - route répliquée

La passerelle de dernier recours est 172.16.100.5 vers le réseau 0.0.0.0

S* 0.0.0.0/0 via 172.16.100.5, GigabitEthernet0/0.101
172.16.0.0/16 est à sous-réseaux variable, 6 sous-réseaux, 2 masques
C 172.16.100.0/30 est directement connecté, GigabitEthernet0/0.100
L 172.16.100.2/32 est directement connecté, GigabitEthernet0/0.100
C 172.16.100.4/30 est directement connecté, GigabitEthernet0/0.101
L 172.16.100.6/32 est directement connecté, GigabitEthernet0/0.101
C 172.16.200.0/30 est directement connecté, GigabitEthernet0/0.1000
L 172.16.200.1/32 est directement connecté, GigabitEthernet0/0.1000
Le problème de la division du trafic réseau client en différentes passerelles a été résolu. Parmi les inconvénients de la solution adoptée, je voudrais noter la charge accrue sur le matériel du routeur et l'affaiblissement de la sécurité, puisque le routeur connecté au réseau mondial dispose d'une connexion directe au réseau local, contournant le pare-feu matériel.

Ce n'est un secret pour personne que pour construire votre propre infrastructure informatique, vous deviez auparavant recourir à des équipements spécialisés conçus à diverses fins et dépenser un centime supplémentaire soit pour l'acheter, soit pour le louer. Et ce n'est que le début de l'épopée, car alors l'entière responsabilité de la gestion de l'infrastructure incombait à l'entreprise elle-même.

Avec l'avènement des technologies de virtualisation et les exigences croissantes en matière de performances, de disponibilité et de fiabilité des systèmes informatiques, les entreprises ont de plus en plus commencé à choisir des solutions cloud et des plates-formes virtuelles de fournisseurs IaaS fiables. Et cela est compréhensible : de nombreuses organisations ont des exigences croissantes, la plupart souhaitent voir des solutions flexibles déployées le plus rapidement possible et ne pas avoir de problèmes de gestion de l'infrastructure.

Cette approche n’est pas nouvelle aujourd’hui ; au contraire, elle devient une tactique de plus en plus courante pour une gestion efficace des entreprises et des infrastructures.

La redistribution et le transfert de la plupart des charges de travail des sites physiques vers des sites virtuels nécessitent également d'étudier les problèmes de mise en œuvre de la sécurité. La sécurité – tant d’un point de vue physique que virtuel – doit toujours être optimale. Bien entendu, il existe de nombreuses solutions sur le marché informatique conçues pour offrir et garantir un haut niveau de protection des environnements virtuels.

Examinons de plus près le pare-feu virtuel annoncé relativement récemment CiscoASAv, qui a remplacé le pare-feu cloud Cisco ASA 1000v. Cisco annonce sur son site officiel l'arrêt des ventes et du support de Cisco ASA 1000v, introduisant en remplacement le produit phare de protection des infrastructures cloud et virtuelles sous la forme du produit Cisco ASAv.

De manière générale, il convient de noter que ces dernières années, Cisco a accru son activité dans le segment de la virtualisation, en ajoutant des produits virtualisés à sa gamme de solutions matérielles. L’émergence de Cisco ASAv en est une autre confirmation.

Cisco ASAv (l'appliance virtuelle de sécurité adaptative Cisco), comme indiqué précédemment, représente est un pare-feu virtuel. Il se concentre sur le travail dans un environnement virtuel et possède les fonctionnalités de base du matériel Cisco ASA, à l'exception du mode multi-contexte et du clustering.

Présentation de Cisco ASAv

Cisco ASAv fournit une fonctionnalité de pare-feu pour protéger les données dans les centres de données et les environnements cloud. Cisco ASAv est une machine virtuelle qui peut s'exécuter sur divers hyperviseurs, notamment VMware ESXi, et interagir avec des commutateurs virtuels pour traiter le trafic. Le pare-feu virtuel peut fonctionner avec une variété de commutateurs virtuels, notamment Cisco Nexus 1000v, VMware dvSwitch et vSwitch. Cisco ASAv prend en charge la mise en œuvre de VPN site à site, de VPN d'accès à distance et de VPN d'accès à distance sans client, tout comme sur les appareils Cisco ASA physiques.

Figure 1. Architecture Cisco ASAv

Cisco ASAv utilise Cisco Smart Licensing, qui simplifie considérablement le déploiement, la gestion et la surveillance des instances virtuelles Cisco ASAv utilisées côté client.

Principales fonctionnalités et avantages de Cisco ASAv

• Couche de sécurité unique inter-domaines

Cisco ASAv offre un niveau unique de sécurité entre les sites physiques et virtuels avec la possibilité d'utiliser plusieurs hyperviseurs. Dans le cadre de la construction d’une infrastructure informatique, les clients ont souvent recours à un modèle hybride, lorsque certaines applications sont conçues pour l’infrastructure physique de l’entreprise, et d’autres pour une plateforme virtuelle comportant plusieurs hyperviseurs. Cisco ASAv utilise des options de déploiement consolidées où une politique de sécurité unique peut être appliquée aux appareils physiques et virtuels.

• Facilité de gestion

Cisco ASAv utilise un transfert d'état représentatif (API REST) ​​basé sur une interface HTTP standard, qui permet de gérer l'appareil lui-même, ainsi que de modifier les politiques de sécurité et de surveiller les états d'état.

