Spis Treści



• Test Penetracyjny NESSUS

• Test Penetracyjny BACKBOX

• Test Penetracyjny BASH SHELL

• Test Penetracyjny METASPLOIT






"Certyfikat CISSP jest niezależnym i obiektywnym świadectwem eksperckim w dziedzinie bezpieczeństwa teleinformatycznego. W czerwcu 2004 roku CISSP został pierwszym certyfikatem spełniającym standard ISO 17024:2003 oraz akredytowanym przez ANSI." - Wikipedia



CISSP : Kontrola dostępu

CISSP : Bezpieczeństwo telekomunikacji i sieci

CISSP : Zarządzanie bezpieczeństwem informacji i zarządzanie ryzykiem

CISSP : Bezpieczeństwo rozwoju oprogramowania

CISSP : Kryptografia

CISSP : Architektura i projektowanie bezpieczeństwa

CISSP : Operacje bezpieczeństwa

CISSP : Planowanie ciągłości biznesowej i odtwarzania po awarii

CISSP : Prawo, regulacje, dochodzenia i zgodność

CISSP : Bezpieczeństwo fizyczne i środowiskowe




Analityk ds. cyberbezpieczeństwa


Zarządzanie zagrożeniami i podatnościam


Bezpieczeństwo oprogramowania i systemów


Operacje bezpieczeństwa i monitorowanie


Reagowania na incydenty


Zgodność i ocena


Egzamin Praktyczny cz.I


Egzamin Praktyczny cz.II





Security +


Zagrożenia, ataki i luki


Architektura i design


Implementacja


Operacje i reagowanie na incydenty


Zarządzanie, ryzyko i zgodność





Certyfikat A+


A+ : A


A+ : B


A+ : C


A+ : A II


A+ : B II


A+ : C II





Certyfikat AWS


Obliczenie EC2


Wirtualna chmura prywatna (VPC)


Usługi magazynowania


Architektura bezpieczeństwa


Usługi baz danych


Systemy odporne na awarie


Zastosowanie


Usługi monitorowania





Network+


Podstawy sieci


Wdrożenia sieciowe


Operacje sieciowe


Bezpieczeństwo sieci


Rozwiązywanie problemów z sieci













Zend




Test penetracyjny - proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.    Wikipedia



Zostań PenTesterem : Odpowiedzi

Zostań PenTesterem II : Odpowiedzi II

Zostań PenTesterem III : Odpowiedzi III

Zostań PenTesterem IV : Odpowiedzi IV

Zostań PenTesterem V : Odpowiedzi V

Zostań PenTesterem VI : Odpowiedzi VI

Zostań PenTesterem VII : OdpowiedziVII

Zostań PenTesterem VIII : Odpowiedzi VIII

Zostań PenTesterem IX : Odpowiedzi IX

Zostań PenTesterem X : Odpowiedzi X

Zostań PenTesterem XI : Odpowiedzi XI

Zostań PenTesterem XII : Odpowiedzi XII

Zostań PenTesterem XIII : Odpowiedzi XIII




Laboratorium CCDE


Jacobs



To laboratorium praktyczne skupia się na wymianie/optymalizacji sieci WAN w połączeniu z podstawowymi elementami przedsiębiorstwa znajdującymi się w każdym laboratorium CCDE, zgodnie z planem wersji 3.0. Opiera się na jednym z trzech stałych ćwiczeń podstawowych, które znajdziesz na egzaminie praktycznym.

Ćwicz nawigację w laboratorium

•  Czytaj, rób notatki i podkreślaj podstawowe informacje dotyczące wszelkich istotnych informacji, które Twoim zdaniem mogą pomóc w podjęciu decyzji projektowej.
•  Odpowiedz na każde pytanie, zanim przejdziesz do następnego.
•  Po zakończeniu pytania nie wracaj do poprzednich pytań. Możesz jednak odwołać się do dowolnego poprzedniego eksponatu (e-maila lub diagramu), który został wcześniej dostarczony.
•  Staraj się ukończyć laboratorium w ciągu dwóch godzin. Jeśli nie jesteś w stanie ukończyć laboratorium w ciągu dwóch godzin, następnie zanotuj, gdzie byłeś po dwóch godzinach, aby ocenić swój wynik, a następnie kontynuuj ćwiczenie aż do jego zakończenia. Nie przechodź do sekcji recenzji, dopóki nie skończysz. W ten sposób uzyskasz maksymalne korzyści z doświadczenia w laboratorium praktycznym.

Laboratorium ćwiczeń

Podczas tego laboratorium praktycznego będziesz architektem sieci firmy Jacobs.

Dokument 1: Informacje podstawowe

Jacobs to brytyjska firma zajmująca się sprzedażą materiałów budowlanych, założona w 1982 roku, zaopatrująca branżę budowlaną w materiały budowlane. Firma ma ponad 250 000 klientów - głównie profesjonalistów z branży handlowej, firmy budowlane, krajowych wykonawców i osoby samobudujące. Firma rozpoczęła działalność jako indywidualny sklep w Chelsea w Londynie, zarządzany przez założyciela Davida Jacoba. David pracował w branży budowlanej przez ostatnie 10 lat i odkrył, że często występowały opóźnienia związane z pozyskiwaniem materiałów budowlanych wymaganych na określonych etapach budowy domów, co powodowało znaczne zwiększenie kosztów projektów. David gromadził popularne artykuły i narzędzia budowlane oraz czerpał korzyści z zaopatrywania lokalnego handlu, aby skutecznie wspierać swoje konstrukcje w całym cyklu życia swoich projektów. Firma odnotowała silny rozwój ze względu na popyt i reputację, a do 1993 roku firma rozrosła się do 52 sklepów w centrum Londynu. Popyt na roboty budowlane nadal rósł, a na początku XXI wieku Jacobs rozszerzył swoją działalność na cały kraj w Wielkiej Brytanii, kupując wielu niezależnych sprzedawców materiałów budowlanych w całym kraju (obecnie 102) i łącząc się z marką Toolmate, która jest bezpośrednim konkurentem. Integracja niezależnych sklepów ograniczyła się do zmiany frontu sklepu, przy czym systemy zaplecza działały w izolacji od sieci Jacobs, a sklepy Toolmate utrzymywały swoje istniejące systemy IT, z wyjątkiem VoIP, który został zintegrowany z menedżerem połączeń Jacobs i hostowany w ramach centrum danych Jacobs (DC) oraz zapewnienie zapory ogniowej łącza między DC pomiędzy urządzeniami Toolmate i Jacobs DC. Większość pracowników Jacobs pracuje w Jacobs, Toolmate i oddziałach sklepów niezależnych, albo w sklepie klienta, albo w wydzielonych obszarach biurowych utworzonych nad sklepem, a niewielka część personelu IT jest zlokalizowana w każdym z londyńskich centrów dystrybucyjnych. Jacobs jest dumny z tego, że jako pierwszy w branży wspiera inicjatywę zrównoważonego budownictwa dla wielokanałowych konstruktorów, a doświadczenie klienta jest podstawą jej modelu biznesowego. Ostatnie inicjatywy obejmowały wsparcie wydarzeń branżowych, optymalizację interfejsu internetowego (która była kluczowa dla mobilnego doświadczenia CX), dostawę projektów just-in-time i wynajem narzędzi. Z biegiem czasu asortyment produktów znacznie się powiększył, do 30 000 produktów, i istnieje obawa, że racjonalizacja wymagana w celu uproszczenia operacji znacząco wpłynie na rentowność przedsiębiorstwa. Trudności w łańcuchu dostaw stały się poważnym wyzwaniem dla biznesu po brexicie, a Jacobs stracił kilku znaczących klientów na rzecz konkurencji, która w całej Europie miała lepszą pozycję do rozwiązywania problemów z dostawami. Zarządowi firmy zależy na usprawnieniu systemów informatycznych, ale doskonale zdaje sobie sprawę, że w ten sposób ryzykuje to zniszczeniem sprawdzonej kultury bezpośredniej relacji z klientem i kierownictwem sklepu. Bezpośrednia interakcja z klientami w lokalnych sklepach staje się coraz bardziej nieefektywna dla firmy, a Jacobs w dalszym ciągu bada innowacyjne procesy w celu zwiększenia rentowności. Obecnie dąży się do racjonalizacji i integracji istniejących sieci, obniżenia kosztów i zapewnienia uproszczeń w infrastrukturze obliczeniowej i sieciowej.

Dokument 2: Tło sieci

Sieć była w przeszłości rozdzielona pomiędzy podmiotami Jacobs i jest obsługiwana z centralnego Jacobs DC w Londynie i Toolmate DC na obrzeżach Londynu. Sieć składa się z trzech oddzielnych sieci WAN zapewniających łączność DC ze zdalnymi sklepami. Sieci sklepów podsumowano w następujący sposób:

1. Sklepy Jacobs : Każdy sklep jest obsługiwany przez dostawców MPLS WAN (Bluesky i Taco). Dostęp do sieci MPLS odbywa się za pośrednictwem domyślnej trasy wskazującej na bramę z obsługą VRRP, działającą pomiędzy routerami CE z podstawową siecią MPLS firmy Bluesky. Sklepy wykorzystują technologię VoIP do wewnętrznej komunikacji między sklepami, z centralnym klastrem menedżera połączeń hostowanym w Jacobs DC i funkcją zapewnienia trwałości lokalizacji zdalnych wbudowaną w przełączniki dostępowe z podwójnymi liniami PSTN, które są używane tylko w przypadku całkowitej sieci WAN lub Awaria VoIP umożliwiająca klientom połączenie się ze sklepem. Każdy sklep ma dwa 48-portowe przełączniki dostępowe 10/100/1 Gb/s połączone w stos, tworząc pojedynczy przełącznik logiczny, routery MPLS są podłączone do oddzielnych przełączników fizycznych w celu zapewnienia odporności, a zainstalowany jest zasilacz UPS z funkcją akumulatora zapewniający kopię zapasową dla krytycznych podzespołów, zapewniając w przypadku awarii zasilanie nawet na dwie godziny. Pracownicy sklepu Jacobs mają dostęp do wszystkich usług IT w Jacobs DC.

2. Sklepy Toolmate : Każdy magazyn jest podłączony do jednego dostawcy MPLS WAN, Lotnet. Dostęp do sieci MPLS odbywa się domyślnymi trasami o jednakowych kosztach, wskazującymi każdy z routerów CE w celu podziału obciążenia przez połączenia MPLS. Sklepy wykorzystują technologię VoIP do wewnętrznej komunikacji między sklepami, z centralnym klastrem menedżera połączeń hostowanym w Jacobs DC i funkcją zapewnienia trwałości lokalizacji zdalnych wbudowaną w przełączniki dostępowe z podwójnymi liniami PSTN, które są używane tylko w przypadku całkowitej sieci WAN lub Awaria VoIP umożliwiająca klientom połączenie się ze sklepem. Każdy sklep ma dwa 48-portowe przełączniki dostępowe 10/100/1 Gb/s połączone razem z magistralą EtherChannel, routery MPLS są podłączone do oddzielnych przełączników fizycznych w celu zapewnienia odporności, a zainstalowany jest zasilacz UPS z funkcją akumulatora zapewniający kopię zapasową dla kluczowych komponentów, z maksymalnie do jednej godziny zasilania w przypadku awarii. Magazyny Toolmate działają niezależnie od większości systemów Jacobs; jednakże dostęp do określonych systemów i usług dla pracowników, takich jak intranet i systemy HR, jest możliwy poprzez kontrolowane przez firewall łącza DCI pomiędzy centrami DC Jacobs i Toolmate.

3. Niezależne sklepy : Każdy sklep jest podłączony do jednego dostawcy MPLS WAN, Annet. Dostęp do sieci MPLS odbywa się za pośrednictwem routera MPLS CE, który działa jako domyślna brama dla pojedynczej sieci VLAN obsługiwanej na pojedynczym 48-portowym przełączniku LAN warstwy 2 10/100/1 Gb/s w sklepach. Sklepy korzystają z tradycyjnej telefonii różnych dostawców, aby kontaktować się centralnie z Jacobs i ułatwiać komunikację z klientami. Każdy sklep ma swój własny, dotychczasowy system informatyczny, który Jacobs planuje zracjonalizować lub zintegrować, gdy pozwoli na to czas i fundusze. Niezależne sklepy są zaopatrzone bez odporności, ponieważ korzystają z własnych lokalnych systemów płatności i systemów telefonicznych i mogą wystąpić przerwy w działaniu Jacobs DC trwające do sześciu godzin roboczych bez znaczącego wpływu na działalność biznesową. Ze względu na sposób, w jaki niezależne połączenie MPLS z centralnym sklepem jest zakończone w Jacobs DC, sklepy mają dostęp tylko do ograniczonej liczby wspólnych usług, które są oddzielone od Jacobs DC za pomocą zapory ogniowej. Dostęp do Internetu nie jest zapewniany dla sklepów przez Jacobs, a sieć WAN nie ułatwia przechodzenia przez jakikolwiek ruch kierowany do Internetu; Dlatego też niektóre sklepy skonfigurowały sieci bezprzewodowe typu ad-hoc z łączami ADSL dla urządzeń osobistych i obowiązują rygorystyczne zasady mające na celu zapewnienie, że punkty dostępowe nie będą podłączone do przełączników LAN zarządzanych przez Jacobs. Komunikacja między niezależnymi sklepami jest blokowana w sieci MPLS poprzez wykorzystanie sieci MPLS typu hub-and-szprychy i routingu opartego na zasadach na centralnym routerze DC CE, aby zapewnić, że cały ruch jest przekazywany do zapory DC w celu stosowania zasad.

