Bring Your Own Device

Transkrypt

Integrujemy przyszłość®
Biuletyn Informacyjny SOLIDEX®
Nr III/2012 (120)
W numerze
między innymi:
WYDARZENIA:
Poznański Oddział SOLIDEX
przenosi się do DELTY
NOWOŚCI:
GAiA – nowy system
operacyjny firmy Check
Point
TECHNOLOGIE:
Bring Your Own Device –
Bring Your
Own Device
– wygoda komunikacji
wiecej na str. 16
wygoda komunikacji
Urządzenia sieciowe
do zadań specjalnych
w środowisku
przemysłowym
ROZWIĄZANIA:
Rozwiązania
bezprzewodowe Fortinet
ISSN 1233–4944
www.integrator.SOLIDEX.com.pl
Numer: III/2012 (120)
Szanowni Państwo!
Ostatnia dekada to czas wielkich przemian na rynku w dziedzinie IT. W każdym wydaniu INTEGRATORA prezentujemy
artykuły, poprzez które staramy się na bieżąco informować Państwa o nowościach i zmianach w branży.
INTEGRATOR jako niezależny kwartalnik od samego początku redagowany jest przez Zespół SOLIDEX, trafia do
grupy 2500 profesjonalistów IT. Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa
zainteresowaniem, a tych z Państwa którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym
serwisem www.integrator.SOLIDEX.com.pl.
Życzymy przyjemnej lektury!
Spis treści
WYDARZENIA
4
4
5
5
Poznański Oddział SOLIDEX przenosi się do DELTY
SOLIDEX Złotym Partnerem firmy Sourcefire
SOLIDEX partnerem Gold Communications firmy Microsoft
Seminarium z cyklu: „SOLIDny EXpert radzi: Jak efektywnie
współpracować na odległość?” już za nami
NOWOŚCI
6
GAiA – nowy system operacyjny firmy Check Point
Technologie
12
16
20
25
28
Technologie PON – „Passive Optical Network”
Bring Your Own Device – wygoda komunikacji
Urządzenia sieciowe do zadań specjalnych w środowisku
przemysłowym. Portfolio Cisco Systems
System transmisji optycznej oparty na technologii DWDM
Cisco Smart Install – pomocnik administratora?
Rozwiązania
32
37
42
47
Rozwiązania bezprzewodowe Fortinet
Tufin Secure Track – optymalizacja bezpieczeństwa sieci
Rozwiązania Cisco Ironport jako skuteczna ochrona
ruchu e-mail i web przed zagrożeniami
Wysokospecjalizowane urządzenia serii SRX
dla budowy zapór ogniowych
3
WYDARZENIA
Poznański Oddział SOLIDEX przenosi się do DELTY
Z przyjemnością informujemy, że dla zwiększenia komfortu obsługi klienta naszego rozwijającego się Oddziału
w Poznaniu w lipcu bieżącego roku nasza poznańska placówka przeniosła się do nowej lokalizacji.
Nowa siedziba naszego oddziału
je s t z lok a li z owa na w s a mym
centrum Poznania, na czwartym
piętrze biurowca Delta, przy ulicy
Towarowej 35. Nowe przestronne biuro
wyposażone w nowoczesny sprzęt
i salę konferencyjną będzie dobrym
miejscem do organizacji seminariów
oraz warsztatów dla naszych Klientów,
chcących poszerzyć swoje kwalifikacje,
czy dowiedzieć się więcej na temat
nowych technologii.
Serdecznie zapraszamy do skorzystania
z usług naszych SOLIDnych EXpertów!
Nowy adres SOLIDEX S.A.  Oddział Poznań  ul. Towarowa 35  tel. +48 61 663 19 55  fax: +48 61 663 19 25
SOLIDEX Złotym Partnerem firmy Sourcefire
Do grona partnerów technologicznych SOLIDEX dołączyła firma Sourcefire, dostarczająca innowacyjnych rozwiązań
z dziedziny zarządzania ryzykiem i bezpieczeństwem informacji.
z cyberbezpieczeństwem, specjalizuje się w systemach wykrywania
i zapobiegania w łamaniom
(Intrusion Prevention System) oraz
systemach bezpieczeństwa nowej
generacji (Next Generation Firewall).
Sourcefire, firma aspirująca do bycia Dzięki ciągłemu dopracowywaniu
liderem wśród dostawców inteli- swoic h pr oduk t ów S our c ef ir e
gentnych rozwiązań związanych zdobywa coraz większe uznanie
4
na rynku, w tym również w Polsce.
Ws z ys t k ic h z aint er e s owanyc h
ofertą firmy Sourcefire zapraszamy
do kontaktu. Więcej informacji
na temat samej firmy znajdą Państwo
na jej oficjalnej stronie internetowej:
http://www.sourcefire.com
Numer: III/2012 (120)
SOLIDEX partnerem Gold Communications firmy Microsoft
Wraz z początkiem lipca, SOLIDEX uzyskał status Partnera Gold firmy Microsoft, w zakresie technologii
Communications.
W poprzednim numerze informowaliśmy o otrzymaniu przez SOLIDEX
partnerstwa Microsoft na poziomie
Silver. Teraz z wielką przyjemnością
zawiadamiamy o podwyższeniu
kwalifikacji na poziom Gold, który
pozwoli nam na uzyskanie najwyższego poziomu wsparcia producenta,
zarówno w zakresie sprzedaży, jak
i implementacji oraz supportu dla
Klientów, co przełoży się na utrzymanie wysokiej jakości oraz szerokiego
zakresu świadczonych przez nas usług.
Technologia Communications oferuje
Klientom zintegrowane rozwiązanie
służące współpracy i komunikacji
biznesowej. Dostępnych jest kilka
kanałów komunikacyjnych (wideo,
głos, chat), a także integracja ze środowiskiem pracy grupowej: Exchange,
SharePoint. Całość znana jest pod
nazwą Microsoft Lync i dostępna jest
zarówno, jako systemy wewnątrz sieci
(on–premise), jak i z chmury.
Jeśli będą Państwo zainteresowani
uzyskaniem szczegółowych informacji
na temat Microsoft Lync, zapraszamy
do kontaktu z naszymi SOLIDnymi
EXpertami!
Seminarium z cyklu: „SOLIDny EXpert radzi: Jak efektywnie współpracować
na odległość?” już za nami
W dniu 5 czerwca br. w sali konferencyjnej Centrum Kompetencyjno–Szkoleniowego SOLIDEX w Warszawie odbyło
się kolejne seminarium z cyklu SOLIDny EXpert radzi, zatytułowane: „Jak efektywnie współpracować na odległość?”.
Tematyka prezentacji obejmowała
zagadnienia związane z Collaboration.
Zaproszeni eksperci zaprezentowali
następujące wykłady teoretyczne:
•Usprawnienie współpracy i wymiany informacji (Microsoft)
•Najważniejsze elementy udanego
wdrożenia systemu komunikacji
głosowej (SOLIDEX)
•BYOD, czyli współpraca w erze
„post PC” (Cisco)
•Najważniejsze elementy udanego
wdrożenia systemu wideokonferencyjnego (Cisco)
Serdecznie dziękujemy wszystkim
uczestnikom za przybycie. Mamy
nadzieję , że por uszone tematy
spotkały się z Państwa zainteresowaniem. Jednocześnie już dzisiaj
zapraszamy na kolejne seminarium
z serii SOLIDny EXpert radzi, które
odbędzie po wakacjach.
Harmonogram kolejnych seminariów
oraz szczegółowe informacje odnośnie
ich tematyki znajdą Państwo pod
adresem:
http://www.solidex.com.pl/oferta/
seminaria
5
NOWOŚCI
GAiA – nowy system operacyjny
firmy Check Point
W połowie kwietnia miała miejsce premiera zapowiadanego od dłuższego
czasu systemu operacyjnego firmy Check Point o nazwie GAiA. Nowy produkt
to kolejny, po wprowadzeniu architektury Software Blade, krok producenta
w kierunku unifikacji proponowanych rozwiązań. GAiA ma docelowo zastąpić
dwa oferowane dotychczas systemy operacyjne – SecurePlatform (SPLAT)
oraz IPSO.
SecurePlatform czy IPSO?
(Hardware Compability List) publikowanej na stronie internetowej
Do tej pory na takie pytanie musiał Check Point. SPLAT oferuje wsparcie
odpowiedzieć każdy, kto chciał zasto- dla wszystkich dostępnych w ofercie
sować rozwiązania firmy Check Point producenta modułów software’owych
w swojej sieci. Odpowiedź niestety tzw. blade’ów. Dotyczy to zarówno
nie jest prosta, gdyż w tym przypadku modułów przeznaczonych do pracy
wybór systemu operacyjnego deter- w ramach serwera zarządzającego
minowany jest zarówno przez zbiór (Security Management Server), jak
możliwych do zastosowania platform i zapór sieciowych (Security Gateway).
sprzętowych, jak i dostępny zestaw Zasadniczą wadą SecurePlatform
funkcjonalności z zakresu bezpie- są małe możliwości w zakresie implementacji routingu dynamicznego.
czeństwa sieciowego.
System SPL AT przeznaczony jest Na tym polu doskonale sprawdza
do instalacji na przeważającej części się system IPSO, który niestety
urządzeń produkowanych przez firmę dedykowany jest wyłącznie do obsługi
Check Point. SecurePlatform obsługuje platform z serii IP Appliance. Co
urządzenia z serii Power–1, UTM–1 oraz więcej, wspiera on ograniczony zbiór
2012 Appliance. Ponadto umożliwia modułów software’owych. Zapory
instalację produktów firmy Check Point sieciowe działające pod kontrolą
na serwerach innych producentów, systemu IPSO nie obsługują między
tzw. open servers, pod warunkiem, że innymi modułu zdalnego dostępu
serwery te znajdują się na liście HCL (Mobile Access), modułu ochrony
6
przed wyciekami informacji (DLP) oraz
modułu antywirusowego (AntiVirus).
W przypadku Security Management
Server niewspierany jest np. przez
system korelacji zdarzeń (SmartEvent/
SmartReporter). Ponadto ka żdy
z systemów operacyjnych charakteryzuje się innym interfejsem
użytkownika oraz sposobem konfiguracji, co w przypadku środowisk
heterogenicznych wymaga dodatkowego nakładu administracyjnego.
Na bazie przedstawionego porównania
widać, że administrator dokonując
wybor u systemu operac yjnego
często musiał iść na kompromis.
Przykładowo, co zrobić w przypadku
gdy na urządzeniu wymagana jest
obsługa routingu dynamicznego
i jednoc ze śnie usł uga dost ępu
zdalnego? Od kwietnia bieżącego roku
odpowiedź na powyższe pytanie brzmi
– „Zastosować system GAIA!”.
Numer: III/2012 (120)
System GAiA został zaprojektowany
z myślą o zapewnieniu wysokich
parametrów wydajnościowych, które
pozwolą na skuteczną walkę z pojawiającymi się nieustannie nowymi
źródłami zagrożeń. W systemie GAiA
nie zabrakło najlepszych, sprawdzonych w praktyce mechanizmów
dost ępnych we wc ze śniejszych
systemach: SPL AT oraz IPSO. Na
co możemy zatem liczyć instalując
nowy system operacyjny?
Wydajność
System GAiA dostępny jest w dwóch
wersjach 32 oraz 64–bitowej. Wersja
6 4 – bitowa wprowadza znaczną
poprawę – w stosunku do swoich
poprzedników – w zakresie możliwości obsługi jednoczesnych połączeń.
Porównanie wydajności systemów
operacyjnych w tym aspekcie w zależności od dostępnej pamięci R AM
przedstawione zostało w tabeli numer 1.
Rys.1. Platforma sprzętowa firmy Check Point
Ilość zainstalowanej
pamięci RAM
SPLAT lub IPSO
GAiA [64–bit]
6 GB
1.2M
2.5M
8 GB
1.2M
3.3M
12 GB
1.2M
5M
24 GB
1.2M
10M
Tabela 1. Liczba obsługiwanych jednoczesnych połączeń w systemie SPLAT, IPSO oraz GAiA
Platformy sprzętowe
Nowy system przeznaczony jest
do wspó ł pr ac y z pr ak t yc z nie
wszystkimi dostępnymi urządzeniami
firmy Check Point – Power–1, UTM–1,
2012 Appliance oraz IP Appliance.
W przypadku produktów z linii IP
Appliance urządzenia typu „flash
based” oraz „hybrid” nie są wspierane.
GAiA, podobnie jak SPLAT, umożliwia
instalację produktów Check Point
na urządzeniach typu „open server”
zgodnych z HCL . Instalacja wersji
64 –bitowej możliwa jest wyłącznie
na urządzeniach wyposażonych
w minimum 6GB pamięci R AM.
Powyższa uwaga dotyczy zarówno
platform dedykowanych jak i „open
server”.
7
NOWOŚCI
implement acją . Obs ł uga IP v6
ograniczała się do implementacji
podstawowych funkcjonalności stosu
IPv4 i IPv6 (dual stack) oraz obsługi
protokołów pomocniczych, takich jak
ICMPv6. Sporadycznie pojawiały się
tzw. „IPv6packs”, które rozszerzały
zakres obsługi protokołu o mechanizmy high–availability, CoreXL
oraz możliwość obsługi IPSec VPN.
Niestety moduły rozszerzeń publikowane były tylko dla określonych
wersji systemu, co uniemożliwiało
aktualizowanie oprogramowania.
W efekcie klienci nie mogli korzystać
z pojawiających się nowych funkcjonalności. Ostatni dostępny „Ipv6pack”
przeznaczony był dla wersji R70!
System GAiA natywnie wspiera
obsługę protokołu IPv4 i IPv6.
W ramach zaimplementowanych
mechanizmów IP v6 wyróż nić
możemy:
• routing statyczny,
Wsparcie architektury
na moduły zarządzające i moduły • firewall (64 –bit),
Software Blade
reprezentujące poszczególne mecha- • ClusterXL w trybie High Availability z synchronizacją stanów
nizmy bezpieczeństwa.
System GAiA zapewnia wsparcie
połączeń,
dla wszystkich modułów funkcjo- Wsparcie dla protokołu IPv6 • akcelerację w oparciu o mechanizmy SecureXL oraz CoreXL ,
nalnych dostępnych w architekturze
Software Blade. Pod kontrolą nowego W systemie GAiA zaimplementowano • anti–spoofing,
systemu operacyjnego mogą pracować obsługę protokołu IPv6. Co prawda • mechanizm Router Discovery,
urządzenia pełniące zarówno rolę zgodnie z dokumentacją wsparcie • tunelowanie IPv6 w IPv4.
serwera zarządzającego (Security IPv6 obecne było w produktach
Management Server), jak i zapory Check Point od wersji NG X 60 Zadania konfiguracyjne związane
sieciowej (Security Gateway). Tabela (opublikowanej w roku 2003), jednak z obsługą protokołu IPv6 realinumer 2 z awier a ze s t awienie miało ono bardziej charakter marke- zowane mogą być z poziomu nowego,
dostępnych modułów z podziałem tingowy niż związany z rzeczywistą graficznego interfejsu użytkownika
(WebGUI) lub bezpośrednio poprzez
linię komend (CLI).
Security Management Blades
Security Gateway Blades
Network Policy Management
Firewall
Logging & Status
IPS
Monitoring
IPsec VPN
SmartProvisioning
Identity Awareness
Management Portal
Advanced Networking & Clustering
User Directory
Mobile Access
SmartWorkflow
Application Control
SmartEvent
DLP
SmartReporter
URL Filtering
Anti–Bot
Antivirus
Anti–Spam & Email Security
Tabela 2. Lista modułów software’owych wspieranych w systemie GAiA
8
Mechanizmy wysokiej
dostępności
We wcześniejszych systemach operacyjnych firmy Check Point wybór
mechanizmu wysokiej dostępności
implikowany był poprzez zastosowaną
platformę sprzętową. System GAiA,
dzięki implementacji zarówno pochodzącego z systemu SPLAT mechanizmu
ClusterXL, jak i pochodzącego z IPSO
standardu VRRP (Virtual Router
Redundancy Protocol), pozostawia
administratorom pełną swobodę
w kwestii wyboru rozwiązania.
Każdy z mechanizmów umożliwia
łączenie dwóch lub więcej urządzeń
Numer: III/2012 (120)
typu Security Gateway w grupy
pracujące w trybie active–passive lub
active–active. Zastosowanie takiego
rozwiązania pozwala wyeliminować
pojedyncze punkty awarii i znacząco
poprawić ciągłość pracy sieci. Konfiguracja mechanizmu VRRP odbywa
się bezpośrednio w systemie GAiA
(poprzez WebUI lub CLI), natomiast
konfiguracja mechanizmu ClusterXL
realizowana jest z poziomu serwera
zarządzania (Security Management
Serwer).