• Facilité de déploiement

Cisco ASAv avec une configuration donnée peut être déployé dans un laps de temps très court.

Cisco ASAv est une famille de produits disponibles dans les modèles suivants :

Figure 2. Famille de produits Cisco ASAv

Spécification Cisco ASAv

	Cisco ASAv5	Cisco ASAv10	Cisco ASAv30
Débit avec état (maximum)	100 Mbit/s	1 Gbit/s	2 Gbit/s
Débit avec connexions avec état (multiprotocole)	50 Mbit/s	500 Mbit/s	1 Gbit/s
Débit avec VPN (3DES/AES)	30 Mbit/s	125 Mbit/s	300 Mbit/s
Nombre de connexions par seconde	8 000	20 000	60 000
Nombre de séances simultanées	50 000	100 000	500 000
Nombre de réseaux locaux virtuels (VLAN)	25	50	200
Nombre de sessions utilisateur VPN entre hôtes et avec un client IPsec	50	250	750
Nombre de sessions utilisateur VPN AnyConnect ou accès sans programme client	50	250	750
Nombre d'utilisateurs du système de protection cloud contre les menaces Internet Cisco Cloud Web Security	250	1 000	5 000
Prise en charge haute disponibilité	Actif/veille	Actif/veille	Actif/veille
Prise en charge de l'hyperviseur	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0
Nombre de processeurs virtuels	1	1	4
Mémoire	2 Go	2 Go	8 Go
Disque dur	8 Go	8 Go	16 GB

Fonctionnalité VMware prise en charge dans ASAv

Fonctionnalité	Description	Prise en charge (Oui/Non)
Clonage à froid	Les machines virtuelles sont désactivées pendant le clonage	Oui
DRS	Utilisé pour la planification dynamique des ressources et la gestion distribuée des capacités	Oui
Ajout à chaud	Les machines virtuelles continuent de fonctionner pendant que des ressources supplémentaires sont ajoutées	Oui
Clonage à chaud	Pendant le processus de clonage, les machines virtuelles restent en cours d'exécution	Non
Retrait à chaud	Pendant la suppression des ressources, les machines virtuelles restent en cours d'exécution	Oui
Des photos	Les machines virtuelles s'arrêtent pendant quelques secondes	Oui
Suspension et reprise	Les machines virtuelles sont suspendues puis reprises	Oui
Directeur vCloud	Permet le déploiement automatique de machines virtuelles	Non
Migration de machines virtuelles	Les machines virtuelles sont désactivées pendant la migration	Oui
vMotion	La migration en direct des machines virtuelles est utilisée	Oui
VMware FT (technologie de disponibilité continue)	Utilisé pour la haute disponibilité des machines virtuelles	Non
VMware HA	Minimise les pertes dues aux pannes matérielles physiques et redémarre les machines virtuelles sur un autre hôte du cluster en cas de panne	Oui
Client Windows autonome VMware vSphere		Oui
Client Web VMware vSphere	Utilisé pour déployer des machines virtuelles	Oui

Déploiement d'ASAv à l'aide de VMware vSphere Web Client

Si vous décidez de déployer ASAv sur un site distant d'un fournisseur IaaS ou sur tout autre site virtualisé, afin d'éviter des moments inattendus et non fonctionnels, vous devez immédiatement prêter attention aux exigences et restrictions supplémentaires :

• Le déploiement d'ASAv à partir d'un fichier ova ne prend pas en charge la localisation. Vous devez vous assurer que les serveurs VMware vCenter et LDAP de votre environnement utilisent le mode de compatibilité ASCII.
• Avant d'installer ASAv et d'utiliser la console de la machine virtuelle, vous devez définir la disposition du clavier prédéfinie (anglais des États-Unis).

Vous pouvez utiliser le client Web VMware vSphere pour installer ASAv. Pour ce faire, vous devez vous connecter à l'aide d'un lien prédéfini dans le . Le port par défaut est 9443, mais selon les paramètres spécifiques, la valeur peut différer.

• Lorsque vous accédez pour la première fois au client Web VMware vSphere, vous devez installer le plug-in d'intégration client, disponible en téléchargement directement à partir de la fenêtre d'authentification.
• Une fois l'installation réussie, vous devez vous reconnecter au client Web VMware vSphere et vous connecter en saisissant votre nom d'utilisateur et votre mot de passe.
• Avant de commencer l'installation de Cisco ASAv, vous devez télécharger le fichier ASAv OVA à partir de http://cisco.com/go/asa-software et vous assurer également que vous disposez d'au moins une interface réseau vSphere configurée.
• Dans la fenêtre de navigation du client Web VMware vSphere, vous devez basculer vers le panneau vCentre et allez à HôtesetGroupes. En cliquant sur le centre de données, le cluster ou l'hôte, selon l'endroit où vous décidez d'installer Cisco ASAv, sélectionnez l'option pour déployer le modèle OVF ( DéployerOVFModèle).

Figure 3. Déploiement OVF du modèle ASAv

• Dans la fenêtre de l'assistant de déploiement de modèle OVF dans la section Source Vous devez sélectionner le fichier OVA d'installation de Cisco ASAv. Veuillez noter que dans la fenêtre d'aperçu des pièces ( Revoir Détails) des informations sur le paquet ASAv s'affichent.