Dokumentacja sieci WAN

Sieć WAN składa się z czterech oddzielnych sieci dostawców MPLS, z których każda zapewnia w pełni zarządzaną usługę MPLS warstwy 3, w tym routery CE, jak pokazano na rysunku i opisano na poniższej liście



1. Sieć Jacobs L3 MPLS VPN jest dostarczana przez firmy Bluesky i Taco w celu zapewnienia niezawodnych połączeń sklepów Jacobs z Jacobs DC. Połączenia od każdego dostawcy do Jacobs DC są realizowane za pośrednictwem połączeń Metro Ethernet o szybkości 10 Gb/s z każdym dostawcą z dostępną przepustowością łącza. Sieć Bluesky działa jako podstawowe łącze MPLS i sieć Taco jako rezerwowe łącze MPLS ze względu na ustalenia dotyczące kosztów z dostawcami. Sklepy Jacobs uzyskują dostęp do sieci MPLS przy użyciu domyślnego routingu statycznego, wskazującego bramę VRRP z podstawową siecią MPLS firmy Bluesky. Stosowane jest śledzenie VRRP, które zmniejsza priorytet w przypadku awarii łącza nadrzędnego dla sklepów, dlatego router Taco CE jest używany tylko w przypadku awarii obwodu łącza nadrzędnego Bluesky. W ramach konfiguracji routera CE każdy sklep Jacobs korzysta z tego samego protokołu BGP AS 64555, aby ułatwić konfigurację, a u każdego dostawcy stosowane jest obejście AS. Prefiksy sklepów są statycznie redystrybuowane do protokołu BGP przez lokalne routery CE. iBGP jest używany pomiędzy dostawcami w witrynie sklepu, aby umożliwić łączność między dostawcami w przypadku awarii. Centralna placówka DC Jacobs korzysta z protokołu BGP AS 64556 i iBGP pomiędzy routerami CE dostawcy, przy wzajemnej redystrybucji protokołu BGP z sieci MPLS do OSPF opartego na sieci LAN z metrykami zapewniającymi, że sieć Bluesky MPLS jest używana jako połączenie główne. Połączenie Taco MPLS jest wykorzystywane wyłącznie w przypadku awarii łączności sieciowej Bluesky MPLS w DC lub w jednym ze sklepów. Sieć MPLS warstwy 3 to konfiguracja w pełni siatkowa z domyślnie włączoną komunikacją między sklepami, co zapewnia optymalny routing dla wymagań telefonii VoIP. Sieci MPLS są domyślnie otwarte bez zapór sieciowych w sklepach Jacobs lub DC. Każdy sklep Jacobs łączy się z każdym dostawcą usług za pomocą łącza o przepustowości 10 Mb/s z pełną przepustowością łącza dostępną w razie potrzeby i z włączoną podstawową funkcją QoS, aby priorytetyzować ruch VoIP przed ruchem aplikacji w ramach czteroklasowej polityki QoS.

2. Sieć Toolmate L3 MPLS VPN dostarczana jest przez firmę Lotnet. Sklepy są połączone z siecią Toolmate MPLS w celu zapewnienia dostępu do centralnego centrum dystrybucyjnego i łączności między sklepami. Połączenia routera CE z DC odbywają się za pośrednictwem połączeń Metro Ethernet o przepustowości 10 Gb/s z każdym urządzeniem CE z szybkością CIR wynoszącą 6 Gb/s dostępną w każdym obwodzie. Routery CE dzielą połączenia dla ruchu wychodzącego i przychodzącego do i z DC za pomocą manipulacji metryką BGP. Centralna witryna DC Toolmate korzysta z protokołu BGP AS 64600 i iBGP pomiędzy routerami CE dostawcy, z wzajemną redystrybucją protokołu BGP z sieci MPLS do protokołu BGP opartego na sieci LAN z routingiem o równych kosztach skonfigurowanym w celu ułatwienia podziału obciążenia na obu łączach routerów CE. Sieć MPLS warstwy 3 to konfiguracja w pełni siatkowa z domyślnie włączoną komunikacją między sklepami, co zapewnia optymalny routing dla wymagań telefonii VoIP. Sieć MPLS jest również domyślnie otwarta bez zapór sieciowych w sklepach Toolmate lub DC. Każdy sklep Toolmate łączy się z dostawcą usług za pomocą podwójnych obwodów 10Mbps z włączonym CIR i QoS 5Mbps, aby nadać priorytet ruchowi VoIP przed ruchem aplikacji w ramach sześcioklasowej polityki QoS. Sklepy korzystają z dwóch tras statycznych o jednakowych kosztach, wskazujących na każdy router MPLS CE. Prefiksy sklepów są statycznie redystrybuowane do protokołu BGP przez lokalne routery CE.

3. Sieć niezależnego sklepu L3 MPLS VPN zapewnia firma Annet. Sklepy są połączone z siecią koncentrującą i szprychową warstwy 3 MPLS. Niezależne sklepy łączą się z usługodawcą za pomocą łącza Ethernet o przepustowości 10 Mb/s z pełną przepustowością łącza i bez QoS. Sklepy używają routera CE jako domyślnej bramy dla pojedynczej lokalnej sieci LAN VLAN, a prefiksy sklepów są statycznie redystrybuowane do protokołu BGP przez lokalny router CE. Połączenie routera CE z Jacobs DC odbywa się za pośrednictwem pojedynczego połączenia Metro Ethernet o przepustowości 10 Gb/s, z szybkością CIR wynoszącą 5 Gb/s w obwodzie. Centralna witryna DC Jacobs korzysta z protokołu BGP AS 64700 z redystrybucją protokołu BGP z sieci MPLS do sieci LAN i trasą sumaryczną zawierającą osiągalne prefiksy Jacobs DC skonfigurowane w sieci MPLS w celu kierowania całego ruchu przeznaczonego dla DC w kierunku centralnego DC i segmentu usług współdzielonych chronionych przez zaporę ogniową. Ruch kierowany do Internetu nie jest obsługiwany przez sieć Annet MPLS ze względu na brak dostępnej trasy domyślnej. Komunikacja między sklepami jest blokowana w sieci typu hub-and-spoke w połączeniu z routingiem opartym na zasadach, przekazującym cały ruch otrzymany na kontrolerze domeny do lokalnej zapory sieciowej w celu podjęcia decyzji dotyczącej zasad.

Sieć Jacobsa DC

Jacobs DC składa się z architektury o złożonym rdzeniu, z przełącznikami rdzeniowymi 10 Gb/s i pełną warstwą dostępową warstwy 3 z systemem OSPF w obszarze 0. Rdzeń sieci WAN jest przypisany do obszaru 1 i służy jako strefa łączności do komunikacji z siecią WAN i Internetem. Rdzeń sieci WAN składa się z dwóch 48-portowych przełączników 10/100/1 Gb/s z 6 łączami nadrzędnymi 10 Gb/s skonfigurowanymi w stos tworzący pojedynczy przełącznik logiczny. Zewnętrzna i wewnętrzna strefa DMZ składa się z zapory ogniowej z zaporami ogniowymi dwóch dostawców w dwóch oddzielnych sieciach warstwy 2 utworzonych z dwóch 48-portowych przełączników warstwowych 10/100/1 Gb/s z łączami nadrzędnymi 6 x 10 Gb/s. Wewnętrzne przełączniki i zapory sieciowe DMZ obsługują wiele segmentów DMZ z równoważeniem obciążenia dla publicznie dostępnych usług sieciowych dla sklepów internetowych Jacobs i wypożyczalni narzędzi. Zewnętrzne przełączniki DMZ obsługują łączność internetową CE i usługi VPN dla połączeń B2B, które zapewniają systemy płatności online. Zapory ogniowe (wdrażane w trybie routowanym) są konfigurowane w klastrze lokalnym (aktywny/aktywny) z kanałem LACP EtherChannel pomiędzy nimi a przełącznikami warstwowymi po obu stronach zapór. Kabel stanu fizycznego i synchronizacji jest używany pomiędzy zaporami sieciowymi w celu zapewnienia stanu i przełączania awaryjnego zapór, które znajdują się w tej samej fizycznej szafie sieciowej. Wszystkie aplikacje wewnętrzne są hostowane z poziomu kontrolera domeny na przełącznikach 1 Gb/s/10 Gb/s w modelu dostępu warstwy 3 z różną liczbą portów, które anonsują prefiksy przełączników lokalnych przy użyciu protokołu OSPF. Obecne wykorzystanie portu wynosi 1460 (65% całkowitej przepustowości). Główną aplikacją biznesową jest typowa trójpoziomowa usługa o nazwie "Jaystore", która synchronizuje dostępność produktów z interfejsem internetowym z bazy danych w lokalizacji DC w przypadku zakupów online i zakupów w sklepach stacjonarnych. Aplikacja została stworzona ponad 10 lat temu przez programistów w środowisku LAN i jako taka nie działa dobrze, gdy opóźnienie między klientem a infrastrukturą stacji czołowej przekracza 20 ms dla wewnętrznych użytkowników Jacobs w sklepach. Z powodu tego problemu zespół ds. sieci umieścił aplikację TCP w klasie QoS o znaczeniu krytycznym w sieci WAN w celu ograniczenia ryzyka, która działa dobrze. Łączność z Internetem jest zapewniana przez jednego dostawcę usług internetowych (Britnet) za pośrednictwem podwójnych łączy 1 Gb/s w układzie aktywny/gotowość z obsługą protokołu iBGP pomiędzy routerami zarządzanymi przez ISP CE. Zewnętrzne zapory ogniowe Jacobsa wskazują adres VRRP na routerach ISP CE, które otrzymują identyczny częściowy routing za pośrednictwem protokołu BGP z centralnych routerów Britnet ISP. Publiczna adresacja IP przydzielana przez dostawcę jest używana w zewnętrznym hostingu przy użyciu prefiksu /24 zarejestrowanego w Britnet, który jest dalej dzielony na podsieci w celu zapewnienia segmentacji DMZ dla publicznych usług Jacobsa i zakresów NAT dla dostępu pracowników do Internetu za pośrednictwem centralnego serwera proxy w DMZ.

DCI

Podwójne łącze DCI warstwy 3 o przepustowości 1 Gb/s jest zapewnione pomiędzy kontrolerami Jacobs i Toolmate DC przy użyciu protokołu OSPF pomiędzy zaporami ogniowymi w Jacobs i routerami brzegowymi Toolmate w Toolmate DC. Prefiksy z każdej sieci DC są reklamowane za pośrednictwem DCI, umożliwiając komunikację maszyna-maszyna, aby umożliwić sklepom Toolmate i systemom internetowym pośredniczenie w sprzedaży produktów i usług Jacobs (co jest postrzegane jako kluczowe dla modelu biznesowego Jacobs), a także dostęp dla personelu Toolmate do intranetu i systemów HR firmy Jacobs oraz łączność VoIP dla systemów telefonicznych Toolmate do menedżera połączeń Jacobs zgodnie z polityką zapory ogniowej. W routerach Toolmate DCI skonfigurowana jest wzajemna redystrybucja OSPF do EIGRP. Dostęp systemowy do Jacobs DC przez łącza DCI wymaga zmian w zaporze ogniowej w zaporach Jacobs DC, które kończą łącza między DCI. Zmiany wymagają zatwierdzenia przez systemy zarządzania zmianami Jacobs i Toolmate, co okazuje się nieefektywne i powoduje opóźnienia w zatwierdzeniu i ręcznym wdrażaniu poza godzinami pracy, chyba że zostanie uruchomiona procedura zmiany awaryjnej w celu zapewnienia zmian z krótkim wyprzedzeniem w godzinach pracy. Zapory sieciowe dobiegają końca i ich wydajność jest bliska wykorzystania procesora. Poniższy rysunek przedstawia sieć Jacobs DC.



