`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

«IT-пятница с GigaCloud». Сессия 2

+44
голоса

По сравнению с первой IT-пятницей, несколько изменился метод подбора тем выступлений. Если раньше это делали GigaCloud, то на этот раз в Facebook был проведен опрос. Наибольшее количество голосов собрал доклад об облачном виртуальном маршрутизаторе MikroTik, который был представлен как альтернатива Cisco Cloud Services Router (CSR)».

Но началась конференция с выступления системного инженера компании VMware Александра Купчинецкого, в котором он рассказал о микросегментации VMware NSX.

До появления NSX задача безопасности решалась с помощью брандмауэра и была неотделимой от задач сети. Обычно размер сегмента ограничивался не требованиями сетевых характеристик, а требованиями безопасности. Сеть разделяется на несколько сегментов, устанавливаются приложения, пакеты проходят через маршрутизатор, обрабатываются и некоторые блокируются. В чем проблема?

«IT-пятница с GigaCloud». Сессия 2

Александр Купчинецкий: «Микросегментация позволяет существенно обезопасить инфраструктуру, блокировать горизонтальные коммуникации и упростить клонирование сетевой топологии»

Теоретически, можно создавать отдельный сетевой сегмент для каждого отдельного виртуального интерфейса. На практике таких L2-сегментов может быть 4 тысячи. Однако в Украине есть компании, которые практически исчерпали допустимое количество VLAN. В конце концов, рано или поздно начнется какое-то укрупнение, когда в одном сегменте появятся разные системы, что при горизонтальном распространении атаки может привести к тяжелым последствиям.

Что позволяет сделать микросегментация? Эффективно она равносильна тому, что каждый виртуальный соединительный шнур (patchcord), которым ВМ подключается к виртуальному коммутатору, разрезается и в середину вставляется двухпортовый модуль брандмауэра.
    
Тем не менее, это не множество брандмауэров с отдельной конфигурацией – у них общий список правил, единое управление, но исполнительный механизм находится в каждом виртуальном соединительном шнуре. Если ВМ пытается направить в сеть пакет, который подпадает под какое-то правило блокировки, он будет отклонен еще на выходе из сетевого интерфейса. С точки зрения допустимых правил брандмауэр работает в режиме с запоминание состояния (stateful firewall L2—L4). Кроме этого, в нем реализованы элементы L7: возможно детектирование порядка 50 протоколов по контенту, а не по номеру порта. При создании правил можно использовать IP-адреса, а можно и имена ВМ. Допустимо создавать правила для группы ВМ как статической, так и динамической. Таким образом правила могут охватывать существующие объекты и те, которые будут созданы потом и попадут в группу. Это существенно снижает количество правил и упрощает управление. Операции vMotion останутся корректными, поскольку таблица UTCP-сессий перемещается вместе с ВМ. Соответственно, ее будет обрабатывать модуль брандмауэра другого хоста, и он будет знать все сессии, которые есть у ВМ.

Для VDI микросегментация позволяет изолировать пользователей по правилам на основе групп Active Directory, контролировать трафик между ВМ и приложениями, выполнять балансировку нагрузки, функции граничного брандмауэра, NAT, создавать VPN.

Таким образом микросегментация позволяет существенно обезопасить инфраструктуру, блокировать горизонтальные коммуникации и упростить клонирование сетевой топологии.

«IT-пятница с GigaCloud». Сессия 2

Тенденция все переносить в облако не оставила в стороне и сетевую инфраструктуру. Облачные маршрутизаторы и коммутаторы позволяют пользователям проще работать и управлять ими.

Облачный виртуальный маршрутизатор MikroTik, о котором упоминалось выше, представил сетевой инженер Алексей Котов из GigaCloud. Однако прежде он сделал краткий обзор аналогичных продуктов других производителей.

Одним из решений в этой области является сетевая операционная система VyOS с моделью распространения open source и поддержкой 64-разрядной архитектуры. Другое – маршрутизатор-демон Bird. Цель проекта Bird заключается в том, чтобы разработать полностью функциональный динамический демон IP-маршрутизации, предназначенный преимущественно для установки на ОС Linux, FreeBSD и другие Unix-подобные системы и распределяемый под лицензией GNU. Маршрутизатор позволяет взаимодействовать с внешними провайдерами и поддерживает все протоколы маршрутизации.

«IT-пятница с GigaCloud». Сессия 2

Алексей Котов: «MikroTik CHR работает под управлением собственной ОС RouterOS, поддерживает архитектуру х86 и х64, его можно запустить на разных гипервизорах»

Облачный маршрутизатор Cisco Cloud Services Router 1000V Series, как видно из его названия, предоставляется как служба. Он разворачивается в виде ВМ и может поддерживаться любой аппаратной платформой х86, которая допускает виртуализацию. Его конкурентом является Juniper Networks vMX Virtual Router. Он устанавливается на платформе х86. Функционально они во многом подобны, но каждый работает по проприетарному протоколу.

За место на рынке борется латвийская компания MikroTik. Она, в частности, производит как сетевое оборудование, так и ОС для него.

Ее продукт Cloud Hosted Router (CHR) работает под управлением собственной ОС RouterOS, поддерживает архитектуру х86 и х64, его можно запустить на разных гипервизорах: VMWare, Hyper-V, VirtualBox, KVM и др. Продукт доступен в открытом доступе и не требует регистрации при загрузке. Установочные файлы предоставляются в основных форматах. Есть также и аппаратная реализация маршрутизатора. Протоколы взаимодействия с оборудованием включают MikroTik Winbox, Telnet, SSH и Web. Полезными могут также оказаться SMNP, API и Mac Telnet.

ОС маршрутизатора позволяет подключать нескольких ISP, поддерживает протоколы OSPF, BGP и ряд других, адресацию IPv6, агрегирование нескольких физических интерфейсов в один логический, шейпинг и приоритезацию трафика, VPN и др. Актуальность ОС поддерживается регулярными обновлениями. Встроенная точка доступа позволяет развернуть гостевую сеть Wi-Fi. Маршрутизатор может служить также как рекурсивный DNS. Лицензирование выполняется только по пропускной способности.

В заключение докладчик указал на некоторые подводные камни и дал несколько советов. Так, после работы с виртуальными интерфейсами внутренние интерфейсы могут меняться местами. Поэтому необходимо выполнить команду reset-mac-address. Нельзя изменять размер виртуального диска, иначе лицензия аннулируется. Если включен режим Recursive DNS, то необходимо закрыть порт 53 на внешнем интерфейсе.

На маршрутизатор невозможно попасть через интерфейс в VRF по L3, но можно попасть по L2. Для этого нужно отключить:
/tool mac-server  на vrf-интерфейсах  и
/ip neighbor discovery interface/

После окончания докладов их обсуждение происходило в неформальной обстановке.

Следующая встреча в рамках «ИТ-пятницы с GigaCloud» состоится 2-го ноября. Организаторы приглашают к участию слушателей и докладчиков. Для этого необходимо зарегистрироваться.

+44
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT