IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco
|
|
- Sára Bílková
- před 7 lety
- Počet zobrazení:
Transkript
1 IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco Marek Kotraš, Peter Habčák Abstrakt: Cílem tohoto projektu je ověření funkčnosti protokolu IPSec na platformě JUNIPER a kompatibility s prvky Cisco. Součástí projektu je popis konfigurace jak v textovém rozhraní, tak v grafickém rozhraní JWeb a zároveň potřebnou konfiguraci systému IOS, potřebnou pro funkčnost GRE tunelu zabezpečeného pomocí IPSec. Klíčová slova: Juniper, JUNOS, IPSec, tunel, Cisco 1 Teorie JUNOS IPSec Konfigurace Testovací topologie fáze konfigurace IKE fáze konfigurace IKE (IPSec) Vytvoření GRE tunelu nad IPSec Kompatibilita s prvky Cisco Závěr Použitá literatura...10 listopad /10
2 1 Teorie 1.1 JUNOS JUNOS je síťový operační systém společnosti Juniper Networks určený pro směrovače, přepínače a firewally. JUNOS nabízí bezpečné rozhraní pro programování a Junos SDK pro vývoj aplikací. JUNOS je založen na jádře operačního systému FreeBSD, co poskytuje uživateli možnost spouštět Unixové příkazy. Konfigurace systému probíhá dvěma způsoby. První z možností je použít textové rozhraní, které běží na sériové konzole (případně přes telnet). Toto rozhraní má dva režimy: Operational Mode - poskytuje informace o hardwaru, nastavení rozhraní a informace o protékajících datech a Configuration Mode - slouží ke změnám v konfiguraci zařízení pomocí zadávání textových příkazů. Druhým způsobem je konfigurace pomocí webového rozhraní JWeb. Toto rozhraní se instaluje jako samostatná aplikace do systému a umožňuje konfiguraci systému pomocí grafického rozhraní ve webovém prohlížeči. Kromě základní verze systému existuje ještě JUNOS with Enhanced services, který podporuje navíc IPsec VPN, zabezpečení sítě (Screening) a NAT. Tento systém však funguje jen na některých verzích směrovačů. 1.2 IPSec IPSec poskytuje silné zabezpečení na bázi šifrování pro IPv4 a IPv6, byl původně navržen pouze pro IPv4. IPSec podporuje autentizaci, integritu a důvěryhodnost na úrovni datagramů a skládá se z několika protokolů pro posílání autentizovaných nebo zašifrovaných dat po sítích s architekturou TCP/IP. IPSec se odehrává pod transportní vrstvou, takže je transparentní pro aplikační protokoly. IPSec není řešením v případech, kdy specifické aplikace používají ochranné mechanizmy na jiné vrstvě (např. SSL). IPSec specifikuje mechanizmy pro poskytování bezpečnostních služeb. Tyto služby poskytují dva bezpečnostní protokoly, Authentication Header a Encapsulating Security Payload, a mechanizmy pro správu šifrovacích klíčů, IP Security Association Key Management Protokol (ISAKMP) a Internet Key Exchange (IKE). Šifrování a zapouzdřování použité pro zajištění autentizace a bezpečnosti komunikace má dopad na zvýšenou režii protokolu, zejména v případě krátkých datagramů. 2 Konfigurace V této části se budeme věnovat jednotlivým krokům konfigurace protokolu IPSec a následnému vytvoření zabezpečeného GRE tunelu na platformě Juniper. V poslední podkapitole bude uvedena i potřebná konfigurace prvků Cisco. Uvedena konfigurace by měla vést ke správnému výsledku. Neměli jsme možnost ji prakticky ověřit z důvodu nedostupnosti hardwaru a nefunkčnosti emulace. listopad /10
3 2.1 Testovací topologie fáze konfigurace IKE V první fázi se nastavují parametry pro zabezpečený přenosový kanál, kterým se přenese klíč pro šifrování další IKE komunikace. Jako první krok je potřebné nastavit algoritmus pro autentizaci a šifrování při vytváření zabezpečeného spojení. V tomto případě používáme metodu pre-shared keys (klíč zadává uživatel), hashovací algoritmus MD5 a šifrování pomocí 3DES. Výběrem dh-group (Diffie-Hellman group) ovlivňujeme kryptografickou sílu klíče. Pomocí parametru lifetime-seconds ovlivňujeme dobu platnosti vytvořené security association. user@host# set security ike proposal ike_prop_1 authentication-method pre-shared-keys user@host# set security ike proposal ike_prop_1 dh-group group2 user@host# set security ike proposal ike_prop_1 authentication-algorithm md5 user@host# set security ike proposal ike_prop_1 encryption-algorithm 3des-cbc user@host# set security ike proposal ike_prop_1 lifetime-seconds 300 listopad /10