Mechanizmy routingu
dynamicznego
Nowy system operacyjny wspiera
szeroki wachlarz protokołów routingu
dynamicznego typu unicast oraz
multicast. Konfiguracja routingu
dynamicznego w systemie GAiA realizowana jest z wykorzystaniem linii
komend.
Obsługiwane protokoły routingu typu
unicast:
•RIP RFC 1058,
•RIP version 2 (with authentication)
RFC 1723,
•OSPFv2 RFC 2328,
•OSPF NSSA RFC 3101,
•BGP4 RFCs 1771, 1963, 1966, 1997,
2918.
udostępniono dwa tryby pracy interfejsu – podstawowy oraz rozszerzony.
Ciekawym elementem jest możliwość
dostępu do linii poleceń bezpośrednio
z poziomu interfejsu graficznego
przy uż yciu jednego kliknięcia
myszy. Rozwiązanie to z pewnością
przypadnie do gustu osobom wiernym
„czarnemu ekranowi”. Poruszanie się
po interfejsie jest łatwe i intuicyjne,
dzięki dostępnemu po lewej stronie
ekranu panelowi nawigacyjnemu,
który przedstawia dostępne możliwości konfiguracyjne w podziale
na bloki funkcjonalne, np. ustawienia
interfejsów, routing, zarządzanie
u ż y t k o w n ik a m i i t d . N o w ym ,
niezwykle przydatnym elementem
interfejsu graficznego jest system
wysz uk iwania kont ek st owego.
Wystarczy, poprzez podanie słowa
kluczowego, wskazać interesujący
nas aspekt konfiguracji, żeby w ciągu
pomocy kontekstowej, który pozwala
na bieżąco uzyskiwać informacje
na temat składni używanych poleceń.
Podobnie jak w systemach SPL AT
oraz IPSO, w linii poleceń wyróżnić
możemy dwa poziomy uprawnień
administracyjnych – standardowy
(wspomniana powłoka CLISH) oraz
tzw. tryb „expert”, który umożliwia
dos t ę p do niskopoz iomowyc h
ustawień systemu.
Poziom uprawnień przysługujący
poszc zególnym u ż yt kownikom
logującym się do systemu GAiA,
zarówno poprzez interfejs graficzny,
jak i linię poleceń, regulowany jest
poprzez mechanizm oparty na rolach
(Role Based Administrative Access).
System kontroli uprawnień może
współpracować z serwerami RADIUS
oraz TACACS+. Umożliwienie szczegółowego definiowania poziomu dostępu
do poszczególnych aspektów systemu,
Obsługiwane protokoły routingu typu
multicast:
•IGMPv2 RFC 2236,
•IGMPv3 RFC 3376,
•PIM–SM RFC 4601,
•PIM–SSM RFC 4601,
•PIM–DM RFC 3973,
•PIM–DM state refresh draft–ietf–
pim–refresh–02.txt.
Zarządzanie systemem
Rys.4. Graficzny interfejs zarządzania systemu GAiA
Zarządzenie systemem GAiA, podobnie
jak u poprzedników, realizowane może
być dwojako – poprzez graficzny
interfejs użytkownika (WebUI) lub
przez linię komend (CLI).
Inter fejs grafic zny przypomina
wyglądem poprzednika z system
SPL AT, został jednak w znaczny
sposób rozbudowany. Zadania konfiguracyjne wykonywane mogą być
z poziomu większości dostępnych
na rynku przeglądarek internetowych –
Internet Explorer, Firefox, Chrome oraz
Safari. Do dyspozycji administratora
chwili uzyskać dostęp do stron systemu korzystnie wpływa na poziom bezpiepomocy, przedstawiającego krok po czeństwa całego rozwiązania.
kroku wymagane czynności konfiguracyjne związane z poszukiwaną Mechanizmy aktualizacji
funkcjonalnością.
System GAiA został wyposażony
Zarządzenie poprze linię komend w m e c h a n i z m y i n f o r m u j ą c e
(CLI) oparte jest na doskonale znanej administratorów o dostępnych aktualiz systemu IPSO powłoce CLISH. zacjach zarówno dla zainstalowanych
Większość zadań konfiguracyjnych produktów Check Point, jak i samego
można zrealizować przy użyciu systemu operacyjnego. Sposób postę4 podstawowych poleceń systemu, powania z dostępnymi aktualizacjami
a mianowicie: set, show, delete oraz definiowany jest poprzez konfigurację
add. Bardzo dobrze działa system odpowiedniej polityki. W ramach
9
NOWOŚCI
Check Point. Za najważniejsze należy
uznać znaczny wzrost wydajności,
dostępność dla większości platform
oraz długo oczekiwane wsparcie dla
protokołu IPv6. Zastosowanie nowego
systemu pozwala na ujednolicenie
środowiska sieciowego, co przekłada
się na zmniejszenie nakładu pracy
administratorów. Dodając do tego
przyjazny i funkcjonalny interfejs
zarządzający oraz łatwy proces migracji
z istniejących produktów, system
GAiA wydaje się być produktem
kompletnym.
Opracowano na podstawie oficjalnych
materiałów producenta.
Rys.5. Ekran konfiguracyjny polityki aktualizacji systemu
wspomnianej polityki administratorzy
mogą określić parametry takie jak:
•sposób pobierania aktualizacji
mechanizm „Auto–rollback”, przywracający stan wyjściowy urządzenia.
System GAiA został zaprojektowany z myślą o zapewnieniu wysokich
parametrów wydajnościowych, które pozwolą na skuteczną walkę
z pojawiającymi się nieustannie nowymi źródłami zagrożeń.
(manualny, zaplanowany lub
automatyczny),
•metodę instalacji aktualizacji
(manualny, zaplanowany lub
automatyczny),
•zakres testów wykonywanych
po instalacji nowych pakietów.
W ramach dostępnych testów
wyróżnić możemy sprawdzenie
poprawności działania procesów,
sprawdzenie możliwości instalacji polityki bezpieczeństwa oraz
sprawdzenie stanu wszystkich
interfejsów sieciowych zainstalowanych w systemie.
Migracja z systemów SPLAT
oraz IPSO
Wprowadzając nowy syst em
op er ac yjny pr o duc ent z adb a ł
o bezproblemowy sposób migracji
dla użytkowników korzystających
aktualnie z systemów SecurePlatorm
oraz IPSO. W bazie wiedzy firmy
Check Point dostępne są szczegółowe
procedury przedstawiające krok po
kroku sposób przeniesienia istniejącej
konfiguracji do systemu GAiA.
Podsumowanie
W przypadku negatywnych wyników Wpr owad zenie sys t emu G A i A
testów przeprowadzonych po insta- przedstawia szereg korzyści dla
lacji nowych pakietów, dostępny jest użytkowników rozwiązań firmy
10
M.I.
Inżynier SOLIDEX
Numer: III/2012 (120)
Nowość w ofercie
Warsztaty Check Point Next - Generation Firewall R75
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową - Warsztaty Check Point Next - Generation Firewall R75.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN
S2S oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami - IPS,

Content Security,
 Integracja z ActiveDirectory
- budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.solidex.com.pl/oferta/warsztaty
11
TECHNOLOGIE
Technologie PON – „Passive Optical
Network”
Technologie dostępowe dla ostatniej mili, stosowane w sieciach operatorskich
i metropolitalnych, posiadały pewne ograniczenia w oferowanych prędkościach
transferu i możliwym zasięgu. Obecnie wraz z upowszechnieniem się technologii
Ethernet oraz ze spadkiem cen kabli optycznych rozwinęły się nowe technologie
sieciowe. Jednym z owych rozwiązań jest PON (Passive Optical Network)
o zasięgach właściwych dla medium optycznego i wykorzystaniu jednego
włókna w połączeniu z niewymagającymi zasilania filtrami, rozgałęziającymi
do transmisji wielu sygnałów. Technologie PON dzięki szerokopasmowemu
dostarczaniu sygnału sięgającego prędkości 1 Gigabit na sekundę, stanowią
przyszłościową alternatywę dla sieci budowanych w technologiach, takich jak
ADSL, VDSL, HFC czy standardowy Ethernet.
Sieć PON jest nowoczesną architekturą
sieciową typu punkt–wielopunkt,
opartą o włókna optyczne i wykorzystanie niewymagających zasilania
pasywnych filtrów optyc znych,
które zapewniają transmisję wielu
sygnałów (do 16 do 128) w jednym
włóknie. Sieć PON zawiera moduł OLT
(„optical line terminal”), terminujący
sieć po stronie węzła agregacyjnego
oraz większą liczbą urządzeń ONU
(optical network units), montowanych
w zasilanych sygnałem lokalizacjach.
Sygnały do abonenta (downstream)
są przekazywane za pomocą transmisji
do lokalizacji współdzielących włókna
optyczne.
12
Rys. 1. Budowa PON
Numer: III/2012 (120)
Technologia
Standard
Framing
Liczba subinterfejsów
per włókno
Prędkość
Upstream
Prędkość
Downstream
Zasięg
Ethernet FTTH
IEE 802.3
Ethernet
1
10 Gbps
10 Gbps
10 km
BPON
ITU–T G983.x
ATM
32
155 Mbps
155 Mbps
10 km
GPON
ITU–T G984.x
ATM
GFP
32
64
622 Mbps
622 Mbps
622 Mbps
622 Mbps
10 km
EPON
IEE 802.3ah
Ethernet
32
1.25 Gbps
1.25 Gbps
10 km
Tabela 1. Porównanie technologii PON
Sygnały w kierunku od abonenta
(upstream) są transmitowane z zastosowaniem protokołów z podziałem
czasu TDMA. Moduł OLT zarządza
dostępem elementów ONU do szczelin
czasowych dla komunikacji upstream.
rozwinięcia tego standardu – G.984.x.
GPON oferuje w najpopularniejszych
implementacjach asymetryczne łącze:
•2,488 Gbit Downstream (OLT
do ONT) za pomocą fali 1490nm,
Standardy GPON i EPON
•1,244 Gbit Upstream (ONT do OLT)
za pomocą fali 1310nm.
Standardy GPON oraz standard EPON
Elementy sieci PON
(GEPON) oparte są na technologii W zależności od implementacji produOLT – Optical Line Terminal to element pasywnych sieci optycznych PON centa możliwe jest podłączenie do 128
aktywny sieci, który stanowi centralny i ich koncepcje są bardzo podobne. abonentów do jednego portu OLT,
punkt sieci PON. Od tego elementu/ Wykorzystują one te same długości fal. który pozwala na transmisję do 60km,
karty sieciowej włókno transmituje W obydwu rozwiązaniach wykorzy- jednakże stosowanie wprowadzasygnały do splitera. OLT zamontowany stuje się 3 długości fali optycznej, jących tłumienie spliterów zmniejsza
najczęściej w chassis ma połączenie na których przesyłany jest ruch:
zasięgi do ok. 20 km. Ważną zaletą
z siecią operatora, skąd otrzymuje •1310nm (Upstream – transmisja sieci technologii GPON jest interosygnał dla konkretnych usług i pełni
peracyjność pomiędzy producentami
od ONU/ONT do OLT),
funkcję switcha (nawet z funkcjonal- •1490nm (Downstream – trans- OLT i ONT dzięki opracowaniu ONT
nością warstwy L3). OLT jest głównym
Managment Control Interface (OMCI),
misja od OLT do ONU/ONT),
elementem sieci, z którego dokonuje się •1550nm – opcjonalnie dla równo- który definiuje sposób zarządzania
zarządzania, monitoringu i konfiguracji
czesnej transmisji CATV lub DVB–T. CPE klienta.
zakończeń ONU. OLT realizuje również Zarówno EPON jak i GPON pozwalają EPON (GEPON) jest standardem
Quality of Service (QoS).
na transmisję telewizji analogowej zdefiniowanym wyłącznie w dwóch
ONU/ONT – Optical Network Unit/ lub cyfrowej za pomocą transmitera pierwszych warstwach modelu ISO/OSI.
Terminal to element aktywny, który 1550nm.
Urządzenia EPON w porównaniu
stanowi zakończenie sieci PON GPON to standard opisany przez do zwyc zajnych prze łąc zników
w lokalizacji klienta. Moduł ten ITU–T jako standard G.984.x i oznacza u ż y w a n y c h w s i e c i a c h L A N
odbiera sygnał optyczny i zapewnia Gigabit Passive Optical Network. Jest są wyposażone w dedykowane funkcje.
interfejsy stosownie do wykorzysty- to następca opierającego się na ramce Przykładem takich funkcji jest zdalne
wanych usług.
ODN – Optical Distribution Network
to optyczne elementy pasywne
na trasie od OLT, a ONU/ONT
to elementy, na które składają się
okablowanie światłowodowe oraz
splitery.
S t a nda r yz ac j ę ur z ą d z e ń P ON
nor maliz ują dwie or ganiz ac je
międzynarodowe:
•IEEE – Standard 802.3av 10GEPON
oraz standard 802.3ah GEPON Rys. 2. Przykład urządzenia GPON (UTStarcom)
(lub EPON)
•ITU – Standard G.983 BPON (prze- ATM st andardu t elekomunika - zarządzanie jednostką dostępową
starzały) oraz standard G.984 cyjnego BPON. Specyfikacja GPON abonenta (ONU/ONT), limitowanie
wciąż ewoluuje i dostępne są kolejne ruchu już na poziomie urządzenia
GPON
Tabela numer 1 zestawia parametry
i cechy poszczególnych standardów
sieciowych dla sieci pasywnych PON.
13
TECHNOLOGIE
klienta ONU i wiele innych funkcji
ułatwiających zarządzanie siecią
abonencką oraz zabezpieczających
przed uszkodzeniem i zakłóceniem
prac y sieci przez u ż ytkownika
końcowego.
•1000BASE–PX20, – połączenie
Ethernet P–to–MP o prędkości
1 Gbit/s poprzez sieć pasywną PON
przynajmniej do 20 km.
Technologia PON jest to warta rozważenia, bardzo atrakcyjna
cenowo opcja dla nowo budowanych sieci konwergentnych,
mających zapewnić szerokopasmową transmisję danych, głosu oraz
telewizji cyfrowej IPTV.
EPON w porównaniu do innych
technologii PON wyróżnia się zastosowaniem ramki Ethernet dla każdego
przenoszonego ruchu. Jako jedyny
standard nie enkapsuluje ramki
Ethernet w inną ramkę np. GFP, czy
ATM. EPON można zaimplementować
w kilku topologiach: najpopularniejszej
drzewiastej, drzewiastej z redundancją 2:N oraz magistralowej (kilka
spliterów).
IEEE definiuje w standardzie 802.3ah
dwa standardy dla okablowania
optycznego:
•1000BASE–PX10, – połączenie
Ethernet P–to–MP o prędkości
1 Gbit/s poprzez sieć pasywną PON
przynajmniej do 10 km,
Rozwiązania Cisco EPON
Przełącznik Cisco Catalyst 4500
Series oferuje optyczne karty liniowe
(z nadsubskrypcją optymalizowane
dla zastosowań FTTH („Fiber to the
Home”). Szczególną uwagę warto
zwrócić na kartę do 40 portów CSFP,
dedykowaną do wdrożeń o dużej
gęstości portów. Przykładową implementację przedstawia rysunek 4.
Karta liniowa Gigabit Cisco Catalyst
4500E Series 40 module pracuje
z nadsubskrypcją 2:1, zapewniając
przełączanie z prędkością 24 Gbps
i może być używana do zastosowań
wymagających dużej gęstości portów.
Pracując jednak ze specjalizowanymi
modułami optycznymi BX (compact
SFP) podwaja ona gęstość do 80
portów na kartę liniową (używając
40 takich dualnych modułów przy
nadsubskrypcji 4:1). Moduł CSFP jest
dualnym modułem Bi–Di typu SFP,
który zasila dwóch użytkowników
wyposażonych w interfejsy optyczne
bidirectional (moduły BX).