Sieć DC Toolmate

Toolmate DC składa się z architektury o złożonym rdzeniu z dwoma przełącznikami 48x 1/10 Gb/s skonfigurowanymi w stosie, tworząc pojedynczy przełącznik logiczny i pełną warstwę dostępu warstwy 3 obsługującą protokół EIGRP przez podwójne łącza wysyłające ECMP 10 Gb/s. Przełączniki dostępowe to modułowe przełączniki 10/100/1 Gb/s w obudowie, z dwoma modułami nadzorczymi i dwoma zasilaczami, o łącznej liczbie portów wynoszącej 1280 (wykorzystanie 78%). Strefa DMZ składa się z zapory ogniowej z zaporami ogniowymi dwóch dostawców (wdrożonymi w trybie routowanym) w pojedynczej sieci warstwy 2 utworzonej z dwóch 48-portowych przełączników warstwy 2 10/100/1 Gb/s z 6 łączami nadrzędnymi 10 Gb/s, połączonymi ze sobą za pomocą 2 x 10 Gb/s Łącze Etherchannel. W strefie DMZ znajduje się pojedynczy segment DMZ bez równoważenia obciążenia, obejmujący publicznie dostępne usługi internetowe umożliwiające obecność w sklepie internetowym Toolmate i wypożyczanie narzędzi. Zewnętrzne przełączniki strefy czerwonej obsługują łączność internetową CE i usługi VPN dla połączeń B2B, które zapewniają systemy płatności online. Zapory ogniowe są skonfigurowane w układzie aktywny/gotowość za pomocą fizycznego, firmowego kabla między zaporami w celu synchronizacji, stanu i przełączania awaryjnego. Łączność z Internetem jest zapewniana przez jednego dostawcę usług internetowych (JAnet) za pośrednictwem podwójnych łączy 1 Gb/s w układzie aktywny/gotowość z obsługą protokołu iBGP pomiędzy routerami zarządzanymi przez ISP CE. Zewnętrzne zapory ogniowe Toolmate wskazują adres VRRP na routerach ISP CE, które otrzymują identyczne trasy domyślne (0/0) przez BGP z centralnych routerów JAnet ISP. Starsze, niezależne od dostawcy publiczne adresy IP, migrowane od poprzedniego dostawcy usług internetowych, są wykorzystywane do zewnętrznego hostingu przy użyciu prefiksu /25, który jest podzielony na podsieci w celu zapewnienia segmentacji DMZ dla publicznych usług Toolmate i zakresów NAT dla dostępu pracowników do Internetu przez zewnętrzną zaporę ogniową. Trasa domyślna jest ogłaszana w całym DC i WAN dla ruchu zewnętrznego, który ma być kierowany przez zewnętrzną zaporę w przypadku braku serwera proxy dla ruchu internetowego. Poniższy rysunek ilustruje sieć Toolmate DC.



Dokument 3: Statystyki wykorzystania

Poniższe liczby przedstawiają statystyki wykorzystania sieci WAN i Internetu.







Dokument 4: Dodatkowe uwagi

Niedawno wdrożono wersję pilotażową usługi Office 365 SaaS w chmurze publicznej za pośrednictwem dostawcy usług w chmurze (Cloudcom), z którym można się połączyć za pośrednictwem łącza internetowego DC dla różnych sklepów Jacobs uczestniczących w okresie próbnym. Z pierwszych oznak wynika, że w usłudze występowały sporadyczne opóźnienia, a wrażenia użytkowników nie były pozytywne. Ze względu na historyczny problem ze zwirtualizowanym urządzeniem infrastruktury z analizą RCA, powołujący się na awarię interoperacyjności kodu dostawcy, która spowodowała poważną awarię, polityka Jacobs Security (która obejmuje wszystkie strefy sieci i podmiotów sklepowych) stanowi obecnie, że funkcjonalność urządzeń infrastrukturalnych powinna być ogranicza się do jednej określonej funkcji i że odrębna funkcjonalność musi być zapewniona za pośrednictwem oddzielnych urządzeń infrastruktury fizycznej.


Pytania laboratoryjne

Pytanie 1 : Jakie są główne problemy stojące obecnie przed Jacobsem? (Wybierz dwa.)

A. Ciągłości działania
B. Nadmierna liczba dostawców sieci
C. Wiele pojedynczych punktów awarii dla niezależnych sklepów
D. Brak dostępu do systemu VoIP dla sklepów niezależnych
E. Brak integracji Toolmate z systemami informatycznymi sklepu niezależnego

Pytanie 2 : Które z poniższych zmian w sieci mogłyby poprawić skalowalność całej sieci i zmniejszyć obciążenie związane z zarządzaniem zespołami ds. sieci? (Wybierz jeden.)

A. Rozszerzenie strefy usług wspólnych dla sklepów niezależnych o usługi Toolmate w ramach Jacobs DC z usprawnioną kontrolą zmian
B. Racjonalizacja wszystkich sieci MPLS do jednego dostawcy
C. Utworzenie nowego DR DC
D. Migracja łączy MPLS do rozwiązania SD-WAN

"Nasza umowa z dostawcą MPLS dla poszczególnych sklepów (Annet) dobiega końca. Okazuje się, że podnieśli ceny o 28% w celu zapewnienia ciągłości usług ze względu na konieczność modernizacji sieci. Nie jesteśmy pod wrażeniem, ponieważ oznacza to, że efektywnie płacimy za aktualizację, jeśli chcemy zachować prostotę i pozostać przy nich. Annet stwierdziła, że może utrzymać poprzednie ceny, jeśli przejdziemy na bardziej opłacalną usługę VPLS przy użyciu tego samego sprzętu, jaki jest obecnie dostępny w sklepach (wszystkie routery brzegowe CE), ponieważ będzie to oznaczać, że nie będzie wówczas potrzeby odświeżania sprzęt CE. Mogą dokonać zmiany w ciągu jednego wieczoru dla wszystkich sklepów w tym samym czasie, ponieważ mogą to zrobić za pomocą skryptu, więc przestoje powinny być minimalne i, jak wspomniano, cena będzie taka sama jak obecnie, co myślę, że jest bonusem. Jak to brzmi? Czy istnieje alternatywne rozwiązanie techniczne, które można zastosować, aby zapewnić łączność z siecią? Potrzebujemy tylko jednego połączenia dla niezależnych sklepów z Jacobs DC, ponieważ mają one własny system wewnętrzny i potrzebują jedynie łącza do nas w celu zmiany cen i zamawiania wynajmu narzędzi, co zawsze mogą zrobić przez telefon w przypadku awarii sieci WAN. Wolelibyśmy minimalizować zmiany zarówno w sklepie, jak i centralnie w DC, ale uzasadnienie wzrostu o 28% bez żadnych korzyści ani oszczędności w bólu jest trudne. Nawiązałem kontakt z firmami Bluesky i Taco (dostawcami sieci WAN dla sieci MPLS sklepu Jacobs) i obaj chcą wygrać ten biznes, jeśli zdecydujemy się nie przedłużać umowy z Annet. Mamy kilka miesięcy do odnowienia umowy, więc mamy ograniczony czas na udzielenie odpowiedzi."

Pytanie 3 : Jakie jest optymalne podejście do sugerowanych zmian MPLS dla sklepów niezależnych? (Wybierz jeden.)

A. Przeprowadź migrację niezależnych sklepów do jednego z dostawców sieci Jacobs MPLS (Bluesky lub Taco).
B. Zapewnij rozwiązanie SD-WAN wykorzystujące obwody internetowe w niezależnych lokalizacjach sklepów, aby połączyć się z Jacobs DC.
C. Korzystaj z transportu 4G LTE/5G.
D. Przeprowadź migrację do usługi VPLS z tym samym dostawcą MPLS.
E. Zaplanuj opłacenie podwyżki, aby zachować ciągłość, jednocześnie badając alternatywne rozwiązania.

Pytanie 4 : Jacobs uważa, że migracja niezależnych sklepów do dedykowanej sieci Bluesky MPLS firmy Jacobs byłaby dobrym rozwiązaniem pozwalającym uniknąć natychmiastowej podwyżki cen, co pobudziłoby przyszłą integrację i zapewniłoby dźwignię kosztową w stosunku do głównego dostawcy MPLS. Jeśli zostanie obrany ten kierunek, która z poniższych opcji byłaby optymalną opcją zapewnienia łączności z Jacobs DC niezależnym sklepom z sieci Bluesky MPLS? (Wybierz jeden.)

A. Udostępnij nową, oddzielną sieć VPN L3 MPLS w ramach istniejącej sieci Jacobs Bluesky MPLS, która dzieli się na oddzielne VRF w DC udostępniane na istniejącym MPLS CE i łączy się z Jacobs DC.
B. Zakończ niezależne sklepy w istniejącej sieci VPN Jacobs Bluesky MPLS i zapewnij niezależnym sklepom dostęp do zasobów DC Jacobs za pośrednictwem listy ACL na stacji czołowej MPLS CE.
C. Zapewnij nowy router CE stacji czołowej Bluesky MPLS, łączący się tyłem z istniejącym routerem MPLS CE stacji czołowej Bluesky w Jacobs DC w celu uzyskania nowej oddzielnej sieci VPN MPLS typu hub-and-szprychy zawierającej niezależne sklepy.
D. Udostępnij nową, oddzielną sieć VPN L3 MPLS dla niezależnych sklepów w ramach sieci Bluesky MPLS WAN na nowym centralnym obwodzie końcowym do DC, który dzieli się na oddzielne VRF w istniejącym routerze DC CE.

"Omawiałem kwestię sieci MPLS z dyrektorem ds. technologii, co wywołało większe pytanie dotyczące ostatecznego zapewnienia integracji. Oboje nie wierzymy, że powinniśmy kontynuować działalność w obecnym kształcie i nadszedł czas, aby wprowadzić innowacje do naszej firmy i zmniejszyć nasze nakłady inwestycyjne oraz niektóre złożoności związane z prowadzeniem wielu dostawców. Dyrektor ds. technologii uważa, że powinniśmy uruchomić sieć WAN VPN dostępną wyłącznie do Internetu i całkowicie wyeliminować obciążenie związane z MPLS obsługującym nasze własne zarządzane sieci nakładkowe w obwodach internetowych. Stwierdził, że w związku z tym moglibyśmy zredukować nasze obwody internetowe do jednego obwodu w każdym DC (Jacobs i Toolmate), tak aby DC mogły wzajemnie wspierać się w przypadku awarii, a każdy sklep mógł mieć dwa obwody internetowe, więc brak pojedynczych punktów awarii. Nie jestem przekonany, że powinniśmy to zrobić za jednym zamachem i uważam, że lepiej będzie, jeśli uruchomimy tradycyjną hybrydową sieć typu SD-WAN z mieszanką opcji łączności. Czytałem na ten temat i wygląda na to, że moglibyśmy osiągnąć to, co najlepsze z obu światów, gdybyśmy podążali tą ścieżką. Potrzebuję twojej pomocy, aby zdecydować, w jaki sposób powinniśmy postępować. Przyjrzałem się także obwodom internetowym i okazało się, że w niektórych odległych częściach Wielkiej Brytanii dostawcy, z którymi się skontaktowaliśmy, dysponują kalkulatorami opóźnień, które pokazują opóźnienie w przybliżeniu 100 ms między sklepami a londyńskimi lokalizacjami dystrybucyjnymi, więc uważam, że nadal wszystko jest w porządku. VoIP dla swoich obwodów ADSL. Dyrektor ds. technicznych zabezpieczył budżet na integrację/konsolidację, ale musimy wypracować najlepsze podejście dla biznesu."

Pytanie 5 : Jeśli Jacobs miałby postępować zgodnie z instrukcjami CTO dotyczącymi samodzielnie zarządzanego rozwiązania VPN WAN obsługującego wyłącznie Internet w oparciu o dostarczone informacje, które z poniższych rozwiązań poleciłbyś Jacobsowi w celu skonsolidowania łączności dla wszystkich sklepów w centrach handlowych Jacobs i Toolmate? (Wybierz jeden.)

