Cisco Umbrella
- Коммутаторы
- 1. В чем основные отличия между коммутаторами серии Cisco Catalyst 2960?
- 2. Чем отличаются коммутаторы Cisco Catalyst 3650 и 3850?
- 3. Какова линейка коммутаторов Cisco Catalyst 9000?
- 4. Какой коммутатор покупать, 2960X или 9200L/9200?
- 5. В чём различие между коммутаторами Cisco Nexus 9300-EX, 9300-FX и 9300-FX2?
- 6. Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960-X?
- 7. Какой набор функций поддерживается на Cisco Catalyst 2960-L?
- 8. Чем отличается IP Lite для 2960-XR от IP Base для остальных моделей 2960?
- 9. Как лицензируются коммутаторы серии Cisco Catalyst 3650, 3560X/3750X и 3850?
- 10. Какова схема лицензирования коммутаторов Cisco Catalyst 9000?
- 11. Какова схема лицензирования коммутаторов Cisco Nexus 9300/9500?
- 12. Какие коммутаторы Cisco производятся в России?
- Порты
- 13. Какие варианты соединения на скорости более 1 Гбит/с доступны на оборудовании Cisco для технологии Ethernet?
- 14. Можно ли установить в оборудование Cisco SFP (SFP+) трансиверы других производителей?
- 15. Как подключить сервер к коммутатору Cisco на скорости 10 Гбит/с?
- Стекирование
- 16. Какие преимущества предоставляет стекирование?
- 17. Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?
- 18. Поддерживается ли стекирование в коммутаторах Cisco Nexus?
- 19. Можно ли агрегировать порты (объединять в один логический канал) подключённые к двум разным коммутаторам Cisco?
- Питание
- 20. Как обеспечить резервное питание для оборудования Cisco?
- 21. Что такое RPS 2300 и XPS 2200?
- 22. Какие технологии передачи питания по Ethernet поддерживаются на оборудовании Cisco?
- Маршрутизаторы
- 23. Можно ли монтировать в стойку маршрутизаторы Cisco 880/890/1100/4000?
- 24. Что такое маршрутизаторы Cisco ISR 4000 Series?
- 25. Какой функционал отсутствует в IOS XE для Cisco ISR 4000?
- 26. Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 4000?
- 27. Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 1000?
- 28. Поддерживает ли маршрутизатор Cisco с лицензией IP Base функционал IP SLA?
- Производительность
- 29. Какова производительность маршрутизаторов Cisco ISR G2?
- 30. Какова производительность маршрутизаторов Cisco ISR 1000?
- 31. Какова производительность маршрутизаторов Cisco ISR 4000?
- Старые модели устройств
- 32. Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960 следующих серий: 2960, 2960-S, 2960-SF, 2960-Plus?
- 33. В чем основные отличия между коммутаторами 3560V2, 3560G, 3560E и 3560X?
- 34. В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?
- 35. Что означает «Standard Image» (IP Base) и «Enhanced Image» (IP Services) в описании коммутаторов серии 3560 и 3750. В чем разница?
- Архитектура и технологии
- 1. Какие архитектуры построения беспроводной сети на базе оборудования Cisco существуют?
- 2. Какие основные преимущества дает использование контроллера беспроводной сети?
- 3. В чем ключевые особенности и преимущества использования стандарта 802.11ac? В чем отличие 802.11ac wave 1 от 802.11ac wave 2?
- 4. Что такое Wi-Fi 6? В чем его отличие от других стандартов?
- 5. В чем основные преимущества использования технологий CleanAir и ClientLink на оборудовании Cisco?
- 6. Как оборудование Cisco помогает бороться с помехами в беспроводной сети?
- Точки доступа
- 7. В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой?
- 8. В чем отличие точек доступа x700 и x800?
- 9. В чем отличие точек доступа х800 между собой?
- 10. Есть ли у Cisco всепогодные точки доступа корпоративного класса?
- 11. Какие точки доступа Cisco производят в России?