4 Dalším krokem je nastavení politiky. V tomto kroku zadáváme odkaz na proposal vytvořený v předchozím kroku. Dále zadáváme heslo (v našem případě juniper ). Nastavením módu na aggressive se zredukuje počet výměn informací, potřebných pro navázání SA. user@host# set security ike policy ike_pol_1 mode aggressive user@host# set security ike policy ike_pol_1 proposals ike_prop_1 user@host# set security ike policy ike_pol_1 pre-shared-key ascii-text juniper Posledním krokem je vytvoření gateway. Odkazujeme na vytvořenou politiku, zadáváme adresu druhého konce tunelu. Pokud neprochází žádný provoz po dobu 10 sekund, pošle se paket DPD (dead peer detection) pro ověření dostupnosti, po 5 neúspěšných pokusech se druhá strana označí jako nedostupná. Nakonec se nastaví rozhraní, na které chceme posílat provoz (ge-0/0/0 je gigabitové ethernetové rozhraní). user@host# set security ike gateway ike_gateway_1 ike-policy ike_pol_1 user@host# set security ike gateway ike_gateway_1 address user@host# set security ike gateway ike_gateway_1 dead-peer-detection interval 10 user@host# set security ike gateway ike_gateway_1 dead-peer-detection threshold 5 user@host# set security ike gateway ike_gateway_1 external-interface ge- 0/0/0 V grafickém rozhraní se 1. fáze nastavuje v menu Configuration > Quick Configuration > VPN > IKE Proposal se nastavuje v záložce Phase 1 Proposal. Obrázek 1: Nastavení IKE - 1. krok (obrázek převzaný z Politika se nastavuje v záložce IKE Policy. Gateway se nastavuje v záložce IKE Gateway. listopad /10
5 Obrázek 2: Nastavení IKE 2.krok (obrázek převzaný z Obrázek 3: Nastavení IKE - 3. krok (obrázek převzaný z listopad /10
6 fáze konfigurace IKE (IPSec) Druhou fází je konfigurace parametrů samotného IPSec, který zabezpečuje šifrování a autentizaci přenášených dat. Přitom se využívá zabezpečeného spojení, vytvořeného v první fázi. Prvním krokem je znovu vytvoření proposal, kde je potřebné nastavit algoritmus pro autentizaci a šifrování. Pomocí parametru lifetime-seconds ovlivňujeme dobu platnosti vytvořené security association. user@host# set security ipsec proposal ipsec_prop_1 protocol esp user@host# set security ipsec proposal ipsec_prop_1 authenticationalgorithm hmac-md5-96 user@host# set security ipsec proposal ipsec_prop_1 encryption-algorithm 3des-cbc user@host# set security ipsec proposal ipsec_prop_1 lifetime-seconds 1800 Dalším krokem je nastavení politiky. V tomto kroku zadáváme odkaz na vytvořený proposal. Nastavením Perfect Forward Secrecy zvýšíme bezpečnost v případě, že je kompromitován jeden klíč, neovlivňuje to žádné následující klíče, protože jsou na něm nezávislé. user@host# set security ipsec policy ipsec_pol_1 perfect-forward-secrecy keys group2 user@host# set security ipsec policy ipsec_pol_1 proposals ipsec_prop_1 V posledním kroku vytvoříme VPN tunel, který navážeme na rozhraní. Musí to být rozhraní st (Secure Tunnel), v našem případě st0. Odkazujeme se na vytvořenou IKE gateway a IPSec politiku. user@host# set security ipsec vpn vpn_1 bind-interface st0.0 user@host# set security ipsec vpn vpn_1 ike gateway ike_gateway_1 user@host# set security ipsec vpn vpn_1 ike ipsec-policy ipsec_pol_1 Obrázek 4: Nastavení IPSec 1.krok (obrázek převzaný z V grafickém rozhraní se druhá fáze konfiguruje v menu Configuration > Quick Configuration > VPN > IPSec AutoKey. Proposal se nastavuje v záložce Phase 2 proposal. Tunel se nastavuje v záložce IPsec AutoKey. Politika se nastavuje v menu Configuration > Quick Configuration > VPN > IPSec AutoKey v záložce IPsec Policy. listopad /10
7 Obrázek 5: Nastavení IPSec 2.krok (obrázek převzaný z Tím je konfigurace IPSec ukončena, následuje konfigurace tunelu. listopad /10
8 Obrázek 6: Nastavení IPSec 3.krok (obrázek převzaný z Vytvoření GRE tunelu nad IPSec Pro vytvoření tunelu se používá rozhraní gr-0/0/0, kde se zadává výchozí a cílová adresa tunelu (pro tyto účely adresy IKE gateway) a adresa pro tunel. user@host# set interfaces gr-0/0/0.0 tunnel source destination user@host# set interfaces gr-0/0/0.0 family inet address /24 Dále je potřebné vytvořit statické cesty pro síť na druhém konci tunelu (přes rozhraní gr-0/0/0) a pro druhý konec GRE tunelu (přes rozhraní st0). Tím se zabezpečí, že provoz do sítě na druhém konci tunelu se nejdříve enkapsuluje pomocí GRE a následně se odešle zabezpečený pomocí IPSec. user@host# set routing-options static route /24 next-hop gr-0/0/0.0 user@host# set routing-options static route next-hop st0.0 listopad /10