Parametry karty WS–X4640–CSFP–E:
•40 portów Gigabit SFP (1000BaseX),
24 gigabits per–slot (SFP optional)
•40 portów dla modułów Gigabit
SFP (nadsubskrypcja 2:1)
•80 portów dla modułów Gigabit
Compact SFP (nadsubskrypcja 4:1)
Rys. 3. Karta WS–X4640–CSFP–E
E-FTTH Technology
Point-to-point (Star) Topology
m
0n
131 A
N
m
0n
downstream
155
A
VLA
CPE A
CPE B
CPE
CPE
IP/MPLS
Core
Catalyst
4500
ODF
CPE
CPE
upatream
CPE
PoP
CPE
Home
Rys. 4. Implementacja EPON Cisco
14
•Możliwość mieszania modułów
Gigabit SFP oraz Gigabit Compact
SFPs
•Cisco IOS Software Release IOS XE
3.2.0 SG lub nowszy
•Praca wyłącznie z Supervisorem
Supervisor Engine 7E and 7L–E
•Praca w 3, 6 i 7 slotowym chassis
•Wsparcie IEEE 802.3, IEEE 802.3ah,
IEEE 802.3x flow control
•Wsparcie dla L2–4 Jumbo Frame
(do 9216 bytes)
•Dziedziczy możliwości QoS
Supervisora
•Wsparcie dla Point–to–Point “fiber
to the home” (FTTH) lub “fiber
to the building” (FTTB)
•Wsparcie dla “fiber to the desktop”
(FTTD)
Numer: III/2012 (120)
Dualne moduły Compact SFP dla
rozwiązań wysokiej gęstości prezentuje
rysunek 5. Moduły te zawierają dwa
moduły Gigabit Ethernet zabudowane
w jeden standardowy moduł SFP.
Dostępne modele i porównanie
modułów Bidirectional Cisco przedstawiono w tabeli 2.
Podsumowanie
Sieci optyczne PON wykorzystują
w pe łni wszystkie zalety kabli
światłowodowych, takie jak niemal
nielimitowane prędkości transmisji,
Rys. 5. Moduły Compact SFP
Product ID
Number of Channels
FE
GE
Distance
GLC–FE–100BX–D
1

10 km
GLC–FE–100BX–U
1

10 km
GLC–BX–D
1

10 km
GLC–BX–U
1

10 km
GLC–2BX–D
2

10 km
Tabela 2. Moduły Bidirectional SFP
bezpiec zeństwo, niskie zuż ycie
energii, a ponadto są tańsze w zakupie
(CAPEX) niż sieci tradycyjne. Sieci
PON są najtańszymi w utrzymaniu
w porównaniu z jakimkolwiek innym
rodzajem sieci szerokopasmowej,
a dzięki swej odporności na wyładowania atmosferyczne ich serwis
jest niemal niepotrzebny. Dzięki
wykorzystaniu światłowodów cały
system PON może uzyskiwać zasięg
nawet do 20 km, a linie światłowodowe mogą być podwieszane
na liniach energetycznych, a nawet
na słupach wysokiego napięcia.
Sieci PON zapewniają też niezwykle
wysokie wykorzystanie posiadanego
czy dzierżawionego okablowania
światłowodowego.
Zapraszamy do korzystania z pomocy
naszych SOLIDnych EXpertów.
A.D.
Inżynier SOLIDEX
15
TECHNOLOGIE
Bring Your Own Device
– wygoda komunikacji
Ostatnie lata to ogromna ekspansja urządzeń mobilnych. Masowa produkcja
przyczyniła się do znacznego spadku ich cen, co z kolei spowodowało, że stały
się one produktami powszechnie dostępnymi. Postęp technologiczny odmienił
radykalnie ich funkcjonalność. Dziś telefon kojarzy się przede wszystkim z dużym
ekranem oraz mnogością aplikacji.
Potencjał tkwiący w urządzeniach
mobilnych pozwala im dzisiaj wykroczyć
daleko poza strefę prostych aplikacji
i rozrywki. Stały się naturalnym narzędziem do codziennej pracy: czytania
i pisania wiadomości e–mail, synchronizacji kalendarzy, integracji usług głosu
i wideo.
Od kilku lat, zwłaszcza w USA ,
obserwuje się szybki rozwój trendu
BYOD, „Bring Your Own Device”. Na
ten temat zostało powiedziane już
wiele, w najprostszych słowach oznacza
to użytkowanie w pracy prywatnych
urządzeń. Poza IT zjawisko to było
widoczne już od dłuższego czasu.
Przykładem mogą być odbiorniki
nawigacji GPS, które pracownicy często
kupowali dla własnej wygody i oszczędności czasu podczas pracy w terenie,
nie czekając na zakup takiego sprzętu
przez swoich pracodawców. Teraz ten
trend rozpowszechnił się w różnego
rodzaju środkach komunikacji: telefony,
smartfony, tablety, ultrabooki etc.
16
Jest kilka przyczyn takiego stanu
rzeczy. Po pierwsze, użytkownik nie
jest zmuszony korzystać ze sprzętu jaki
oferuje mu pracodawca. Urządzenie
wybrane samodzielnie zwykle lepiej
trafia w gust i potrzeby użytkownika.
Bezsensowne wówczas wydaje się
posiadanie dwóch urządzeń o takiej
samej funkcjonalności.
Konsumenci jednak nie przyjmują
BYOD bezkrytycznie. Przeciwnicy
tego trendu również mają swoje
mocne argumenty. Najważniejszymi
z nich wydają się być argumenty
związane z bezpieczeństwem. Pojawia
się wówczas pytanie– jak zapewnić
bez piec z ny dost ę p do danych
z nienadzorowanych urządzeń? Jak
wyeliminować ryzyko infekcji systemu
przetwarzania danych, jeśli system
nie ma wpływu na platformę, która
podłącza się do sieci? Wątpliwości
budzą również kwestie związane
z licencjonowaniem, czy kompatybilnością platform i aplikacji.
Artykuł ten nie rozstrzygnie tego sporu.
BYOD jest faktem i stanowi po prostu
kolejne wyzwanie dla producentów
z branży IT. W dalszej części postaram
się podać przykłady aplikacji, które
wydaje się, najlepiej wpisują się w ten
trend.
Collaboration
Model nowoczesnej współpracy
opiera się o usługi on–line. Niewątpliwie pierwszą z takich usług była
łączność głosowa, która przeszła drogę
od TDM do IP i została wzbogacona
o kilka towarzyszących aplikacji. Wraz
z rozwojem technologii powstały
rozwiązania wideokonferencji, które
łączyły głos, obraz i przesyłanie
treści. Jednym z mankamentów tych
systemów był jednak brak informacji
o dostępności innych, co skutkowało
nieudanymi próbami po ł ąc zeń
i koniec znoś cią wykorzyst ania
systemów, które nie przez wszystkich
Numer: III/2012 (120)
są lubiane, jak np. poczta głosowa.
W międzyczasie pojawiła się nowa
forma łączności w postaci komunikatorów. Sukces tych ostatnich zrodził się
z dwóch podstawowych czynników.
P ier wszym z nich jest st atusu
obecności– w grupie komunikujących
się ze sobą osób każda z nich widziała,
czy pozostałe są obecne i mogą podjąć
rozmowę. Drugi czynnik to wiadomości
błyskawiczne (Instant Messaging).
Stanowią one szybki, a jednocześnie
mało absorbujący i mało uciążliwy
kanał komunikacji. Wykorzystanie
IM jest możliwe w sytuacjach kiedy
łączność głosowa, bądź wideo, jest
utrudniona lub niemożliwa, np.
podczas spotkań.
Z czasem aplikacje komunikatorów
połączyły wszystkie wymienione
wyżej cechy, a co więcej zyskały
również nowe, jak na przykład
możliwość korzystania przez użytkowników ze wspólnych kalendarzy,
ksią żek adresowych, współdzielenie treści, praca nad wspólnymi
dok ume n t a mi e t c . Poz w oli ł o
to na udostępnienie użytkownikom
uniwersalnych platform komunikacji
i współpracy, gdzie brak jest ograniczeń
co do formy przekazu. Formy, którą
moż na wybierać w zale ż no ś c i
od sytuacji i osobistych preferencji.
Microsoft Lync
Rys.1. Microsoft Lync - klient aplikacji
( Edge S er ver, Rever se P roxy),
umożliwia korzystanie ze wszystkich
usług klientom, przebywającym poza
siecią wewnętrzną. Z kolei wariant
z chmury niejako z natury jest przewidziany dla klientów mobilnych, którzy
chcą pracować w dowolnym miejscu
i na dowolnej platformie.
Najważniejszymi funkcjami Microsoft
Lync są:
•Planowanie i uczestniczenie
w spotkaniach on–line
•Współdzielenie pulpitu i aplikacji
•Prezentacje
•Połączenia audio i wideo
Korzystanie z Lync możliwe jest poprzez
aplikację Lync 2010 lub, dla osób
niemających tego oprogramowania,
poprzez prostą darmową aplikację Lync
Attendee. Umożliwia ona dołączenie
do istniejącego spotkania i korzystanie
z dźwięku, obrazu, wiadomości błyskawicznych oraz dodatkowych aplikacji
takich, jak: udostępnianie aplikacji
i ekranu, załączniki, tablica, ankiety,
prezentowanie slajdów.
Rys.2. Microsoft Lync - klient aplikacji
Na łamach numeru II/2012 Integratora
opisaliśmy funkcjonowanie systemu
Microsoft Lync , jako narzędzia
do sprawnej i prostej komunikacji.
Klient MS Lync jest dostępny, oprócz
wersji na platformy PC , również
na platformy mobilne: Android, BlackBerry, iOS, Windows Mobile.
Microsoft Lync jest rozwiązaniem
dostępnym zarówno lokalnie, jak
i z chmury. Pierwszy wariant, przy
wdrożeniu odpowiedniej architektury
Jabber
Innym produktem użytkowanym
na platformach mobilnych jest Cisco
Jabber. Aplikacja, a właściwie grupa
aplikacji, spełniająca rolę komunikatora, klienta głosowego, wideo oraz
rolę integracyjną z innymi systemami,
np. do spotkań grupowych.
Portfolio klientów komunikacyjnych
Cisco było i jest dość pokaźne. Wynika
to częściowo z drogi ewolucji jaką
wcześniej opisałem, od głosu do Unified
Communications, częściowo zaś z chęci
zaproponowania klientom produktów
specjalizowanych, służących jednemu
zastosowaniu. Przykładem jest IP
Communicator, następca niegdysiejszego SoftPhone, czyli programowy
„emulator” telefonu. Video Advantage
to aplikacja rozszerzająca możliwości
telefonu o funkcjonalność wideo.
Z kolei Personal Communicator
to aplikacja łącząca cechy wideotelefonu i komunikatora.
Funkcje wymienionych oraz kilku
innych aplikacji posłużyły Cisco
do stworzenia nowej platformy
framework, zawierającej:
•Wideo
•Audio
•IM/Chat
•Presence
•Poczta głosowa
•Aplikacje Collaboration
Rys.3. Cisco Jabber - klient aplikacji
Klienci nowej platformy dostępni są,
pod wspólną nazwą Jabber, na wiele
dostępnych platform stacjonarnych
i mobilnych. Aplikacja ofer uje
korzystanie z kilku kanałów komunikacyjnych. Przede wszystkim jest
to Instant Messaging ze statusem
17
TECHNOLOGIE
dla działów wsparcia, wspierający świadczenie usług serwisowych dla wewnętrznych zespołów
help–desk oraz dla klientów
zewnętrznych.
•Event Center. Zaprojektowany
do organizowania masowych
spotkań z dużą liczbą uczestników. Zwykle wykorzystywany
do prezentacji nowych produktów,
kampanii marketingowych.
Rys.4. Cisco Jabber - klient aplikacji
obecności (Presence). Za ten zakres
funkcjonalności w architekturze
własnej (on–premise) odpowiada
Cisco Unified Presence Server, alternatywnie usługi te mogą być serwowane
z chmury Webex, w połączeniu
z lokalną aplikacją Webex Connect.
Funkcjonalność przesyłania głosu jest
oparta o Cisco Unified Communications
Manager. Na niektórych platformach
dostępny jest obraz w czasie rzeczywistym, oparty również o CUCM.
Opcjonalnie można wzbogacić architekturę o Cisco VCS, za pomocą którego
możliwa jest integracja ze środowiskami innych producentów.
Webex Connect
Webex Connect jest rozwiązaniem
funkcjonalnie odpowiadającym
innym komunikatorom, jak np. Cisco
do usług typu cloud.
Jabber, lecz udostępnianym z chmury
Korzystanie z Webex możliwe jest internetowej. Dostępne usługi, to:
na dwa sposoby: poprzez przeglądarkę presence, Instant Messaging, konfewww oraz za pomocą dedykowanego rencje audio i wideo, współdzielenie
klienta– Webex Connect.
pulpitu, wsparcie dla wirtualnych
Dostęp przez przeglądarkę umożliwia zespołów, integracja z kalendarzami
korzystanie z czterech przygotowanych poprzez Microsoft Outlook.
w Internecie aplikacji:
Oprogramowanie Webex Connect
•Meeting Center. Jest to platforma jest dystrybuowane na platformy
dedykowana dla spotkań bizne- komputerów osobistych i platformy
sowych. Zapewnia komunikację mobilne. W chwili obecnej dostępne
konferencyjną
audio,
wideo, jest na Apple iOS, Android, Blackberry.
współdzielenie pulpitu, whiteboard, nagrywanie spotkań.
•Training Center. Specjalizowany materiałów producenta.
portal służący edukacji. Wykłady,
testy, zdalne laby.
A.J
•Support Center. Portal stworzony
Inżynier SOLIDEX
Rys.5. Webex Connect - klient aplikacji
Od kilku lat jedną z najbardziej znanych
platform współpracy grupowej jest
Webex. Od początku usługi Webex
były oferowane z chmury, stąd
popularność rozwiązania wśród
u ż yt kowników r oz pr o s z onyc h
i często zmieniających miejsca pobytu.
Webex był integrowany z rozwiązaniami lokalnej współpracy grupowej,
takimi jak Meeting Place. Obecnie
Cisco zapowiada wersję Webex on–
premise, która ma być dedykowana dla
użytkowników niezbyt przekonanych
Rys.6. Webex Connect - klient aplikacji
18
okazje dookoła
pobierz darmową aplikację
przekaz geolokalizowany
– okazje dostępne „tu i teraz”
inteligentne dopasowanie
treści do zainteresowań
użytkownika
aplikacja nie wymaga
zakładania konta ani
podawania danych
osobowych
GET IT ON
www.zonar.pl
TECHNOLOGIE
Urządzenia sieciowe
do zadań specjalnych w środowisku
przemysłowym. Portfolio Cisco Systems
W dzisiejszych czasach wykorzystanie protokołu Ethernet nie dotyczy tylko sieci
uczelnianych, korporacyjnych czy operatorskich. Stosunkowo prosta struktura
tego protokołu, łatwość jego implementacji jak i fakt, że praktycznie każde
urządzenie sieciowe jest w stanie go „zrozumieć i obsłużyć” spowodowały, że
pojawił się w wielu niespotykanych dotąd miejscach. Potrzeba efektywnej
komunikacji coraz częściej dotyka środowiska silnie uprzemysłowione. Sieci
LAN swoim zasięgiem zaczynają obejmować specjalistyczne hale produkcyjne,
huty, kopalnie czy firmy energetyczne, gdzie występują bardzo specyficzne
warunki pracy dla urządzeń. Firma Cisco Systems – jako jeden z liderów
w branży teleinformatycznej – od niedawna poszerzyła swoje portfolio urządzeń
sieciowych o nową rodzinę przełączników serii IE oraz routerów typu M2M,
które mogą znaleźć zastosowanie we wspomnianych miejscach.
Wyjaśnienie pojęć
o integrację w czasie rzeczywistym
danych z hali produkcyjnej i informacji
Poniżej przedstawionych zostało z aplikacji biznesowych. Architektura
kilka kluczowych pojęć z punktu Cisco EttF opiera się na budowaniu sieci
widzenia projektowania i działania od końca do końca w taki sposób, aby
protokołu Ethernet w środowisku zapewnić przewidywalną wydajność
przemysłowym:
systemu wymaganą w zastosowaniach
przemysłowych. Cisco EttF wspiera
Ethernet–to–the–Factory (EttF)
również środowiska automatyki
Cisco Ethernet to the Factory (EttF) przemysłowej i kontroli aplikacji,
jest otwartym standardem rozwią- w celu zapewnienia przewidywalnej
zania sieciowego, pozwalającym wydajności, ograniczenia opóźnień
na elastyczne i skuteczne działanie (jitter) i zagwarantowania wysokiej
sieci teleinformatycznej w oparciu niezawodności.
20
Industrial Automation and Control
System (IACS) Networks
Standard opisujący wymagania
dotyczące protokołów sieciowych
oraz urządzeń sieciowych działających
w środowiskach przemysłowych.
C ommon Indu s t r ia l P r ot o c ol
Overview (CIP)
Standard, który został stworzony
w celu integracji systemów kontroli
I/O, a także konfiguracji urządzeń
oraz kolekcji danych w systemach
automatyki i kontroli. CIP wspiera
Numer: III/2012 (120)
3 różne protokoły sieciowe EtherNet/
IP, DeviceNet, ControlNet.
EtherNet/IP (EIP)
Jest to jeden z protokołów CIP oparty
na standardzie Ethernet. EIP określa,
w jaki sposób pakiety CIP są transportowane poprzez Ethernet stos
protokołów IP.