- 12. Что означает R в партномере точки доступа AIR-AP1832I-R-K9?
- 13. Какие варианты питания точек доступа Cisco существуют?
- Контроллеры
- 14. Чем отличаются друг от друга контроллеры серий 2500, 3500, 5500, vWLC?
- 15. Какие варианты резервирования контроллеров серии 2500, 3500, 5500, 7500, 8500, vWLC существуют?
- 16. Будет ли работать автономная точка доступа с контроллером?
- 17. Контроллер поддерживает работу точек доступа только в локальной сети?
- 18. Почему после обновления ПО контроллера точки доступа не могут зарегистрироваться на контроллере?
- 19. Можно ли подключить к контроллеру беспроводной сети точку доступа, встроенную в маршрутизаторы серии 860, 880, 890?
- Mobility Express
- 20. Какие функции поддерживаются в Mobility Express?
- 21. Какие точки доступа поддерживают работу в режиме Cisco Mobility Express?
- 22. Могу ли я подключить точку доступа с поддержкой Mobility Express к полноценному контроллеру? Можно ли установить на ТД с Mobility Express «автономное» ПО?
- Устаревшие продукты
- 23. В чем отличие точек доступа Cisco Aironet 1810/1810W?
- 24. Поддерживают ли контроллеры предыдущего поколения (4400,2100) новые точки доступа?
- 25. В чем отличие точек доступа 700 и 1600 между собой?
- 26. В чем отличие точек доступа x600 и x700?
- 1. Существует два разных решения по IP-телефонии на базе CUCM и CUCMe. Каковы основные различия между решениями?
- 2. Какова схема лицензирования CUCMe (версии 12.0 и выше)?
- 3. На какие серверы можно установить решение Cisco Unified Communication Manager (CUCM)?
- 4. Какова схема лицензирования для решения Cisco Unified Communication Manager (CUCM)?
- 5. Что такое Cisco Business Edition?
- 6. Что такое BE 6000?
- 7. Что такое BE 7000?
- 8. Требуется телефон для возможности совершения видео-звонков. Какие основные варианты существуют?
- 9. Какие существуют способы обеспечить электропитание для IP-телефонов Cisco? В чем преимущество каждого из способов?
- 10. Что такое PVDM?
- 11. Какие модули PVDM можно устанавливать в маршрутизаторы Cisco разных поколений?
- 12. Работают ли 3rd Party SIP телефоны с Cisco CUCM?
- 13. Более выгодная покупка – CUCM Express или BE6000?
- 14. Какие варианты организации автосекретаря (IVR) возможны на базе решений Cisco?
- 15. Какие существуют технологии записи разговоров для IP-телефонии?
- 16. Какие телефоны не поддерживаются Cisco Unified Communication Manager (CUCM) версии 11.5?
- Общие вопросы
- 1. Что такое NPE?
- 2. Что означает K7, K8 и K9 в парт-номере ASA5500? Почему можно без проблем заказывать только K7 и K8?
- 3. Какие варианты организации защищенного VPN соединения в центральном офисе на базе маршрутизатора Cisco существуют?
- 4. Требуется решение для подключения дополнительного офиса с поддержкой стойкой шифрации. Какие возможны варианты?
- 5. Почему возникли проблемы с поставкой крипто-содержащего оборудования на территорию РФ?
- 6. Как может быть использовано оборудование Cisco совместно с другими производителями при выполнении функций шифрования?
- 7. Требуется решение по построению VPN сети. При этом не предъявляется особых требований к стойкости алгоритмов шифрации. На каком оборудовании возможно реализовать проект?
- 8. Что означает категория C1, C2, С3 и С4?
- 9. Что требуется от заказчика для ввоза криптосодержащего оборудования из категории C3?
- 10. Можно ли ввезти крипто-содержащее оборудование на территорию РФ?
- 11. Какие решения компании Cisco могут использоваться для защиты персональных данных в рамках ФЗ №152 и СТО БР ИББС?
