Campus LAN Design André Beck IBH IT-Service GmbH Gostritzer Str 61-63 01217 Dresden support@ibh.de www.ibh.de Inhalt Network Design ◆ Spaghetti-LAN ◆ Was ist LAN-Design? ◆ Sicherheitsaspekte ◆ Das L2-L3-Dilemma Ad-Hoc LANs Frühe Campus LANs ◆ Explosives Wachstum Anfang der 1990er ◆ Mehrere Paradigmenwechsel der Technologie ●Shared Medium wird aktiv (Coax ●Switching auf L2 ●VLANs ●Konsolidierung auf Ethernet ●Switching auf L3 ●Konsolidierung auf IP TP+Hubs) ◆ Relativ teuer Ad-Hoc LANs No Design ◆ Typische Entstehung eines LANs ●Wir brauchen Ports für zwei Server und 48 Clients ●Die Rechner stehen an drei Standorten (22+14+14) Da reichen doch Switche (1x24 und 2x16 Ports) ●Und wie verknüpfen wir das jetzt? Da reicht sicher je eine Verbindung ●Funktionierte zunächst ◆ Steigende Anforderungen ●Bedarf an Ports wächst ●Mehr Standorte sind zu versorgen ●Ansprüche steigen (Bandbreite, Ausfallsicherheit ) Ad-Hoc LANs Spaghetti-LAN ◆ Ad-Hoc Erweiterungen ●Weitere Access-Switche werden hinzugefügt (Ports) ●Einfache Redundanzen (STP + wenige Ersatzwege) ●Die Struktur wir komplex und unübersichtlich ●Große Broadcastdomain(s) ●Kein Ansatz für Sicherheit ●Alptraum Fehlersuche ◆ Skaliert nicht ●Ähnlichkeit mit dem Softwareentwicklungs-Phänomen Spaghetti Code ●Erfordert Definition und Anwendung von Design-Prinzipien LAN Design Grundlagen ◆ Jedes komplexe System braucht Design-Prinzipien ●Architekturgrundlagen ●Konstruktionsregeln ◆ Ziele des LAN Designs ●Balance von ■Verfügbarkeit ■Sicherheit ■Flexibilität ■Managebarkeit ●Erfüllt aktuelle und zukünftige ■Geschäftliche Anforderungen ■Technische Anforderung LAN Design Strukturiertes LAN Design ◆ Anwendung von vier Prinzipien: ●Hierarchie ●Modularität ●Widerstandsfähigkeit ●Flexibilität ◆ Interaktion der Prinzipien ●Die Prinzipien sind nicht unabhängig voneinander ●Jedes beeinflusst das Gesamtdesign ●Jedes muss im Kontext der anderen betrachtet werden Hierarchie Building Blocks ◆ Strukturierte Konstruktionsregeln ◆ Zwei komplementäre Prinzipien ●Hierarchie ●Modularität ◆ Konstruktion großer komplexer Systeme ●Definition modularer Komponenten ●Hierarchisch strukturierte Verknüpfung ●Unabhängigkeit der Module ■Beim Design ■Bei Betrieb und Management ■Im Verhalten bei Ausfällen Hierarchie Campus Hierarchy Layers ◆ Hierarchische Struktur ●Layer (Tier, Ebene) ◆ Zuständigkeiten ●Security? ●QoS? ● ◆ Keine ehernen Regeln ●Hierarchie != Topologie Access Layer Wo alles begann ◆ Je nach Betrachtungsweise oder Ebene ●Edge, 1st Tier, Outer Tier, Tertiärebene ◆ Ports für Endgeräte ●Workstations, PCs, Terminals etc ●Drucker, Kameras etc ◆ Ports für LAN-Erweiterungen ●IP-Phones ●WLAN Access Points ◆ Komplex, vielfältig, hohe Featureanzahl ●Bereitstellung der meisten Campus-Dienste 10 Access-Distribution Block Virtual Switch Topologie ◆ Virulentes Konzept ●Konsequenterweise auch im Core ●Dann auch in anderen Blöcken ● ◆ Campus Spanning VLANs? ●Routed vs Switched MEC ●Grưße der Broadcastdomains ●IP Transit VLANs + Spanning VLANs 27 Services Block Dediziert für LAN-Dienste ◆ Ähnlich Datacenter Block ●Im einfachsten Fall im Datacenter Block ●Trennung von Geschäftsapplikationen und Netzdiensten ●Besondere Anforderungen von Netzdiensten ●Modularität und Flexibilität ◆ Typische Einsatzfelder ●Wireless LAN Controller (LWAPP/CAPWAP) ●Unified Communications (CUCM, DSPs, Gateways etc) ●IPv6 ISATAP Tunnel Termination ●Internet Edge 28 Widerstandsfähigkeit Korrekt ist nicht genug ◆ Resiliency ◆ Funktion unter normalen Bedingungen ●Erwartete Verkehrsmuster und Lasten ●Geplante Umbauten und Erweiterungen ◆ Funktion auch unter anormalen Bedingungen ●Fehler in Hard- und Software ●Extreme Lastsituationen ●Untypische Verkehrsmuster ●Denial of Service (ungewollt oder gewollt) ●Andere ungeplante Ereignisse ◆ Expect the unexpected 29 Widerstandsfähigkeit Emergentes Konzept ◆ Kein einfach anschaltbares Feature ●Viele miteinander in Beziehung stehende Features ■Koordinierte Nutzung solcher Features ■Features dienen mehreren Zwecken ●Resultiert aus diesbezüglichen Designentscheidungen ●Erhöht die Verfügbarkeit des Campus LAN als Ganzes ●Typisch benutzte Features: Security & QoS ■Port Security ■Scavenger Class ■Control Plane Policing (CoPP) 30 Widerstandsfähigkeit Sichtweisen ◆ Network Resiliency ●Redundante Topologie ■Redundante Geräte und