Cell/Area
Jest to określenie strefy przełączania
sieci L2 dedykowanej dla określonego
obszaru funkcyjnego.
Portfolio Cisco
Przełączniki
Systems
–
Urządzenia sieciowe w środowisku
pr zemys ł owym , podobnie jak
w przypadku typowych środowisk
sieciowych LAN, są klasyfikowane pod
kątem ich zastosowań. Projektowanie
i budowa sieci teleinformatycznej
w przemyśle wymaga podobnego
podejścia. Często stosuje się trójwarstwowy model hierarchiczny, w którym
przeplatane jest wykorzystywanie
urządzeń typu „enterprise” z urządzeniami przystosowanymi do pracy
w sieciach automatyki. W przypadku
Cisco Systems wszystkie platformy
sieciowe korzystają z tego samego
oprogramowania IOS, dzięki czemu
implementacja funkcjonalności jest
identyczna, niezależnie od środowiska
pracy. Podobnie jak w przypadku
przełączników typu „enterprise”,
tak i rodzina przełączników IE jest
odpowiednio dobierana.
IE2000
Rys. 1. Modele przełączników IE2000
Parametry sprzętowe
Specyfikacja
Cechy fizyczne
256MB DRAM (ECC)
IEEE 1588v2 FPGA
64MB wbudowanej pamięci Flash
1GB pamięci Flash typu SD (opcjonalne)
Gęstość portów
4, 8, or 16 100BaseT Ethernet
Porty Gigabit Ethernet
(UPLINK)
2 SFP or RJ45 1000Based–T ports
Obudowa (HxWxD)
łącznie z szyną DIN
IE2000 6 portowy – 12.7 x 7.37 x 11.46 cm
IE2000 10 portowy (mniejsza obudowa) –
12.7 x 8.89 x 11.46 cm
IE2000 10 portowy (większa obudowa) –
12.7 x 8.89 x 13.36 cm
IE2000 20 portowy – 12.7 x 12.45 x 13.36 cm
Waga (bez zasilacza)
Od 1.11kg do 1.95kg
Zasilacz
Redundantny zasilacz DC power 9.6 to 60 VDC
Pobór mocy
6–port models: 9.5–15W
10–port models: 12.5–20W
20–port models: 21–30W
Złącze alarmowe
Alarm I/O: dwa wejścia alarmowe do wykrywania styku otwartego/zamkniętego, jedno
wyjście przekaźnika alarmowego
–40C to +70C (Zakres temp. pracy w wentyloPrzełącznik serii IE2000 to typowy
wanej obudowie)
przełącznik dostępowy, posiadający
–20C
to +60C (Zakres temp. pracy w szczelnej
oprogramowanie IOS z przełącznika
Temperatura pracy
obudowie)
2960. Ze względu na dość dużą ilość
–34C to +75C (Zakres temp. pracy w obudowie
dostępnych modeli, IE2000 może
wyposażonej w wentylator wew.)
służyć jako uniwersalny przełącznik
dostępowy z dużą ilością portów.
Wilgotność względna: 5% do 95% bez
Wilgotność
Charakterystyczna, wzmocniona
kondensacji
obudowa, a także brak ruchomych
Stopień ochrony
IP30
elementów sprawiają, że IE2000
spe łnia wszelkie rygorystyczne
Tabela 1. Parametry sprzętowe przełącznika IE2000
wymogi IACS. IE2000 jest przełącznikiem godnym uwagi ze względu
ności L2 (włącznie z protokołem
Line Rate),
na fakt posiadania:
REP),
•obsługa do 6.5Mpps (dla pakietów
•IA SmartPort Macros,
•graficznego systemu zarządzania
64bytes),
•dwóch trybów licencjonowania
Web Device Manager.
•wielkość tablicy MAC 8000,
IOS (Lan Lite i Lan BASE),
Parametry wydajnościowo – funk- •obsługa do 255 VLANów,
•mechanizmu Boot Fast,
cjonalne:
•bezpieczeństwo
realizowane
•pełnego wparcia dla funkcjonal- •„nieblokowalne” porty (wydajność
poprzez obsługę Dot1X, port secu-
21
TECHNOLOGIE
rity, SSHv2, SNMPv3, TACACS+
i RADIUS,
•niezawodność realizowana
poprzez obsługę technologii Flex
links, Cisco REP,
•wsparcie dla protokołów typu
„Industrial” (CIP, PROFINETv2).
IE3010
Przełącznik IE3010 jest urządzeniem
pozycjonowanym w warstwie dostępowej, w miejscach, gdzie wymagane
jest wsparcie dla 802 . 3af PoE .
W chwili obecnej przełącznik ten jest
wyposażony w oprogramowanie IOS
bazujące na 2960. Dzięki wsparciu dla
technologii PoE IE3010 jest idealnym
r oz wią z aniem do podł ąc zenia
wszelkich telefonów IP, punktów
dostępowych oraz kamer IP. Jeden
zasilacz zewnętrzny jest w stanie zasilić
4 porty (65W), natomiast dwa obsłużą
8 portów (170W). IE3010 posiada kilka
ciekawych funkcjonalności:
•obsługa czterech złącz alarmowych,
•możliwość zasilania pojedynczego
zasilacza przy wykorzystaniu technologii Load Sharing,
•pełne wparcie dla funkcjonalności
L2 (włącznie z protokołem REP),
•wymiana plików konfiguracyjnych na „gorąco” (Swap Drive).
Specyfikacja
Parametry
„pojemnościowe”
256MB DDR2 SDRAM
1GB pamięci Flash typu SD (opcjonalne)
Gęstość portów
24 100BaseT Ethernet (model IE–3010–24TC)
16 100BaseFX Ethernet (model IE–3010–16S–8PC)
8 10 0 B a s eT E t he r ne t ( PoE ) (mo del
IE–3010–16S–8PC)
1 Port konsolowy RJ45/RS232
1 Port konsolowy USB mini B/USB
(UPLINK)
2 SFP or RJ45 1000Based–T (Porty Combo)
Obudowa (HxWxD)
IE–3010–24TC – 4.45 x 44.5 x 35.6 cm (1RU)
IE–3010–16S–8PC – 4.45 x 44.5 x 35.6 cm (1RU)
IE–3010–24TC – 4.1kg (bez zasilacza)
IE–3010–16S–8PC – 4.5kg (bez zasilacza)
PWR–RGD–AC–DC/IA – 1.1kg
Zasilacz
PWR–RGD–AC–DC i PWR–RGD–LOW–DC
Pobór mocy
IE–3010–24TC (PWR–RGD–AC–DC) – od 28.6W
do 35.5W
IE – 3 010 – 24 –TC (P W R – RGD – LOW – DC ) –
od 26.8W do 30.7W
IE –3010 – 16S – 8PC (P WR – RGD – AC – DC ) –
109.8W do 182.2W
IE–3010 –16S – 8PC (PWR–RGD –LOW–DC ) –
106W do 181.9W
Złącze alarmowe
Alarm I/O: cztery wejścia alarmowe do wykrywania (otwarcie/zamknięcie drzwi, przekroczenie
poziomu dopuszcz. temp., zasilanie przejście
na UPS, ogień/dym), jedno wyjście przekaźnika
alarmowego
Temperatura pracy
IE3000
–40C to +60C (zakres temperatury podczas ciągłej
pracy)
–40C to +85C (praca do 16 godzin)
Do +40C (zakres temp. pracy na wysokości
na wysokości do 3000m)
Wilgotność
Wilgotność względna: 5% do 95% bez kondensacji
IE 3 0 0 0 je s t plat for mą , k t ór a
pozycjonowana jest jako urządzenia
agregacyjne, montowane na szynach
Stopień ochrony
IP20
Parametry wydajnościowo – funkcjonalne:
•wydajność przełączania wired–
speed (8Gbps),
64bytes),
•obsługa do 12000 wpisów MAC,
obsługa do 255 aktywnych
VLANów,
•bezpieczeństwo
realizowane
poprzez obsługę Dot1X, port security, SSHv2, SNMPv3, TACACS+
i RADIUS,
•niezawodność
realizowana
links, Cisco REP, Etherchannel
LACP,
„Industrial” (CIP, PROFINETv2).
22
Rys. 2. Modele przełączników IE3010
Tabela 2. Parametry sprzętowe przełącznika IE 3010
Numer: III/2012 (120)
DIN. Model ten dost ępny jest
w dwóch wersjach IOSa (LAN BASE
na bazie oprogramowania 2960
oraz IP SERVICES na bazie oprogramowania 3 7 5 0 ). Pods t awowy
komponent przełącznika IE3000
ma możliwość rozbudowy o dwa
moduły rozszerzające (8 portów
10/100BaseTX, 8 portów 100BaseFX
oraz zasilacz zewnętrzny). Podstawowy
moduł może być rozbudowany
do maksymalnie dwóch modułów
rozszerzających. IE3000 posiada kilka
•pełne wparcie dla funkcjonalności
L2 (włącznie z protokołem REP),
•wymiana plików konfiguracyjnych na „gorąco” (Swap Drive),
•pełne wsparcie dla funkcjonalności L3,
•szybkie uruchomienie podstawowej konfiguracji (Cisco Express
set–up).
•wydajność przełączania wired–
speed (16Gbps),
64bytes),
•obsługa do 8000 wpisów MAC
(L2),
•obsługa do 2000 wpisów MAC
(L3),
•obsługa do 3000 wpisów tras
IPv4 unicast (L3),
•obsługa do 255 aktywnych
VLANów,
•bezpieczeństwo
realizowane
poprzez obsługę Dot1X, port security, SSHv2, SNMPv3, TACACS+
i RADIUS,
•niezawodność
realizowana
links, Cisco REP, Etherchannel
LACP,
•wsparcie dla protokołów dynamicznego routingu (OSPF, EIGRP,
BGP, IS–IS),
•wsparcie dla IPv6 (EIGRPv6,
OSPFv6),
„Industrial” (CIP, PROFINETv2),
•wsparcie dla standardu IEEE
1588v2.
Specyfikacja
Parametry
128MB DRAM
64MB pamięci typu Compact Flash
Gęstość portów
Moduł podstawowy:
IE–3000–4TC/–E – 4 x 100BaseT
IE–3000–8TC/–E – 8 x 100BaseT
Moduł rozszerzony:
IEM–3000–8TM – 8 x 100BaseT
IEM–3000–8FM – 8 x 100BaseFX
1 Port konsolowy RJ45/RS232
(UPLINK)
2 SFP or RJ45 1000Based–T (Porty Combo)
Obudowa (HxWxD)
łącznie z szyną DIN
IE–3000–4TC/–E – 152 x 147 x 112 mm
IE–3000–8TC/–E – 152 x 147 x 112 mm
IEM–3000–8TM – 89 x 147 x 112 mm
IEM–3000–8FM – 89 x 147 x 112 mm
PWR–IE3000–AC – 51 x 147 x 112 mm
IE–3000–4TC/–E – 2.0 kg
IE–3000–8TC/–E – 2.0 kg
IEM–3000–8TM – 1.0 kg
IEM–3000–8FM – 1.45 kg
PWR–IE3000–AC – 0.65 kg
Zasilacz
18–60VDC + Opcjonalny PWR–IE3000–AC
(85–265VAC/88–300VDC)
Pobór mocy
IE–3000–4TC/–E – 15.1W
IE–3000–8TC/–E – 15.7W
IEM–3000–8TM – 2.8W
IEM–3000–8FM – 10.1W
Temperatura pracy
–40C do +75C (zakres temperatury podczas
ciągłej pracy)
–25C do +85C (zakres temperatury
przechowywania)
Wilgotność
kondensacji
Stopień ochrony
IP20
Tabela 3. Parametry sprzętowe przełącznika IE3000
•
Rys. 3. Moduły podstawowe modeli
przełączników IE3000
Portfolio
Router
Cisco
Systems
–
CISCO819HG (ISR)
Router serii 819HG jest urządzeniem
de dykowanym do mniejs z yc h
placówek lub mniejszych oddziałów
firm. W środowisku przemysłowym
często wykorzystywany jest jako
węzeł dedykowany do zapewnienia
po ł ąc zenia mię dzy maszynami
(w miejscach, w których brakuje
sieci strukturalnej). Dzięki wbudowanemu modułowi E V DO lub
HSPA+ (3G) pozwala on udostępnić
sieć w trudno dostępnych miejscach
23
TECHNOLOGIE
przedsiębiorstwa. Dodatkowo model
ten obsługuje technologie WL AN
(a/b/g/n). Router 819H posiada kilka
•pełna funkcjonalność bramki 3G
(Dual SIM),
•wsparcie dla technologii 3.5G oraz
3.7G,
•pełna funkcjonalność warstwy
3 modelu OSI/ISO (dynamiczne
protokoły routingu, PfR, VRF,
NHR, BFD),
•wsparcie dla technologii MetroEthernet (OAM, LMI, IP SLA for
Ethernet).
•wydajność do 15Mbps,
•obsługa technologii GPS oraz SMS
(do 160 znaków),
•obsługa IPv6,
•posiada pełne wsparcie dla mechanizmów bezpieczeństwa (SSL VPN,
DMVPN, VRF–aware, Zone–Base
Firewall, Statesful Inspections
transparent Firewall, Dynamic and
static port security, itp.),
•posiada pełne wsparcie dla mechanizmów (algorytmów) QoS (LLQ,
WFQ, CBWFQ, CBTS, CBTP),
Zastosowanie
Urządzenia klasy IE2000/3000/3010
oraz routery 819HG bez problemu
znajdą swoje zastosowanie w sieciach
automatyki ze względu na swoje cechy
fizyczne (poparte odpowiednimi
standardami, np. IP20/30/41), a także
pełnowartościowe walory funkcjonalne (poparte zaimplementowanym
sys t emem IO S wzb og ac onym
o protokoły CIP, REP, itp.). Najczęściej
urządzenia te znajdują zastosowanie
w sieciach przemysłowych (zakłady
chemiczne, energetyka), a tak że
w sieciach z pełną automatyką
produkcyjną (zakłady motoryzacyjne,
spożywcze, elektroniczne, farmaceutyczne). Bardzo dobrze radzą sobie
również w środowiskach automatyki
przemysłowej w sieciach kopalnianych.
Biorąc pod uwagę fakt, iż architektura
każdego z powyższych urządzeń opiera
24
Rys. 4. Model routera 819HG
Specyfikacja
Parametry
512MB DRAM
256MB wbudowanej pamięci flash
Gęstość portów
4 x 10/100Base–T
(UPLINK)
1 x 1000Based–T
Obudowa (H x W x D)
44 x 196 x 206 mm
1.5kg
Zasilacz
AC Power adapter i DC Power adapter
Pobór mocy
AC Power adapter – 25W (max)
DC Power adapter – 26W (max)
Temperatura pracy
–25C do +60C (zakres temperatury podczas
ciągłej pracy)
60C – wartość do 5000m, powyżej 5000m
wartość temperatury obniża się o 1.5C o każdy
1000m
Wilgotność
kondensacji
Stopień ochrony
IP41
Tabela 4. Parametry sprzętowe routera 819HG
się na dobrze znanych platformach
klasy Enterprise, to mamy pewność,
że są to rozwiązania najwyższej jakości,
poparte wieloletnim doświadczeniem
ich producenta w tej branży.
J.Ś.
Inżynier SOLIDEX
Numer: III/2012 (120)
System transmisji optycznej oparty
na technologii DWDM
Ciągły wzrost liczby użytkowników sieci Internet powoduje systematyczne
zwiększanie się liczby danych transmitowanych w sieciach szkieletowych.
Dodatkowo ruch w sieci zostaje zwielokrotniony poprzez obserwowaną
w ostatnich latach coraz większą popularność przekazów medialnych. Te
wszystkie elementy wymuszają potrzebę wdrażania sieci optycznych
o terabitowych przepływnościach. Tytułem powtórzenia proponujmey cykl
artykułów poświęconych rozwiązaniom WDM.
od kilku do nawet kilkuset sygnałów
optycznych przez pojedyncze włókno
światłowodowe. K a żdy sygnał
pochodzi z oddzielnego źródła i tworzy
osobny kanał, czyli promień laserowy
o ściśle określonej długości fali λ.
System WDM styka się z systemami
klienckimi za pomocą transponderów.