- 12. Можно ли защитить мобильное устройство под управлением Apple iOS или Android, используя технологии Cisco?
- 13. Можно ли использовать технологию DMVPN совместно с сертифицированными средствами криптозащиты информации (СКЗИ)?
- 14. Что такое Advanced Malware Protection (AMP)?
- Cisco ASA / IronPort
- 15. Можно ли подключить межсетевой экран ASA к двум или более интернет-провайдерам, используя статическую маршрутизацию?
- 16. Какая схема лицензирования устройств Cisco ASA серии 5500?
- 17. Каковы основные отличия ASA5500-X Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?
- 18. Почему не заработал ASDM на ASA?
- 19. Можно ли использовать сервис Cisco AnyConnect SSL VPN на ASA K8?
- 20. В чем отличие устройства безопасности Cisco ASA от маршрутизатора Cisco ISR? В каком случае лучше приобрести маршрутизатор, а в каком – межсетевой экран?
- 21. Какие варианты VPN Remote Access предоставляет ASA 5500-X
- 22. Каковы особенности моделей Cisco ASA 5506-X, 5508-X и 5516-Х?
- 23. Можно ли считать ASA5506 прямой заменой ASA5505?
- 24. На что заменить Microsoft ISA/TMG сервер?
- 25. Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?
- 26. Какова схема лицензирования Cisco AnyConnect?
- 27. Как устройства IronPort обеспечивают высокую доступность?
- 28. Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?
- Next-Generation Firewall
- 29. Какие решения Next-Generation Firewall (NGFW) предлагает компания Cisco?
- 30. Какие варианты операционных систем используются на решениях Cisco ASA и Cisco Firepower?
- 31. Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco Firepower?
- 32. Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?
- 33. Как запустить сервисы FirePOWER на ASA 5500-X?
- 34. В чём отличие между использованием ASDM и Firepower Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?
- 35. Что такое Firepower Threat Defense?
- 36. Что такое Cisco Firepower 1000/2100/4100/9000?
- 37. В чём отличие между Firepower Device Management (FDM) и Firepower Management Console (FMC)?
- 38. Cisco Firepower или ASA?
- 39. Firepower Management Center 6.X. Что нового?
- 40. Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?
- 41. Что случится если откажет FMC?
- Cisco Umbrella
- 42. Как лицензируется Cisco Umbrella?
- 43. Какова схема работы Cisco Umbrella?
- 1. Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
- 2. Какие преимущества даёт внедрение SD-Access?
- 3. Какие решения являются обязательными для построения SD-Access?
- 4. Какие преимущества даёт внедрение SD-WAN?
- 5. Какие решения являются обязательными для построения SD-WAN?
- 6. Какие преимущества даёт внедрение ACI?
- 7. Какие решения являются обязательными для построения фабрики ACI?
На данный момент (2018) схема лицензирования разделена на две модели:
- По количеству пользователей:
Пакеты Cisco Umbrella Professional, Insights, Platform, и Roaming лицензируются по количеству пользователей (рабочих мест). Рабочее место определяется как уникальное рабочее место имеющее подключение к Интернет. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect. - По количеству устройств (сетевых):
Пакеты Branch и Wireless LAN лицензируется по количеству маршрутизаторов ISR4k или точек доступа. В данной модели лицензирования не имеет значения число защищаемых устройств.
Разберем каждый пакет подробнее.
Umbrella Professional – предоставляет защиту против Malware, Phishing, вызовов на Command and Control сервера для пользователей, находящихся как внутри сети, так и за её пределами, в дополнение к WEB фильтрации и отчетности.
Umbrella Insights – предоставляет все сервисы пакета Professional и дополнительно включает возможность использования политик защиты с детализацией по пользователям благодаря интеграции с Microsoft Active Directory, фильтрацию URL и IP-уровня, собственные списки фильтрации URL, инспекция файлов на вредоносный контент с использованием Cisco AMP и других антивирусных движков, возможность сохранения логов и расширенная отчетность. Также доступна аналитика использования облачных приложений.
