Як ви знаєте, іноді на блозі публікуються статті наших добрих знайомих.

Сьогодні Євген розповість нам про віртуалізацію маршрутизатора Cisco.

Є класична схема організації мережі: рівень доступу (SW1, SW2, SW3), рівень розподілу (R1) та приєднання до глобальної мережі (R2). На маршрутизаторі R2 організовано збір статистики та налаштовано NAT. Між R2 та R3 встановлений апаратний брандмауер з функціями фільтрації трафіку та маршрутизації (схема 1)

Нещодавно було поставлено завдання з міграції всієї мережі на альтернативний шлюз (R4). Новий шлюз має кластерний функціонал і здатний горизонтально масштабуватися за рахунок збільшення кількості нод кластера. Згідно з планом введення в експлуатацію потрібно було, щоб у певний період часу в мережі було одночасно два шлюзи – старий (R2) – для всіх клієнтських мереж, і новий (R4) – для мереж, що беруть участь у тестуванні нового шлюзу (схема 2).

Спроби реалізувати PBR (Policy-based routing) на внутрішньому маршрутизаторі (R1) не мали успіху – трафік зациклювався. Керівництво на прохання додаткового обладнання відповіло відмовою. Час минав, маршрутизатора не було, завдання буксувало…

І тут на очі потрапила стаття з Інтернету, яка розповідала про ізоляцію таблиць маршрутизації на маршрутизаторах Cisco.

Я вирішив отримати додатковий маршрутизатор із незалежною таблицею маршрутизації на базі існуючого обладнання. Для вирішення завдання було складено новий проект (Схема 3), який передбачає наявність додаткового маршрутизатора з можливістю PBR.

Сполучна мережа між R1 та R5:

Мережа: 172.16.200.0/30

Інтерфейс R1: 172.16.200.2 /30

Інтерфейс на R5: 172.16.200.1/30

VLANID: 100 – старий маршрутизатор

VLANID: 101 – новий маршрутизатор

Примітка: В якості R5 використовується віртуальний маршрутизатор, створений на базі R3 (Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9_NPE-M), Version 15.0(1)M1, RELEASE SOFTWARE (fc1)).

Маршрутизатор R3 оснащений трьома гігабітними портами Ethernet, інтерфейс Gi0/0 – використовується для внутрішньої маршрутизації, Gi0/1 – для підключення до апаратного брандмауера, а Gi0/2 – для підключення до зовнішнього провайдера.

Перейдемо до налаштування маршрутизатора R5.

Переходимо в режим конфігурування:
R3(config)#ip vrf zone1
цією командою на маршрутизаторі створюється ізольована таблиця маршрутизації. Назва zone1вибирається адміністратором самостійно. Також можна призначити ідентифікатор та опис. Докладніше можна прочитати у документації. По завершенню повертаємось у режим конфігурування за допомогою команди exit.

Налаштовуємо мережеві інтерфейси:
R3(config)#interface GigabitEthernet0/0.100

R3(config-subif)#encapsulation dot1Q 100
R3(config-subif)#ip address 172.16.100.2 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.101
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#encapsulation dot1Q 101
R3(config-subif)#ip address 172.16.100.6 255.255.255.252
R3(config-subif)#exit
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip vrf forwarding zone1
R3(config-subif)#encapsulation dot1Q 1000
R3(config-subif)#ip address 172.16.200.1 255.255.255.252
R3(config-subif)#exit
Зараз потрібно налаштувати PBR. Для цього складемо ACL, керуючись наступним правилом: усі, хто потрапляє до ACL – маршрутизуються через старий шлюз, інші – через новий.
R3(config)#access-list 101 deny ip host 192.168.3.24 any
R3(config)#access-list 101 deny ip host 192.168.3.25 any
R3(config)#access-list 101 deny ip host 192.168.3.26 any
R3(config)#access-list 101 permit ip any any
Створюємо Route-Map:
R3(config)#route-map gw1 permit 50
R3(config-route-map)#match ip address 101
R3(config-route-map)#set ip vrf zone1 next-hop 172.16.100.1
R3(config-route-map)#exit
І застосовуємо його на інтерфейс:
R3(config)#interface GigabitEthernet0/0.1000
R3(config-subif)#ip policy route-map gw1
R3(config-subif)#exit
Додаємо маршрут за замовчуванням до таблиці маршрутизації zone1:
R3(config)#ip route vrf zone1 0.0.0.0 0.0.0.0 GigabitEthernet0/0.101 172.16.100.5
та перевіряємо таблицю маршрутизації для zone1
R3#show ip route vrf zone1
Routing Table: zone1
Codes: L - локальний, C - connected, S - static, R - RIP, M - мобільний, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 172.16.100.5 to network 0.0.0.0

S* 0.0.0.0/0 via 172.16.100.5, GigabitEthernet0/0.101
172.16.0.0/16 is variably subnetted, 6 subnets, 2 masks
C 172.16.100.0/30 is directly connected, GigabitEthernet0/0.100
L 172.16.100.2/32 є безпосередньо підключеним, GigabitEthernet0/0.100
C 172.16.100.4/30 є безпосередньо підключеним, GigabitEthernet0/0.101
L 172.16.100.6/32 є безпосередньо підключеним, GigabitEthernet0/0.101
C 172.16.200.0/30 is directly connected, GigabitEthernet0/0.1000
L 172.16.200.1/32 є безпосередньо підключеним, GigabitEthernet0/0.1000
Завдання щодо поділу трафіку клієнтських мереж на різні шлюзи вирішено. З мінусів прийнятого рішення хотілося б відзначити збільшення навантаження на апаратну частину маршрутизатора та ослаблення безпеки, оскільки маршрутизатор, підключений до глобальної мережі, має пряме підключення до локальної мережі в обхід апаратного брандмауера.