Większość systemów WDM wyposażonych jest w klienckie interfejsy
optyczne mogące pracować niemal
we wszystkich standardach (Ethernet,
Multipleksowanie z podziałem
SDH, Fibre Channel). System WDM
długości fali
wymaga bardzo spójnego źródła
Rozwiązaniem problemu zwiększenia światła z laserów jednoczęstotliwoszybkości transmisji w pojedynczym ściowych o wąskiej charakterystyce
włóknie światłowodowym okazało się widma i stabilnej częstotliwości pracy.
zastosowanie technologii WDM (ang. Każdy transponder nadaje sygnał na
Wavelength Division Multiplexing) – nieco innej długości fali. Następnie
zwielokrotnienia z podziałem długości sygnały o zróżnicowanych długofali. Technika transmisji WDM pozwala ściach fal ze wszystkich transponderów
na równoległe i niezależne przesyłanie s ą optyc znie multiplek sowane
Potrzeba stosowania coraz wyższych
szybkości transmisji doprowadziła
do problemu braku wolnych włókien
światłowodowych w istniejącej infrastrukturze. Ze względu na ogromne
koszty budowy nowych, długodystansowych traktów światłowodowych,
bardziej efektywne stało się maksymalne wykorzystanie już istniejących
zasobów.
w jeden sygnał. Przy odbiorze
sygnału następuje odwrotny proces:
odfiltrowywane s ą pojedync ze
długości fali, następnie przesyłane
do transponderów i dalej wyprowadzane interfejsem klienckim. Obecne
systemy WDM przystosowane są
do pracy z przepływnościami rzędu
2,5 Gb/s, 10 Gb/s czy 40 Gb/s. Łączna
szybkość transmisji ulega zwielokrotnieniu tyle razy ile jest kanałów
transmisyjnych w jednym włóknie
światłowodu. Zastosowanie technologii WDM pozwala na zwiększenie
przepływności włókna, przy braku
konieczności inwestowania w nowe
linie światłowodowe.
CWDM a DWDM
W zależności od liczby kanałów rozróżniamy technologię CWDM (ang. Coarse
25
TECHNOLOGIE
od 100 Mb/s do 4 Gb/s w tym protokoły Fast and Gigabit Ethernet,
OC–3/12/48, STM–1/4/16, 1/2/4G
Fibre Channel i zapewniająca regenerację sygnału.
Mult iplek s er T DM umo ż liwia
agregację kilku kanałów o niższej
przepływności w jeden kanał 10Gb/s:
•10G 8–channel Gigabit TDM pozwala na transmisję do 8 kanałów
1G w technologii Ethernet lub Fibre
Channel.
Pasywny multiplek ser/demultiplekser optyc znie łąc zy kanał y
Transport długodystansowy 10G
Obudowa klasy operatorskiej 6U
19’’, 6U, 19 slotów
19’’, 6U, 19 slotów
19’’, 2U, 5 slotów
10G
10G
Transponder 10G
Transponder 10G
WDM
26
6 dB, co poprawia wydajność aplikacji
dł ugodystansowych. Platforma
10G Microsens wykorzystuje różne
moduły funkcjonalne, takie jak:
transpondery, multipleksery TDM,
wzmacniacze czy pasywne multipleksery/demultipleksery DWDM.
Dostępne w rozwiązaniu Microsens
moduły funkcjonalne wspierają różnorodne protokoły, m.in.: Ethernet, SDH,
Fibre Channel. Wdrożenie platformy
transportowej pozwala na elastyczną
migrację sieci optycznych w kierunku
rozwiązań o podwyższonej szybkości
WDM
Wavelength Division Multiplexing)
i DWDM (ang. Dense Wavelength
Division Multiplexing). Technika
C WDM pozwala na multipleksowanie od kilku do kilkunastu kanałów,
natomiast przy DWDM liczba ta może
sięgać 40, 80 i więcej. W przypadku
rzadkiego zwielokrotnienia CWDM
odstępy międzykanałowe wynoszą
20 nm. 8 kanałowe systemy CWDM
operują w zakresie 1470–1610 nm,
natomiast systemy 16 kanałowe
w zakresie 1310–1610 nm. W technologii gęstego zwielokrotnienia DWDM
odstępy między kanałami są bardzo
małe, toteż łatwiej jest charakteryzować falę poprzez jej częstotliwość,
a nie długość. I tak w przypadku 40
kanałów odstępy między kanałami
wynoszą 100 GHz (0,8 nm), natomiast
w przypadku 80 kanałów – 50 GHz
(0,4 nm). Większość systemów DWDM
operuje w paśmie C (ang. Conventional–Band) o długości fal świetlnych
1530 –1565 nm. Jednak w nowych
systemach użytkowane jest już pasmo
L (ang. Longwave–Band), czyli fale
1565–1625 nm, a do przyszłych zastosowań przeznaczone jest pasmo S (ang.
S–Band) o długości 1380–1520 nm.
Systemy CWDM pozwalają na użycie
laserów niewyposażonych w termoelektryczny element chłodzący, przez
co ich cena jest znacznie niższa niż
systemów DWDM. Z drugiej jednak
strony systemy DWDM wykorzystują
znacznie większą ilość kanałów i oferują
rozwiązania dla 10 Gb/s, dzięki czemu są
obecnie coraz częściej stosowane.
Amp
Do 300 km bez wzmacniaczy liniowych
Do 700 lm ze wzmacniaczami liniowymi
Rys. 1. Schemat systemu 10G
ze zwielokrotnieniem falowym. Jedna
para urządzeń DWDM pozwala
w pełni wykorzystać istniejącą infrastrukturę włókien światłowodowych.
Ogólny schemat systemu 10G przedstawiono na rysunku numer 1.
Rozwiązanie DWDM Microsens
Elementy systemu DWDM
Microsens
Microsens to firma dostarczająca
rozwiązania dla światłowodowych
systemów transmisji. Wśród szerokiej
oferty firmy warto zwrócić uwagę na
optyczną platformę transportową
10G. Pozwala ona na przesyłanie do
80 kanałów o maksymalnej przepustowości 10 Gb/s każdy. Za pomocą
platformy 10G moż na tworzyć
wszystkie podstawowe topologie
sieci optyc znych (punkt – punkt ,
add–drop, pierścieniowe). System
umożliwia transmisję na odległość
do 300 km, bez użycia wzmacniaczy
optycznych. Metoda korekcji błędów
FEC (ang. Forward Error Correction)
pozwala na osiągnięcie wzmocnienia
optycznego do 10 –12 dB, zamiast
Chassis, czyli obudowa klasy operatorskiej w rozwiązaniach Microsens
dostępna jest w dwóch wersjach:
•Chassis 6 U, posiadająca 19 slotów
na moduły;
•Chassis 2 U, posiadająca 5 slotów
na moduły;
Transponder służy do łączenia systemu
DWDM z systemami klienckimi:
•10G Long–Haul – Transponder
and Repeater jest to 1–portowa
wersja modułu wspierająca protokoły 10 Gigabit Ethernet i OC–192/
STM–64 z funkcją regeneracji
sygnału;
•Quadruple 4G Repeater jest to 4 –
portowa wersja modułu wspierająca sygnały o przepływnościach
Rys. 2. Chassis 6 U
Rys. 3. Chassis 2 U
Numer: III/2012 (120)
o różnej długości fali w jedną wiązkę,
a następnie po stronie odbiorczej
rozdziela poszczególne kanały:
•Passive DWDM Multiplexers,
OADMs and Coupler dostępny
jest w wersji z 2, 4, 8, 10, 32, 40
lub 80 kanałami.
Rys. 4. Quadruple 4G Repeater
Powyżej zostało wymienione tylko
kilka pozycji z szerokiej oferty firmy
Microsens. Cała lista modułów,
pozwalających dopasować system
do swoich potrzeb, dostępna jest na
stronie producenta:
http://www.microsens.com.
Rys. 5. 10G 8–channel Gigabit TDM
K.K.
Inżynier SOLIDEX
Autoryzowane
szkolenia Cisco
w SOLIDEX!
Zapraszamy:
Kraków, ul. J. Lea 124
Warszawa Złote Tarasy, ul. Złota 59
szczegóły na str. 51
27
TECHNOLOGIE
Cisco Smart Install – pomocnik
administratora?
Zarządzanie siecią rozproszoną na wiele lokalizacji przy ograniczonych
zasobach ludzkich bywa bardzo trudne. Zadania takie jak backupy konfiguracji
czy utrzymanie aktualnej i odpowiedniej wersji systemu operacyjnego są
czasochłonne. Przy dziesiątkach czy setkach zdalnych lokalizacji ogrom
pracy, jaki należy włożyć w opanowanie rozległego środowiska, jest
niekiedy przytłaczający, i to biorąc pod uwagę jedynie bieżące czynności
administracyjne, a nie wspominając o reakcjach na awarie sprzętowe czy
rozwój infrastruktury i rozbudowy sieci o kolejne lokalizacje.
W celu optymalizacji czasu pracy należy
jak najwięcej czynności zautomatyzować. Pomocą w opisanym powyżej
przypadku jest funkcjonalność systemu
IOS firmy Cisco o nazwie Smart Install
(SI). Korzyści, związane z wykorzystaniem wspomnianej technologii to:
•posiadanie aktualnych backupów
konfiguracji dla urządzeń z uruchomioną funkcjonalnością,
•zautomatyzowane wykonywanie
upgrade’ów oprogramowania IOS
na urządzeniach klienckich na
żądanie,
•dodawanie do sieci nowych przełączników workgrupowych nieposiadających wgranej konfiguracji,
•płynniejsza reakcja na awarię przełączników klienckich – uszkodzone
urządzenie może być wymienione
przez technika nieposiadającego
28
rozległej wiedzy sieciowej (odpowiednia wersja oprogramowania
wraz z konfiguracją wgrywana jest
w sposób automatyczny).
W dalszej części tekstu postaram się
omówić, w jaki sposób można zrealizować wymienione zadania.
Element ami sk ł adowymi siec i
z włączoną funkcjonalnością Smart
Install są:
•Director
•Grupy przełączników klienckich
•Serwer DHCP
•Serwer TFTP
Poglądowa topologia sieci została
przedstawiona na rysunku numer 1.
Typowa sieć obsługująca Smart Install
składa się z grup urządzeń sieciowych
zwanych Klientami oraz wspólnego
dla nich przełącznika L3 lub routera,
zwanego Directorem. Ten ostatni
służy jako centralny punkt zarządzania konfiguracjami, backupami
konfiguracji oraz wykorzystywanymi
wersjami systemu operacyjnego
IOS. W momencie dodania do sieci
nowego prze ł ąc znika, Direc tor
w sposób automatyczny potrafi to
wykryć, a następnie zaalokować dla
takiego przełącznika: adres IP, nazwę,
wgrać początkową konfigurację oraz
odpowiednią wersję IOS. Kiedy mamy
do czynienia z wymianą uszkodzonego
przełącznika istniejącego w topologii
Smart Install, Director potrafi wgrać
nowemu switchowi konfigurację
uszkodzonego poprzednika (nowy
przełącznik musi posiadać ten sam
Product ID). Director jest również
urządzeniem, które potrafi zarządzać
planowymi upgrade’ami pojedynczych
Numer: III/2012 (120)
Rys. 1. Przykładowa topologia sieci obsługującej Smart Install
przełączników lub ich grup. Urządzenie
Minimalna wersja
zarządzające może służyć jako serwer
Urządzenia mogące pełnić rolę Directora
IOS
DHCP oraz TFTP, na których mogą
Routery Cisco ISR G2 serii 3900, 2900, 1900
Cisco IOS 15.1(3)T
być przechowywane konfiguracje lub
obrazy IOS. Te dane mogą być również
Routery Cisco ISR G1 serii 3800, 2800, 1800
Cisco IOS 15.1(3)T
zapisane na zewnętrznym serwerze
Przełączniki Catalyst 3750–E, 3750, 3560–E, 3560 Cisco IOS 12.2(52)SE
TFTP. W sieci z wdrożoną funkcjoPrzełączniki Catalyst 3750–X, 3560–X
Cisco IOS 12.2(53)SE1
nalnością Smart Install przełączniki
klienckie powinny pobierać adresację
Urządzenia mogące być klientami Smart Install
zarządzającą z serwera DHCP. Jeśli
Przełączniki Catalyst 3750–E, 3750, 3560–E, 3560 Cisco IOS 12.2(52)SE
chcemy korzystać z funkcjonalności
Przełączniki Catalyst 3750–X, 3560–X
automatycznego dodawania nowych
przełączników lub ich bezobsługowej
Przełączniki Catalyst 2960, 2975
Cisco IOS 12.2(52)SE
wymiany, przełączniki klienckie muszą
Przełączniki Catalyst 2960–S
korzystać z adresacji dynamicznej,
Moduły
SM–ES2–16P,
SM–ES3–*,
Cisco IOS 15.1(3)T
a cała komunikacja DHCP musi
NME–16ES–1G–P
przechodzić przez Directora. Przy czym
klient SI nie musi być bezpośrednio
Tabela. 1. Lista urządzeń kompatybilnych ze Smart Install
podłączony do Directora, ponieważ
funkcjonalność Smart Install dopuszcza
obsługę urządzeń o ile rozmiar topologii obsługiwanych platform oraz wersji •adresach MAC przełączników,
SI nie przekracza 7 przeskoków.
IOS przedstawia tabela numer 1.
•adresach IP przełączników,
Director buduje bazę topologii na •nazwach hostów,
Director
podstawie snoopingu dhcp oraz •szczegółach topologii,
przesyłanych przez klientów informacji •numerach seryjnych przełączników.
Directorem w sieci SI może być o sąsiedztwach. W bazie SI znajdują się
router lub przełącznik L3 spełniający informację o:
Standardowo dhcp snooping uruchaodpowiednie wymagania. Listę •typie przełącznika (produkt ID),
miany jest na Vlanie nr 1, jednakże
29
TECHNOLOGIE
istnieje możliwość skonfigurowania
innego numeru bądź kilku Vlan–ów.
W obecnej wersji Smart Install brakuje
możliwości uruchomienia redundantnego Directora.
Klienci SI
Klientami Smart Install mogą być
przełączniki spełniające odpowiednie
wymagania przedstawione w tabeli
numer 1. Jeżeli w sieci obsługiwanej
przez Directora, uruchomimy różne
modele przełączników należy połączyć
je w grupy uwzględniając odpowiedni
produkt ID (PID). Aby korzystać
ze wszystkich funkcjonalności SI
minimalną wersją oprogramowania
IOS jest 12.2.55SE. Odpowiednie
parametry do autokonfiguracji klienta
lub grupy klientów wykonujemy na
Directorze.
Dodawanie klienta do sieci SI
Podczas uruchamiania przełącznika
– nowego bądź przywróconego do
ustawień fabrycznych – następuje
próba komunikacji z serwerem DHCP
w celu pobrania adresu IP. Na podstawie
przychodzących zapytań podłączony
do sieci Director ocenia czy urządzenie
istnieje w bazie SI. W przypadku nie
znalezienia przełącznika, Director
ocenia (na podstawie skonfigurowanych parametrów) właściwą wersję
oprogramowania do pobrania oraz
początkową konfigurację. Dodawany
przełącznik aplikuje podaną konfigurację oraz pobiera wskazany
system IOS. Po ponownym rozruchu
przełącznik uruchamia się ze wskazaną
wcześniej konfiguracją startową.
W podstawowym pliku konfiguracyjnym możemy umieścić minimalne
informacje, które umożliwią późniejsze
zalogowanie się na przełącznik i dokończenie konfiguracji.
Wymiana przełącznika będącego
częścią topologii SI
Omawiana funkcjonalność pozwala na
tzw. „zero–touch replacement”, czyli
wymianę przełącznika bez angażowania zasobów administratorskich.
Znajomość aktualnej topologii sieci
oraz klientów pozwala Directorowi
s t wier d z ić , k ie dy us z kod zony
30
przełącznik powinien być zastąpiony
sprawnym. Wymiana ta odbywa się
w następujący sposób. Uszkodzone
urządzenie oznaczane jest w bazie
SI jako „inactive”. Po podłączeniu
w jego miejsce identycznej jednostki
zastępczej Director jest w stanie
stwierdzić, iż w miejscu nieaktywnego
przełącznika pojawił się identyczny
(ten sam PID) o innym adresie MAC.
Następnie urządzenie zarządzające,
zastępuje informację o poprzednim
nieaktywnym urządzeniu, uaktualnionymi danymi i nakazuje pobrać
jednostce zastępczej plik konfiguracyjny oraz wersję IOS poprzednika.
Po aktualizacji oprogramowania
i ponownym uruchomieniu nowy
przełącznik przejmuje funkcję poprzedniego urządzenia i proces wymiany
zostaje zakończony. Krytycznym
warunkiem poprawnej wymiany jest
zastąpienie uszkodzonego urządzenia
przełącznikiem posiadającym ten
sam Product ID. Jeśli PID będzie
inny, Director potraktuje podłączany
przełącznik jako nowego klienta i tym
samym wskaże mu konfigurację
początkową do pobrania.
Wykonywanie planowanych
upgrade’ów oprogramowania
Dla urządzeń, które są klientami
Direc tora, możemy zlec ać t zw.