9 Nakonec je potřebné tyto rozhraní přidat do bezpečnostní zóny. Tímto určíme, že chceme přijímat provoz přicházející z těchto rozhraní. user@host# set security zones security-zone trust host-inbound traffic system-services all user@host# set security zones security-zone trust host-inbound traffic protocols all user@host# set security zones security-zone trust host-inbound traffic interfaces gr-0/0/0.0 st0.0 Při řešení problémů je potřebné ověřit, zda jsou spuštěny rozhraní gr-0/0/0, funguje IPSec tunel a zda jsou správně nastaveny cesty. user@host# show interfaces gr-0/0/0 terse user@host# show security ike security-associations Pokud rozhraní nefunguje, je možné ho ručně spustit příkazem user@host# set interfaces gr-0/0/0 enable 2.5 Kompatibilita s prvky Cisco Nastavení operačního systému IOS pro vytvoření IPSec tunelu. Nejdřív je potřeba nastavit isakmp politiku (algoritmy a heslo). crypto isakmp policy 15 encr 3des authentication pre-share group 2 lifetime crypto isakmp key juniper address Následně se nastaví transform-set který slouží k nastavení parametrů pro šifrování dat. crypto ipsec transform-set aes-sha esp-aes esp-md5-hmac Vytvoříme crypto map, která definuje transform set a access list, pomocí kterého budeme filtrovat data. crypto map ipsec-remoteoffice 11 ipsec-isakmp set peer set transform-set aes-sha set pfs group2 match address 101 access-list 101 permit ip Nakonec tuto crypto map přiradíme na rozhraní. interface FastEthernet0/1 ip address crypto map ipsec-remoteoffice Při řešení problémů si můžeme nechat vypsat seznam navázaných security associations, crypto map show crypto isakmp sa show crypto ipsec sa show crypto map listopad /10
10 3 Závěr Uvedený postup nebylo možné ověřit, protože jsme neměli dostupný hardware s operačním systémem JUNOS. Proto jsme byli odkázání na použití prostředí Olive (operační systém JUNOS běžící ve FreeBSD na PC), v tomto prostředí však nefunguje JUNIPER Enhanced services potřebný pro funkčnost IPSec VPN. I když jsme při instalaci postupovali podle návodu od společnosti JUNIPER, po instalaci do FreeBSD po požadovaném restartu systém přestal reagovat na vstupy od uživatele zadané přes sériovou konzolu (přesměrovanou na standardní vstup a výstup). Zde uvedený postup by však měl vést k požadované funkčnosti. 4 Použitá literatura [1] Junos Network Operating System - Consistent Operating Environment - Juniper Networks. Features and Benefits[online] , [cit ]. Dostupný z WWW: < [2] Katalog - popis producenta. Juniper Networks[online] , [cit ]. Dostupný z WWW: < Open&webid=&grp=Produkty&sgrp=Juniper%20Networks> [3] Juniper Networks [online]. c [cit ]. Configuring an IPsec Tunnel Overview. Dostupné z WWW: < [4] Juniper Knowledge Base [online]. c [cit ]. GRE over IPSEC Configuration Example. Dostupné z WWW: < page=content&id=kb19372>. [5] IETF Tools [online]. December 2005 [cit ]. RFC Security Architecture for the Internet Protocol. Dostupné z WWW: < listopad /10
Bezpečnost vzdáleného přístupu. Jan Kubr
Bezpečnost vzdáleného přístupu Jan Kubr Vzdálené připojení - protokoly IPsec PPTP, P2TP SSL, TSL IPsec I RFC 4301-4309 IPv6, IPv4 autentizace Authentication Header (AH) šifrování Encapsulating Security
VíceVytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik
Vytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik Žemba Zdeněk, Kozelský Martin Abstrakt: Cílem tohoto semestrálního projektu bylo ověřit možnosti šfrovaného spojení mezi směrovači Cisco
VíceSeminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský
Seminární práce do předmětu: Bezpečnost informačních systémů téma: IPsec Vypracoval: Libor Stránský Co je to IPsec? Jedná se o skupinu protokolů zabezpečujících komunikaci na úrovni protokolu IP (jak už
VíceModerní komunikační technologie. Ing. Petr Machník, Ph.D.