Ні для кого не секрет, що для побудови своєї обчислювальної інфраструктури раніше доводилося вдаватися до використання спеціалізованого обладнання, призначеного для різних цілей, і витрачати зайву копійку або на його придбання, або на оренду. І це лише початок епопеї, адже далі вся відповідальність управління інфраструктурою лягала на плечі компанії.

З появою технологій віртуалізації та зростаючими вимогами до продуктивності, доступності та надійності обчислювальних систем бізнес все частіше і частіше став робити вибір на користь хмарних рішень та віртуальних майданчиків надійних IaaS-провайдерів. І це цілком зрозуміло: у багатьох організацій підвищуються вимоги, більшість із них хочуть бачити гнучкі рішення, розгорнуті максимально швидко, і не мати при цьому жодних проблем щодо управління інфраструктурою.

Такий підхід на сьогоднішній день не є чимось новим, навпаки, стає дедалі більш звичною тактикою ефективного управління підприємством/інфраструктурою.

Перерозподіл та перенесення більшості робочих навантажень з фізичних майданчиків на віртуальні зокрема обумовлює необхідність опрацювання питань реалізації безпеки. Безпека – як з фізичної точки зору, так і з погляду віртуальної – має бути завжди на висоті. Безумовно, на ринку ІТ існує чимало рішень, покликаних забезпечувати та гарантувати високий рівень захисту віртуальних середовищ.

Зупинимося докладніше на відносно недавно анонсованому віртуальному міжмережевому екрані CiscoASAv, який прийшов на зміну фаерволу хмарному Cisco ASA 1000v. Компанія Cisco на своєму офіційному сайті повідомляє про припинення продажу та підтримки Cisco ASA 1000v, представивши в заміну флагманський засіб захисту хмарних, віртуальних інфраструктур в особі продукту Cisco ASAv.

За останні роки Cisco посилила активність у сегменті віртуалізації, доповнивши лінійку апаратних рішень віртуалізованими продуктами. Поява Cisco ASAv – чергове підтвердження цього.

Cisco ASAv (The Cisco Adaptive Security Virtual Appliance), як було озвучено раніше, представляє віртуальний міжмережевий екран. Орієнтований на роботу у віртуальному оточенні та володіє основними функціональними можливостями «залізної» Cisco ASA, за винятком багатоконтекстового режиму та кластеризації.

Огляд Cisco ASAv

Cisco ASAv забезпечує функціональність міжмережевого екрану, виконуючи захист даних у дата-центрах та хмарних оточеннях. Cisco ASAv є віртуальною машиною, яка може бути запущена на різних гіпервізорах, включаючи VMware ESXi, взаємодіючи з віртуальними «свічами» для обробки трафіку. Віртуальний брандмауер може працювати з різними віртуальними комутаторами, включаючи Cisco Nexus 1000v, VMware dvSwitch та vSwitch. Cisco ASAv підтримує реалізацію Site-to-Site VPN, VPN віддаленого доступу, а також організацію безклієнтного віддаленого доступу VPN, як і на фізичних пристроях Cisco ASA.

Рисунок 1. Архітектура Cisco ASAv

Cisco ASAv використовує ліцензування Cisco Smart Licensing, що значно спрощує розгортання, керування та відстеження віртуальних екземплярів Cisco ASAv, що використовуються на стороні замовників.

Ключові особливості та переваги Cisco ASAv

• Єдиний міждоменний рівень безпеки

Cisco ASAv забезпечує єдиний рівень безпеки між фізичними та віртуальними майданчиками з можливістю використання кількох гіпервізорів. У контексті побудови ІТ-інфраструктури клієнти часто використовують гібридну модель, коли частина додатків заточена під фізичну інфраструктуру компанії, а інша – під віртуальний майданчик із кількома гіпервізорами. Cisco ASAv використовує консолідовані опції розгортання, при яких єдина безпекова політика може застосовуватися як для фізичних, так і для віртуальних пристроїв.

• Простота управління

Cisco ASAv використовує програмний інтерфейс передачі репрезентативного стану (Representational State Transfer, REST API) на основі звичайного HTTP-інтерфейсу, який дає можливість керувати самим пристроєм, а також змінювати політики безпеки та моніторити статус станів.

• Легкість розгортання

Cisco ASAv із заданою конфігурацією може бути розгорнута за дуже короткий проміжок часу.

Cisco ASAv представляє сімейство продуктів, доступних у таких моделях:

Рисунок 2. Сімейство продуктів Cisco ASAv

Специфікація Cisco ASAv

	Cisco ASAv5	Cisco ASAv10	Cisco ASAv30
Пропускна здатність контролю стану з'єднань (Maximum)	100 Мбіт/с	1 Гбіт/с	2 Гбіт/с
Пропускна здатність контролю стану з'єднань (Multiprotocol)	50 Мбіт/с	500 Мбіт/с	1 Гбіт/с
Пропускна здатність з VPN (3DES/AES)	30 Мбіт/с	125 Мбіт/с	300 Мбіт/с
Кількість підключень за секунду	8 000	20 000	60 000
Кількість одночасних сеансів	50 000	100 000	500 000
Кількість віртуальних локальних мереж (VLAN)	25	50	200
Кількість сеансів користувача VPN між вузлами мережі та з клієнтом IPsec	50	250	750
Кількість сеансів користувача VPN AnyConnect або доступу без клієнтської програми	50	250	750
Кількість користувачів системи захисту хмар від інтернет-загроз Cisco Cloud Web Security	250	1 000	5 000
Підтримка високої доступності	Active/standby	Active/standby	Active/standby
Підтримка гіпервізорів	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0	VMware ESX/ESXi 5.X, KVM 1.0
Кількість vCPU	1	1	4
Пам'ять	2 Гб	2 Гб	8 Гб
HDD	8 Гб	8 Гб	16 Гб