A. Rozwiązanie GETVPN z możliwością zakończenia sieci VPN przez sklepy w dowolnym DC w przypadku awarii jednego połączenia internetowego DC
B. Faza 3 Rozwiązanie DMVPN multi-VRF (Jacobs VRF, Toolmate VRF, niezależny sklep VRF) z możliwością zakończenia VPN przez sklepy w dowolnym DC w przypadku awarii jednego połączenia internetowego DC.
C. Faza 3 Pojedyncze rozwiązanie VRF DMVPN z możliwością zakończenia sieci VPN przez sklepy w dowolnym DC w przypadku awarii jednego połączenia internetowego DC. D. Faza 1 Rozwiązanie DMVPN multi-VRF (Jacobs VRF, Toolmate VRF, niezależny sklep VRF) z możliwością zakończenia sieci VPN przez sklepy w dowolnym DC w przypadku awarii jednego połączenia internetowego DC.
E. Hub-and-szprychy IPsec VPN (Jacobs VPN, Toolmate VPN, niezależny sklep VPN), tunele GRE z IGP, z możliwością kończenia VPN przez sklepy w dowolnym DC w przypadku awarii jednego połączenia internetowego DC.
F. Hub-and-szprychy IPsec VPN (Jacobs VPN, Toolmate VPN, VPN dla niezależnych sklepów), routing statyczny z możliwością kończenia sieci VPN przez sklepy w dowolnym DC w przypadku awarii jednego połączenia internetowego DC.

"Przyglądamy się trendom branżowym i zdajemy sobie sprawę, że następuje odejście od topologii sieci w kierunku topologii usług aplikacyjnych. Zmiany w sieci trwają zbyt długo w przypadku prostych elementów, takich jak zmiany przepustowości i QoS, dlatego uważamy, że zdecydowanie powinniśmy przejść w kierunku jakiegoś hybrydowego rozwiązania WAN lub SD-WAN. Czy możesz rzucić na to okiem i podzielić się z nami swoimi przemyśleniami? Moglibyśmy, jak omówiono wcześniej, używać Internetu jako środka transportu dla sklepów w połączeniu z MPLS lub po prostu korzystać tylko z Internetu, ponieważ mamy centralne połączenia internetowe w centrach handlowych Jacobs i Toolmate. Z tego, co wiem, mielibyśmy możliwość kierowania naszego ruchu przez określone linki w zależności od aplikacji. Miałoby to dla nas fundamentalne znaczenie i potrzebowalibyśmy możliwości skutecznego robienia tego w czasie rzeczywistym bez konieczności wprowadzania zmian w przypadku nowych profili lub aplikacji w miarę udostępniania ich online u naszych dostawców."

Pytanie 6 : Gdyby Jacobs faktycznie przeszedł na rozwiązanie typu SD-WAN z kombinacją MPLS i obwodów internetowych na sklep w przypadku sklepów Jacobs i Toolmate oraz obwodów internetowych wyłącznie dla sklepów niezależnych, jaka byłaby główna korzyść? (Wybierz jeden.)

A. Ciągłość działania może być zapewniona natywnie.
B. Oszczędności kosztów rzędu 90% na obwodach internetowych w porównaniu z obwodami MPLS.
C. Dostawcy MPLS mogliby zostać zredukowani do jednego dostawcy.
D. Ulepszenia bezpieczeństwa.

"Omawiałem możliwość uruchomienia SD-WAN z naszymi dostawcami usług internetowych za pośrednictwem istniejącego centralnego dostępu do Internetu Jacobs i Toolmate. Jak wiadomo, w każdym DC mamy podwójne łącza ISP, które działają w układzie aktywny/gotowość. Obaj dostawcy usług internetowych obniżą koszty dość znacznie, jeśli wyłączymy nasz rezerwowy obwód internetowy na każdym DC, a następnie zmniejszymy naszą obecną prędkość 1 Gb/s w stosunku do pozostałego łącza internetowego 1 Gb/s na każdym DC (mogą skutecznie zapewnić CIR stopniowo 100Mbps w obwodach dostępowych). Myślę, że możemy usunąć jedno łącze ISP na każdym DC, a następnie zapewnić odporność każdemu DC z drugiego DC na ruch internetowy pochodzący ze sklepów za pośrednictwem SD-WAN. Ponadto, ponieważ każdy sklep wymagałby lokalnego obwodu dostępu do Internetu, możemy go wykorzystać do bezpośredniego dostępu do Internetu (DIA) ze sklepu i nie wymagać tak dużej przepustowości Internetu, ponieważ nie powinniśmy już potrzebować centralnego łączenia się z Internetem w celu użytkowników sklepu. Oto co myślę:

1. Szerokopasmowy dostęp do Internetu typu ADSL zapewniony w każdym sklepie (independent, Jacobs i Toolmate), odpowiednio dobrany.
2. Wszystkie sklepy korzystają z DIA w celu uzyskania dostępu do Internetu, a nie poprzez centralne centra dystrybucyjne.
3. Wyłączenie sieci Annet MPLS dla sklepów niezależnych. Sklepy te mogłyby następnie korzystać z Internetu SD-WAN w celu uzyskania dostępu do Jacobs DC.
4. Wyłączenie sieci Taconet MPLS dla sklepów Jacobs. Sklepy te mogłyby następnie korzystać z internetowego rozwiązania SD-WAN i istniejącej sieci Bluesky MPLS, aby uzyskać dostęp do DC Jacobs i Toolmate (sklepy Jacobs mogłyby uzyskać dostęp do swoich DC za pośrednictwem połączenia internetowego Toolmate, jeśli w Jacobs DC wystąpiła awaria MPLS i Internetu poprzez przejście przez DCI od Toolmate′a).
5. Wyłączenie sieci drugiego obwodu Lotnet MPLS dla sklepów Toolmate. Sklepy te mogłyby następnie korzystać z rozwiązania SD-WAN w celu uzyskania dostępu do Internetu oraz istniejącej pierwszej sieci Lotnet MPLS w celu uzyskania dostępu do centrów DC Toolmate i Jacobs (sklepy Toolmate mogłyby uzyskać dostęp do swoich DC za pośrednictwem połączenia internetowego Jacobs DC, jeśli wystąpiła awaria MPLS i Internetu w Toolmate DC, przechodząc przez DCI od Jacobs)."

Pytanie 7 : Jeśli Jacobs zdecydowałby się na rozwiązanie SD-WAN zapewniające dostęp do wszystkich sklepów, jak opisano w czwartym e-mailu, czy mógłby z całą pewnością podjąć decyzję projektową o usunięciu drugich obwodów ISP na każdym DC i zmniejszeniu prędkości poszczególnych obwodów internetowych w DC poprzez umożliwienie sklepom korzystania z bezpośredniego dostępu do Internetu w celu ograniczenia istniejącego centralnego wykorzystania Internetu i oszczędności kosztów centralnego dostawcy usług internetowych? (Wybierz jeden.)

A. Tak
B. NIE

Pytanie 8 : Jeżeli Jacobs miałby przejść na rozwiązanie SD-WAN, jak opisano szczegółowo w czwartym e-mailu, przy czym każdy sklep Jacobs i Toolmate korzystałby z jednego łącza MPLS i jednego łącza internetowego lub pojedynczego łącza internetowego w niezależnych sklepach do łączności WAN, które z poniższych obszary powinny mieć priorytet z punktu widzenia bezpieczeństwa? (Wybierz jeden.)

A. Bezpośredni dostęp do Internetu ze sklepów
B. Szyfry szyfrujące obwody dostępu do Internetu
C. Infrastruktura PKI
D. Ochrona DDoS dla kontrolerów domeny

"Skontaktowałem się z dostawcą Bluesky MPLS, aby omówić naszą strategię. Oferuje on w pełni zarządzaną usługę SD-WAN, a nawet współzarządzaną usługę SD-WAN. Nie wzięliśmy tego pod uwagę, ponieważ zakładałem, że jeśli pójdziemy drogą SDWAN, po prostu poradzimy sobie sami, i wydaje mi się, że firmom MPLS zależy na utrzymaniu jak największej liczby klientów, jeśli ostatecznie oznacza to utratę obwodów MPLS. Potrzebuję Twojej pomocy, aby ustalić kierunek zarządzania, który powinniśmy obrać."

Pytanie 9 : Jacobs rozważa obecnie wystosowanie zapytania ofertowego do swoich obecnych dostawców MPLS w celu złożenia oferty na w pełni zarządzane rozwiązanie SD-WAN, którego firma może używać do skonsolidowanego dostępu sklepów do centrów DC. Wypełnij poniższą tabelę, aby pomóc firmie w podejmowaniu decyzji dotyczących w pełni zarządzanej usługi w porównaniu z wewnętrznym, samodzielnie zarządzanym rozwiązaniem SD-WAN przez zespół ds. sieci. Wstaw zaznaczenie opcji Typ rozwiązania, która zapewnia Jacobsowi najwięcej korzyści (byłaby najbardziej optymalna) dla każdego tematu funkcji.

Zasady routingu i QoS dostosowane do aplikacji: SD-WAN oferuje atrakcyjne opcje inżynierii ruchu w oparciu o dostępne łącza podkładowe, aby zapewnić optymalne routing do określonych aplikacji w oparciu o ustalone kryteria. Aby stworzyć wymagane polityki i zapewnić maksymalną elastyczność, Jacobs sam byłby w lepszej sytuacji do administrowania tym elementem dzięki swojej wiedzy na temat aplikacji oraz umiejętności tworzenia i modyfikowania polityk bez opóźnień i procesów w porównaniu z dostawcą usług.





Szybkość wdrożenia: wdrożenie rozwiązania SD-WAN to znaczący projekt, gdy liczba zdalnych sklepów jest duża. Usługodawca byłby w znacznie lepszej sytuacji, jeśli chodzi o zamawianie obwodów i wdrażanie usług w porównaniu z przedsiębiorstwem.
Elastyczność: Elastyczność jest terminem otwartym, ale niewątpliwie większą elastyczność osiągniesz w rozwiązaniu samodzielnie zarządzanym w porównaniu z usługodawcą, który miałby zakontraktowaną usługę z umowami SLA, stałą liczbą zmian w miesiącu i okresem powiadomienia o zmianach, Na przykład.
Łatwość integracji: Pod względem integracji rozwiązania Jacobs byłby w lepszej sytuacji niż dostawca usług pod względem zrozumienia własnego środowiska IT oraz możliwości integracji systemów i ułatwienia migracji.
Zasięg geograficzny: usługodawca zazwyczaj ma większy zasięg geograficzny w porównaniu z przedsiębiorstwem. Jacobs miałby sklep na przykład w określonej lokalizacji, ale czy byłby w stanie wdrożyć umiejętności IT w przypadku problemu w tym obszarze równie łatwo, jak usługodawca?
Kontrola nad siecią i danymi: rozwiązanie samodzielnie zarządzające niewątpliwie zapewniłoby lepszą kontrolę nad siecią i danymi w porównaniu ze zdalnym dostawcą usług.
Umiejętności i personel: kwestia ta jest dyskusyjna, ale ogólnie rzecz biorąc, usługodawca będzie dysponował większą pulą pracowników o wyższym poziomie umiejętności niż przedsiębiorstwo. Jest to podstawowa funkcja biznesowa usługodawcy.
Zakupy w zakresie infrastruktury i obwodów: Korzyści skali wymagałyby, aby dostawca usług był w stanie zapewnić efektywność w zakresie kosztów i dostaw towarów, takich jak zakup infrastruktury i obwodów.
Monitorowanie podrzędne i nakładane: usługodawca zazwyczaj dysponuje odpowiednim zestawem narzędzi i wykwalifikowanymi pracownikami, aby zapewnić ulepszone rozwiązanie do monitorowania w porównaniu z przedsiębiorstwem, zwłaszcza gdy znaczna liczba obwodów to jego własne obwody MPLS.

Pytanie 10 : Który z poniższych typów rozwiązań SD-WAN będzie najbardziej odpowiedni dla Jacobsa? (Wybierz jeden.)

Wymagania/ograniczenia z dostarczonej dokumentacji: Z tego, co wiem, mielibyśmy możliwość kierowania naszego ruchu przez określone linki w zależności od aplikacji. Miałoby to dla nas fundamentalne znaczenie i potrzebowalibyśmy możliwości skutecznego robienia tego w czasie rzeczywistym bez konieczności wprowadzania zmian w przypadku nowych profili lub aplikacji w miarę udostępniania ich online u naszych dostawców. Zmiany w sieci trwają zbyt długo w przypadku prostych elementów, takich jak zmiany przepustowości. Uważamy, że zdecydowanie powinniśmy przejść w stronę hybrydowego rozwiązania WAN.