Moderní komunikační technologie Ing. Petr Machník, Ph.D. Virtuální privátní sítě Základní vlastnosti VPN sítí Virtuální privátní síť (VPN) umožňuje bezpečně přenášet data přes nezabezpečenou síť. Zabezpečení
VíceGRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA
GRE tunel APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost přístroje. Pozor upozornění na možné problémy, ke kterým
VíceVPN - Virtual private networks
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální
VíceSemestrální projekt do předmětu SPS
Semestrální projekt do předmětu SPS Název projektu: Instalace a provoz protokolu IPv6 v nových verzích MS Windows (XP). Ověření proti routerům Cisco a Linux. Cíl projektu: Autoři: Cílem tohoto projektu
VíceDMVPN na IPv6. Ondřej Folber (fol179) Marek Smolka (smo119)
DMVPN na IPv6 Ondřej Folber (fol179) Marek Smolka (smo119) Abstrakt: Tento dokument by měl sloužit pro vyzkoušení a osvojení si tvorby tunelů pomocí DMVPN na sítích s Ipv6. Také by měl ověřit znalosti
VíceTheGreenBow IPSec VPN klient
TheGreenBow IPSec VPN klient Konfigurační příručka k VPN routerům Planet http://www.thegreenbow.com http://www.planet.com.tw Obsah: 1. Úvod...3 1.1 Účel příručky...3 1.2 Topologie VPN sítě...3 2 VRT311S
Více2N EasyRoute UMTS datová a hlasová brána
2N EasyRoute UMTS datová a hlasová brána Jak na to? Verze: IPsec www.2n.cz 1. IPsec IPsec (IP security) je bezpečnostní rozšíření IP protokolu založené na autentizaci a šifrování každého IP datagramu.
VíceMožnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7
Možnosti IPv6 NAT Lukáš Krupčík, Martin Hruška KRU0052, HRU0079 Abstrakt: Tento dokument ukazuje možné řešení problematiky IPv6 NAT. Součástí je návrh topologií zapojení a praktické otestovaní. Kontrola
VíceSSL Secure Sockets Layer
SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou
VíceKonfigurace sítě s WLAN controllerem
Konfigurace sítě s WLAN controllerem Pavel Jeníček, RCNA VŠB TU Ostrava Cíl Cílem úlohy je realizace centrálně spravované bezdrátové sítě, která umožní bezdrátovým klientům přistupovat k síťovým zdrojům
VíceÚvod Bezpečnost v počítačových sítích Technologie Ethernetu
České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů Úvod Bezpečnost v počítačových sítích Technologie Ethernetu Jiří Smítka jiri.smitka@fit.cvut.cz 26.9.2011
VíceNezávislé unicast a multicast topologie s využitím MBGP
Nezávislé unicast a multicast topologie s využitím MBGP Bc. Kriváček Martin (KRI0080), Bc. Stratil Tomáš(STR0136) Abstrakt: Tento krátký dokument by měl teoreticky i prakticky zasvětit do problematiky
VíceAdministrace služby - GTS Network Storage
1. Návod k ovládání programu Cisco VPN Client (IP SECový tunel pro přístup GTS Network Storage) Program Cisco VPN client lze bezplatně stáhnout z webových stránek GTS pod odkazem: Software ke stažení http://www.gts.cz/cs/zakaznicka-podpora/technicka-podpora/gtspremium-net-vpn-client/software-ke-stazeni.shtml
Více1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS
1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS Pro přístup do administrace služby GTS Bezpečný Internet používejte zákaznický WebCare GTS Czech, který je přístupny přes webové
VíceIKEv2, peer-specific politiky pro negociaci IPSec tunelů
IKEv2, peer-specific politiky pro negociaci IPSec tunelů Bc. Pavel Kovář Bc. Roman Kaláb Abstrakt: Tento dokument ukazuje možné řešení realizace IPSec tunelů a využití IKEv2 a peer-specific politik pro
Více54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci
54Mbps bezdrátový router WRT-415 Návod pro rychlou instalaci 1 Obsah 1 Úvod... 1 1.1 Obsah balení 1 1.2 Systémové požadavky 1 1.3 Vlastnosti zařízení 1 2 Fyzická instalace... 2 2.1 Připojení hardwaru 2
VíceOpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16
OpenVPN Ondřej Caletka 3. března 2013 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16 Virtuální privátní sítě Vytvoření
VíceBezpečnostní aspekty informačních a komunikačních systémů PS2-1
Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis
VícePoužití Virtual NAT interfaces na Cisco IOS
Použití Virtual NAT interfaces na Cisco IOS Lukáš Czakan (CZA0006) Marek Vašut (VAS0064) Abstrakt: Tato práce obsahuje praktické srovnání použití klasického NATu s NAT virtuálním rozhraním a jejich použití
VíceVRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS
VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS David Balcárek (BAL259), Petr Malec (MAL487) Abstrakt: Dokument pojednává o konfiguraci a testování VRRP na platformě RouterOS
VíceSměrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.
Směrovací protokol OSPF s využitím systému Mikrotom Ing. Libor Michalek, Ph.D. Ostrava, 2010 Úvod Mikrotik představuje kompletní operační systém pracující jak na platformách x86, tak na proprietárních
VíceŠifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol
Šifrování ve Windows EFS IPSec SSL PPTP - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol 18.11.2003 vjj 1 Bezpečnost? co chci chránit? systém
VíceOchrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.
Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1 Hranice sítě se posunují Dříve - Pracovalo
VíceAdministrace služby IP komplet premium
1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare T-Mobile Czech Republic Pro přístup do administrace služby Bezpečný Internet používejte zákaznický WebCare T-Mobile Czech Republic,
VíceAdministrace služby IP komplet premium
1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare T-Mobile Czech Republic Pro přístup do administrace služby Bezpečný Internet používejte zákaznický WebCare T-Mobile Czech Republic,
VíceExtrémně silné zabezpečení mobilního přístupu do sítě.
Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá
VíceTechnologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.
Technologie počítačových sítí - LS 2016/2017 Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie. Petr Grygárek Obecné hostname XXX ping vrf V ipv6
VíceIPsec tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA
IPsec tunel APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpec í du ležité upozorne ní, které mu že mít vliv na bezpec í osoby nebo funkc nost pr ístroje. Pozor upozorne ní na možné problémy,
VíceVLSM Statické směrování
VLSM Statické směrování Počítačové sítě 5. cvičení Dělení IP adresy na síť a stanici Třídy adres prefixový kód v prvním bajtu určuje hranici Podle masky podsítě (subnet mask) zleva souvislý úsek 1 v bin.
VícePřipojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE
Připojení k eduroam.cz: Nastavení síťových komponent Meraki a konfigurace ISE Podrobní postup připojení organizace k eduroamu v ČR je detailně popsán na stránkach eduroam.cz (https://www.eduroam.cz/cs/spravce/pripojovani/uvod
VíceZabezpečení sítí VPN (Virtual private networking)
System i Zabezpečení sítí VPN (Virtual private networking) verze 6, vydání 1 System i Zabezpečení sítí VPN (Virtual private networking) verze 6, vydání 1 Poznámka Přečtěte si informace v části Poznámky,
VíceMPLS MPLS. Label. Switching) Michal Petřík -
MPLS (MultiProtocol Label Switching) Osnova prezentace: Technologie MPLS Struktura MPLS sítě MPLS a VPN G-MPLS Dotazy 2 / 21 Vznik MPLS: Ipsilon Networks (IP switching) pouze pro ATM Cisco systems, inc.
VíceY36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29
Y36PSI IPv6 Jan Kubr - 7_IPv6 Jan Kubr 1/29 Obsah historie, motivace, formát datagramu, adresace, objevování sousedů, automatická konfigurace, IPsec, mobilita. Jan Kubr - 7_IPv6 Jan Kubr 2/29 Historie
VíceNAS 323 NAS jako VPN Server
NAS 323 NAS jako VPN Server Naučte se používat NAS jako VPN server A S U S T O R C O L L E G E CÍLE KURZU V tomto kurzu se naučíte: 1. Nastavit ASUSTOR NAS jako VPN server a připojit se k němu z počítačů
VíceImplementace protokolů IPSec na OS Linux, FreeS/WAN. Martin Povolný
Implementace protokolů IPSec na OS Linux, FreeS/WAN Martin Povolný 1 1 IPSec V úvodní části představím rodinu protokolů IPSec. Dále stručně uvedu FreeS/WAN implementaci IPSec pro OS GNU/Linux, která je
VíceObsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27
Obsah Část I Základy bezpečnosti..............9 Kapitola 1 Základy obvodového zabezpečení.................11 Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26
VícePraktikum WIFI. Cíl cvičení:
Praktikum WIFI Cíl cvičení: V terminálovém režimu konfigurujte Access Point (AP) Cisco AiroNet 1230 a počítač s nainstalovaným bezdrátovým adaptérem, zapojené v síti podle obrázku a seznamte se s dalšími
VíceVzdálené ovládání dotykového displeje IDEC HG3G pomocí routeru VIPA TM-C VPN
Vzdálené ovládání dotykového displeje IDEC HG3G pomocí routeru VIPA TM-C VPN Vzdálené ovládání dotykového displeje IDEC HG3G pomocí routeru VIPA TM-C VPN Abstrakt Tento aplikační postup je ukázkou jak
Více7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.
7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům
VíceMPLS Penultimate Hop Popping
MPLS Penultimate Hop Popping Jiří Otáhal (ota049) Abstrakt: Projekt má za úkol seznámit s funkcí protokolu MPLS Penultimate Hop Popping jejími přínosy a zápory při použití v různých aplikacích protokolu
VíceRegistrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost
Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován
VíceIBM i Verze 7.2. Zabezpečení VPN (Virtual Private Networking)
IBM i Verze 7.2 Zabezpečení VPN (Virtual Private Networking) IBM i Verze 7.2 Zabezpečení VPN (Virtual Private Networking) Poznámka Před použitím těchto informací a před použitím produktu, který podporují,
VíceIPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.
IPv6 RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové sít ě BI-PSI LS 2010/11,
VíceProjekt VRF LITE. Jiří Otisk, Filip Frank
Projekt VRF LITE Jiří Otisk, Filip Frank Abstrakt: VRF Lite - použití, návaznost na směrování v prostředí poskytovatelské sítě. Možnosti řízených prostupů provozu mezi VRF a globální směrovací tabulkou.
VícePŘÍRUČKA SÍŤOVÝCH APLIKACÍ
PŘÍRUČKA SÍŤOVÝCH APLIKACÍ Uložení protokolu tisku na síť Verze 0 CZE Definice poznámek V celé Příručce uživatele používáme následující ikony: Poznámky uvádějí, jak reagovat na situaci, která může nastat,
VíceUNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Návrh a konfigurace vzdáleného přístupu na koncové prvky Jáchym Krasek
UNIVERZITA PARDUBICE Fakulta elektrotechniky a informatiky Návrh a konfigurace vzdáleného přístupu na koncové prvky Jáchym Krasek Diplomová práce 2013 Prohlášení autora Prohlašuji, ţe jsem tuto práci
VíceKonfigurace směrovače, CDP
Konfigurace směrovače, CDP CCNA2 modul č. 3 Datum: 1. dubna 2007 Autor: Petr Hanyáš xhanya01@stud.fit.vutbr.cz Tomáš Duda xdudat00@stud.fit.vutbr.cz Obsah Úvod...3 1. Režimy práce...3 1.1. Uživatelský
VíceBudování sítě v datových centrech
Budování sítě v datových centrech Ing. Pavel Danihelka pavel.danihelka@firma.seznam.cz Network administrator Obsah Úvod Hardware Škálovatelnost a propustnost Zajištění vysoké dostupnosti Bezpečnost Load
VíceJosef Hajas. hajasj1@fel.cvut.cz
Vysázeno v LAT Xu p. Technologie bezpečných kanálů aneb s OpenVPN na věčné časy Josef Hajas hajasj1@fel.cvut.cz Vysázeno v LAT Xu p. Co nás čeká a nemine Motivace, co je to vlastně ta VPN? Rozdělení jednotlivých
VícePříkazy Cisco IOS. 1 Přehled módů. 1.2 Uživatelský mód (User Mode) 1.3 Privilegovaný mód (Privileged Mode) 1.1 Klávesové zkratky
Příkazy Cisco IOS Cisco IOS (původně Internetwork Operating System) je operační systém používaný na směrovačích a přepínačích firmy Cisco Systems. 1 Přehled módů Základní módy a příkazy, kterými lze mezi
VíceKomunikační napojení účastníků na centrální depozitář cenných papírů
Komunikační napojení účastníků na centrální depozitář cenných papírů Obsah Článek 1 Předmět úpravy... 3 Článek 2 Význam pojmů a použitých zkratek... 3 Článek 3 Technický popis účastnického komunikačního
VícePOLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry
POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější
VíceZyWALL 2 Plus. Příručka pro rychlou instalaci. Zařízení pro bezpečné připojení k internetu. Verze / vydání
ZyWALL 2 Plus Zařízení pro bezpečné připojení k internetu Příručka pro rychlou instalaci Verze 4.00 4/2006 1. vydání Přehled Zařízení ZyWALL 2 Plus představuje firewall integrující VPN, správu propustnosti,
VíceDesktop systémy Microsoft Windows
Desktop systémy Microsoft Windows IW1/XMW1 2013/2014 Jan Fiedor, přednášející Peter Solár ifiedor@fit.vutbr.cz, solar@pocitacoveskoleni.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně
VíceZáklady IOS, Přepínače: Spanning Tree
Základy IOS, Přepínače: Spanning Tree Počítačové sítě 4. cvičení Semestrální projekt (1) Semestrální projekt (2) Struktura projektu: Adresní plán a konfigurace VLAN Směrování a NAT DNS server DHCP server
VíceProtokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.
Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Operační systém TCP/IP TCP spojení TCP/IP Pseudo terminal driver Operační systém
VíceProtokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.
Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení
VíceMožnosti vylaďování subsecond konvergence EIGRP
Možnosti vylaďování subsecond konvergence EIGRP Filip Haferník (HAF006) & Bořivoj Holinek (HOL659) Abstrakt: Projekt má za cíl seznámit s problematikou konvergence a její vylaďování v EIGRP. Součástí projektu
Více5. Směrování v počítačových sítích a směrovací protokoly
5. Směrování v počítačových sítích a směrovací protokoly Studijní cíl V této kapitole si představíme proces směrování IP.. Seznámení s procesem směrování na IP vrstvě a s protokoly RIP, RIPv2, EIGRP a
VíceVPN (Virtual Private Networking)
Systémy IBM - iseries VPN (Virtual Private Networking) Verze 5, vydání 4 Systémy IBM - iseries VPN (Virtual Private Networking) Verze 5, vydání 4 Poznámka Přečtěte si informace v části Poznámky, na stránce
VícePA159 - Bezpečnost na síti II
PA159 - Bezpečnost na síti II 2. 11. 2007 PAP (RFC 1334) Autentizační protokoly slabá autentizace plain-text hesla přes sít * Předpokládal přístup přes telefon přímo k autentizačnímu serveru CHAP (Challenge
Více1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL
1. Směrovače Směrovače (routery) jsou síťové prvky zahrnující vrstvy fyzickou, linkovou a síťovou. Jejich hlavním úkolem je směrování paketů jednotlivými sítěmi ležícími na cestě mezi zdrojovou a cílovou
Více12. Bezpečnost počítačových sítí
12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,
VíceInstalace Microsoft SQL serveru 2012 Express
Instalace Microsoft SQL serveru 2012 Express Podporované OS Windows: Windows 7, Windows 7 Service Pack 1, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2008 R2 SP1, Windows Server 2012,
VícePočítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/
Počítačové sítě II 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 Bezpečnost sítí cílem je ochránit počítačovou síť a především data/zařízení v nich
VíceUživatelský modul. WiFi SSID Switch
Uživatelský modul WiFi SSID Switch APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí Důležité upozornění, jež může mít vliv na bezpečí osoby či funkčnost přístroje. Pozor Upozornění na možné
VíceHot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)
České vysoké učení technické v Praze Fakulta elektrotechnická Moderní technologie Internetu Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány) Abstrakt Popis jednoho z mechanizmů
VícePrůmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek 22. 9. 2010
Průmyslová komunikace přes mobilní telefonní sítě Michal Kahánek 22. 9. 2010 Program Produkty Moxa pro mobilní komunikaci Operační módy mobilních modemů OnCell Operační módy mobilních IP modemů OnCell
VíceVPN tunel mezi zařízením ZyXEL ZyWALL a IPSec VPN klientem ZyXEL
VPN tunel mezi zařízením ZyXEL ZyWALL a IPSec VPN klientem ZyXEL Úprava pro mobilního uživatele Mobilní uživatel, je někdo, kdo cestuje a připojuje se na různých neznámých místech, Proto nikdy neznáme
VíceSemestrální projekt do SPS Protokol RSVP na Cisco routerech
Semestrální projekt do SPS Protokol RSVP na Cisco routerech Vypracoval: Marek Dovica DOV003 Milan Konár KON300 Cíl projektu Cílem projektu je přiblížit problematiku protokolu RSVP a ověřit jeho funkčnost
VíceCisco IOS TCL skriptování využití SMTP knihovny
Cisco IOS TCL skriptování využití SMTP knihovny Bc. Petr Hanták (han377), Bc. Vít Klimenko (kli307) Abstrakt: Úkolem tohoto projektu bylo zmapovat SMTP knihovnu pro odesílání emailových zpráv z Cisco směrovačů
VíceBEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2
FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ÚSTAV INFORMAČNÍCH SYSTÉMŮ FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2 JIŘÍ KAZÍK JAROSLAV
VíceDalší nástroje pro testování
Další nástroje pro testování PingPlotter grafická varianta programu ping umožňuje soustavné monitorování, archivování apod. www.pingplotter.com VisualRoute grafický traceroute visualroute.visualware.com
Vícemetodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování
metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování Cílem tohoto tematického celku je poznat formát internet protokolu (IP) a pochopit základní principy jeho fungování včetně návazných
VíceKAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup
KAPITOLA 10 Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup Tato kapitola se zabývá následujícími tématy: Vzdálený přístup protokolu IPv6 pomocí klienta Cisco AnyConnect tato část se týká poskytování
VíceUživatelský modul. WiFi STA
Uživatelský modul WiFi STA APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost přístroje. Pozor upozornění na možné
VíceTypická využití atributu Community protokolu BGP - modelové situace
Typická využití atributu Community protokolu BGP - modelové situace Vít Slováček Login: SLO0058 Abstrakt: Dokument popisuje konfiguraci protokolu BGP (Border Gateway Protocol) a nastavení atributu community.
VíceKonfigurace Cisco směrovače
Konfigurace Cisco směrovače V tomto textu najde čten{ř z{kladní příkazy pro konfiguraci směrovačů s operačním systémem IOS firmy Cisco, informace o režimech pr{ce směrovače, konfiguraci směrovací tabulky
VíceProvádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany
Obranné valy (Firewalls) Vlastnosti Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany Filtrování paketů a vlastnost odstínění Různé
VíceSpráva sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.
Správa sítí RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové sít ě BI-PSI LS 2010/11,
VíceSTRUČNÝ NÁVOD K POUŽITÍ
STRUČNÝ NÁVOD K POUŽITÍ REPOTEC RP-IP0613 Úvod Bandwidth manager REPOTEC (dále jen BM) je levný a jednoduchý omezovač rychlosti pro jakékoliv sítě založené na protokolu TCP/IP. Velice snadno se ovládá
VícePrůzkum a ověření možností směrování multicast provozu na platformě MikroTik.
Průzkum a ověření možností směrování multicast provozu na platformě MikroTik. K. Bambušková, A. Janošek Abstrakt: V této práci je popsán základní princip multicastů, následuje popis možností použití multicastů
VíceInternet protokol, IP adresy, návaznost IP na nižší vrstvy
Metodický list č. 1 Internet protokol, IP adresy, návaznost IP na nižší vrstvy Cílem tohoto tematického celku je poznat formát datagramů internet protokolu (IP) a pochopit základní principy jeho fungování
VíceMožnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)
Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP) Václav Stefek, Jan Krejčí, Dušan Griga, Martin Medera Abstrakt: Tato práce představuje výstup semestrálního projektu do předmětu Směrované
VícePopis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA
JOYCE ČR, s.r.o., Fakturační adresa: Matzenauerova 8, 616 00 Brno, ČR, Korespondenční adresa: Venhudova 6, 614 00 Brno, ČR IČO: 25317571, DIČ: CZ25317571, Tel.: +420 539 088 010, Fax: +420 539 088 000,
VíceTechnologie počítačových sítí - ZS 2015/2016 Kombinované studium
Technologie počítačových sítí - ZS 2015/2016 Kombinované studium Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie. Petr Grygárek Ping ipv6 ve VRF : ping
VíceHSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU
HSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU Pavel Bernat Abstrakt: Tato práce se zabývá způsobu konfigurace HSRP (protokol umožňující zřízení dvou výchozích bran a jejich seskupení
VíceIng. Jitka Dařbujanová. TCP/IP, telnet, SSH, FTP
Ing. Jitka Dařbujanová TCP/IP, telnet, SSH, FTP Globální systém pro propojení počítačových sítí, který k tomuto využívá sadu protokolů TCP/IP Síť mnoha různých sítí propojených metalickými, optickými kabely,
VíceZero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS
PV157 Autentizace a řízení přístupu Autentizační protokoly & Autentizace počítačů Zero-knowledge protokoly Český překlad: protokoly s nulovým rozšířením znalostí Jdou dále než protokoly sdělující hesla
VíceKapitola 1 Představení SIP telefonu
SIP telefon Kapitola 1 Představení SIP telefonu SIP telefon je plně funkční IP telefon vhodný pro využívání v domácnostech. Podporuje SIP protokol dle RFC3261. Obsahuje dva síťové porty 10/100BaseT, pomocí
VícePopis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco
Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco Martin Hladil, Jiří Novák Úvod Modul WIC-4ESW je 4 portový ethernetový přepínač druhé vrstvy se schopnostmi směrování na třetí
Více1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model
1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model Protokoly určují pravidla, podle kterých se musí daná komunikační část chovat. Když budou dva počítače používat stejné komunikační
VíceKonfigurace DHCP serveru a překladu adres na směrovačích Cisco
ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická PROJEKT Č. 5 Konfigurace DHCP serveru a překladu adres na směrovačích Cisco Vypracoval: V rámci předmětu: Jan HLÍDEK Komunikace v datových
VíceAutentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS
Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS Semestrální projekt z předmětu Směrované a přepínané sítě 2004/2005 David Mikula Marek Bielko Standard
VíceAnalýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča
Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání
VícePočítačové sítě. Počítačová síť. VYT Počítačové sítě
Počítačové sítě Počítačová síť Je soubor technických prostředků, které umožňují spojení mezi počítači a výměnu informací prostřednictvím tohoto spojení. Postupný rozvoj během druhé poloviny 20. století.
VíceBezpečná autentizace přístupu do firemní sítě
Bezpečná autentizace přístupu do firemní sítě ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá dvoufaktorové
Více