Функціональність VMware, що підтримується в ASAv

Функціональність	Опис	Підтримка (Так/Ні)
Холодне клонування	Віртуальні машини вимикаються під час клонування	Так
DRS	Використовується для динамічного планування ресурсів та розподіленого управління потужностями.	Так
Hot add	Віртуальні машини залишаються запущеними під час додавання додаткових ресурсів	Так
Hot clone (гаряче клонування)	В процесі клонування віртуальні машини залишаються запущеними	Ні
Hot removal (гаряче видалення)	У процесі видалення ресурсів віртуальні машини залишаються запущеними	Так
Знімки	Віртуальні машини зупиняються на кілька секунд	Так
Призупинення та відновлення	Віртуальні машини зупиняються, а потім відновлюють свою роботу	Так
vCloud Director	Дозволяє автоматичне розгортання віртуальних машин	Ні
Міграція віртуальних машин	Віртуальні машини вимикаються у процесі міграції	Так
vMotion	Використовується «жива» міграція віртуальних машин	Так
VMware FT (технологія безперервної доступності)	Використовується для високої доступності віртуальних машин	Ні
VMware HA	Мінімізує втрати від збоїв фізичного обладнання та перезапускає віртуальні машини на іншому хості у кластері у разі збою.	Так
VMware vSphere Standalone Windows Client		Так
VMware vSphere Web Client	Використовується для розгортання віртуальних машин	Так

Розгортання ASAv за допомогою веб-клієнта VMware vSphere

Якщо ви вирішили розгорнути ASAv на віддаленому майданчику IaaS-провайдера або на будь-якому іншому віртуалізованому майданчику, щоб уникнути несподіваних і неробочих моментів відразу варто звернути увагу на додаткові вимоги та обмеження:

• Розгортання ASAv із файлу ova не підтримує локалізацію. Необхідно переконатися, що VMware vCenter та LDAP сервери у вашому оточенні використовують режим сумісності ASCII.
• До установки ASAv та використання консолі віртуальних машин необхідно задати певну розкладку клавіатури (United States English).

Для встановлення ASAv можна скористатися веб-клієнтом VMware vSphere. Для цього необхідно здійснити підключення за допомогою визначеного посилання у форматі . За замовчуванням використовується порт 9443, але, залежно від специфіки налаштування, значення може відрізнятися.

• При початковому зверненні до веб-клієнта VMware vSphere необхідно виконати інсталяцію плагіна (Client Integration Plug-in), який доступний для завантаження безпосередньо з вікна аутентифікації.
• Після успішної інсталяції слід перепідключитися до веб-клієнта VMware vSphere та виконати вхід, ввівши логін та пароль.
• Перед початком встановлення Cisco ASAv необхідно завантажити файл ASAv OVA з сайту http://cisco.com/go/asa-software , а також переконатися в наявності як мінімум одного налаштованого мережевого інтерфейсу vSphere.
• У вікні навігації веб-клієнта VMware vSphere потрібно перейти на панель vCenterі перейти в HostsandClusters. Клацаючи по дата-центру, кластеру або хосту, в залежності від того, куди ви вирішили встановити Cisco ASAv, вибрати опцію розгортання шаблону OVF ( DeployOVFTemplate).

Рисунок 3. Розгортання OVF шаблону ASAv

• У вікні майстра розгортання шаблону OVF у секції Sourceнеобхідно вибрати інсталяційний файл OVA Cisco ASAv. Зауважте, що у вікні огляду деталей ( Review Details) виводиться інформація про пакет ASAv.

Рисунок 4. Огляд деталей установки ASAv

• Прийнявши ліцензійну угоду на сторінці Accept EULA, переходимо до визначення імені екземпляра Cisco ASAv та розташування файлів віртуальної машини.
• У коні вибору конфігурації ( Select configuration) потрібно використовувати такі значення:
  • Для конфігурації Standalone вибрати 1 (або 2, 3, 4) vCPU Standalone.
  • Для конфігурації Failover вибрати 1 (або 2, 3, 4) vCPU HA Primary.
• У вікні вибору сховища ( Select Storage) визначити формат віртуального диска, для економії місця корисним буде вибір опції Thin provision. Також необхідно вибрати сховище, в якому запускатиметься ASAv.

Малюнок 5. Вікно вибору сховища

• У вікні конфігурації мережі ( Setup network) вибирається мережевий інтерфейс, який використовуватиметься під час роботи ASAv. Зверніть увагу: список мережевих інтерфейсів задається не в алфавітному порядку, що часом викликає складність знаходження потрібного елемента.

Малюнок 6. Вікно конфігурації параметрів мережі

При розгортанні примірника ASAv за допомогою діалогового вікна редагування налаштувань мережі можна вносити зміни до параметрів мережі. На малюнку 7 показаний приклад відповідності ідентифікаторів мережевих адаптерів (Network Adapter ID) та ідентифікаторів мережевих інтерфейсів ASAv (ASAv Interface ID).

Рисунок 7. Відповідність мережевих адаптерів та інтерфейсів ASAv

• Немає необхідності використовувати всі інтерфейси ASAv, проте веб-клієнт vSphere вимагає призначення мереж усім інтерфейсам. Інтерфейси, які не планується задіяти, необхідно перевести у стан Disabled(вимкнено) у налаштуваннях ASAv. Після розгортання ASAv на веб-консолі vSphere можна видалити зайві інтерфейси, використовуючи діалогове вікно редагування налаштувань ( Edit Settings).
• У вікні кастомізації шаблону ( Customize template) необхідно виставити ряд ключових налаштувань, включаючи конфігурацію параметрів IP-адреси, маски підмережі та стандартного шлюзу. Аналогічно слід задати IP-адресу клієнта, дозволену для ASDM-доступу, і, якщо потрібно окремий шлюз для зв'язку з клієнтом, задати його IP-адресу.

Малюнок 8. Вікно кастомізації шаблону

• Крім того, в опції «Тип розгортання» ( Type of deployment) слід вибрати тип установки ASAv із трьох можливих варіантів: Standalone, HA Primary, HA Secondary.

Рисунок 9. Вибір відповідного типу установки ASAv

У вікні готовності до завершення ( Ready to complete) відображається сумарна інформація конфігурації Cisco ASAv. Активація опції запуску після розгортання ( Power on after deployment) дозволить запустити віртуальну машину після завершення роботи майстра.

• За процесом розгортання OVF-шаблону ASAv та статусом виконаних завдань можна стежити в консолі завдань ( Task Console).

Малюнок 10. Статус розгортання OVF-шаблону

• Якщо віртуальна машина ASAv ще не запущена, необхідно виконати її старт, використовуючи опцію запуску ( Power on the virtual machine). При першому запуску ASAv відбувається зчитування параметрів, заданих у файлі OVA та конфігурація системних значень на його основі.

Рисунок 11. Запуск віртуальної машини ASAv

Підбиваючи підсумки по установці ASAv, не можемо не відзначити приємний факт, що весь процес - від завантаження пакета, розгортання та запуску - займає не більше 15-20 хвилин. При цьому наступні налаштування, наприклад, такі як VPN, характеризуються незначними тимчасовими витратами, тоді як при налаштуванні фізичної ASA знадобилося б набагато більше часу. Cisco ASAv можна розгортати та віддалено, забезпечуючи гнучкість та зручність процесу для компаній, що використовують віддалені майданчики.

Від установки до керування ASAv

Для управління ASAv можна скористатися старим добрим інструментом ASDM (Adaptive Security Device Manager), який є зручним рішенням з графічним інтерфейсом користувача. У процесі розгортання ASAv задається доступ до ASDM, за допомогою якого надалі можна виконувати різні налаштування, моніторинг та усунення несправностей. З клієнтської машини, IP-адреса якої вказувався в процесі розгортання, надалі відбувається підключення. Для доступу до ASDM використовується веб-браузер із зазначенням значення IP-адреси ASAv.

Запуск ASDM

На машині, визначеній клієнтом ASDM, необхідно запустити браузер і вказати значення ASAv у форматі https://asav_ip_address/admin , в результаті чого з'явиться вікно з такими опціями:

• встановити ASDM Launcher та запустити ASDM;
• запустити ASDM;
• стартувати майстер запуску.

Рисунок 12. Приклад запуску інструменту ASDM

ВстановитиASDMLauncher і запуститиASDM

Для запуску установника вибираємо "Встановити ASDM Launcher та запустити ASDM". У полях "ім'я користувача" та "пароль" (у разі нової установки) можна не задавати значення та натиснути "ОК". Без налаштованої автентифікації HTTPS доступ до ASDM відбувається без вказівки вірчих даних. У разі включення автентифікації HTTPS необхідно вказати логін і пароль.

• Збережіть інсталятор локально і почніть інсталяцію. Після встановлення ASDM-IDM Launcher запуститься автоматично.
• Введіть IP-адресу ASAv та натисніть «OK».

ЗапуститиASDM

Також можна використовувати Java Web Start для запуску ASDM без виконання установки. Вибираємо опцію "Запустити ASDM", після чого відкриється вікно ASDM-IDM Launcher.

Рисунок 13. Підключення до ASAv за допомогою ASDM-IDM Launcher

Стартувати майстер запуску

Якщо вибрано опцію «Стартувати майстер запуску» (Run Startup Wizard), ви можете задати наступні параметри конфігурації ASAv

• Hostname (Ім'я хоста)
• Domain name (Домове ім'я)
• Administrative password (Пароль адміністратора)
• Interfaces (Інтерфейси)
• IP addresses (IP-адреси)
• Static routes (Статичні маршрути)
• DHCP server (DHCP-сервер)
• NAT rules (Правила NAT)
• and more (та інші налаштування…)

Використання консоліVMware vSphere

Для виконання початкової конфігурації, усунення несправностей, доступу до інтерфейсу командного рядка (CLI) можна скористатися консоллю ASAv, яка доступна з веб-клієнта VMware vSphere.

Важливо!Для роботи з консоллю ASAv необхідно встановити плагін (Client Integration Plug-In).

Доти, доки не встановлено ліцензію, спостерігатиметься обмеження пропускної спроможності в 100 кбіт. У продакшен-середовищі для повноцінної функціональності потрібна наявність ліцензії. Інформація про ліцензію відображається в консолі ASAv.

Рисунок 15. Приклад відображення інформації про ліцензію

Підключаючись до консолі ASAv, можна працювати у кількох режимах.

Привілейований режим

• Параметр ciscoasa>у вікні консолі свідчить про роботу в режимі EXEC, де доступні лише базові команди. Для перемикання у привілейований режим EXEC необхідно запустити команду ciscoasa>enable, після чого потрібно ввести пароль (Password), якщо пароль був заданий, а якщо ні - натиснути Enter.
• Виведення значення ciscoasa#у вікні консолі свідчить про перемикання у привілейований режим. У ньому можливе використання неконфігураційних команд. Для виконання команд конфігурації необхідно переключитися в режим конфігурації. Переключитися в нього можна з привілейованого режиму.
• Для виходу з привілейованого режиму використовуються команди disable, exitабо quit.

Глобальний режим конфігурації

• Для переключення у глобальний режим конфігурації використовують команду:

ciscoasa#configureterminal

• При успішному перемиканні в режим конфігурації відображається індикатор готовності глобального режиму конфігурації, який виглядає так:

ciscoasa (config)#

• Для виклику списку всіх можливих команд слід звернутися до довідки:

ciscoasa (config)#help?

Після цього виводиться список всіх доступних команд в алфавітному порядку, як показано на малюнку 16.

Рисунок 16. Приклад відображення команд у глобальному режимі конфігурації

• Для виходу з глобального конфігураційного режиму використовуються команди exit,quitабо end.

Всім привіт.

Свого часу довелося займатися Cisco. Не довго, але все-таки. Все, що пов'язано з Cisco зараз мега популярно. Я свого часу стосувався відкриття локальної академії Cisco у місцевому університеті. Рік тому був на курсах. Але не завжди ми маємо доступ до самого обладнання, особливо під час навчання. На допомогу приходять емулятори. Є такі й у Cisco. Я починав з Boson NetSim, а студенти майже зараз сидять на Cisco Packet Tracer. Проте цими двома видами набір симуляторів не обмежується.

Якийсь час тому ми у своєму циклі «Мережі для найменших» перейшли на емулятор GNS3, який краще задовольняв наші потреби, ніж Cisco Packet Tracer.

Але які взагалі маємо альтернативи? Про них розповість Олександр aka Sinister, у якого поки що немає акаунту на хабрі.

Існує досить велика кількість симуляторів та емуляторів для обладнання Cisco Systems. У цьому невеликому огляді я спробую показати всі існуючі інструменти, які вирішують це завдання. Інформація буде корисна тим, хто вивчає мережеві технології, готується складати іспити Cisco, збирає річки для траблшутингу або досліджує питання безпеки.

Небагато термінології.

Симулятори- Імітують якийсь набір команд, він вшитий і варто тільки вийти за рамки, відразу отримаємо повідомлення про помилку. Класичний приклад – Cisco Packet Tracer.

Емуляториа навпаки - дозволяють програвати (виконуючи байт трансляцію) образи (прошивки) реальних пристроїв, часто без видимих ​​обмежень. Як приклад - GNS3/Dynamips.

Першим розглянемо Cisco Packet Tracer.

1. Cisco Packet Tracer

Цей симулятор доступний як під Windows, так і для Linux, безкоштовно для учнів Академії Cisco.

У 6-й версії з'явилися такі речі як:

• IOS 15
• Модулі HWIC-2T та HWIC-8A
• 3 нових пристроїв (Cisco 1941, Cisco 2901, Cisco 2911)
• Підтримка HSRP
• IPv6 у налаштуваннях кінцевих пристроїв (десктопи).

Відчуття таке, що новий випуск був приурочений до оновлення іспиту CCNA до версії 2.0.

Його плюси – дружність та логічність інтерфейсу. Крім цього в ньому зручно перевіряти роботу різних мережевих сервісів, таких як DHCP/DNS/HTTP/SMTP/POP3 і NTP.

І одна з найцікавіших фіч – це можливість перейти в режим simulation та побачити переміщення пакетів із уповільненням часу.

Мені це нагадало ту саму Матрицю.

• Майже все, що виходить за рамки CCNA, на ньому зібрати не вийде. Наприклад, EEM відсутня геть-чисто.
• Також іноді можуть проявлятися різноманітні глюки, які лікуються лише перезапуском програми. Особливо цим славиться протокол STP.

Що маємо у результаті?

Непоганий інструмент для тих, хто тільки почав своє знайомство з обладнанням компанії Cisco.

Наступний — GNS3, який є графічним інтерфейсом (на Qt) для емулятора dynamips.

Вільний проект, доступний під Linux, Windows та Mac OS X. Сайт проекту GNS - www.gns3.net. Але більшість його функцій, покликаних поліпшити продуктивність, працюють тільки під Linux (ghost IOS, який спрацьовує у разі використання безлічі однакових прошивок), 64-бітна версія так само тільки для Linux. Поточна версія GNS на даний момент – 0.8.5. Це емулятор, який працює зі справжніми прошивками IOS. Для того, щоб ним користуватися, у вас повинні бути прошивки. Скажімо, ви купили маршрутизатор Cisco, з нього можна їх витягти. До нього можна підключати віртуальні машини VirtualBox або VMware Workstation та створювати досить складні схеми, за бажання можна піти далі та випустити його в реальну мережу. Крім того, Dynamips вміє емулювати як старі Cisco PIX, так і відому Cisco ASA, причому навіть версії 8.4.

Але при цьому є безліч недоліків.

Кількість платформ строго обмежена: запустити можна лише ті шасі, які передбачені розробниками dynamips. Запустити ios 15 версії можна лише на платформі 7200. Неможливо повноцінно використовувати комутатори Catalyst, це пов'язано з тим, що на них використовується велика кількість специфічних інтегральних схем, які відповідно вкрай складно емулювати. Залишається використовувати мережні модулі (NM) для маршрутизаторів. При використанні великої кількості пристроїв гарантовано спостерігатиметься просідання продуктивності.

Що маємо у сухому залишку?

Інструмент, в якому можна створювати досить складні топології, готуватися до іспитів рівня CCNP з деякими застереженнями.

3. Boson NetSim

Кілька слів про симулятор Boson NetSim, який нещодавно оновився до 9-ї версії.

Випускається лише під Windows, ціна коливається від 179 $ за CCNA і до 349 $ за CCNP.