Verbindungen ■Nutzung dieser Redundanz durch die Control Plane ◆STP, LACP, Equal Cost Multipath in IGPs, FHRPs ●Einige generelle Empfehlungen ■Detect Failure in Hardware ◆Link Aggregation statt STP, ECMP, Routed Interfaces statt SVIs ■Defense in Depth ◆UDLD statt ausschließlicher Verlass auf Link Detection ■Self-stabilizing Design ◆Routing statt STP, Route Aggregation, Dampening 31 Widerstandsfähigkeit Sichtweisen ◆ Device Resiliency ●Single Points of Failure ■Einige SPoF sind unvermeidlich ■Der Access-Switch ist nicht redundant ●SPoF unwahrscheinlicher machen ■Redundante Links, Module, Netzteile, Lüfter ■Redundante CPUs (NSF/SSO, StackWise/VSS) ●Schwache CPU schützen (Hardening) ■Baseline CPU Load reduzieren (Modularität Isolation) ■STP maximal isolieren oder komplett verbannen ■Hardware CoPP nutzen 32 Widerstandsfähigkeit Sichtweisen ◆ Operational Resiliency ●Maintenance in Zeiten von 24x7x365 ■Kaum noch Zeitfenster ■Fünf Neunen vs Switch Reboot, POST + Konvergenz ■Änderungen, Erweiterungen, Upgrades, Security Fixes, Tausch? ●Teilweise abgedeckt durch Redundanzen ■Network Resiliency ■Device Resiliency ●Achillesferse Software-Upgrade ■In-Service Software Upgrade (4500/6500 mit NSF/SSO, VSS) 33 Security Integrierte Sicherheit ◆ Kein optionaler Zusatz mehr ●Zahlreiche Design-Aspekte eng mit Sicherheit verknüpft ●Immanente Bestandteile des Designs: ■Lösen grundlegende Verfügbarkeitsprobleme ■Ermöglichen dynamische Provisionierung ■Und entschärfen außerdem Sicherheitslücken ◆ Zwei wesentliche Komponenten ●Schutz vor Angriffen (gezielt oder fahrlässig) ■Die Verfügbarkeit ist trotz Angriff gewährleistet ●Information über den Zustand des Netzes ■Erkennung und Verfolgung eines laufenden Angriffs 34 Security Infrastructure Protection ◆ Schutz der Geräte ●Sicheres Management ■Verschlüsselte Protokolle (SSH, HTTPS) ■AAA (RADIUS, TACACS+), Authorization + Full Accounting ●IOS Security Best Practices (u.U AutoSecure) ■Security Policy definieren und regelmäßige Audits ◆ Schutz der Verbindungen ●Benutzt die QoS-Mechanismen der Geräte ■Campus QoS Design Guides ■Trust Boundaries, Queueing Policies, Scavenger Class 35 Security Infrastructure Protection ◆ Schutz der Control Plane ●CPU Hardening ■CoPP ●Sicherung der Protokolle ■Digest Authentication in Protokollen wo möglich ◆OSPF MD5 Auth etc ■Nur dringend benötigte Protokolle aktivieren ◆Routed Interfaces statt Switchports ◆Switchport nonegotiate ◆VTP Transparent ◆ 36 Security Telemetrie ◆ Laufende Angriffe erkennen ●Das geschützt Netz läuft unbeeindruckt weiter ●Datenmengen sind enorm ●Aggregierte Telemetrie aus dem Netz ■NetFlow Export ■NBAR und Deep Packet Inspection ■SNMP und Syslog ■IPS an geeigneten Übergängen ●Intelligente Konsolidierungs-Backends ■Cisco MARS 37 Security Die andere Grenze ◆ Access Layer Perimeter Security ●Nur bekannte und vertrauenswürdige Clients ■Voll authentisiert und authorisiert ■Erfüllt minimale Voraussetzungen (Patchstand, AV ) ●802.1X ●Network Admission Control ●Access Layer gehärtet gegen gängige L2-Probleme ■Floods und MitM-Angriffe (ARP Spoofing) ■Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard ◆ Endpoint Security 38 Security Distributed Security Services Netflow ◆ Skaliert mit dem LAN Defense in Depth Netflow, NAC IPS, uRPF Si Si Si Si CISF, IBNS, NBAR-FPM, Netflow IP IP IP CSA 39 Quelle & Links Cisco Solution Reference Network Designs ◆ www.cisco.com/go/srnd ◆ Enterprise Campus 3.0 Architecture: Overview and Framework ●Quelle für Bilder und vorgestellte Systematik ◆ Campus Network for High Availability Design Guide ◆ High Availability Campus Network DesignRouted Access Layer using EIGRP or OSPF ◆ Campus 3.0 Virtual Switching System Design Guide 40 Vielen Dank für Ihre Aufmerksamkeit! Fragen Sie! Wir antworten www.ibh.de ... Definition und Anwendung von Design- Prinzipien LAN Design Grundlagen ◆ Jedes komplexe System braucht Design- Prinzipien ●Architekturgrundlagen ●Konstruktionsregeln ◆ Ziele des LAN Designs ●Balance von...Inhalt Network Design ◆ Spaghetti-LAN ◆ Was ist LAN -Design? ◆ Sicherheitsaspekte ◆ Das L2-L3-Dilemma Ad-Hoc LANs Frühe Campus LANs... ●Erfüllt aktuelle und zukünftige ■Geschäftliche Anforderungen ■Technische Anforderung LAN Design Strukturiertes LAN Design ◆ Anwendung von vier Prinzipien: ●Hierarchie ●Modularität ●Widerstandsfähigkeit