Figure 4. Présentation des détails de l'installation d'ASAv

• En acceptant le contrat de licence sur la page Accepter CLUF, nous passons à la détermination du nom de l'instance Cisco ASAv et de l'emplacement des fichiers de la machine virtuelle.
• A la fin de la sélection de la configuration ( Sélectionner configuration), vous devez utiliser les valeurs suivantes :
  • Pour la configuration autonome, sélectionnez 1 (ou 2, 3, 4) vCPU autonome.
  • Pour une configuration de basculement, sélectionnez 1 (ou 2, 3, 4) vCPU HA principal.
• Dans la fenêtre de sélection du stockage ( Sélectionner Stockage) déterminer le format du disque virtuel, pour gagner de la place il sera utile de sélectionner l'option Disposition mince. Vous devez également sélectionner le stockage sur lequel ASAv s'exécutera.

Figure 5. Fenêtre de sélection du stockage

• Dans la fenêtre de configuration du réseau ( Installation réseau) sélectionne l'interface réseau qui sera utilisée lors du fonctionnement d'ASAv. Attention : la liste des interfaces réseaux n'est pas précisée par ordre alphabétique, ce qui rend parfois difficile la recherche de l'élément recherché.

Figure 6. Fenêtre de configuration des paramètres réseau

Lorsque vous déployez une instance ASAv, vous pouvez utiliser la boîte de dialogue Modifier les paramètres réseau pour apporter des modifications aux paramètres réseau. La figure 7 montre un exemple de correspondance entre les ID d'adaptateur réseau et les ID d'interface réseau ASAv.

Figure 7. Correspondance entre les adaptateurs réseau et les interfaces ASAv

• Il n'est pas nécessaire d'utiliser toutes les interfaces ASAv, mais vSphere Web Client nécessite que des réseaux soient attribués à toutes les interfaces. Les interfaces dont l'utilisation n'est pas prévue doivent être réglées sur Désactivé(désactivé) dans les paramètres ASAv. Après avoir déployé ASAv dans vSphere Web Console, vous pouvez supprimer les interfaces inutiles à l'aide de la boîte de dialogue Modifier les paramètres ( Modifier Paramètres).
• Dans la fenêtre de personnalisation du modèle ( Personnaliser modèle), vous devez définir un certain nombre de paramètres clés, notamment la configuration de l'adresse IP, du masque de sous-réseau et des paramètres de passerelle par défaut. De même, vous devez définir l'adresse IP du client autorisée pour l'accès ASDM et, si une passerelle distincte est requise pour communiquer avec le client, définir son adresse IP.

Figure 8. Fenêtre de personnalisation du modèle

• De plus, dans l'option Type de déploiement ( Type de déploiement), vous devez sélectionner le type d'installation ASAv parmi trois options possibles : Autonome, HA principale, HA secondaire.

Figure 9. Sélection du type d'installation ASAv approprié

Dans la fenêtre Prêt à terminer ( Prêt à complet) affiche un résumé des informations de configuration de Cisco ASAv. Activation de l'option lancement après déploiement ( Pouvoir sur après déploiement) vous permettra de démarrer la machine virtuelle une fois l'assistant terminé.

• Vous pouvez surveiller le processus de déploiement du modèle ASAv OVF et l'état des tâches terminées dans la console des tâches ( Tâche Console).

Figure 10. État de déploiement du modèle OVF

• Si la machine virtuelle ASAv n'est pas encore en cours d'exécution, vous devez la démarrer à l'aide de l'option de démarrage ( Pouvoir sur le virtuel machine). Lorsque ASAv est lancé pour la première fois, il lit les paramètres spécifiés dans le fichier OVA et configure les valeurs système en fonction de celui-ci.

Figure 11. Démarrage de la machine virtuelle ASAv

En résumant l'installation d'ASAv, nous ne pouvons nous empêcher de noter le fait agréable que l'ensemble du processus - depuis le téléchargement du package, le déploiement et le lancement - ne prend pas plus de 15 à 20 minutes. Dans le même temps, les configurations ultérieures, telles que le VPN, se caractérisent par des coûts de temps insignifiants, alors que la mise en place d'un ASA physique nécessiterait beaucoup plus de temps. Cisco ASAv peut également être déployé à distance, offrant flexibilité et commodité aux entreprises utilisant des sites distants.

De l'installation à la gestion ASAv

Pour gérer ASAv, vous pouvez utiliser le bon vieil outil ASDM (Adaptive Security Device Manager), qui est une solution pratique avec une interface utilisateur graphique. Le processus de déploiement ASAv donne accès à l'ASDM, qui peut ensuite être utilisé pour effectuer diverses configurations, surveillance et dépannage. La connexion s'effectue ensuite depuis la machine client dont l'adresse IP a été précisée lors du processus de déploiement. Pour accéder à l'ASDM, un navigateur Web est utilisé avec l'adresse IP ASAv spécifiée.

Lancement de l'ASDM

Sur une machine définie comme client ASDM, vous devez lancer un navigateur et spécifier les valeurs ASAv au format https://asav_ip_address/admin, ce qui fera apparaître une fenêtre avec les options suivantes :

• installez ASDM Launcher et lancez ASDM ;
• exécuter ASDM ;
• démarrez l'assistant de démarrage.