A. W pełni zarządzane rozwiązanie dostawcy usług MPLS. To jest odpowiedź suboptymalna. Wydaje się, że w pełni zarządzane rozwiązanie oferuje więcej korzyści niż rozwiązanie samozarządzające, ale zgodnie z wymaganiami Jacobs rzeczywiście wymaga elastyczności, jaką zapewnia rozwiązanie samozarządzające w zakresie routingu i QoS uwzględniającego aplikacje, podczas gdy dostawca usług prawdopodobnie będzie wymagał pewien poziom zmian i opóźnień.
B. Samozarządzające rozwiązanie Jacobs. To jest poprawne. Samozarządzające się rozwiązanie spełnia wymagania Jacobsa dotyczące udostępniania nowych aplikacji online i zapewniania zasad dostosowanych do aplikacji bez konieczności angażowania dostawcy usług i tym samym powodowania opóźnień. Informujemy również, że historycznie nawet proste zmiany trwały zbyt długo. Pomijając koszty, dla usługodawcy korzystne może być pełne zarządzanie rozwiązaniem SD-WAN, zwłaszcza jeśli odpowiednie umiejętności nie są dostępne we własnym zakresie, a korzyści skali są przydatne w przypadku zamawiania obwodów, terminów dostaw i możliwości zapewnienia monitorowania rozwiązanie bez konieczności stosowania nowych narzędzi w przedsiębiorstwie.

Pytanie 11 : Ponieważ Jacobs w pełni bada SD-WAN pod kątem zapewnienia rozwiązania samozarządzającego, potrzebne są dodatkowe informacje na temat funkcji SD-WAN i powiązanych "płaszczy", aby lepiej zrozumieć funkcjonalność SD-WAN. Zaznacz pola odpowiadające odpowiedniej płaszczyźnie SD-WAN dla poszczególnych funkcji w poniższej tabeli, aby ułatwić firmie zrozumienie.





"Poprosiłem zespół o zbadanie, jakich technologii możemy użyć do zapewnienia łączności ze sklepami w ramach SD-WAN. Mamy dostępne wszystkie poniższe technologie (różne przepustowości w zależności od potrzeb i różne ceny) dla wszystkich lokalizacji naszych sklepów. Zastanów się, które z nich będzie lepiej pasować do naszego rozwiązania, gdyż nasza infrastruktura natywnie obsłuży je wszystkie!

4G/LTE
5G
Obwody dostępu do Internetu/ADSL/SDSL
Obwody MPLS"

Pytanie 12: Jaką technologię podkładów SD-WAN polecilibyście dla lokalizacji sklepów? (Wybierz dwa.)

A. 4G/LTE
B. 5G
C. Obwody dostępu do Internetu/ADSL/SDSL
D. Obwody MPLS (dostęp do głównego miejsca)
E. Obwody MPLS (dostęp do strony dodatkowej)

Pytanie 13: Jeśli Jacobs zdecydowałby się na rozwiązanie SD-WAN, którymi z poniższych kwestii firma musiałaby się zająć przed wykorzystaniem łączności internetowej jako jednej ze ścieżek dostępu sklepów do centralnych zasobów w centrach handlowych Jacobs i Toolmate? (Wybierz jeden.)

A. Zwiększ wydajność zapór internetowych dostępnych w każdym kontrolerze domeny.
B. Zezwalaj na przepływy SD-WAN przez zapory internetowe na kontrolerach domeny.
C. Zmodernizuj obwody dostępu do Internetu do 10 Gb/s w DC.
D. Zdecyduj, czy do routingu przez tunele internetowe SD-WAN powinien być używany routing statyczny czy protokół dynamiczny.

"Dzięki za opinie. Przyszło mi do głowy, że internetowe obwody ADSL/SDSL, którym się przyglądaliśmy, mogą przekraczać wymagania dotyczące opóźnienia wymagane dla aplikacji Jaystore wynoszące 20 ms. Technologia 5G zdecydowanie sobie z tym radzi, więc myślę, że wybierzemy 5G jako obwód wtórny i pozostawimy pojedynczy obwód MPLS, w którym mamy teraz podwójne łącza MPLS. Wszędzie tam, gdzie dostępny jest pojedynczy obwód MPLS, można go zastąpić siecią 5G, co pozwala na znaczne oszczędności w wydatkach na naszą sieć WAN. Rozmawiałem z twórcami aplikacji dla Jaystore i powiedzieli mi, że mam 6 miesięcy na przepisanie modułu komunikacji aplikacji w oparciu o ich obecne elastyczne obciążenie pracą - byłoby to dla nas zdecydowanie za długie, a także byłoby kosztowne i trudne do uzasadnienia na podstawie ilości wysiłku, jaki cytują. Znalazłem kilka konkurencyjnych cenowo routerów brzegowych SD-WAN wielkości sklepu, które możemy połączyć z usługami internetowymi 5G za pomocą opcjonalnej karty 5G. Aby zapewnić zgodność z PCI, mają własny, pełny stos zabezpieczeń, który obejmuje VRF, zaporę ogniową L7, IPS/IDS, ochronę i filtrowanie adresów URL, z routingiem EIGRP i BGP po stronie LAN oraz OMP po stronie WAN. Są wyposażone w podwójne miedziane złącza Ethernet umożliwiające dostęp lub łączność trunkingową, których możemy użyć do podłączenia do przełączników sieciowych naszych sklepów."

Pytanie 14: Ponieważ Jacobs zamierza używać routerów brzegowych SD-WAN z połączeniami internetowymi 5G w sklepach zapewniających dostęp do Internetu do tworzenia sieci SD-WAN, czy firma powinna zapewnić również zapory ogniowe w każdym sklepie w celu ochrony routerów brzegowych SD-WAN i przechowywać sieć LAN podłączoną do Internetu? (Wybierz jeden.)
A. Tak. Firewalle należy rozmieścić fizycznie przed routerem SD-WAN z łączem Internet/5G.
B. Tak. Zapory ogniowe należy wdrożyć fizycznie za routerami brzegowymi SD-WAN z połączeniami internetowymi/5G.
C. Nie. Zapory sieciowe nie są wymagane w sklepie ze względu na natywną zaporę ogniową i funkcje bezpieczeństwa, jakie zapewniają routery brzegowe SD-WAN.
D. Nie. Zapory ogniowe nie są wymagane, ponieważ routery SD-WAN są skonfigurowane tylko do akceptowania połączeń IPsec z routerów centralnych, a cały ruch internetowy jest przekazywany do centralnych lokalizacji DC.

"Polityka bezpieczeństwa, która nakazuje, aby funkcjonalność urządzeń infrastruktury była ograniczona do jednej określonej funkcji, a oddzielna funkcjonalność musi być zapewniona za pośrednictwem oddzielnych urządzeń infrastruktury fizycznej, znacznie zwiększy koszty tego projektu. Zamierzam wymusić wyjątek w zakresie bezpieczeństwa za pośrednictwem dyrektora ds. technologii, abyśmy mogli korzystać z natywnych funkcji bezpieczeństwa routerów brzegowych SD-WAN i zanegować wymagania dotyczące zapór sieciowych w sklepach. Kontynuujmy projekt przy założeniu, że wyjątek zostanie zatwierdzony. Jeśli chodzi o podkład, jak wspomniałem wcześniej, chciałbym zachować jeden obwód MPLS, w którym mamy podwójne obwody MPLS, a drugi obwód MPLS możemy zastąpić dostępem do Internetu. Tam, gdzie obecnie mamy tylko jeden obwód MPLS dla niezależnych sklepów, możemy zastąpić go obwodem internetowym. Zamierzam rozważyć modernizację łącza Jacobs ISP do odpornego rozwiązania 10 Gb/s. Zastanawiam się, czy możemy usunąć łącze Toolmate ISP, jeśli możemy to zrobić. Byłoby wspaniale, gdyby można było rozpocząć projektowanie ogólnego rozwiązania SD-WAN."

Pytanie 15 : Jeśli Jacobs będzie kontynuował projekt SD-WAN przedstawiony szczegółowo na poniższym rysunku, czy firma może zamknąć istniejący centralny dostęp do Internetu w Toolmate DC i wykorzystać odporne łącze internetowe Jacobs DC o przepustowości 10 Gb/s jako dodatkową ścieżkę zakończenia SD-WAN dla sklepów Toolmate w w przypadku awarii MPLS w sieci Lotnet? (Wybierz jedno.)



A. Tak (jeśli zapora DCI jest skonfigurowana tak, aby zezwalała na dostęp).
B. NIE.

Pytanie 16 : Jacobs zdecydował się uaktualnić łączność ISP w każdym DC do podwójnych połączeń aktywnych/gotowych 10 Gb/s. Dokończ projekt przedstawiony na poniższym rysunku, aby umieścić router(y) brzegowy SD-WAN stacji czołowej w Jacobs DC, gdy liczba połączeń MPLS podwójnej stacji czołowej zostanie zredukowana do jednego (Toolmate DC będzie identyczny, ale z innym dostawcą MPLS). Dodaj tyle routerów brzegowych SD-WAN (które mają 4 interfejsy 10 Gb/s) i powiązanych połączeń Ethernet (wszystkie połączenia mają przepustowość 10 Gb/s, a cała istniejąca infrastruktura obsługuje 10 Gb/s i ma co najmniej 2 dodatkowe porty 10 Gb/s na urządzenie), ile jest wymaganych do wdrożenia w pełni odpornego Stacja czołowa SD-WAN. W razie potrzeby można także usunąć istniejące połączenia Ethernet.



Notatka : Toolmate DC byłby podobny, ale z innym pojedynczym dostawcą MPLS. Jednak to pytanie skupia się tylko na elemencie Jacobs DC.

Pytanie 17 : Który z poniższych projektów SD-WAN poleciłbyś dla sklepu Jacobs. (Wybierz jeden.)

a)

b)

c)

d)

"Jestem trochę ostrożny w stosunku do pętli routingu, gdy konfigurujemy sieć SD-WAN z wbudowanym protokołem routingu OMP i dowolnym protokołem, którego używamy po naszej stronie w sieci DC LAN. Przydałoby mi się wyjaśnienie, jak Twoim zdaniem może obejść dowolną pętlę potencjalną z różnymi protokołami.Scenariusz, o którym myślę, jest taki, gdy mamy prefiks sklepu, powiedzmy "A" zgodnie ze schematem, a to ogłoszenie jest odbierane w Internecie SD-WAN router brzegowy i router brzegowy MPLS SD-WAN w jednym z naszych DC.Routery brzegowe będą musiały obsługiwać protokół routingu z powrotem do sieci LAN DC, więc chcę mieć pewność, że routery brzegowe SD-WAN nie przekażą dalej ruch dla prefiksu "A" do siebie poprzez lokalną sieć DC LAN, zamiast kierować ruch przez sieć nakładkową SD-WAN do sklepu."



Pytanie 18: Wypełnij poniższą tabelę, aby pomóc Jacobsowi zrozumieć, jakie techniki łagodzenia pętli można zastosować w połączeniu z powiązanym protokołem routingu dynamicznego skonfigurowanym pomiędzy routerami brzegowymi SD-WAN a siecią DC LAN. W razie potrzeby wstaw "X" w obszarze Technika łagodzenia dla protokołu routingu.



"Tylko uwaga: chcę, aby każdy sklep (niezależny, Jacobs i Toolmate) miał ścieżkę internetową SD-WAN do każdego DC (Jacobs i Toolmate). Moje uzasadnienie jest takie, czy sklep Jacobs ma ścieżkę internetową do Toolmate DC jak również Jacobs DC, zbieżność w przypadku problemu w Jacobs DC po stronie SD-WAN byłaby znacznie szybsza, gdyby routing był już na miejscu (i to samo w przypadku sklepu Toolmate przez Jacobs DC). Nadal mam pewne wątpliwości co do routingu w tym scenariuszu (pętle, optymalne ścieżki itp.). Czy możesz o tym pomyśleć?"

Pytanie 19: Jacobs wymaga, aby każdy sklep miał ścieżkę SD-WAN do każdego DC, aby ułatwić konwergencję w przypadku awarii. Firma wybrała eBGP do stosowania pomiędzy sieciami DC LAN w stacjach Jacobs i Toolmate DC oraz lokalnie podłączonymi routerami brzegowymi SD-WAN dla sieci SD-WAN w celu reklamowania prefiksów DC i sieci sklepów SD-WAN. iBGP będzie również używany pomiędzy sieciami LAN Jacobs i Toolmate DC poprzez istniejącą sieć DCI, aby zapewnić ścieżkę zapasową dla sklepu Jacobs obsługującego SD-WAN za pośrednictwem Toolmate DC i odwrotnie. Jak należy skonfigurować numer BGP AS (ASN) powiązany z routerami brzegowymi w każdym kontrolerze domeny? (Wybierz jeden.)

A. Numer ASN BGP powiązany z routerami brzegowymi SD-WAN powinien być taki sam w każdym z DC.
B. Numer ASN BGP powiązany z routerami brzegowymi SD-WAN powinien być inny w każdym z DC.