„upgrade na żądanie”. W tym celu na
Directorze należy określić, na których
urządzeniach, bądź grupach urządzeń,
należy wykonać wymianę oprogramowania oraz zaplanować czas jej
wykonania.
Wykonywanie kopii zapasowych
konfiguracji
Kopie zapasowe konfiguracji dla
urządzeń będących klientami Directora
wykonują się automatycznie za
każdym razem, gdy zapisujemy konfigurację na przełączniku. Dla każdego
klienta Director przechowuje dwie
rewizje konfiguracji.
Konfiguracja „join window”
Dla bezpieczeństwa wszystkie zautomatyzowane akcje, na które pozwala
SI, mogą być wykonywane tylko
w określonym oknie czasowym.
Pozwala to na zabezpieczenie infrastruktury przed przypadkowymi
anomaliami, które mogą być spowodowane przez podłączane przełączniki.
Kilka uwag
Należy podkreślić, że przy nowych
platformach takich jak 3560E, 3560X,
3 7 5 0E i 3 7 5 0X musimy zadbać
o zainstalowanie odpowiednich licencji
przed podłączeniem ich do sieci obsługiwanej przez Smart Install. Zmianę
domyślnego działania procesu SI
(z Vlanu 1 na inny) należy wymusić
poprzez odpowiednie sparametryzowanie konfiguracji. W środowiskach,
w których w sieci występuje kilka
rodzajów przełączników, należy
umiejętnie wybrać urządzenie, które
będzie pracowało jako Director.
Urządzenie zarządzające służy jako
punkt przechowywania obrazów
systemu IOS dlatego należy zadbać,
aby miało odpowiednio pojemną
pamięć flash lub należy przechowywać
obrazy na zewnętrznym serwerze TFTP.
W pierwszym przypadku idealnie
nadają się do tego routery ISR G2,
posiadające pokaźną ilość pamięci
flash.
Podsumowanie
Po przeanalizowaniu zagadnienia
odpowiedź na pytanie postawione
w temacie jest oczywista. Uważam, że
w rozproszonym, ustandaryzowanym
środowisku sieciowym, funkcjonalność
Smart Install może stać się bardzo
pomocnym i cennym narzędziem
administratorskim.
A.R.
Inżynier SOLIDEX
Numer: III/2012 (120)
Remote Access Manager jest elastyczną, skalowalną aplikacją, która w szybki
i prosty sposób może zostać dostosowana do indywidualnych potrzeb klienta.
Głównym jej zadaniem jest zarządzanie zdalnym dostępem poprzez obsługę kont
zewnętrznego dostępu, dynamiczne nadawanie haseł dostępu oraz określanie
czasu trwania sesji dostępu. Funkcje zarządcze realizowane są za pomocą konsoli
administracyjnej, umożliwiającej ich wykonanie przy użyciu interfejsu webowego.
Remote Access Manager
31
rozwiązania
Rozwiązania bezprzewodowe
Fortinet
Rosnąca popularność urządzeń mobilnych powoduje, że w organizacjach coraz
bardziej na znaczeniu zyskują rozwiązania bezprzewodowe. Łatwy oraz szybki
dostęp do informacji pozwala na zwiększenie konkurencyjności oraz wydajności
pracy. Jednocześnie kluczowym zagadnieniem jest zagwarantowanie
odpowiedniego poziomu bezpieczeństwa dla sieci bezprzewodowych
i dla reszty infrastruktury sieciowej. Firma Fortinet dostarcza szereg rozwiązań
bezprzewodowych, które redukują ryzyko zagrożeń związanych z ruchem w sieci.
Można wyróżnić dwie podstawowe
archit ek tur y roz wią za ń W i – Fi
nazywane Thick AP oraz Thin AP.
Wybór jednej z nich zależy od
aktualnych potrzeb przedsiębiorstwa:
•Thick AP („gruby” punkt dostępowy) – odnosi się do bezprzewodowego punktu dostępowego
lub do WTP (Wireless Transaction
Protocol). Każdy Thick AP jest
samodzielnym urządzeniem odpowiedzialnym za uwierzytelnianie,
szyfrowanie i stosowanie polityk
kontroli dostępu. Wymaga niezależnego zarządzania lub zarządzania poprzez scentralizowaną
aplikację. Urządzenia te przeznaczone są głównie dla mniejszych
organizacji.
32
•Thin AP („cienki” punkt dostępowy”) – zapewnia te same
funkcje co Thick AP, ale w rozproszonej formie, po to aby zapewnić
większy obszar usługi. Urządzenia przekazują ruch sieciowy
do kontrolera, wykonując kilka
kompleksowych zadań na szczeblu
lokalnym. Zdolność ta umożliwia
przesyłanie funkcji uwierzytelniania, przetwarzania bezpieczeństwa czy przypisywania kanału do
scentralizowanego kontrolera sieci
bezprzewodowej. Powoduje to
mniejszy stopień zarządzania oraz
obniżenie całkowitych kosztów
wdrożenia. Urządzenia Thin AP są
przeznaczone do miejsc wymagających większego zasięgu, którego
nie może dostarczyć pojedynczy
Thick AP.
Fortinet oferuje urządzenia należące
do obu tych architektur, co pozwala
na elastyczny wybór rozwiązania
w zależności od wymagań. Można
wyróżnić następujące rodziny produktów, które dostarczają zintegrowaną
oraz kompleksową ochronę sieci
bezprzewodowych:
FortiWiFi ( Thick AP)
Skonsolidowane platformy FortiWiFi
oferują szereg funkcjonalności, takich
jak: wsparcie dla standardu 802.11n,
wsparcie dla komunikacji WAN,
opcjonalny bezprzewodowy dostęp
szerokopasmowy oraz wsparcie dla
Numer: III/2012 (120)
zewnętrznych modemów USB 3G/4G.
Urządzenia zapewniają kompleksową
ochronę przeznaczoną dla mniejszych
oddziałów i firm. Wszystkie modele
FortiWiFi wyposażone są w osiem
SSID (Service Set IDentifier), z czego
jeden przeznaczony jest do wyszukiwania wrogich AP (rouge AP scanning)
lub w VAP (Virtual Access Points).
Każdy VAP pojawia się jako osobny
wirtualny interfejs. Fortinet posiada
następujące modele FortiWiFi :
FortiWiFi–20C
FortiWiFi–20C to urządzenie, które
oferuje wydajność firewall 20 Mbps,
wydajność IPS 20 Mbps oraz do 10
tysięcy jednoczesnych sesji. Rozwiązanie dost arc za jeden inter fejs
WAN oraz cztery wewnętrzne porty
przełączników, które oferują dwie
strefy zabezpieczeń dla wymuszania
polityk na odległych miejscach.
Łączność WLAN 802.11 b, g, n.
przełączników. Ł ączność WL AN
802.11 b, g, n.
FortiWiFi–50B
FortiWiFi–50B posiada podwójne
porty WAN zapewniające wysoką
dostępność oraz trzy wewnętrzne
por ty pr ze ł ąc z nika . Roz wią zanie oferuje standard 802.11 b, g.
Wydajność firewalla wynosi 50 Mbps,
IPSa 50 Mbps, a liczba jednoczesnych
sesji to 25 000.
FortiWiFi–60C/CM
Model FortiWiFi-60 oferuje standard
802.11 a, b, g, n oraz bezprzewodowy
dostęp typu 3G za pośrednictwem
ExpressCard lub USB. Rozwiązanie
posiada wbudowaną pamięć masową
oraz modem analogowy dial–up.
Charakteryzuje się podwójnymi
portami WAN do równoważenia
obc ią ż enia lub nadmiarowych
połączeń internetowych. Model
FortiWiFi–60C M–ADSL–A wykorzystywany jest w standardach 802.11
a/b/g/n oraz w usłudze ADSL –A.
Rys. 1. FortiWiFi–20C
FortiWiFi–40C
Urządzenie odznacza się wydajnością
firewalla na poziomie 200 Mbps
oraz wydajnością IPS 135 Mbps.
FortiWiFi– 40C posiada możliwość
jednoczesnej obsługi do 40 000
sesji. Rozwiązanie charakteryzuje
się dwoma interfejsami WAN oraz
pięcioma wewnętrznymi portami
Wydajność firewalla dla tych urządzeń
to aż 1 Gbps, a liczba jednoczesnych
sesji może wynieść 400000.
FortiWiFi–80CM
FortiWiFi–80CM posiada wydajność
firewalla na poziomie 700 Mbps oraz
wydajność IPS równą 350 Mbps.
Pamięć wewnętrzna (FortiWifi–81CM)
zapewnia lokalną archiwizację danych
do osiągnięcia zgodności polityki lub
optymalizacji WAN. Rozwiązanie
odznacza się podwójnymi portami
WAN, sześcioma wewnętrznymi
portami przełącznika oraz portem
DMZ przeznaczonym do ochrony
Rys. 4. FortiWiFi–80CM
serwerów aplikacji. Złącze PC Card
wspiera takie technologie bezprzewodowe, jak: EV–DO, W–CDMA,
HSPA i GPR S. FortiWiFi– 80CM
pracuje w standardach 802.11 b, g,
n oraz posiada dostęp do sieci 3G za
pośrednictwem ExpressCard lub USB.
FortiWiFi Voice–80CS
Urządzenia FortiWiFi Voice–80CS
o d z nac z aj ą si ę wbudowa nym
zest awem podst awowych oraz
zaawansowanych funkcji IP PBX. Są
to takie funkcje jak: poczta głosowa,
powiadomienie o wiadomościach,
zintegrowane wiadomości z odpowiedziami głosowymi (IVR). FortiWiFi
Voice – 80C S wspiera integrację
z POTS i sieciami ISDN za pośrednictwem analogowych adapterów
telefonicznych (ATA). Zawiera on
również automatyczną dystrybucję
połączeń (ACD). Rozwiązanie posiada
wydajność firewall wynoszącą 500
Mbps, wydajność IPS 350 Mbps oraz
maksymalną liczbę sesji wynoszącą
400 000. Wykorzystuje standardy
802.11 a, b, g, n. Moduł ExpressCard
umożliwia opcjonalny dostęp do sieci
3G.
FortiAP ( Thin AP)
Platformy FortiAP należą do rozwiązania Thin AP. Obsługują standard
802.11n i zapewniają jednocześnie
zintegrowane bezpieczeństwo oraz
bezprzewodowy dostęp do klienta
w pasmach 2,4 GHz i 5 GHz. Seria
FortiAP wykorzystuje technologię
MIMO 2x2 (Multiple Input Multiple
Output) z podwójnym strumieniem
transmisji, która gwarantuje osiągnięcie prędkości do 600 Mb/s. Za
wyjątkiem modelu FortiAP-210B,
33
rozwiązania
monitorowanie strefy sieci bezprzewodowej oraz dostęp dla użytkowników
bez zakłócania generowanego przez
nich ruchu dzięki wykorzystaniu
dwóch modułów radiowych pracujących niezależnie.
FortiAP–221B
FortiAP–221B jest wewnętrznym
punktem dostępowym zapewniającym wsparcie dla 802.11a, b, g
i n. W połączeniu z kontrolerem
sieci bezprzewodowej FortiGate,
urządzenie może dostarczyć do
600 Mbps. Rozwiązanie zostało
Rys. 7. FortiAP–221B
Rys. 5. Architektura FortiGate i FortiAP
urządzenia te posiadają dwa chipsety
radiowe , wspierając e 16 SISD
(8+8), z czego 2 są przeznaczone do
wyszukiwania wrogich AP. FortiAP
s ą centralnie zarz ądzane przez
kontrolery sieci bezprzewodowej,
które wchodzą w skład skonsolidowanych platform FortiGate. Ruch
z punktów dostępowych jest tunelowany do urządzenia, gdzie podlega
on kontroli UTM z zakresu usług
bezpieczeństwa (np. firewall, VPN,
IPS, Web Filtering, QoS, Antivirus,
Antispam). Można wyróżnić następujące modele :
FortiAP–222B
For tiAP–2 2 2B jest zewnętrznym
punktem dost ępowym wyposażonym we wzmocnioną obudowę.
Nadaje się do trudnych warunków
środowiskowych, w tym do
ekstremalnych temperatur, stref
zanieczyszczonych oraz wilgotnych
miejsc. Cztery zewnętrzne anteny
pozwalają FortiAP–2 2 2B działać
jednoc ze śnie na c zę stotliwoś ci
2,4 GHz i 5 GHz, zapewniając wsparcie
dla standardów bezprzewodowych
IEEE 802.11a, b, g i n. Rozwiązanie
umożliwia objęcie swoim zasięgiem
dużego obszaru o mocy sygnału
27dBm (500mW ). Użycie dwóch
modułów radiowych pozwala na
osiągnięcie wydajności do 600 Mbps.
zaprojektowane zgodnie z PCI–DSS.
Jedno radio może być skonfigurowane
do automatycznego przełączania
między częstotliwościami 2,4 GHz i 5
GHz, podczas gdy drugie zapewnia
nieprzerwany dostęp o wysokiej
przepustowości do Wi–Fi klientów.
FortiAP–210B
FortiAP–220B
34
F or t i A P – 2 2 0B t o wyt r z yma ł e
urządzenie wyposażone w cztery
anteny, które gwarantują pracę na
częstotliwościach 2,4 GHz i 5 GHz.
Rozwiązanie zapewnia do 600 Mbps
całkowitej przepustowości oraz
wsparcie dla standardów 802.11a,
b, g i n. Pozwala na jednoczesne
FortiAP-210B to punkt dostępowy
wyposażony w dwie wewnętrzne
anteny, zapewniający wsparcie dla
standardów bezprzewodowych IEEE
802.11a, b, g i n. Urządzenie umożliwia
osiągnięcie wydajnośći do 300 Mbps
oraz pracę na częstotliwościach
2 ,4 GHz i 5 GHz. For tiAP-210B
Numer: III/2012 (120)
pozwala na dostępu do sieci dla
użytkowników oraz monitorowanie
ruchu. Jako jedyny model FortiAP
posiada pojedynczy chipset radiowy,
co powoduje, że urządzenie wspiera
tylko osiem SSID.
Wszystkie urządzenia FortiAP mogą
być zasilane poprzez PoE (Power over
Ethernet), co umożliwia rezygnację
z zewnętrznych zasilaczy. Można
wyróżnić takie opcje jak:
GPI–115
Jest to jednoportowy injector PoE,
który pozwala na zasilanie urządzeń
FortiAP przez sieć Ethernet. Urządzenie
może maksymalnie dostarczać moc do
15,4 W oraz wspiera standard 802.3af.
FortiSwitch–80–PoE
For tiSwitch – 8 0 – PoE to o śmio portowy przełącznik Gigabit Ethernet,
który zapewnia 62 W dzielonych na
cztery urządzenia. Może zasilać kilka
urządzeń bezpośrednio z portów PoE,
w tym FortiAP, telefony IP FortiFone
oraz kamery IP.
Kontroler sieci bezprzewodowej – platforma FortiGate
Platformy bezpieczeństwa FortiGate
oraz FortiWiFi mogą pełnić funkcję
bezprzewodowych kontrolerów, co
FortiManager TM
TM
FortiAnalyzer
Centralized Mgmt
muszą szybko przystosowywać
się do rozwoju technologii, który
daje większą swobodę użytkownikom i przyspiesza migrację firm
do Internetu. Nie wystarczy już
koncentrować się na zwykłym zabezpieczaniu zasobów informatycznych.
Trzeba chronić i ulepszać funkcje oraz
procesy biznesowe, a jednocześnie
przystosowywać się do dynamicznego
środowiska użytkowników i zachowywać łatwość w zarządzaniu.
Najlepsza, bardzo wydajna technologia zabezpieczająca musi więc być
wspomagana przez funkcje upraszczające zarządzanie, monitorujące
wydarzenia związane z bezpieczeństwem i bezproblemowo integrujące
się z procedurami operacyjnymi przedsiębiorstwa. Innymi słowy, konieczne
jest zyskanie „Mocy kontroli”.
Filozofia „Power to Control”
i „Next Generation Security”
Filozofia „Power to Control” firmy
Fortinet składa się z następujących
obszarów:
•Kontrola sieci
•Kontrola użytkowników
•Kontrola aplikacji
•Kontrola baz danych
•Kontrola urządzeń i punktów
końcowych
Rosnące kosz ty operac yjne,
wymagania budżetowe, szybko
zmieniający się krajobraz zagrożeń
wewnę trznych i zewnę trznych,
technologia chmury obliczeniowej
(Cloud Computing) oraz zwiększenie
uprawnień użytkowników, to tylko
niektóre z kluczowych wyzwań S ys t emy F or t i W iF i i F or t i A P
zwią zanych z bezpieczeństwem doskonale wpisują się w strategię
IT. Zabezpieczenia informatyczne „Power to Control”, zapewniając
infrastrukturę dla bezpiecznych sieci
bezprzewodowych, którymi można
bezproblemowo zarządzać za pomocą
jednej
konsoli.