Figure 12. Exemple de lancement de l'outil ASDM

InstallerASDMLancez et exécutezASDM

Pour lancer le programme d'installation, sélectionnez « Installer ASDM Launcher et lancer ASDM ». Dans les champs « nom d'utilisateur » et « mot de passe » (en cas de nouvelle installation), vous pouvez ne laisser aucune valeur et cliquer sur « OK ». Sans authentification HTTPS configurée, l'accès à ASDM se produit sans spécifier d'informations d'identification. Si l'authentification HTTPS est activée, vous devez spécifier un identifiant et un mot de passe.

• Enregistrez le programme d'installation localement et commencez l'installation. Une fois l'installation terminée, ASDM-IDM Launcher se lancera automatiquement.
• Entrez l'adresse IP ASAv et cliquez sur OK.

LancementASDM

Vous pouvez également utiliser Java Web Start pour exécuter ASDM directement, sans l'installer. Sélectionnez l'option « Lancer ASDM », après quoi la fenêtre du lanceur ASDM-IDM s'ouvrira.

Figure 13. Connexion à ASAv à l'aide du lanceur ASDM-IDM

Démarrer l'assistant de lancement

Lorsque vous sélectionnez l'option Exécuter l'assistant de démarrage, vous pouvez définir les paramètres de configuration ASAv suivants

• Nom d'hôte
• Nom de domaine
• Mot de passe administrateur
• Interfaces
• Adresses IP
• Itinéraires statiques
• Serveur DHCP
• Règles NAT
• et plus (et autres paramètres...)

Utilisation de la consoleVMware vSphère

Pour la configuration initiale, le dépannage et l'accès à l'interface de ligne de commande (CLI), vous pouvez utiliser la console ASAv, accessible depuis VMware vSphere Web Client.

Important! Pour travailler avec la console ASAv, vous devez installer un plugin (Client Integration Plug-In).

Jusqu'à ce qu'une licence soit installée, il y aura une limite de bande passante de 100 kbps. Dans un environnement de production, toutes les fonctionnalités nécessitent une licence. Les informations sur la licence sont affichées dans la console ASAv.

Figure 15. Exemple d'affichage des informations de licence

En vous connectant à la console ASAv, vous pouvez travailler selon plusieurs modes.

Mode privilégié

• Paramètre ciscoasa> dans la fenêtre de la console indique le fonctionnement en mode EXEC, dans lequel seules les commandes de base sont disponibles. Pour passer en mode d'exécution privilégié, vous devez exécuter la commande ciscoasa>activer, après quoi vous devrez saisir un mot de passe (Mot de passe), si un mot de passe a été défini, sinon, appuyez sur Entrée.
• Valeur de sortie ciscoasa# dans la fenêtre de la console indique le passage en mode privilégié. Il permet l'utilisation de commandes non-configuration. Pour exécuter des commandes de configuration, vous devez passer en mode configuration. Vous pouvez également y passer depuis le mode privilégié.
• Pour quitter le mode privilégié, utilisez les commandes désactiver, sortie ou quitter.

Mode de configuration globale

• Pour passer en mode de configuration globale utilisez la commande :

ciscoasa#configurerTerminal

• Si vous réussissez à passer en mode de configuration, l'indicateur de préparation au mode de configuration global apparaît comme suit :

ciscoasa (configuration)#

• Pour appeler une liste de toutes les commandes possibles, veuillez vous référer à l'aide :

ciscoasa (configuration)#aide?

Ensuite, une liste de toutes les commandes disponibles s'affiche par ordre alphabétique, comme le montre la figure 16.

Figure 16. Exemple d'affichage de commande en mode de configuration globale

• Pour quitter le mode de configuration globale, utilisez les commandes sortie,quitter ou fin.

Salut tout le monde.

À un moment donné, j'ai dû faire affaire avec Cisco. Pas pour longtemps, mais quand même. Tout ce qui concerne Cisco est désormais très populaire. À une certaine époque, j'ai participé à l'ouverture d'une Cisco Academy locale dans une université locale. Il y a un an, j'ai suivi le cours "". Mais nous n’avons pas toujours accès au matériel lui-même, surtout pendant les études. Les émulateurs viennent à la rescousse. Il y en a aussi pour Cisco. J'ai commencé avec Boson NetSim et presque tous les étudiants utilisent désormais Cisco Packet Tracer. Mais néanmoins, l'ensemble des simulateurs ne se limite pas à ces deux types.

Il y a quelque temps, dans notre série « Réseaux pour les plus petits », nous sommes passés à l'émulateur GNS3, qui répondait mieux à nos besoins que Cisco Packet Tracer.

Mais quelles alternatives avons-nous ? Alexandre alias Sinister, qui n'a pas encore de compte sur Habré, vous en parlera.

Il existe un assez grand nombre de simulateurs et d'émulateurs pour les équipements Cisco Systems. Dans cette courte revue, je vais essayer de montrer tous les outils existants qui résolvent ce problème. Les informations seront utiles à ceux qui étudient les technologies réseau, se préparent à passer des examens Cisco, assemblent des racks pour le dépannage ou recherchent des problèmes de sécurité.

Un peu de terminologie.

Simulateurs- ils imitent un certain ensemble de commandes, il est intégré et si vous dépassez les limites, vous recevrez immédiatement un message d'erreur. Un exemple classique est Cisco Packet Tracer.

Émulateurs au contraire, ils vous permettent de lire (en effectuant une traduction d'octets) des images (firmware) d'appareils réels, souvent sans restrictions visibles. A titre d'exemple - GNS3/Dynamips.