"Dziękujemy za zaprojektowanie routerów brzegowych SD-WAN w sklepach i centralach DC. Oczywiście potrzebujemy kilku kontrolerów, aby włączyć funkcjonalność SDWAN na tym elemencie infrastruktury, więc musimy ustalić, gdzie zostaną one umieszczone, aby były osiągalne przez routery brzegowe SD-WAN. Informacje, które otrzymałem od wybranego przez nas dostawcy, są następujące. Będziemy potrzebować nadmiarowych kontrolerów w każdej z następujących płaszczyzn:

Płaszczyzna zarządzania: będzie zapewniana przez produkt o nazwie iManage. To jest ich pojedynczy panel, którego będziemy używać do udostępniania, monitorowania, zarządzania i rozwiązywania problemów, jeśli zajdzie taka potrzeba. Płaszczyzna orkiestracyjna: Zapewni to produkt o nazwie iOrch. Zajmuje się uwierzytelnianiem i autoryzacją całej infrastruktury.
Płaszczyzna sterowania: zapewni ją produkt o nazwie iCon. Zapewnia routerom brzegowym wszystkie zasady dotyczące danych i płaszczyzny routingu, w tym zasady routingu uwzględniające aplikacje, jeśli jest to wymagane.
Wszystkie kontrolery mogą być urządzeniami w DC lub instancjami wirtualnymi w chmurze; obie opcje wykorzystują zastrzeżoną metodę odporności na działanie/czuwanie, która wymaga warstwy 2 między kontrolerami (fizyczna lub logiczna sieć VLAN dla urządzeń i tylko sieć VLAN dla instancji w chmurze) i zapewniają pojedynczy adres IPv4 frontonu niezależnie od użycia urządzeń fizycznych lub chmury usługa oparta. Dostawca zaoferował usługę wszystkich trzech kontrolerów w ramach swojej oferty chmury publicznej hostowanej we Francji, z elastyczną usługą w USA, i zajmuje się całą odpornością, kopiami zapasowymi, usuwaniem awarii i wymaganymi certyfikatami między kontrolerami a routerami brzegowymi SD-WAN które komunikują się ze sterownikami. W pełni zarządzana oferta w chmurze wymaga jedynie dostępu do Internetu z routerów brzegowych (bezpośrednio dla sklepów lub centrali dla DC), a jej cena jest taka sama, jak zakup urządzeń dla jednego kompletnego zestawu odpornych kontrolerów, jeśli hostujemy się przez pięć roczna umowa, czyli nasz normalny okres odświeżania infrastruktury."

Pytanie 20: Gdzie jest optymalna lokalizacja hostingu dla kontrolerów iManage, iOrch i iCon dla Jacobs? (Wybierz jeden.)

A. W Jacobs DC w obszarze WAN Core jako urządzenia klastrowane lokalnie dla każdej funkcji kontrolera
B. W ramach Toolmate DC jako lokalnie zgrupowane urządzenia dla każdej funkcji sterownika
C. Zarówno w ramach Jacobs, jak i Toolmate DC, zapewniając pełną odporność jako zdalne urządzenia klastrowe (jednostka aktywna w Jacobs i jednostka rezerwowa w Toolmate) dla każdej funkcji kontrolera
D. Zarówno w centrach DC Jacobs, jak i Toolmate, zapewniając pełną odporność jako lokalne urządzenia klastrowe (usługa replikowana w każdym DC)
E. W prywatnej chmurze dostawcy dla każdej funkcji kontrolera

"Uważam, że optymalnie będzie, jeśli wdrożymy kontrolery SD-WAN w chmurze. Są one natywnie odporne i nie będziemy musieli zajmować się ich podłączaniem i martwieniem się o zapewnienie odporności na wdrożenie pomiędzy kontrolerami Jacobs i Toolmate DC. zaletą jest to, że zajmują się wszystkimi wymaganymi certyfikatami między urządzeniami, które mogą być problematyczne dla naszego zespołu i mogą wstępnie skonfigurować routery brzegowe SD-WAN, które za ich pośrednictwem kupimy, tak aby dynamicznie łączyły się z kontrolerami w chmurze, co oznacza dla naszego zespołu zero kontaktu onboard.Dzięki Waszemu wkładowi.Będziemy mieli następującą przyszłą architekturę.Potrzebuję Waszej pomocy przy planowaniu migracji do SD-WAN, którą przygotowałem poniżej w oparciu o Wasze uwagi.Proszę przemyśleć najlepszy sposób aby udostępnić usługę online!"



Pytanie 21: Aby wejść na nowe rozwiązanie SD-WAN i przeprowadzić przez nie migrację ruchu dla łączności Jacobs, Toolmate i niezależnych sklepów, należy zorganizować następujące działania migracyjne w wymaganej kolejności. Firma zadeklarowała, że chce zminimalizować wszelkie związane z tym przestoje i upewnić się, że usługa działa poprawnie przed migracją dowolnego sklepu Jacobs lub Toolmate do sieci SD-WAN.

A. Podłącz routery brzegowe SD-WAN do sieci DC i skonfiguruj eBGP pomiędzy routerami brzegowymi SD-WAN a siecią DC LAN, aby reklamować sieci DC LAN do SD-WAN. Skonfiguruj zapory sieciowe DCI, aby umożliwić ścieżkę routingu odporności magazynu SDWAN między kontrolerami DC i komunikację równorzędną iBGP między kontrolerami DC.
B. Skonfiguruj tunele płaszczyzny sterującej SD-WAN dla ścieżek internetowych.
C. Skonfiguruj zapory sieciowe DC dla przepływów płaszczyzny sterującej SD-WAN do usług w chmurze i routera brzegowego SD-WAN do przepływów płaszczyzny danych sieci SD-WAN i włącz usługę kontrolera chmury za pomocą szablonów konfiguracji dla całej łączności.
D. Przeprowadź migrację płaszczyzny danych niezależnych sklepów do SD-WAN, kierując lokalną bramę LAN do routera brzegowego SD-WAN i modyfikując metryki BGP w lokalizacjach DC.
mi. Zamów łącza internetowe 5G dla sklepów. Przechowuj routery brzegowe SD-WAN i routery brzegowe SD-WAN dla lokalizacji DC.
F. Skonfiguruj iBGP pomiędzy Jacobs i Toolmate DC, aby anonsować prefiksy magazynu SDWAN dla zapasowej ścieżki routingu i redystrybuować SDWAN OMP do BGP i BGP do SD-WAN OMP.
G. Zaimplementuj drugi router brzegowy SD-WAN w lokalizacjach z dwoma sklepami MPLS za zachowanym obwodem MPLS/routerem CE. Skonfiguruj tunele SDWAN dla ścieżek MPLS.
H. Podłącz router brzegowy SD-WAN niezależnego sklepu z kartą 5G do lokalnej sieci LAN, a w przypadku sklepów z podwójnymi routerami MPLS podłącz pierwszy router brzegowy SD-WAN z kartą 5G do sieci LAN (ustawiony niski priorytet VRRP z istniejącymi routerami MPLS ).
I. Zamknij podwójne łącze MPLS magazynu MPLS (Jacobs/Toolmate), które nie będzie już potrzebne.
J. Wyłączyć z eksploatacji wtórne obwody MPLS firmy Jacobs/Toolmate oraz pojedynczy obwód MPLS w niezależnych sklepach.
k. Przekieruj ruch sklepu Jacobs/Toolmate na ścieżkę Internet SD-WAN w bieżących lokalizacjach z podwójnym MPLS (dostosuj VRRP w witrynach sklepów i zmodyfikuj metryki BGP w lokalizacjach DC).
l. Zamknij łącza MPLS niezależnego sklepu.

"Dziękuję za pomoc w migracji. Żaden sklep nie zauważył żadnych przestojów! Pytałem po sklepach i wstępne opinie są bardzo pozytywne, biorąc pod uwagę, że obecnie używamy ścieżek internetowych oraz MPLS dla całego ruchu w sieci WAN. miał kilka komentarzy odnoszące się jednak do mniejszej responsywności aplikacji Jaystore i niektórych przycinań połączeń głosowych. Jak wiadomo, QoS na łączach MPLS mieliśmy z czterema klasami. Myślę, że pod presją zapewnienia łączności mogliśmy przeoczyć element QoS w łączach 5G. Będę potrzebować Twojej pomocy, aby upewnić się, że poprawiamy jakość. "

Pytanie 22: W jaki sposób Jacobs może naprawić problemy z jakością zgłoszone po migracji? (Wybierz jeden.)

A. Zduplikuj istniejące ustawienie MPLS QoS w połączeniach 5G SD-WAN.
B. Włącz optymalizację TCP i trwałość sesji w połączeniach 5G SD-WAN.
C. Zduplikuj istniejące ustawienie MPLS QoS w połączeniach 5G SD-WAN, z wyjątkiem ruchu DIA magazynu, który powinien zostać przeniesiony do kolejki modułu oczyszczającego.
D. Utwórz politykę routingu uwzględniającą aplikacje.

Pytanie 23 : Jacobs rozważa Cloud onRamp dla SaaS teraz, gdy ma działającą sieć SD-WAN. Jaka byłaby korzyść, gdyby firma przyjęła takie podejście? (Wybierz jeden.) A. Rozwiązanie powinno skutkować redukcją kosztów.
B. Utrzymanie dostępu poprzez DC do usług SaaS zapewnia dodatkowy poziom kontroli bezpieczeństwa.
C. Rozwiązanie zazwyczaj wykorzystuje łącza MPLS zamiast obwodów internetowych w celu uzyskania dostępu do SaaS, a tym samym uzyskania optymalnej jakości.
D. Rozwiązanie posiadałoby możliwość wyboru optymalnej jakości ścieżki dotarcia do lokalizacji w chmurze Office 365 (bezpośredni dostęp do Internetu lub poprzez centralny DC po łączach 5G lub MPLS).

"Doceniam pomoc w zakresie zasad rozsyłania aplikacji i porad dotyczących onRamp. Właśnie zostałem postawiony w trudnej sytuacji i potrzebuję Twojej pomocy przed zakończeniem Twojego zadania. Dyrektor generalny jest wielkim fanem sieci fast foodów Jimmy's. Oprócz tego, że jest dobrze zaznajomiony z menu, jest dobrym przyjacielem dyrektora generalnego i latają razem w jego lokalnym klubie szybowcowym. Między nimi zawarli umowę, na mocy której w każdym z nich będzie mały oddział/sklep Jimmy'ego naszych sklepów Jacobs.Zamysł jest taki, że handlarze przyjdą wcześniej, aby uzupełnić zapasy materiałów budowlanych i niewątpliwie odbiorą kawę, pączki i klasyczne angielskie śniadanie (na pewno nie rozgniecione awokado na zakwasie) podczas kompletowania i załadunku zamówień Każdy dyrektor generalny wierzy we wzajemną wymianę handlową, jaką przyniesie to porozumienie, i jest skłonny podzielić się kosztami konfiguracji. Powiedziano mi, żebym zapewnił im pojedyncze miedziane połączenie Ethernet z sieci naszego sklepu, aby mogli połączyć się z DC Jimmy's dla swojego systemu . Aby dotrzeć do swojego centrum dystrybucyjnego, potrzebują jedynie dostępu do Internetu, a kasy mają niską przepustowość. Musimy znaleźć rozwiązanie, które uszczęśliwi nasz zespół ds. bezpieczeństwa wewnętrznego. Pomoc! "

Pytanie 24 : Która z poniższych opcji będzie najodpowiedniejsza do komunikacji, aby zapewnić łączność Jimmy′ego za pośrednictwem sklepu Jacobs? (Wybierz jeden.)