Є якоюсь збіркою лабораторних робіт, згрупованою за темами іспиту.

Як можна спостерігати по скріншотах, інтерфейс складається з кількох секцій: опис завдання, карта мережі, у лівій частині знаходиться список усіх лаб. Закінчивши роботу, можна перевірити результат і дізнатися, чи все було зроблено. Є можливість створення власних топологій з деякими обмеженнями.

Основні фічі Boson NetSim:

• Підтримує 42 маршрутизатори, 6 комутаторів та 3 інших пристрої
• Симулює мережевий трафік за допомогою технології віртуальних пакетів
• Надає два різні стилі перегляду: режим Telnet'а або режим підключення по консолі
• Підтримує до 200 пристроїв на одній топології
• Дозволяє створювати свої власні лабораторії
• Включає лабораторії, які підтримують симуляцію SDM
• Включає не-Cisco пристрої, такі як TFTP Server, TACACS + і генератор пакетів (це, ймовірно, ті самі 3 інших пристрої)

Недоліки у нього ті ж, що й у Packet Tracer.

Тим, кому не жаль певної суми, і при цьому не хочеться розбиратися і створювати свої топології, а хочеться просто попрактикуватися перед іспитом, буде дуже доречним.

Офіційний сайт - www.boson.com/netsim-cisco-network-simulator.

4. Cisco CSR

Тепер розглянемо досить новий Cisco CSR.

Нещодавно з'явився віртуальний Cisco Cloud Service Router 1000V.

Він доступний на офіційному сайті Cisco.

Щоб скачати цей емулятор, достатньо просто зареєструватися на сайті. Безкоштовно. Контракт із Cisco не потрібен. Це дійсно подія, оскільки раніше Cisco всіма способами боролася з емуляторами і рекомендувала лише орендувати обладнання. Завантажити можна, наприклад, OVA файл, який є віртуальною машиною, судячи з усього, RedHat або його похідні. Віртуальна машина при кожному запуску підвантажує iso образ, усередині якого можна знайти CSR1000V.BIN, який і є власне прошивкою. Ну а Linux виступає у ролі враппера (wrapper) - тобто перетворювача викликів. Деякі вимоги, які вказані на сайті – пам'ять DRAM 4096 MB Flash 8192 MB. За сьогоднішніх потужностей це не повинно доставити проблем. CSR можна використовувати в топологіях GNS3 або у зв'язці з віртуальним комутатором Nexus.

CSR1000v виконаний у вигляді віртуального маршрутизатора (приблизно як Quagga, але IOS від Cisco), який крутиться на гіпервізорі як екземпляра клієнта та надає послуги звичайного маршрутизатора ASR1000. Це може бути щось звичайне, як базова маршрутизація або NAT, і аж до таких речей, як VPN MPLS або LISP. У результаті маємо майже повноцінний провайдерський Cisco ASR 1000. Швидкість роботи досить хороша, працює в реальному часі.

Не обійшлося і без вад. Безкоштовно можна використовувати лише ознайомлювальну ліцензію, яка триває лише 60 днів. Крім того, в цьому режимі пропускна здатність обмежена до 10, 25 або 50 Mbps. Після закінчення такої ліцензії швидкість впаде до 2.5 Мбіт/с. Вартість ліцензії на 1 рік коштуватиме приблизно 1000$.

5. Cisco Nexus Titanium

Titanium – це емулятор операційної системи комутаторів Cisco Nexus, яка ще називається NX-OS. Nexus'и позиціонуються як комутатори для ЦОДів.

Цей емулятор був створений безпосередньо компанією Cisco для внутрішнього використання.

Образ Titanium 5.1.(2), зібраний на основі VMware деякий час тому, потрапив у публічний доступ. Через деякий час з'явився і Cisco Nexus 1000V, який можна цілком легально придбати окремо або у складі редакції vSphere Enterprise Plus компанії Vmware. Можна спостерігати на сайті - www.vmware.com/ru/products/cisco-nexus-1000V/

Відмінно підійде всім, хто готується здавати трек Data Center. Має деяку особливість - після включення починається процес завантаження (як і у випадку CSR теж побачимо Linux) і зупиняється. Складається враження, що все зависло, але це не так. Підключення до цього емулятора здійснюється через іменовані канали.

Іменований канал - це один з методів міжпроцесної взаємодії. Існують як у Unix подібних системах, так і в Windows. Для підключення достатньо відкрити наприклад putty, вибрати тип підключення serial і вказати \\.\pipe\vmwaredebug.

Використовуючи GNS3 та QEMU (легкий емулятор ОС, що йде в комплекті з GNS3 під Windows), можна збирати топології, в яких будуть задіяні комутатори Nexus. І знову ж таки можна випустити цей віртуальний комутатор у реальну мережу.

6. Cisco IOU

Ну і нарешті знаменитий Cisco IOU (Cisco IOS on UNIX) - це пропрієтарний софт, який офіційно не поширюється взагалі.

Існує думка, що Cisco може відстежити та ідентифікувати того, хто використовує IOU.

При запуску відбувається спроба запиту HTTP POST на сервер xml.cisco.com. Дані, які при цьому відправляються, включають hostname, логін, версію IOU і т.д.

Відомо, що Cisco TAC використовує саме IOU. Емулятор має велику популярність у тих, хто готується до здачі CCIE. Спочатку працював лише під Solaris, але згодом був портований і на Linux. Складається з двох частин - l2iou та l3iou, за назвою можна здогадатися, що перший емулює канальний рівень і комутатори, а другий - мережевий та маршрутизатори.