Examinons d'abord Cisco Packet Tracer.

1. Traceur de paquets Cisco

Ce simulateur est disponible pour Windows et Linux et est gratuit pour les étudiants de la Cisco Networking Academy.

Dans la version 6, des éléments tels que :

• iOS15
• Modules HWIC-2T et HWIC-8A
• 3 nouveaux appareils (Cisco 1941, Cisco 2901, Cisco 2911)
• Prise en charge HSRP
• IPv6 dans les paramètres des appareils finaux (ordinateurs de bureau).

Le sentiment est que la nouvelle version a été programmée pour coïncider avec la mise à jour de l'examen CCNA vers la version 2.0.

Ses avantages sont la convivialité et la cohérence de l’interface. De plus, il est pratique de vérifier le fonctionnement de divers services réseau, tels que DHCP/DNS/HTTP/SMTP/POP3 et NTP.

Et l’une des fonctionnalités les plus intéressantes est la possibilité de passer en mode simulation et de voir le mouvement des paquets avec dilatation du temps.

Cela m'a rappelé cette même Matrix.

• Presque tout ce qui dépasse le cadre de CCNA ne peut pas y être assemblé. Par exemple, EEM est totalement absent.
• De plus, divers problèmes peuvent parfois apparaître, qui ne peuvent être résolus qu'en redémarrant le programme. Le protocole STP est particulièrement réputé pour cela.

On se retrouve avec quoi ?

Un bon outil pour ceux qui viennent de commencer à se familiariser avec les équipements Cisco.

Le suivant est GNS3, qui est une interface graphique (sous Qt) pour l'émulateur dynamips.

Un projet gratuit, disponible pour Linux, Windows et Mac OS X. Le site Web du projet GNS est www.gns3.net. Mais la plupart de ses fonctions conçues pour améliorer les performances ne fonctionnent que sous Linux (IOS fantôme, qui fonctionne lors de l'utilisation de nombreux firmwares identiques), la version 64 bits est également uniquement pour Linux. La version actuelle de GNS est actuellement la 0.8.5. Il s'agit d'un émulateur qui fonctionne avec le vrai firmware iOS. Pour l'utiliser, vous devez disposer du firmware. Disons que vous avez acheté un routeur Cisco, vous pouvez les supprimer. Vous pouvez y connecter des machines virtuelles VirtualBox ou VMware Workstation et créer des schémas assez complexes ; si vous le souhaitez, vous pouvez aller plus loin et les publier dans un réseau réel. De plus, Dynamips peut émuler à la fois l'ancien Cisco PIX et le célèbre Cisco ASA, même la version 8.4.

Mais avec tout cela, il y a beaucoup de défauts.

Le nombre de plateformes est strictement limité : seuls les châssis fournis par les développeurs dynamips peuvent être lancés. Il est possible de faire tourner la version iOS 15 uniquement sur la plateforme 7200. Il est impossible d'utiliser pleinement les commutateurs Catalyst, cela est dû au fait qu'ils utilisent un grand nombre de circuits intégrés spécifiques, donc extrêmement difficiles à émuler. Il ne reste plus qu'à utiliser des modules réseau (NM) pour les routeurs. Lors de l'utilisation d'un grand nombre d'appareils, la dégradation des performances est garantie.

Qu’avons-nous en fin de compte ?

Un outil dans lequel vous pouvez créer des topologies assez complexes et vous préparer aux examens de niveau CCNP, avec quelques réserves.

3. Boson NetSim

Quelques mots sur le simulateur Boson NetSim, récemment mis à jour vers la version 9.

Disponible uniquement pour Windows, le prix varie de 179 $ pour CCNA et jusqu'à 349 $ pour CCNP.

Il s'agit d'une sorte de recueil de travaux de laboratoire, regroupés par thèmes d'examen.

Comme vous pouvez le voir sur les captures d'écran, l'interface se compose de plusieurs sections : une description de la tâche, une carte du réseau et sur le côté gauche se trouve une liste de tous les laboratoires. Une fois le travail terminé, vous pouvez vérifier le résultat et savoir si tout a été fait. Il est possible de créer vos propres topologies, avec quelques restrictions.

Principales caractéristiques de Boson NetSim :

• Prend en charge 42 routeurs, 6 commutateurs et 3 autres appareils
• Simule le trafic réseau à l'aide de la technologie des paquets virtuels
• Fournit deux styles de navigation différents : mode Telnet ou mode console
• Prend en charge jusqu'à 200 appareils sur une topologie
• Vous permet de créer vos propres laboratoires
• Comprend des laboratoires prenant en charge la simulation SDM
• Comprend des appareils non Cisco tels que le serveur TFTP, TACACS+ et Packet Generator (ce sont probablement les mêmes 3 autres appareils)

Il présente les mêmes inconvénients que Packet Tracer.

Pour ceux qui ne sont pas gênés par un certain montant et qui, en même temps, ne veulent pas comprendre et créer leurs propres topologies, mais veulent simplement s'entraîner avant l'examen, cela sera très utile.

Site officiel - www.boson.com/netsim-cisco-network-simulator.

4. Cisco RSE

Examinons maintenant le CSR assez récent de Cisco.

Le routeur virtuel Cisco Cloud Service Router 1000V est apparu relativement récemment.