Branch Offices
Podsumowanie
Do podstawowych kryteriów jakie
należy rozważyć przed wdrożeniem
technologii bezprzewodowej są:
FortiGate®
Wireless
Controller
FortiGate®
Wireless
Controller
FortiAP TM
Access
Point
znacząco obniża koszty oraz złożoność
wdrażania WLAN. FortiGate umożliwiają integrację sieci LAN oraz WLAN
za pomocą pojedynczego interfejsu
zarządzania. Zapewniają pełną ochronę
danych, treści i aplikacji. Zawierają
zaawansowane funkcje sieciowe, takie
jak : wysoka dostępność (High Availability), technologia wirtualnej domeny
(VDOM) oraz wysoka wewnętrzna
segmentacja danych. Niewątpliwą
zaletą rodziny Fortinet jest to, że
bezprzewodowym kontrolerem może
być każde urządzenie FortiGate, poza
modelem 20C. Dodatkowo można
zastosować dwa urządzenia : FortiManager – przeznaczone do centralnego
zarządzania elementami infrastruktury
Fortinet oraz FortiAnalyzer – do
logowania, analizy zebranych logów
i raportowania.
FortiAP TM
Access Point
HQ
FortiGate®
Wireless
Controller
Remote Locations
Rys. 9. Przykłady wdrożeń
Z asię g i sz ybkoś ć – pr o duk t y
For tiWiFi i For tiAP dostarczają
zazwyczaj 50mW mocy wyjściowej
dla dwukierunkowego łącza komunikacyjnego. Zasięg WiFi zależy od
przeszkód i źródeł zakłóceń, ale może
obejmować 50–60 metrów.
Segmentacja użytkowników i dostęp
dla gości – Fortinet umożliwia przyporządkowywanie użytkowników do
wewnętrznych grup na podstawie
informacji uwierzytelniania. Różne
polityk i mogą być pr z ypisane
35
rozwiązania
do różnych grup, co pozwala na Zagrożenia sieciowe rozwijają się
stworzenie własnych reguł w zależ- tak szybko jak technologia. Obecnie
ności od potrzeb.
mamy do czynienia z atakami tak
wyrafinowanymi, że tradycyjne
Silne uwierzytelnianie i szyfrowanie metody zabezpieczeń nie potrafią ich
– urządzenia bezprzewodowe Fortinet powstrzymać. Popularne ostatnio
obsługują szereg typów uwierzytel- serwisy społecznościowe, czy komuniniania, w tym WPA, WPA 2 oraz katory internetowe (tzw. aplikacje
nowsze oparte na szyfrowaniu AES, Web 2.0), stanowią pole działalności
TKIP oraz WEP. Extended Authenti- wielu nowych generacji wirusów
cation Protocol (EAP) wspiera pełen i zagrożeń, mających na celu łamanie
zestaw standardowych protokołów, tradycyjnych zapór sieciowych.
aby zagwarantować zgodność z bazą Jednocześnie stare zagrożenia nie
użytkowników. Serwer R ADIUS znikają . Aby zapewnić ochronę
jest zabezpieczony przez EAP–MD5, sieci, potrzebna jest sprawdzona
EAP–TLS, EAP–TTLS i PEAP. System platfor ma , obejmując a równo operacyjny FortiOS obsługuje LDAP cześnie podstawowe technologie
i Active Directory bez potrzeby dodat- zabezpieczeń (filtrowanie pakietów,
kowych licencji na oprogramowanie. translację adresów sieciowych,
analizę protoko łów sieciowych
Wykrywanie rogue AP – Fortinet z kontrolą stanu sesji, obsługę VPN),
pozwala na monitorowanie, wykry- oraz funkcje bezpieczeństwa nowej
wanie i opc jonalnie tł umienie generacji (IPS z technologią głębokiej
nielegalnych punktów dostępu. analizy pakietów, kontrola aplikacji,
Technologia on –wire umożliwia możliwość weryfikacji tożsamości
szybką identyfikację fałszywych AP użytkowników i egzekwowania
oraz wysyłanie ostrzeżeń.
polityki dostępu). Oferowane przez
For tinet kompleksowe systemy
Ł atwość wdrożenia – For tinet zabezpieczeń FortiGate i FortiWiFi to
dostarcza wszystkie komponenty sprawdzone, dedykowane platformy,
potrzebne do osiągnięcia szybkiego obejmujące wszystkie wymagane
i taniego wdrażania sieci WL AN. funkcje ochrony przed zagrożeniami.
Aby uruchomić bezprzewodowy
kontroler nie trzeba wykupywać Opracowano na podstawie oficjalnych
żadnych licencji, a jedynie dołączyć materiałów producenta.
kilka FortiAP.
Ł.H.
Scentralizowane zarządzanie –
Inżynier SOLIDEX
FortiGate i FortiWiFi są w stanie
kontrolować urządzenia FortiAP, same
zaś mogą być centralnie zarządzane
z poziomu FortiManagera. Eliminuje
to konieczność konfiguracji nowych
urządzeń. Aktualizacja oprogramowania odbywa się na szczeblu
centralnym. Drugim rozwiązaniem
jest FortiAnalyzer, przeznaczony
do analizy zebranych logów oraz
raportowania.
Bezprzewodowa technologia Fortinet
zapewnia skonsolidowane usługi
bezpieczeństwa. Platformy FortiGate,
FortiWiFi i FortiAP pozwalają na
dodawanie warstw zabezpieczeń bez
wpływu na wydajność oraz zwiększenia kosztów.
36
Numer: III/2012 (120)
Tufin Secure Track – optymalizacja
bezpieczeństwa sieci
Wraz ze zwiększaniem się liczby różnego typu urządzeń sieciowych wchodzących
w skład infrastruktury informatycznej współczesnych przedsiębiorstw, przy
jednoczesnym stałym nacisku na redukcję kosztów funkcjonowania działów IT
– i to pomimo stałego wzrostu liczby zadań oraz stopnia komplikacji zarządzanej
przez nie infrastruktury – pojawia się problem, który rozwiązać można tylko
poprzez zaangażowanie specjalizowanych narzędzi. Celem nadrzędnym
jest z jednej strony odciążenie pionów IT i wsparcie, przy zapanowaniu nad
heterogenicznym, stale zmieniającym się środowiskiem sieciowym oraz
podniesienie bezpieczeństwa nadzorowanych zasobów sieciowych.
Odpowiedź na pytanie, jak wydajnie
i bezpiecznie zarządzać zmianami
konfiguracji w sieci, może wydawać
się dość skomplikowana. Z pomocą
przychodzi nam jednak Secure Track
(ST), produkt pochodzący „ze stajni”
izraelskiej firmy Tufin Software
Technologies Ltd. ST stanowi zestaw
zintegrowanych ze sobą, użytecznych
na r z ę d z i z na komic ie u ł at wia jących pracę administratorom sieci.
Narzędzia te służą przede wszystkim
zapobieganiu niedostępności usług
systemu IT (wynikającej z blokady
wspomnianych usług na poziomie
sieciowym), a także do szybkiej analizy
możliwych problemów z zakresu
działania sieci w kontekście istniejących w niej zabezpieczeń. Bardzo
Rys. 1. Tufin Secure Track - integracja z rozwiązaniami sieciowymi czołowych producentów
37
rozwiązania
często Tufin Secure Track bywa również
wykorzystywany do optymalizacji
konfiguracji systemów zabezpieczeń
sieci oraz w charakterze „strażnika”,
który w trakcie wprowadzania zmian
eliminuje różnego rodzaju błędy konfiguracji na urządzeniach sieciowych. ST
zapewnia również ciągły monitoring
krytycznych komponentów systemu
operacyjnego urządzeń firewall
i parametrów wydajnościowych,
z apewniając adminis t rat or owi
niezbędne informacje na temat stabilności nadzorowanych systemów.
Zarządzanie
urządzeń
konfiguracjami
Secure Track posiada również funkcję
automatyzacji procesu zarządzania
zmianami konfiguracji urządzeń sieci
i zabezpieczeń różnych typów urządzeń
sieciowych, takich jak systemy ścian
ogniowych (firewalls), routery, switche,
load balancery. ST znacząco usprawnia
i wspomaga pracę administratorów
w zakresie zarządzania, jak i odtwarzania backupów urządzeń sieciowych.
K a żda zmiana w urz ądzeniach
sieciowych jest rejestrowana (w zależności od wybranej opcji automatycznie
lub co określony przedział czasu) przez
Secure Track, co pozwala na analizę
wszystkich wprowadzonych zmian,
a także na szybką ścieżkę powrotu
do wc ześniej wykorzystywanej
i uznanej za poprawną konfiguracji.
W dowolnym momencie można
ur uchomić proc es porównania
aktualnej konfiguracji sieciowej (opcja
compare – na rysunku 1) urządzenia
i wskazanej konfiguracji archiwalnej,
by w wyjątkowo przejrzysty sposób
zobaczyć wszystkie różnice z dokładnością do pojedynczego routingu czy
opisu na porcie urządzenia.
Dokumentowanie zmian
D o da t k ow o nie z w yk le c e nn ą
funkcjonalnością (audit – > rule
documentation) jest możliwoś ć Analiza ruchu sieciowego
dokumentowania zmian wprowadzanych w konfiguracji urządzeń Secure Track posiada również narzędzia
sieciowych. Pozwala ona zidentyfi- do analizy ruchu sieciowego przechokować, kto zmiany zlecił, kto był dzącego przez urządzenie. Funkcja ta
Rys. 2. „Compare” – porównywanie zmian w konfiguracjach urządzenia
38
odpowiedzialny za ich wprowadzenie,
czemu miały służyć (np. identyfikacja
projektu) oraz w jakim okresie miały
obowiązywać. Jest to bardzo użyteczna
funkcjonalność, zawłaszcza w dużych
sieciach zarządzanych przez różne
grupy administratorów, gdzie często
mają miejsce rekonfiguracje związane
z uruchamianiem nowych usług
sieciowych oraz zmiany związane
z kontrolą dostępu. Przykładowo po
kilku miesiącach administrator może
nie pamiętać, kto i w jakim celu zlecił
otwarcie komunikacji sieciowej na
porcie TCP:34234 do farmy serwerowej
w podsieci 172.18.30.0/24. Omawiana
funkcjonalność pozwala opisać zmiany
w konfiguracji i powiązać je z toczącymi
się w firmie konkretnymi projektami
(dla których dział IT udostępnia
zasoby) lub odpowiedzialnymi za owe
projekty managerami.
Numer: III/2012 (120)
jest szczególnie użyteczna w przypadku
konieczności analizy reguł w systemach
firewall pod kątem ich wykorzystania, a co za tym idzie potrzeby
ich dalszej obecności w konfiguracji.
ST jest w stanie zbadać konfigurację
urządzenia pod kątem możliwości jej
optymalizacji, a ponadto poddać ją
audytowi z punktu widzenia analizy
rejestrowanego przez urządzenie
ruchu sieciowego (w oparciu o bieżący
monitoring lub sprawdzenie zgromadzonych wcześniej szczegółowych
logów systemowych) i jego korelacji
ze zdefiniowanymi regułami bezpieczeństwa. Tego typu analiza pozwala
na zidentyfikowanie, które reguły
w konfiguracji systemów firewall
(listy ACL) są używane oraz jakie
jest wykorzystanie poszczególnych
reguł (tzw. „hit–rate”). Reguły, które
rejestrują więcej ruchu powinny zostać
przesunięte w górę, by przyspieszyć
przetwarzanie list ACL przez urządzenie
sieciowe, co z kolei przełoży się na
poprawienie wydajność i szybkości
obsługi. Z kolei reguły nieużywane,
ale występujące w konfiguracji, są
potencjalnymi dziurami w systemie
bezpieczeństwa i, skoro nie są już
dłużej potrzebne, powinny zostać
usunięte. Spowoduje to poprawienie
bezpieczeństwa oraz skrócenie konfiguracji urządzeń sieciowych, a co
za tym idzie poprawienie jej czytelności. Niestety takie „martwe” reguły
sieciowe zostają często w konfiguracji
systemów firewall na całe lata i nie są
usuwane, ponieważ nikt z obecnych
administratorów nie pamięta już,
jaki był cel ich wprowadzenia oraz
kiedy zostały zdefiniowane. Braki
w dokumentacji dodatkowo utrudniają rozwiązanie problemu. Tego typu
pozostałości mogą zawsze stanowić
ryzyko, iż w przyszłości zostaną
wykorzystane do ataku na chronione
systemy przez potencjalnego hackera.
W ramach wykonywanej optymalizacji ST analizuje zastosowane na
urządzeniu reguły (Policy Analysis)
pod kątem ich wykorzystania dla
obsługi danego typu ruchu sieciowego,
umożliwiając wykrycie powtarzających się i nadmiarowych reguł oraz
obiektów. Poprzez ich optymalizację
oraz usunięcie niepotrzebnych reguł
i obiektów uzyskujemy prostszą
i czytelniejszą konfigurację.
Rys. 3. Aktualna topologia analizowanej sieci generowana przez ST
Analiza i prezentacja
aktualnej topologii urządzeń
sieciowych
głównie w efekcie analizy konfiguracji
sieciowych poszczególnych urządzeń
monitorowanych przez Secure Track
oraz informacji z urządzeń gromaSecure Track posiada także wyjątkowo dzących dane w oparciu o protokoły
ciekawy mechanizm analizy i prezen- LLDP/CDP. Co więcej nie jest ona
tacji bieżącej topologii urządzeń wyłącznie wynikiem typowych
sieciowych. Czasami administrator nie dla systemów zarządzania analiz
posiada wiedzy na temat aktualnej bazujących na usługach SNMP/S –
topologii sieci lub ma przestarzałe TR AP, czy aktywnych metodach
dane bazujące na strukturze fizycznych odkrywania topologii na bazie usług
połączeń, która w międzyczasie uległa ICMP lub narzędzi w rodzaju „tracezmianie w wyniku przebudowy lub route”. Po wygenerowaniu topologii
dynamicznej rekonfiguracji sieci wystarczy wpisać adres IP, aby zidenna bazie mechanizmów routingów. tyfikować poszukiwane przez nas
Często w sytuacji krytycznej odszu- urządzenie na wygenerowanej mapie
kanie dokumentacji papierowej czy (rysunek 2).
schematów topologii rysowanych
w VISIO jest dużym wyzwaniem dla Identyfikacja urządzeń blokuadministratorów. Co więcej wiary- jących komunikację sieciową
godność takich materiałów jest często
dyskusyjna, zwłaszcza jeśli nieprze- S ec ure Track st anowi równie ż
strzegane są szczegółowe procedury niezwykle użyteczne narzędzie do
w zakresie dokumentowania zmian. wykrywania urządzeń blokujących
W takiej sytuacji doskonale sprawdza komunikację sieciową. Często bowiem
się Secure Track, oferując narzędzie zdarza się, że w wyniku rekonfiguracji
dostarczające informacji o rzeczywistej usług sieciowych następuje utrata
strukturze sieci.
dostępu do jakiegoś fragmentu sieci
Wygenerowana przez ST topologia lub konkretnej usługi. Czasami fakt
jest zawsze aktualna i bazuje na odcięcia dostępu do usługi zostaje
rzeczywistej konfiguracji urządzeń w krótkim czasie ujawniony przez
oraz zdolności sieci do dynamicznej telefony zaniepokojonych użytkowrekonfiguracji. Topologia ta powstaje ników. Nie jest to wówczas najgorszy
39
rozwiązania
przypadek, pod warunkiem, że nie
dotyczy to usług z puli „business
continuity”, o czym wspomnimy nieco
później. W takiej sytuacji administrator szybko powiązuje fakt utraty
dostępu do usług przez użytkowników
z przeprowadzoną przez niego wcześniej
rekonfiguracją urządzeń sieciowych.
Znacznie gorszy jest przypadek, gdy
nikt nie zauważa blokady dostępu do
usług, a fakt ten wychodzi dopiero
po kilku tygodniach czy miesiącach.
W takiej sytuacji administrator
najczęściej nie kojarzy zgłoszonego
mu problemu z modyfikacjami, jakie
wprowadził wcześniej na urządzeniach
sieciowych, zwłaszcza że naturalnym
jest przekonanie, iż zgłoszony problem
jest zjawiskiem nowym i niepowiązanym z przeszłymi działaniami.