A. Zakończenie połączenia Ethernet Jimmy′ego na przełączniku sklepu Jacobs za pomocą internetowej sieci VPN B2B pomiędzy Jacobs i centralnymi zaporami sieciowymi DC Jimmy'ego, aby umożliwić bezpieczny dostęp centralny pomiędzy podmiotami.
B. Zakończenie połączenia Ethernet Jimmy′ego z przełącznikiem sklepu Jacobs do nowej izolowanej sieci VLAN, z VRF Lite skonfigurowanym pomiędzy przełącznikiem sklepu a routerem brzegowym Internet SD-WAN w celu zapewnienia łączności internetowej z siecią VLAN.
C. Zakończenie połączenia Ethernet Jimmy′ego na przełączniku sklepowym Jacobs z zabezpieczeniem ACL na przełączniku dostępowym Jacobs, zapewniającym dostęp wyłącznie do serwera proxy Jacobs w celu centralnego dostępu do Internetu do zdalnej sieci VPN DC Internet VPN Jimmy's.
D. Dostarczenie nowej zapory ogniowej Jimmy′s do zakończenia przełącznika sklepu Jacobs w celu ochrony zaporą ogniową, aby umożliwić Jimmy's łączenie się wyłącznie z routerem brzegowym SD-WAN skierowanym do Internetu w sklepie Jacobs w celu uzyskania połączenia Internet VPN ze zdalnym DC Jimmy's

Odpowiedzi



Pytanie 1

A. Ciągłość działania: To prawda. W żadnej części sieci nie ma funkcji DR ani trybu gotowości; jeśli pojedynczy Jacobs DC upadnie lub zostanie odizolowany, IT firmy przestanie działać. Zostałeś poinformowany, że dostęp z Toolmate DC do Jacobs DC jest postrzegany jako kluczowy. W przypadku awarii Toolmate DC lub niezależnej strefy usług wspólnych w Jacobs DC, będzie to miało wpływ tylko na te obszary/strefy. Jeśli jednak DCI, zapory sieciowe DCI lub cały DCI Jacobs doświadczą przerwy w dostawie prądu, oddział Toolmate będzie dotknięty w takim samym stopniu jak centralny Jacobs. Ogólnie rzecz biorąc, Jacobs z pewnością skorzystałby na jakiejś formie odzyskiwania po awarii lub odporności między strefami/podmiotami w celu zapewnienia ciągłości biznesowej.

E. Brak integracji Toolmate z systemami informatycznymi sklepu niezależnego: To prawda. Systemy i sieci nie są w pełni zintegrowane. Korzystna byłaby integracja systemów i racjonalizacja dostępu do sieci WAN, aby zapewnić odporność między kontrolerami DC i usunąć obciążenie administracyjne związane na przykład z polityką zmian zapór sieciowych i wycofywanymi zaporami DCI umożliwiającymi na przykład dostęp Toolmate do usług Jacobs.

Pytanie 2

A. Rozszerzenie strefy usług wspólnych dla niezależnych sklepów o usługi Toolmate w Jacobs DC z usprawnioną kontrolą zmian: To prawda. Obecnie Jacobsowi wyraźnie brakuje integracji między podmiotami. Ma ograniczoną strefę usług wspólnych dla zasobów niezależnych sklepów i niemal taktyczne podejście do zapewniania dostępu do określonych usług Toolmate przez DCI i zapory sieciowe do Jacobs DC. Zostaniesz poinformowany, że bieżący proces zmian jest nieefektywny, a działanie zapór sieciowych dobiega końca i działają z pełną wydajnością. Rozbudowa strefy usług wspólnych zazwyczaj zmniejszyłaby potrzebę awaryjnych zmian poza godzinami pracy w celu zapewnienia dostępu, a wyeliminowanie nieefektywności kontroli zmian z pewnością zmniejszyłoby obciążenie związane z zarządzaniem.

Pytanie 3

E. Zaplanuj opłacenie podwyżki, aby zachować ciągłość, jednocześnie badając alternatywne rozwiązania. : to jest optymalna odpowiedź na podstawie informacji, którymi dysponujesz do tego momentu. Oczywiście nie byłyby wymagane żadne zmiany, co oszczędza bólu, o którym wspomniał klient. Ponadto będzie trochę czasu na zbadanie alternatyw, zamiast zagłębiać się w nieznane koszty/wyzwania związane z łącznością SD-WAN lub nową łącznością MPLS. Czasami utrzymanie status quo jest akceptowalną opcją.

Pytanie 4

D. Zapewnij nową, oddzielną sieć VPN L3 MPLS dla niezależnych sklepów w obrębie sieci Bluesky MPLS WAN na nowym centralnym obwodzie końcowym do DC, który rozdziela się na oddzielne VRF w istniejącym routerze DC CE. : To jest optymalna odpowiedź. Istniejący centralny obwód DC Bluesky nie ma wystarczającej przepustowości, aby zapewnić łączność niezależnym sklepom i wyraźnie wymagane byłoby oddzielenie obu sieci, aby niezależne sieci nie mogły po prostu dołączyć do MPLS VPN sklepu Jacobs. Dodatkowa sieć VPN może zostać zakończona w DC na oddzielnym VRF na routerze CE lub VLAN w Jacobs DC, aby zapewnić separację i łączność z istniejącą zaporą sieciową wykorzystywaną w polityce niezależnych sklepów. Tak naprawdę chodzi o to, aby upewnić się, że analizujesz wszystkie dostępne dane, ponieważ niezależne sklepy wykorzystują obecnie centralnie większą łączną przepustowość niż jest to dostępne w istniejącym obwodzie końcowym Bluesky DC w połączeniu z separacją wymaganą dla niezależnych sklepów.

Pytanie 5

B. Faza 3 Rozwiązanie DMVPN multi-VRF (Jacobs VRF, Toolmate VRF, niezależny sklep VRF) z możliwością kończenia VPN przez sklepy w dowolnym DC w przypadku awarii jednego połączenia internetowego DC: Jest to optymalna odpowiedź spośród dostępnych w tym momencie opcji . Sieć DMVPN będzie dobrze działać w Internecie przy wymaganych co najmniej trzech VRF, w oparciu o istniejącą konfigurację DC dla Jacobs, Toolmate i niezależnych sklepów. Ponieważ w każdym z DC Jacobs i Toolmate istniałby tylko jeden obwód internetowy, sklepy Jacobs potrzebowałyby bezpiecznego sposobu na dostęp do swoich domowych DC, gdyby powiązany z nimi obwód internetowy uległ awarii w Jacobs DC i odwrotnie w przypadku oddziałów Toolmate. Łącze DCI musiałoby zostać skonfigurowane pod kątem łączności dla sklepów w przypadku awarii Internetu w jednym z DC (zakończenie połączenia na DC z funkcjonującym dostępem do Internetu). Istniejące połączenia VoIP między sklepami w każdej sieci będą nadal działać z określonym opóźnieniem wynoszącym 100 ms, ponieważ będą one wykorzystywać tunele typu "rozmowa do szprychy" w fazie 3 DMVPN. Jeśli połączenia będą musiały być kierowane przez koncentrator w DC, opóźnienie wzrośnie do 200 ms, co byłoby niedopuszczalne dla jakości VoIP, przy standardowym w branży maksymalnym opóźnieniu wynoszącym 150 ms

Pytanie 6

A. Ciągłość działania może być zapewniona natywnie. : To jest poprawne. To bezpośrednie stwierdzenie, które należy dokładnie ocenić przed podjęciem decyzji. Pytanie ma na celu upewnienie się, że rozważysz wymagany projekt i wpływ, jaki będzie on miał na istniejącą sieć. Każdy DC ma centralne połączenia internetowe, ale nie ma w nim sieci każdego dostawcy MPLS; w związku z tym, gdyby Toolmate DC uległo katastrofalnej awarii, nie byłoby możliwego dostępu ze sklepu Toolmate do wymaganych usług w Jacobs DC. W tym scenariuszu awarii można wykorzystać łącza internetowe do natywnego zapewnienia kopii zapasowej Jacobs DC dla oddziałów lub sklepów Jacobs w Jacobs, dostępu do Jacobs DC za pośrednictwem Toolmate oraz możliwości poruszania się po DCI, jeśli dostawcy Jacobs MPLS ponieść porażkę.

Pytanie 7

B. NIE : To jest poprawne. Zgodnie z wyjaśnieniem odpowiedzi A, sieć SD-WAN w rzeczywistości zużywałaby większą przepustowość w przypadku obwodów internetowych. To stosunkowo proste pytanie, które ma na celu zapewnienie, że postępujesz zgodnie ze scenariuszem i oceniasz dostępne dane. Czasami możesz otrzymać pytanie, na które można odpowiedzieć w ciągu kilku sekund, a kolejne pytanie może zająć 20 minut!

Pytanie 8

A. Bezpośredni dostęp do Internetu ze sklepów: To jest optymalna odpowiedź. Informujemy, że sklepy Jacobs korzystają obecnie z serwera proxy w celu uzyskania dostępu do Internetu, gdzie zazwyczaj stosowane są zasady dotyczące użytkowników uzyskujących dostęp do Internetu. Jeżeli sklepy miałyby dostęp do Internetu bezpośrednio z łączy lokalnych, zasady musiałyby zostać określone i zastosowane lokalnie w sklepie; w przeciwnym razie Jacobs wprowadziłby znaczne ryzyko do swojego środowiska IT.

Pytanie 9



Pytanie 10

B. Samozarządzające rozwiązanie Jacobs . To jest poprawne. Samozarządzające się rozwiązanie spełnia wymagania Jacobsa dotyczące udostępniania nowych aplikacji online i zapewniania zasad dostosowanych do aplikacji bez konieczności angażowania dostawcy usług i tym samym powodowania opóźnień. Informujemy również, że historycznie nawet proste zmiany trwały zbyt długo. Pomijając koszty, dla usługodawcy korzystne może być pełne zarządzanie rozwiązaniem SD-WAN, zwłaszcza jeśli odpowiednie umiejętności nie są dostępne we własnym zakresie, a korzyści skali są przydatne w przypadku zamawiania obwodów, terminów dostaw i możliwości zapewnienia monitorowania rozwiązanie bez konieczności stosowania nowych narzędzi w przedsiębiorstwie.

Pytanie 11




Pytanie 12

B. 5G To jest poprawne. Z poprzednich informacji powiedziano Ci, że wymagany będzie łącze internetowe, a optymalna będzie sieć 5G (w porównaniu z odpowiedziami A i C). Powszechnie wiadomo, że ta technologia prawdopodobnie zapewni małe opóźnienia wynoszące około 10 ms, co złagodzi znane wymagania dotyczące opóźnień aplikacji Jaystore.

D. Obwody MPLS (dostęp do głównego miejsca) To jest poprawne. Obwody MPLS już działają. Zazwyczaj w ramach wdrożenia SD-WAN utrzymuje się jeden obwód, o czym klient wspomniał wcześniej w wiadomościach e-mail.

Pytanie 13

C. Zmodernizuj obwody dostępu do Internetu do 10 Gb/s w DC. To jest poprawne. Obecne wykorzystanie usługodawcy internetowego w centrach Jacobs i Toolmate DC jest bliskie maksymalnemu dostępnemu 1 Gb/s. Istniejące obwody nie były w stanie obsłużyć dodatkowego ruchu migrowanego ze starszych połączeń MPLS.

Pytanie 14

B. Tak. Zapory ogniowe należy wdrożyć fizycznie za routerami brzegowymi SD-WAN z połączeniami internetowymi/5G. To jest poprawne. Nawet jeśli zostaniesz poinformowany, że routery brzegowe SD-WAN mają własny stos zabezpieczeń, w tym zaporę ogniową, polityka bezpieczeństwa Jacobs narzuca, że urządzenia infrastrukturalne muszą ograniczać się do pojedynczej funkcjonalności. Łączenie routingu brzegowego/łączności 5G z funkcją zapory sieciowej stanowiłoby naruszenie tej zasady, w związku z czym zapory ogniowe są wymagane. Zaporę sieciową można fizycznie podłączyć za routerem brzegowym SD-WAN tylko w przypadku użycia 5G, więc zapora zostanie umieszczona pomiędzy siecią LAN sklepu a routerem brzegowym, zapewniając funkcjonalność bezpieczeństwa.

Pytanie 15

B. NIE. To jest poprawne. Centralny dostęp do Internetu z Toolmate DC jest nadal wymagany do korzystania z publicznych usług Toolmate.

Pytanie 16



Pytanie 17

C. To jest optymalne rozwiązanie. Podwójne routery brzegowe SD-WAN podłączone do każdego przełącznika warstwy 2 w sklepie zapewniają odporność. Każdy router brzegowy SDWAN łączy się z jednym medium transportowym. VRRP jest używany ze sklepu do kierowania ruchu do routerów brzegowych SD-WAN przez wspólną sieć VLAN łączącą routery brzegowe SD-WAN z siecią LAN za pomocą łącza punkt-punkt warstwy 3 pomiędzy routerami brzegowymi SD-WAN, którego można używać do trasowania między routerami SD-WAN w przypadku określonych warunków awarii i zasad routingu aplikacji. Ruch w naturalny sposób przepływa z sieci LAN przez routery brzegowe SD-WAN, co zapewnia optymalne przekazywanie ruchu.