Автором інтерфейсу є Andrea Dainese. Його сайт: www.routereflector.com/cisco/cisco-iou-web-interface/. На самому сайті немає ні IOU ні будь-яких прошивок, навіть автор заявляє, що веб-інтерфейс був створений для людей які мають право на використання IOU.

І невеликі підсумки насамкінець.

Як виявилося, зараз існує досить широкий спектр емуляторів та симуляторів обладнання компанії Cisco. Це дозволяє практично повноцінно готуватися до іспитів різних треків (класичного R/S, Service Provider і навіть Data Center). Приклавши певні зусилля можна збирати і тестувати найрізноманітніші топології, проводити дослідження вразливостей та за необхідності випускати емульоване обладнання реальну мережу.

Хочемо розповісти про операційну систему IOS, розроблену компанією Cisco. Cisco IOSабо Internetwork Operating System(Міжмережна операційна система) це програмне забезпечення, яке використовується в більшості комутаторів і маршрутизаторів Cisco (ранні версії комутаторів працювали на CatOS). IOSвключає функції маршрутизації, комутації, міжмережевого взаємодії і телекомунікацій, інтегрованих в мультизадачную операційну систему.

Не всі продукти Cisco використовують IOS. Винятки становлять продукти безпеки ASA, які використовують операційну систему Linux та роутери-маршрутизатори, які запускають IOS-XR. Cisco IOS включає ряд різних операційних систем, що працюють на різних мережевих пристроях. Існує багато різних варіантів Cisco IOS: для комутаторів, маршрутизаторів та інших мережних пристроїв Cisco, версії IOS для певних мережних пристроїв, набори функцій IOS, що надають різні пакети функцій та сервісів.

Сам файл IOSмає розмір у кілька мегабайт і зберігається у напівпостійній області пам'яті під назвою flash. Флеш-пам'ять забезпечує енергонезалежне сховище. Це означає, що вміст пам'яті не втрачається, коли пристрій втрачає живлення. У багатьох пристроях Cisco IOS копіюється з флеш-пам'яті в оперативний пристрій пам'яті ОЗУ (RAM), коли пристрій увімкнено, а потім IOS запускається з ОЗУ, коли пристрій працює. ОЗУ має багато функцій, включаючи зберігання даних, які використовуються пристроєм для підтримки мережевих операцій. Робота IOS в ОЗП підвищує продуктивність пристрою, проте ОЗУ вважається енергозалежною пам'яттю, оскільки дані втрачаються під час циклу живлення. Цикл живлення - це коли пристрій навмисно або випадково вимикається, а потім знову вмикається.

Управління пристроями з IOSвідбувається за допомогою інтерфейсу командного рядка ( CLI), при підключенні за допомогою консольного кабелю, Telnet, SSHабо за допомогою AUXпорту.

Назви версій Cisco IOSскладаються з трьох чисел, та кількох символів a.b(c.d)e, де:

• a– номер основної версії
• b– номер молодшої версії (незначні зміни)
• c– порядковий номер релізу
• d– проміжний номер збирання
• e(нуль, одна або дві літери) – ідентифікатор послідовності випуску програмного забезпечення, такий як none (який позначає основну лінію), T (Technology), E (Enterprise), S (Service provider), XA спеціальний функціонал, XB як інший спеціальний функціонал і т.д.

Rebuild– часто ребілди випускаються, щоб виправити одну конкретну проблему або вразливість для цієї версії IOS. Ребілди виробляються або для швидкого усунення проблеми, або для задоволення потреб клієнтів, які не хочуть оновлюватися до пізнішої великої версії, оскільки вони можуть використовувати критичну інфраструктуру на своїх пристроях і, отже, воліють мінімізувати зміни і ризик.

Interim release– проміжні випуски, які зазвичай виробляються на щотижневій основі та утворюють зріз поточних напрацювань у галузі розвитку.

Maintenance release– протестовані версії, які включають удосконалення та виправлення помилок. Компанія Cisco рекомендує, по можливості, оновлювати програмне забезпечення до версії Maintenance.

Стадії розвитку:

• Early Deployment (ED)- Раніше розгортання, вводяться нові функції та платформи.
• Limited Deployment (LD)- Початкова лімітована розгортка, включають виправлення помилок.
• General Deployment (GD)– загальне розгортання ОС, відбувається тестування, доопрацювання та підготовка до випуску остаточної версії. Такі випуски, як правило, стабільні на всіх платформах.
• Maintenance Deployment (MD)– ці випуски використовуються для додаткової підтримки, виправлення помилок та постійного обслуговування програмного забезпечення.

Більшість пристроїв Cisco, які використовують IOS, також мають один або кілька "наборів функцій" або "пакетів" - Feature Set. Наприклад, випуски Cisco IOS, призначені для використання на комутаторах Catalyst, доступні як «стандартні» версії (що забезпечують лише базову IP-маршрутизацію), «розширені» версії, що надають повну підтримку маршрутизації IPv4 та версії «розширених IP-сервісів», які надають розширені функції, а також підтримку IPv6.

Кожен окремий feature setвідповідає одній категорії послуг крім базового набору ( IP Base- Static Routes, OSPF, RIP, EIGRP. ISIS, BGP, IMGP, PBR, Multicast):

• IP-дані (Data- Додає BFD, IP SLAs, IPX, L2TPv3, Mobile IP, MPLS, SCTP)
• Голос (Unified Communications- CUBE, SRST, Voice Gateway, CUCME, DSP, VXML)
• Безпека та VPN (Security- Firewall, SSL VPN, DMVPN, IPS, GET VPN, IPSec)

Чи корисна вам ця стаття?

Будь ласка, розкажіть чому?

Нам шкода, що стаття не була корисною для вас: (Будь ласка, якщо не утруднить, вкажіть з якої причини? Ми будемо дуже вдячні за докладну відповідь. Дякую, що допомагаєте нам стати кращими!