Il est disponible sur le site officiel de Cisco.

Pour télécharger cet émulateur, il vous suffit de vous inscrire sur le site. Gratuitement. Aucun contrat avec Cisco n'est requis. C'est vraiment un événement, car auparavant Cisco combattait les émulateurs de toutes les manières possibles et recommandait de louer uniquement du matériel. Vous pouvez télécharger, par exemple, un fichier OVA, qui est une machine virtuelle, apparemment RedHat ou ses dérivés. Chaque fois que la machine virtuelle démarre, elle charge une image ISO, à l'intérieur de laquelle vous pouvez trouver CSR1000V.BIN, qui est le véritable firmware. Eh bien, Linux agit comme un wrapper, c'est-à-dire un convertisseur d'appel. Certaines exigences indiquées sur le site sont DRAM 4096 Mo Flash 8192 Mo. Avec la capacité actuelle, cela ne devrait pas poser de problèmes. CSR peut être utilisé dans les topologies GNS3 ou en conjonction avec un commutateur virtuel Nexus.

Le CSR1000v est conçu comme un routeur virtuel (un peu comme Quagga, mais IOS de Cisco), qui s'exécute sur l'hyperviseur en tant qu'instance client et fournit les services d'un routeur ASR1000 classique. Cela peut être quelque chose d'aussi simple qu'un routage de base ou un NAT, jusqu'à des choses comme VPN MPLS ou LISP. En conséquence, nous avons un fournisseur presque à part entière Cisco ASR 1000. La vitesse de fonctionnement est assez bonne, elle fonctionne en temps réel.

Non sans défauts. Vous ne pouvez utiliser qu’une licence d’essai gratuite, qui ne dure que 60 jours. De plus, dans ce mode, le débit est limité à 10, 25 ou 50 Mbps. Après la fin d'une telle licence, la vitesse tombera à 2,5 Mbps. Le coût d'une licence d'un an coûtera environ 1 000 $.

5. Cisco Nexus Titane

Titanium est un émulateur du système d'exploitation du commutateur Cisco Nexus, également appelé NX-OS. Les Nexus se positionnent comme des switchs pour les datacenters.

Cet émulateur a été créé directement par Cisco pour un usage interne.

L'image Titanium 5.1.(2), compilée il y a quelque temps sur la base de VMware, est devenue publique. Et après un certain temps, le Cisco Nexus 1000V est apparu, qui peut être légalement acheté séparément ou dans le cadre de l'édition vSphere Enterprise Plus de Vmware. Vous pouvez le regarder sur le site Web - www.vmware.com/ru/products/cisco-nexus-1000V/

Parfait pour tous ceux qui se préparent à suivre la filière Data Center. Il a une particularité - après la mise sous tension, le processus de démarrage commence (comme dans le cas de CSR, nous verrons également Linux) et s'arrête. On dirait que tout est gelé, mais ce n'est pas le cas. La connexion à cet émulateur se fait via des canaux nommés.

Un canal nommé est l'une des méthodes de communication interprocessus. Ils existent à la fois dans les systèmes de type Unix et sous Windows. Pour vous connecter, ouvrez simplement Putty, par exemple, sélectionnez le type de connexion série et spécifiez \\.\pipe\vmwaredebug.

À l'aide de GNS3 et QEMU (un émulateur de système d'exploitation léger fourni avec GNS3 pour Windows), vous pouvez assembler des topologies impliquant des commutateurs Nexus. Et encore une fois, vous pouvez libérer ce commutateur virtuel dans le réseau réel.

6. Reconnaissance de dette Cisco

Et enfin, le fameux Cisco IOU (Cisco IOS sur UNIX) est un logiciel propriétaire qui n'est pas du tout officiellement distribué.

On pense que Cisco peut suivre et identifier qui utilise l'IOU.

Une fois lancée, une requête HTTP POST est tentée auprès du serveur xml.cisco.com. Les données envoyées incluent le nom d'hôte, la connexion, la version IOU, etc.

On sait que Cisco TAC utilise IOU. L'émulateur est très populaire parmi ceux qui se préparent à passer le CCIE. Au départ, il ne fonctionnait que sous Solaris, mais au fil du temps, il a été porté sous Linux. Il se compose de deux parties - l2iou et l3iou ; d'après le nom, vous pouvez deviner que la première émule la couche liaison de données et les commutateurs, et la seconde émule la couche réseau et les routeurs.

L'auteur de l'interface Web est Andrea Dainese. Son site Web : www.routereflector.com/cisco/cisco-iou-web-interface/. Le site lui-même ne contient ni IOU ni aucun firmware ; de plus, l'auteur déclare que l'interface Web a été créée pour les personnes ayant le droit d'utiliser IOU.

Et quelques conclusions finales.

Il s'est avéré qu'il existe actuellement une gamme assez large d'émulateurs et de simulateurs d'équipements Cisco. Cela vous permet de vous préparer presque entièrement aux examens des différentes filières (R/S classique, Service Provider et même Data Center). Avec quelques efforts, vous pouvez collecter et tester une grande variété de topologies, effectuer des recherches de vulnérabilité et, si nécessaire, publier des équipements émulés sur un réseau réel.