Pytanie 18:



Pytanie 19 :

A. Numer ASN BGP powiązany z routerami brzegowymi SD-WAN powinien być taki sam w każdym z DC. To jest poprawne. Pętla routingu może występować w związku z łączem DCI pomiędzy kontrolerami DC z routingiem iBGP skonfigurowanym przez DCI. Prefiks otrzymany ze sklepu zostanie odebrany w każdym DC i rozgłoszony pomiędzy DC za pośrednictwem DCI. Użycie tego samego ASN zapewni uniknięcie uczenia się identycznych prefiksów na routerach brzegowych SD-WAN ze względu na blokowanie prefiksów atrybutów AS-PATH z identycznymi źródłami AS przez zdalny kontroler DC w kierunku sieci LAN i przez DCI.

Pytanie 20 :

E. W prywatnej chmurze dostawcy dla każdej funkcji kontrolera. To jest optymalna odpowiedź. Powiedziano Ci, że oferta chmury publicznej jest hostowana we Francji i USA, ale nie zgłoszono żadnych problemów z suwerennością danych w przypadku brytyjskiej firmy. Oferta chmury jest popularna we wdrożeniach SD-WAN i znacznie upraszcza rozwiązanie, oferując jednocześnie natywną odporność za tę samą cenę, co urządzenia w tym przypadku. Dostępność Internetu jest kluczowa dla oferty w chmurze, a osiąga się to poprzez bezpośredni dostęp poprzez łącza internetowe lokalnego sklepu 5G lub poprzez centralny dostęp do Internetu w lokalizacjach DC. Wdrożenia w chmurze mogą nie być optymalnym podejściem dla jednostki rządowej, ale dobrze pasowałyby Jacobsowi.

Pytanie 21 :

A. Zamów łącza internetowe 5G dla sklepów. Przechowuj routery brzegowe SD-WAN i routery brzegowe SD-WAN dla lokalizacji DC. Oczywiście musi to być pierwszy krok, ponieważ można go rozpocząć bez konieczności wprowadzania jakichkolwiek zmian w sieci i wymaga czasu. W ramach tego projektu składane byłyby setki zamówień na obwody i sprzęt. Jacobs mógłby żałować, że nie zdecydował się już na w pełni zarządzane rozwiązanie!
B. Skonfiguruj zapory sieciowe DC dla przepływów płaszczyzny sterującej SD-WAN do usług w chmurze i routera brzegowego SD-WAN do przepływów płaszczyzny danych sieci SD-WAN i włącz usługę kontrolera chmury za pomocą szablonów konfiguracji dla całej łączności. Routery brzegowe SD-WAN w DC będą musiały komunikować się z kontrolerami chmury i są umieszczone za zaporami ogniowymi w środowisku DMZ w firmach Jacobs i Toolmate, więc te przepływy będą musiały być dozwolone. Kontrolery chmury będą musiały zostać skonfigurowane w celu skonfigurowania identyfikatorów lokalizacji, numerów TLOC i wszystkich parametrów SD-WAN w celu utworzenia bezpiecznych tuneli pomiędzy routerami brzegowymi w sklepach i lokalizacjach DC. Rozsądne jest przygotowanie kontrolerów i środowiska przed instalacją routerów brzegowych SD-WAN, dlatego lepiej jest wykonać ten krok przed krokiem C, ale w rzeczywistości można go wykonać po nim.
C. Podłącz routery brzegowe SD-WAN do sieci DC i skonfiguruj eBGP pomiędzy routerami brzegowymi SD-WAN a siecią DC LAN, aby reklamować sieci DC LAN do SD-WAN. Skonfiguruj zapory sieciowe DCI, aby umożliwić ścieżkę routingu odporności magazynu SDWAN między kontrolerami DC i komunikację równorzędną iBGP między kontrolerami DC. Gdy routery brzegowe zostaną fizycznie zainstalowane w DC, skutecznie równolegle z istniejącą infrastrukturą (nie będzie żadnych przestojów), zainicjują komunikację ze sterownikami w chmurze, dlatego kontrolery muszą być dostępne i odpowiednio skonfigurowane. Można włączyć protokół BGP pomiędzy lokalnymi routerami brzegowymi DC LAN i SD-WAN, aby rozgłaszać prefiksy DC LAN (w tym momencie byłoby to po prostu współdzielenie prefiksów DC z siecią SD-WAN i oczywiście nie byłoby żadnego magazynu wykrywane prefiksy). Zapory sieciowe DCI pomiędzy Jacobs i Toolmate wymagają konfiguracja umożliwiająca komunikację równorzędną między DC i przepływ ruchu między DC w przypadku wystąpienia problemu na jednym DC, a ruch SD-WAN może następnie przechodzić przez łącze DCI w celu zapewnienia odporności.
D. Skonfiguruj iBGP pomiędzy Jacobs i Toolmate DC, aby anonsować prefiksy magazynu SDWAN dla zapasowej ścieżki routingu i redystrybuować SDWAN OMP do BGP i BGP do SD-WAN OMP. Ten krok należy zakończyć po kroku C; w przeciwnym razie komunikacja równorzędna zakończy się niepowodzeniem.
E. Podłącz router brzegowy SD-WAN niezależnego sklepu z kartą 5G do lokalnej sieci LAN, a w przypadku sklepów z podwójnymi routerami MPLS podłącz pierwszy router brzegowy SD-WAN z kartą 5G do sieci LAN (ustawiony niski priorytet VRRP z istniejącymi routerami MPLS ). Ten krok należy wykonać po kroku D i przed krokiem F. Nie spowodowałoby to żadnych przestojów, ponieważ to połączenie byłoby równoległe do istniejącej łączności. W sklepach Jacobs i Toolmate z dwoma routerami MPLS w konfiguracji VRRP nowy router brzegowy SD-WAN z dostępem do Internetu byłby trzecim routerem w grupie VRRP z przypisanym niskim priorytetem, więc nie stałby się główną bramą i ruchem w czarnej dziurze.
F. Skonfiguruj tunele płaszczyzny sterującej SD-WAN dla ścieżek internetowych. Ten krok musi nastąpić po kroku E, ponieważ tunele zostaną skonfigurowane i zostanie ustanowiona płaszczyzna sterowania, gotowa do obsługi ruchu w płaszczyźnie danych, jeśli zajdzie taka potrzeba.
G. Przeprowadź migrację płaszczyzny danych niezależnych sklepów do SD-WAN, kierując lokalną bramę LAN do routera brzegowego SD-WAN i modyfikując metryki BGP w lokalizacjach DC. Ten krok nie może zostać wykonany, dopóki krok F nie zostanie ukończony. Krótko mówiąc, usługa powinna zostać sprawdzona przed migracją sklepów Jacobs lub Toolmate, więc logiczną odpowiedzią na to jest najpierw migracja niezależnych sklepów. Zostałeś wcześniej poinformowany, że te sklepy faktycznie tolerują przestoje przez krótki okres i oczywiście miały wcześniej tylko jedno łącze MPLS. Migracja obejmowałaby kierowanie ruchem w sieci LAN sklepu do routera brzegowego SD-WAN, który w tym momencie jest sprawny i działa, więc przestoje byłyby minimalne.
H. Zamknij łącza MPLS niezależnego sklepu. Ten krok nie może zostać wykonany, dopóki niezależne sklepy nie zostaną przeniesione na ścieżkę SD-WAN przez połączenia internetowe w kroku G. Ten krok może zostać opóźniony pod koniec migracji, dlatego jest akceptowalny w dowolnym momencie po kroku G.
I. Przekieruj ruch sklepu Jacobs/Toolmate na ścieżkę Internet SD-WAN w bieżących lokalizacjach z podwójnym MPLS (dostosuj VRRP w witrynach sklepów i zmodyfikuj metryki BGP w lokalizacjach DC). Ten krok nie może zostać wykonany, dopóki niezależne sklepy nie zostaną przeniesione (i przetestowane) do sieci SD-WAN w kroku G i po zainstalowaniu routerów brzegowych SD-WAN w sklepach Jacobs/Toolmate w kroku E i na płaszczyźnie sterowania włączona w kroku F.
J. Zaimplementuj drugi router brzegowy SD-WAN w lokalizacjach z dwoma sklepami MPLS za zachowanym obwodem MPLS/routerem CE. Skonfiguruj tunele SDWAN dla ścieżek MPLS. Tego etapu nie można zakończyć przed etapem I; w przeciwnym razie istniałby pojedynczy punkt awarii z pojedynczym połączeniem MPLS dostępnym na czas trwania zmiany (ponieważ zmiana ta wymaga odłączenia jednego routera MPLS CE od sieci LAN i włożenia routera brzegowego SD-WAN pomiędzy). Internetowa ścieżka SD-WAN zaimplementowana w Kroku I już funkcjonuje, więc do sklepu dostępne byłyby podwójne trasy. Jest to metoda "zrób zanim zepsujesz".
k. Zamknij podwójne łącze MPLS magazynu MPLS (Jacobs/Toolmate), które nie będzie już potrzebne. Tego kroku nie można wykonać przed krokiem J, gdy sieć SD-WAN działa ze ścieżką internetową i MPLS; w przeciwnym razie wystąpiłby pojedynczy punkt awarii.
l. Wyłączyć z eksploatacji wtórne obwody MPLS firmy Jacobs/Toolmate oraz pojedynczy obwód MPLS w niezależnych sklepach. Jest to niewątpliwie ostatni krok na ścieżce migracji i zazwyczaj można go podjąć dopiero po odpowiednim okresie stabilności nowej sieci SDWAN.

Pytanie 22 :

D. Utwórz politykę routingu uwzględniającą aplikacje. To jest optymalna odpowiedź. W sieci SD-WAN można utworzyć politykę routingu uwzględniającą aplikacje z ustawionymi parametrami SLA, która dynamicznie przekierowuje (w czasie rzeczywistym) ruch aplikacji Jaystore przez łącze spełniające określone kryteria, takie jak rygorystyczne wymagania dotyczące opóźnienia w połączeniu z pakietem strata i tyle. Polityka może być tak prosta, jak użycie łącza MPLS dla Jaystore i VoIP oraz wykorzystanie łącza 5G dla wszystkich innych aplikacji, ponieważ aplikacja działa dobrze poprzez oryginalne łącza MPLS.

Pytanie 23 :

D. Rozwiązanie posiadałoby możliwość wyboru ścieżki optymalnej jakość umożliwiająca dotarcie do lokalizacji w chmurze Office 365 (bezpośredni dostęp do Internetu lub poprzez centralny DC poprzez łącza 5G lub MPLS). To jest optymalna odpowiedź. Dzięki Cloud OnRamp for SaaS rozwiązanie SDWAN może mierzyć wydajność aplikacji SaaS na wszystkich dostępnych ścieżkach dostępnych do połączonego sklepu. Poinformowano Cię, że wczesna wersja próbna usługi Office 365 w chmurze publicznej była nieodpowiednia dla użytkownika. Zwykle do dostępnych ścieżek w płaszczyźnie sterowania przypisuje się ocenę punktową, która będzie dynamicznie dostosowywana i odzwierciedlana w płaszczyźnie danych w oparciu o atrybuty wydajności w czasie rzeczywistym, takie jak opóźnienie i utrata pakietów. Dla Jacobsa ścieżkami sklepu do chmury publicznej byłby bezpośredni dostęp do Internetu za pośrednictwem połączeń internetowych 5G lub poprzez centralny kontroler domeny do chmury publicznej albo ścieżką MPLS, albo nawet początkowo przez połączenie internetowe 5G (wydaje się mało prawdopodobne, aby ścieżka internetowa do DC, ale mogą zaistnieć pewne scenariusze, w których można by uniknąć mniej niezawodnej części Internetu, wybierając tę ścieżkę).

Pytanie 24 :

B. Zakończenie połączenia Ethernet Jimmy'ego z przełącznikiem sklepu Jacobs do nowej izolowanej sieci VLAN z VRF Lite skonfigurowanym pomiędzy przełącznikiem sklepu a routerem brzegowym SD-WAN w celu zapewnienia łączności internetowej z VLA. To jest optymalna odpowiedź. Wymagałoby to pewnego przestoju, polegającego na przekształceniu łączy dostępowych na przełączniku dostępu do sklepu dla routera brzegowego SD-WAN na łącze trunkingowe i utworzeniu łączności VRF Lite z nowej sieci VLAN na przełączniku dostępowym do routera brzegowego SDWAN z dostępem do Internetu w celu zapewnienia łączności z Internetem do nowej sieci VLAN poprzez zewnętrzne łącze internetowe na routerze brzegowym SD-WAN. Router brzegowy SD-WAN wymagałby oczywiście pewnej konfiguracji NAT. Przełącznik sklepu Jacobs wymagałby pewnego wzmocnienia w warstwie 2, aby zapewnić, że zachowanie takie jak przeskakiwanie po sieci VLAN nie będzie możliwe po udostępnieniu VRF Lite.




[ 1133 ]