Нова інфраструктура віртуалізації Cisco Virtualization Experience Infrastructure (VXI) вирішує проблеми, пов'язані із фрагментованістю існуючих рішень, які суттєво ускладнюють впровадження віртуальних настільних систем. Крім того, нова інфраструктура розширює можливості віртуалізації традиційних настільних систем для обробки мультимедійних даних та відео.

Cisco VXI допомагає подолати головні перешкоди, що заважають підприємствам без шкоди для відчуттів користувачів скористатися фінансовими перевагами, можливостями захисту даних та засобами підтримки гнучкого стилю роботи, які надає віртуалізація настільних систем, а також інтеграції мультимедійних функцій та функцій спільної роботи з використанням відео. Крім того, Cisco VXI скорочує сукупну вартість володіння рішеннями для віртуалізації настільних систем за рахунок радикального збільшення кількості віртуальних систем, які підтримує один сервер.

За прогнозами аналітиків, віртуалізація настільних систем може скоротити витрати на підтримку персональних комп'ютерів на 51 відсоток (на кожного користувача), при тому, що частка цієї статті витрат у ІТ-бюджетах, пов'язаних з ПК, становить 67 відсотків. Віртуальні настільні системи також допомагають захищати корпоративну інтелектуальну власність за рахунок розміщення інформації не на фізичних пристроях, а в центрі обробки даних. При цьому кінцеві користувачі зможуть самостійно вибирати пристрій, за допомогою якого вони матимуть доступ до свого віртуального комп'ютера. Усі перелічені переваги у поєднанні з підвищенням продуктивності та гнучкості бізнесу за допомогою мультимедійних та відеододатків підвищують цінність мережевих рішень для кінцевих користувачів та компаній.

Серед рекомендованих Cisco архітектур на основі Cisco VXI можна виділити такі: архітектуру для спільної роботи Cisco Collaboration, для центрів обробки даних Cisco Data Center Virtualization та для мереж без кордонів Cisco Borderless Networks, а також найкращі програмні засоби та пристрої для віртуалізації настільних систем.

На сумісність із рішенням Cisco VXI протестовані такі технології Cisco: програми системи уніфікованих комунікацій (Cisco Unified Communications), оптимізовані для віртуального середовища та кінцевих пристроїв, включаючи планшетний комп'ютер Cisco Cius; платформа Cisco Quad™; рішення для балансування навантаження та оптимізації роботи додатків Cisco ACE; програмне забезпечення Cisco для прискорення роботи глобальних мереж; багатофункціональні пристрої безпеки Cisco ASA; VPN-клієнт Cisco AnyConnect™; середовище уніфікованих обчислень Cisco UCS™; комутатори сімейств Cisco Nexus і Cisco Catalyst, призначені для центрів обробки даних; багаторівневі комутатори для мереж зберігання даних Cisco MDS; маршрутизатори Cisco ISR

До складу рішення Cisco VXI входять системи віртуалізації настільних комп'ютерів Citrix XenDesktop® 5 та VMware View™ 4.5, надані лідерами галузі, компаніями Citrix та VMware. Нова інфраструктура також підтримує програми для керування та забезпечення безпеки, системи зберігання від компаній EMC та NetApp та безліч програм Microsoft.

Система Cisco VXI підтримує широкий асортимент кінцевих пристроїв, включаючи IP-телефони Cisco Unified, ноутбуки, корпоративні планшетні комп'ютери, включаючи Cisco Cius та смартфони. Cisco разом з лідером галузі компанією Wyse оптимізувала ряд апаратних та програмних технологій, щоб скоротити час відгуку додатків, що працюють у середовищі Cisco VXI та пов'язаних з нею архітектурах. Користуючись відкритістю екосистеми Cisco, компанії DevonIT ​​та IGEL також перевірили свої пристрої на сумісність із рішенням Cisco VXI.

Елементи рішення Cisco VXI спроектовані та протестовані для спільної роботи в різних варіантах встановлення, що найкраще відповідають вимогам замовника. Крім гнучкої підтримки мультимедіа, це рішення забезпечує сумісність з широким колом користувацьких пристроїв і методів доступу, надаючи користувачам гнучку свободу вибору в залежності від вимог бізнесу або конкретної програми.

Пристрої Cisco для віртуалізації настільних систем оптимізовані для взаємодії з використанням мультимедіа

Cisco анонсувала два пристрої Cisco Virtualization Experience Client (VXC), які підтримують функції віртуалізації настільних систем у "безклієнтній" формі в тандемі із системою уніфікованих комунікацій Cisco:

• Cisco VXC 2100 – компактний пристрій, фізично інтегрований з IP-телефонами Cisco Unified серій 8900 та 9900, що дозволяє оптимізувати середовище робочого місця користувача. Воно підтримує живлення каналами Ethernet (Power-over-Ethernet, PoE) і може працювати з одним або двома моніторами. Пристрій має чотири порти USB для підключення миші та клавіатури, якщо це необхідно для роботи у віртуальному середовищі.
• Cisco VXC 2200 - окремий компактний безклієнтний пристрій з обтічним корпусом, що надає користувачам доступ до віртуальної настільної системи та бізнес-додатків, що працюють у віртуалізованому середовищі. Пристрій Cisco VXC 2200, при розробці якого враховувалися вимоги охорони навколишнього середовища, може отримувати живлення або через Ethernet (Power-over-Ethernet, PoE), або за допомогою додаткового блоку живлення. Цей пристрій також має чотири порти USB та два відеопорти, за допомогою яких підключаються пристрої, необхідні для роботи у віртуальному середовищі.