Nous voulons vous parler du système d'exploitation IOS, développé par la société Cisco. CiscoIOS ou Système d'exploitation d'interréseau(Internet Operating System) est le logiciel utilisé dans la plupart des commutateurs et routeurs Cisco (les premières versions des commutateurs fonctionnaient sur CatOS). IOS comprend des fonctions de routage, de commutation, d'interconnexion et de télécommunications intégrées dans un système d'exploitation multitâche.

Tous les produits Cisco n'utilisent pas IOS. Les exceptions incluent les produits de sécurité COMME UN., qui utilisent le système d'exploitation Linux et les routeurs qui exécutent iOS-XR. Cisco IOS comprend un certain nombre de systèmes d'exploitation différents qui s'exécutent sur divers périphériques réseau. Il existe de nombreuses variantes différentes de Cisco IOS : pour les commutateurs, les routeurs et autres périphériques réseau Cisco, les versions IOS pour des périphériques réseau spécifiques, les ensembles de fonctionnalités IOS qui fournissent différents packages de fonctionnalités et de services.

Le fichier lui-même IOS a une taille de plusieurs mégaoctets et est stocké dans une zone de mémoire semi-permanente appelée éclair. La mémoire flash fournit un stockage non volatile. Cela signifie que le contenu de la mémoire n'est pas perdu lorsque l'appareil perd de l'alimentation. Sur de nombreux appareils Cisco, IOS est copié de la mémoire flash vers la RAM lorsque l'appareil est allumé, puis IOS est démarré à partir de la RAM lorsque l'appareil est en cours d'exécution. La RAM a de nombreuses fonctions, notamment le stockage des données, qui sont utilisées par l'appareil pour prendre en charge les opérations réseau. L'exécution d'iOS dans la RAM améliore les performances de l'appareil, mais la RAM est considérée comme une mémoire volatile car les données sont perdues lors du cycle d'alimentation. Un cycle d'alimentation se produit lorsqu'un appareil est éteint intentionnellement ou accidentellement, puis rallumé.

Gestion des appareils avec IOS se produit à l’aide de l’interface de ligne de commande ( CLI), lorsqu'il est connecté à l'aide d'un câble de console, en Telnet, SSH ou en utilisant AUX port.

Noms des versions CiscoIOS composé de trois chiffres et de plusieurs symboles a.b(c.d)e, Où:

• un– numéro de version majeure
• b– numéro de version mineure (modifications mineures)
• c– numéro de série de la version
• d– numéro de build intermédiaire
• e(zéro, une ou deux lettres) – identifiant de séquence de version du logiciel, par exemple aucun (qui désigne la ligne principale), T (technologie), E (entreprise), S (fournisseur de services), fonctionnalité spéciale XA, XB comme autre fonctionnalité spéciale etc.

Reconstruire– des reconstructions sont souvent publiées pour résoudre un problème ou une vulnérabilité spécifique pour une version donnée d'iOS. Les reconstructions sont effectuées soit pour résoudre rapidement un problème, soit pour répondre aux besoins des clients qui ne souhaitent pas passer à une version majeure ultérieure car ils peuvent exécuter une infrastructure critique sur leurs appareils et préfèrent donc minimiser les modifications et les risques.

Libération provisoire– les versions intermédiaires, qui sont généralement produites sur une base hebdomadaire et constituent un instantané des évolutions en cours.

Version de maintenance– des versions testées, qui incluent des améliorations et des corrections de bugs. Cisco vous recommande de mettre à niveau vers la version de maintenance autant que possible.

Stades de développement:

• Déploiement précoce (ED)– déploiement plus précoce, de nouvelles fonctions et plates-formes sont introduites.
• Déploiement limité (LD)– déploiement initial limité, inclut des corrections d’erreurs.
• Déploiement général (GD)– déploiement général de l’OS, tests, affinement et préparation à la sortie de la version finale. Ces versions sont généralement stables sur toutes les plateformes
• Déploiement de maintenance (MD)– Ces versions sont utilisées pour une assistance supplémentaire, des corrections de bogues et une maintenance continue du logiciel.

La plupart des appareils Cisco qui utilisent IOS, disposent également d'un ou plusieurs "ensembles de fonctionnalités" ou "packages" - Jeu de fonctionnalités. Par exemple, les versions de Cisco IOS destinées à être utilisées sur les commutateurs Catalyst sont disponibles en versions « standard » (fournissant uniquement le routage IP de base), en versions « avancées » qui fournissent une prise en charge complète du routage IPv4 et en versions « services IP avancés » qui fournissent des fonctionnalités avancées. ainsi que la prise en charge d'IPv6.

Chaque individu jeu de fonctionnalités correspond à une catégorie de prestations en plus de l'ensemble de base ( Base IP– Routes statiques, OSPF, RIP, EIGRP. ISIS, BGP, IMGP, PBR, multidiffusion) :

• Données IP (Données– ajoute BFD, IP SLA, IPX, L2TPv3, Mobile IP, MPLS, SCTP)
• Voix (Communications unifiées– CUBE, SRST, passerelle vocale, CUCME, DSP, VXML)
• Sécurité et VPN (Sécurité- Pare-feu, VPN SSL, DMVPN, IPS, GET VPN, IPSec)

Cet article vous a-t-il été utile ?

S'il vous plaît dites-moi pourquoi?

Nous sommes désolés que l'article ne vous ait pas été utile : (S'il vous plaît, si ce n'est pas difficile, indiquez pourquoi ? Nous serons très reconnaissants pour une réponse détaillée. Merci de nous aider à devenir meilleurs !