Umbrella Platform - предоставляет все сервисы пакета Insights и дополнительно включает уже преднастроенные и настраиваемые API механизмы интеграции. Также становится доступна консоль расследования Investigate для 50-ти рабочих мест операторов, предоставляющих более глубокий контекст для расследования.
Umbrella Branch - Поддерживает модели ISR: 1100, 4221, 4321, 4331, 4351, 4431 и 4451.
Umbrella Wireless LAN - дает возможность интеграции с контроллерами БЛВС Cisco 2504, 5508, 5520, 8510 и 8540, а также с Wireless Services Module 2 (WiSM2).
Umbrella Roaming – дает возможность установки клиента Umbrella или модуля Anyconnect Umbrella на хостовую машину и его использование как мобильного агента. В лицензию Roaming, как и другие лицензии Umbrella не входит лицензирование самого агента AnyConnect.
Принцип работы корпоративных пользователей (пакеты Professional, Insights, Platform)
Для самого минимального развертывания Umbrella достаточно на всех компьютерах компании назначить в качестве DNS сервера облако Umbrella (или на локальном DNS сервере прописать внешний DNS Umbrella). Базовая защита будет обеспечена, но в этом случае мы не сможем формировать политики по локальным IP адресам и не будем знать какой пользователь запросил тот или иной URL. Что бы это исправить, необходимо внедрить Virtual Appliance (VA).
В локальной сети устанавливается Umbrella VA, у которого всего одна функция: разделять внутренние и внешние DNS запросы. При отправке запроса к локальным ресурсам он отправляет его к локальному DNS серверу, остальные же отправляются в облако Cisco Umbrella. Возможно три варианта решения по запросу: разрешить, блокировать, не известно. В случае «Allowed» пользователю возвращается правильный IP адрес, в случае «Blocked» пользователь получает адрес страницы блокировки. В третьем случае происходит проксирование трафика через облако и его инспекция. Сначала он проверяется антивирусом, чтобы определить, известно ли, что он злонамерен, далее сканирует Cisco AMP, которая блокирует файлы с плохой репутацией на основе контрольной суммы.
В данном варианте возможно настраивать политики фильтрации по сети, хосту или пользователю, в последнем случае необходима интеграция с AD. Для интеграции необходимо установить Connector на домен контроллере (или на любой сервер в домене), который передаст через VA список групп и пользователей в облако Umbrella.
Принцип работы удаленных пользователей (пакет Roaming)
Umbrella Roaming Client это DNS клиент, который устанавливается на компьютер. Ошибочно считать его клиентом VPN или антивирусом. Клиент использует IP 127.0.0.1:53 (localhost) и назначает себя DNS сервером, гарантируя что все DNS запросы будут направлены в датацентр Umbrella, при этом взаимодействуя с ресурсами локальной сети с использованием внутренних доменов.
Принцип работы для ISR4k и беспроводных контроллеров Cisco (пакеты Branch и WLAN)
Для развертывания необходимо только обновить ПО на ISR 4000 и можно применять политики. Со стороны пользователей нет необходимости делать какие-либо действия.
Требования для ISR:
- Установленная security K9 лицензия
- Cisco IOS XE 16.3 или более поздняя
- Лицензия на подписку Cisco Umbrella
- Cisco ISR 4000 устанавливается как шлюз DNS-сервера по умолчанию
Требования для беспроводных контроллеров Cisco:
- AireOS 8.4 или новее
- Лицензия на подписку Cisco Umbrella
- Для первоначальной регистрации, WLC должна иметь доступ к api.opendns.com на порт 443.
Рекомендуемая схема работы
Хост инициализирует DNS трафик и ISR его перехватывает и инспектирует. Если запрос для локального домена, то он передается DNS серверу корпоративной сети. Если запрос предназначен для внешних доменов, то к запросу добавляется Extended DNS (EDNS) запись и отправляется в облако Umbrella. EDNS нужно что бы передать идентификатор устройства в облако и на основе него формировать политики.