La nouvelle infrastructure Cisco Virtualization Experience (VXI) répond à la nature fragmentée des solutions existantes qui rend difficile l'adoption des postes de travail virtuels. De plus, la nouvelle infrastructure étend les capacités de virtualisation des systèmes de bureau traditionnels pour le traitement multimédia et vidéo.

Cisco VXI aide à surmonter les principaux obstacles qui empêchent les entreprises de profiter des avantages financiers, de sécurité des données et de flexibilité du style de travail de la virtualisation des postes de travail, ainsi que de l'intégration de fonctionnalités de collaboration multimédia et vidéo, sans compromettre l'expérience utilisateur. De plus, Cisco VXI réduit le coût total de possession des solutions de virtualisation de postes de travail en augmentant radicalement le nombre de systèmes virtuels pris en charge par serveur.

Les analystes prédisent que la virtualisation des postes de travail pourrait réduire les coûts de support informatique de 51 % (par utilisateur), alors qu'elle représente 67 % des budgets informatiques des PC. Les postes de travail virtuels contribuent également à protéger la propriété intellectuelle de l'entreprise en plaçant les informations dans le centre de données plutôt que sur l'appareil physique de l'utilisateur. Dans le même temps, les utilisateurs finaux pourront choisir indépendamment le périphérique avec lequel ils accéderont à leur ordinateur virtuel. Tous ces avantages, associés à une productivité accrue et à une agilité commerciale accrue grâce aux applications multimédia et vidéo, augmentent la valeur des solutions réseau pour les utilisateurs finaux et les entreprises.

Les architectures basées sur Cisco VXI recommandées par Cisco incluent Cisco Collaboration, Cisco Data Center Virtualization et Cisco Borderless Networks, ainsi que les meilleurs logiciels et appareils de virtualisation de bureau.

Les technologies Cisco suivantes ont été testées pour vérifier leur compatibilité avec la solution Cisco VXI : Applications Cisco Unified Communications optimisées pour les environnements virtuels et les points finaux, y compris la tablette Cisco Cius ; Plateforme Cisco Quad™ ; solution d'équilibrage de charge et d'optimisation des applications Cisco ACE ; Logiciel Cisco pour accélérer les réseaux mondiaux ; Appliances de sécurité tout-en-un Cisco ASA ; Client VPN Cisco AnyConnect™ ; Environnement informatique unifié Cisco UCS™ ; Commutateurs de la gamme Cisco Nexus® et Cisco Catalyst® conçus pour les centres de données ; commutateurs multiniveaux pour réseaux de stockage Cisco MDS ; Routeurs Cisco ISR.

La solution Cisco VXI comprend les systèmes de virtualisation de postes de travail Citrix XenDesktop® 5 et VMware View™ 4.5 des leaders du secteur Citrix et VMware. La nouvelle infrastructure prend également en charge les applications de gestion et de sécurité, les systèmes de stockage d'EMC et NetApp, ainsi que de nombreuses applications Microsoft.

Le système Cisco VXI prend en charge un large éventail de points finaux, notamment les téléphones IP Cisco Unified, les ordinateurs portables, les tablettes d'entreprise, notamment Cisco Cius, et les smartphones. Cisco, en collaboration avec le leader du secteur Wyse, a optimisé une gamme de technologies matérielles et logicielles pour améliorer le temps de réponse des applications exécutées sur l'environnement Cisco VXI et les architectures associées. Profitant de l'ouverture de l'écosystème Cisco, DevonIT ​​​​et IGEL ont également testé la compatibilité de leurs appareils avec la solution Cisco VXI.

Les éléments de la solution Cisco VXI sont conçus et testés pour fonctionner ensemble dans diverses options d'installation afin de répondre au mieux aux exigences des clients. En plus d'une prise en charge multimédia flexible, la solution offre une compatibilité avec un large éventail de périphériques utilisateur et de méthodes d'accès, offrant ainsi aux utilisateurs la flexibilité de choisir en fonction des exigences de leur entreprise ou de leurs applications.

Appliances de virtualisation de postes de travail Cisco optimisées pour l'expérience multimédia

Cisco a annoncé deux appareils Cisco Virtualization Experience Client (VXC) qui prennent en charge les fonctionnalités de virtualisation des postes de travail sous une forme « sans client » en tandem avec Cisco Unified Communications :

• Le Cisco VXC 2100 est un appareil compact physiquement intégré aux téléphones IP Cisco Unified 8900 et 9900 pour optimiser l'environnement de travail de l'utilisateur. Il prend en charge Power-over-Ethernet (PoE) et peut fonctionner avec un ou deux moniteurs. L'appareil dispose de quatre ports USB pour connecter une souris et un clavier, si nécessaire pour travailler dans un environnement virtuel.
• Le Cisco VXC 2200 est une appliance autonome, compacte et sans client, dotée d'une conception simplifiée qui permet aux utilisateurs d'accéder à un bureau virtuel et à des applications professionnelles exécutées dans un environnement virtualisé. Conçu en tenant compte de l'environnement, le Cisco VXC 2200 peut être alimenté via Power-over-Ethernet (PoE) ou une alimentation en option. Cet appareil dispose également de quatre ports USB et de deux ports vidéo, grâce auxquels vous pouvez connecter les appareils nécessaires pour travailler dans un environnement virtuel.