I tu znowu z pomocą przychodzi nam
jedna z funkcjonalności ST. Wykorzystując opcje analyze–>analysis queries
można zweryfikować drożność ścieżki
w sieci określonej adresami SRC i DST
i portem usługi sieciowej. Pozwala to
na prześledzenie w ciągu paru chwil,
czy pomiędzy urządzeniem wskazanym
jako źródłowe i docelowym nie
znajduje się inne urządzenie, które
w wyniku wcześniejszej rekonfiguracji odcina ruch sieciowy. Tego typu
pomoc może znacząco przyspieszyć
identyfikację urządzenia sprawiającego
problem na badanej trasie routowania
pakietów IP i umożliwić szybkie odblokowanie odciętej usługi.
Dobór właściwej polityki
kontroli dostępu
Niezwykle użyteczną funkcjonalnością
systemu jest identyfikowanie usług
sieciowych w przypadkach, gdy administratorzy nie wiedzą, na jakich portach
dana usługa jest zdefiniowana oraz
pomoc w doborze właściwej polityki
kontroli dostępu. Często zdarza się, że
niektóre aplikacje uruchamiane w sieci
na potrzeby poszczególnych projektów
nie posiadają szczegółowo zdefiniowanych wymagań (dostępnych dla
administratora systemów zabezpieczeń
sieci) odnośnie komunikacji TCP/UDP.
W takim przypadku administrator
mający zapewnić dostęp do serwerów
świadczących taką usługę nie jest
w stanie zdefiniować reguł bezpieczeństwa pod postacią sztywnych
reguł ACL na urządzeniach sieciowych,
40
zwłaszcza gdy nie ma czasu na szczegółowe śledzenie blokowanych
połączeń. W takiej sytuacji również
pomocny okazuje się Secure Track
(automatic policy generator), który
w procesie nauki rozpoznaje połączenia
zestawiane do nowo uruchomionych
usług. W efekcie po zadanym czasie (np.
po kilku czy kilkunastu dniach) system
w oparciu o zdobytą wiedzę proponuje
administratorowi dobór odpowiedniej
może mieć spore problemy z analizą
konfiguracji „ścian ogniowych” innych
producentów (np. Juniper, Palo Alto czy
Check Point), w szczególności wymogów bezpieczeństwa dla danej platformy sprzętowej. Dzięki ST po zaledwie
kilku kliknięciach myszką (wybieramy opcję audit  best practice) oraz
wskazaniu urządzenia (wraz z zaleceniami w zakresie weryfikacji ogólnych
założeń „best practice” lub szczególny-
Rozwiązania Tufin ST są wykorzystywane przez wiodące
przedsiębiorstwa na całym świecie i to zarówno w sektorze
usług finansowych czy ochrony zdrowia, jak i w sektorze
telekomunikacyjnym, technologicznym, transportowym czy
energetycznym.
polityki bezpieczeństwa, pozwalając
ograniczyć mniej lub bardziej szczegółowo – w zależności od wymagań
w zakresie bezpieczeństwa– dostępne
połączenia sieciowe wymagane do
poprawnej pracy nowej aplikacji (opcja
balance graph).
Zgodność konfiguracji
z „dobrymi praktykami”
i politykami bezpieczeństwa
ST znacząco pomaga administratorom eliminować błędy będące
skutkiem tzw. „czynnika ludzkiego”,
powstające często w procesie zarządzania zmianami sieci i rekonfiguracji
zabezpieczeń sieciowych.
Jak już wspomniano Secure Track
posiada możliwość monitorowania
urządzeń sieciowych pod kątem zmian
konfiguracji oraz zapewnia wsparcie
dla administratorów. Szczególnie pomocne są tu narzędzia analizy zmian
konfiguracji oraz ich zgodności z tzw.
„dobrymi praktykami” (best practice) rekomendowanymi dla poszczególnych platform sieciowych. Do
rzadkości należą sytuacje, gdy jeden
administrator jest specjalistą w zakresie konfiguracji urządzeń sieciowych
różnych producentów. I tak przykładowo specjalista w dziedzinie konfiguracji systemów klasy firewall bazujących
na produktach firmy Cisco Systems
mi wytycznymi dla danego producenta) uzyskujemy raport weryfikujący
poprawność naszej konfiguracji lub
ewentualnie zalecenia wskazujące
jednoznacznie konieczność dokonania niezbędnych zmian służących
uszczelnieniu konfiguracji audytowanych systemów.
Oprócz weryfikacji zmian konfiguracji
w kontekście zgodność z tzw. „best
practice”, ST daje możliwość badania
konfiguracji urządzeń, a właściwie
dokonywanych na nich zmian zgodnie
z obowiązującym w danej organizacji
zespołem polityk i zaleceń z zakresu
bezpieczeństwa (tzw. „corporate
policy” ). W tym celu wystarczy
„nauczyć” ST obowiązujących polityk
bezpieczeństwa, by każda późniejsza
modyfikacja konfiguracji urządzeń
sieciowych naruszająca zdefiniowaną
wcześniej i zatwierdzoną w firmie
politykę bezpieczeństwa wywoływała
alarm, który uświadomi nieuważnemu
administratorowi, że właśnie łamie
obowią zując ą politykę bezpie czeństwa (np. zezwalając na połączenia
nieszyfrowaną usługą terminalową
telnet zamiast szyfrowanego SSH do
urządzeń sieciowych).
Inną niezwykle pomocną funkcją
oferowaną przez ST jest wykorzystanie
polityk oznaczanych jako „business
continuity”, których zadaniem jest
przypilnowanie, aby nadgorliwy
Numer: III/2012 (120)
administrator jednym nieostrożnym
ruchem nie doprowadził do przerwy
w funkcjonowaniu usług sieciowych,
kluczowych z punktu widzenia firmy,
stanowiących czasami o jej być albo nie
być (np. krytyczne usługi finansowe,
systemy sterujące liniami technologicznymi, korporacyjna telefonia IP
etc.) . W tym celu wystarczy wcześniej
określić zakres owych usług, definiując
ich źródło w postaci adresów IP (src/
dst), numerów portów (port:tcp/udp)
oraz ewentualnie kierunków ruchu
sieciowego.
Ponadto ST umożliwia weryfikowanie
konfiguracji urządzeń pod kątem
zgodności z normami bezpieczeństwa
zdefiniowanymi wymogami PCI DSS,
SOX, HIPAA, ISO 17799, NERC, Basel
II lub naszą wewnętrzną polityką
na poszczególne domeny administracyjne (np. podział ze względu
na kompetencje administratorów,
obszar geograficzny, funkcjonalność
czy producentów urządzeń etc.) zarządzane przez wyznaczonych w tym celu
administratorów/grupy. Użytkownicy
mogą być dodawani lokalnie lub ich
źródłem może być zewnętrzna usługa
katalogowa (LDAP/AD).
T–80 obsługujące do 10 urządzeń,
dedykowane głównie dla małych,
rozproszonych oddziałów. Przy czym
lista platform sieciowych wspieranych
przez ST jest bardzo szeroka i stale się
powiększa (należą do niej Cisco, Palo
Alto, CheckPoint, F5, Fortinet, Juniper,
F5, McAfee, Blue Coat). Niewątpliwie
pomocnym jest wykorzystanie rozwiązania Tufin Open Platform ( TOP)
umożliwiającego monitorowanie
Podsumowanie
dowolnych urządzeń, których konfiguracje można pobrać w postaci pliku
Tufin Secure Track dostępny jest pod tekstowego. Pełna lista wspieranych
postacią oprogramowania poczy- producentów oraz ich rozwiązań
nając od platform softwarowych dostępna jest na stronie producenta
(Linux: RedHat , CentOS), przez pod linkiem: http://www.tufin.com/
platformy wirtualne, skończywszy na products_supported_devices.php.
dedykowanych urządzeniach sprzętowych (T–series appliance – rys. 4). Rozwiązania Tufin ST są wykorzystywane przez wiodące przedsiębiorstwa
na całym świecie i to zarówno w sektorze usług finansowych czy ochrony
zdrowia, jak i w sektorze telekomunikacyjnym, technologicznym,
transportowym czy energetycznym.
Firma Tufin posiada również inne
narzędzie klasy „workflow” powiązane
funkcjonalnie z ST, które służy
przede wszystkim analizie procesu
projektowania i akceptowania oraz
nadzorowaniu procesów wprowadzania zmian i cyklu ich życia
w konfiguracji sieci. Omówieniu
Secure Change (S.C.), bo o nim tu
mowa, będzie poświęcony oddzielny
artykuł w jednym z kolejnych wydań
Integratora.
Ws z ys t k ic h z aint er e s owanyc h
Rys. 4. Tufin T–appliances (T–500,T–1000/XL)
produktem Tufin Secure Track oraz
przetestowaniem jego możliwości
określaną jako Compliance Police.
Występują 4 rodzaje urządzeń z serii na przykładzie własnego środowiska
O p r ó c z w / w f u n k c j o n a ln o ś c i „T” różniące się między sobą wydaj- sieciowego zachęcamy do kontaktu
system umożliwia generowanie nością i gabarytami (seria T–500 z działem handlowym SOLIDEX.
raportów zawierających informacje 1RU). Seria T–500 jest przeznaczona
o wersjach systemów operacyjnych do zarządzania max. 100 urządzeniami Opracowano na podstawie oficjalnych
urządzeń sieciowych i ich weryfi- sieciowymi, podczas gdy seria T–1000 materiałów producenta.
kac ję w kontek ś c ie wymogów zapewnia obsługę do 500 urządzeń,
A.J.
bezpieczeństwa.
a seria T–1000XL obsługuje ich aż 750
Inżynier SOLIDEX
na jednym systemie appliance (archiInterfejs administracyjny
tektura systemu pozwala łączyć ze
sobą kolejne urządzenia, uzyskując
S e c ur e Tr ac k z a r z ą d z a ny je s t praktycznie nieograniczoną skaloz dowolnego punktu sieci za pomocą walność ). Wszystkie urządzenia
zwykłej przeglądarki WWW wspiera- z serii „T” zapewniają redundancje
jącej prot. SSL (HTTPS). Jego interfejs zarówno dla podsystemów dyskowych
jest niezwykle funkcjonalny i intuicyjny (R AID), jak i zasilaczy. Uzupełw obsłudze dla użytkownika. System nieniem w/w urządzeń, nadających
umożliwia gradacje uprawnień, się do instalacji w szafach rack, są małe
dzięki czemu można podzielić sieć „nierackowalne” urządzenia z serii
41
rozwiązania
Rozwiązania Cisco Ironport jako
skuteczna ochrona ruchu e-mail
i web przed zagrożeniami
Sprawnie działająca poczta elektroniczna i dostęp do sieci Internet stanowi
obecnie krytyczny element funkcjonowania każdej firmy czy organizacji.
Stawia to przed działami IT trudne zadanie ochrony przed zagrożeniami
płynącymi z dostępu do tych mediów.
Do problemów, z którymi muszą •wyłudzanie poufnych danych następujące problemy:
zmierzyć się administratorzy poczty
(phishing),
•narażenie komputerów na niebeze–mail, możemy zaliczyć:
•kradzież poufnych danych przez
pieczną zawartość aktywną na
•spam,
pracowników,
stronach internetowych (wirusy
•niechciane wiadomości reklamo- •ataki na znane podatności serwei innego rodzaju malware),
we, które z technicznego punktu
rów pocztowych i ataki typu DoS. •wyłudzanie poufnych informawidzenia nie są spamem, a więc są
cji przez fałszywe strony www
trudne do wychwycenia,
Z kolei niekontrolowany dostęp
(phishing),
•wirusy i innego rodzaju malware, pracowników do Internetu stwarza •kradzież poufnych danych przez
pracowników poprzez wysyłanie
ich na zewnętrzne serwery,
•utrata produktywności pracowników poprzez wykorzystywanie
Internetu w celach innych niż
służbowe,
•nadmierne i niepotrzebne wykorzystanie pasma łączy internetowych.
Rodzina produktów
Ironport
Cisco Ironport to specjalizowane urządzenia, zapewniające kompleksową
ochronę ruchu e–mail i web. Można
Rys. 1. Urządzenie serii Cisco Ironport
42
Cisco
Numer: III/2012 (120)
Urządzenie
Przeznaczenie
Ironport S670
HQ, duże firmy
Ironport S370
Średnie firmy, duże oddziały
Ironport S170
Ironport S160
Małe firmy, małe oddziały
dostępnym przez WWW. Co ważne –
GUI wszystkich typów urządzeń jest
zorganizowane w podobny sposób, co
bardzo ułatwia pracę administratorom.
Dostępna jest również funkcjonalność
zarządzania urządzeniami poprzez CLI
oraz SNMP.
Tabela 1. Appliance z serii Ironport S
Ironport serii C
Urządzenie
Przeznaczenie
Ironport X1070
ISP, bardzo duże organizacje
Ironport C670
HQ, duże firmy
Ironport C370
Ironport C370D
Urządzenie zoptymalizowane do wysyłania
dużej ilości autentykowanej poczty
Ironport C170
Ironport C160
Tabela 2. Appliance z serii Ironport C
Urządzenie
Przeznaczenie
Ironport M1070
HQ, duże firmy
Ironport M670
Ironport M170
Ironport M160
Tabela 3. Appliance z serii Ironport M
wśród nich wyróżnić trzy główne linie
produktowe:
•Ironport serii C przeznaczone do
ochrony poczty e–mail,
•Ironport serii S przeznaczone do
ochrony ruchu web,
•Ironport serii M służące do centralnego zarządzania i raportowania
z urządzeń serii S oraz C.
Obecnie dostępne urządzenia Ironport
w portfolio produktowym Cisco
zebrano w tabelach 1, 2 i 3.
Dla urządzeń serii C jest dostępne
rozwiązanie szyfrowania poczty
Cisco Ironport E–Mail Encryption,
EMAIL
INTERNET
oferowane jako dedykowany Cisco
Ironport Encryption Appliance, bądź
usługa Cisco Registered Envelope
Service (CRES).
Każdą z funkcjonalności urządzeń
Ironport uruchamia oddzielna licencja,
co pozwala Klientom dostosować
urządzenie dokładnie do swoich
potrzeb, a także łatwo rozbudować je
o dodatkowe funkcjonalności poprzez
prostą instalację dodatkowych licencji.
Wszystkie urządzenia serii Ironport
posiadają, jako oprogramowanie
specjalizowany i bezpieczny system
operacyjny AsyncOS z intuicyjnym,
graficznym interfejsem użytkownika
FIREWALL
IRONPORT
EMAIL SECURITY APPLIANCE
Ironport serii C pełni rolę bramy
SMTP przejmującej na siebie zadanie
odbierania i wysyłania poczty na
styku z Internetem. Korporacyjne
serwery pocztowe komunikują się
tylko z urządzeniem, a więc są bardzo
skutecznie odseparowane i chronione
przed atakami z zewnątrz. Ideę
pokazuje rysunek 2.
Urządzenia cechuje bardzo wysoka
wydajność i skuteczność w wykrywaniu spamu, dzięki wykorzystaniu
usług rozproszonych i specyficznemu
podejściu do analizy nadawców, jak
i samych e–maili. Nadawcy wiadomości są wstępnie weryfikowani
w dynamicznie aktualizowanej,
globalnej bazie danych z informacjami
o nadawcach (SenderBase). Na etapie
nawiązywania sesji SMTP odrzucana
jest ogromna większość nadawców
spamu, który nie musi być dalej
przetwarzany. Dzięki temu znacznie
oszczędza się zasoby systemowe
urządzenia. E–maile od nadawców,
którzy przeszli weryfikację SRBS, są
analizowane dalej i skanowane pod
kątem treści wskazujących na spam.
Ideę pokazuje rysunek 3.
Unikalną funkcjonalnością Ironport C
jest możliwość wykrywania wiadomości technic znie niebędących
spamem, bo pochodzących od prawidłowych nadawców, ale zawierających
niechciane treści reklamowe.
E–maile mogą być także skanowane
pod kątem obecności malware przez
jeden z dwóch dostępnych silników
antywir usowych (Mc A fee lub
GROUPWARE
CLIENTS
IronPort email security solutions integrate easily into existing messaging infrastructures - delivering defense-in-depth security.
Rys. 2. Integracja Ironport C z systemem pocztowym
43
rozwiązania
Rys. 3. Wielopoziomowa ochrona przed spamem na urządzeniach Ironport C
Sophos). Ponadto dzięki silnikowi
Virus Outbreak Filters, system
zapewnia t ak że ochronę przed
nowymi zagrożeniami, dla których
nie ma jeszcze opracowanych sygnatur
antywirusowych.
Administrator otrzymuje zatem
kompletne narzędzie ochrony antyspamowej i antywirusowej dla poczty
zewnętrznej i nie musi już wdrażać tego
typu mechanizmów na wewnętrznych
serwerach pocztowych. Oczywiście
nadal pozostaje kwestia ochrony stacji
końcowych użytkowników przed
malware przeniesionym np. za pomocą
nośników wymiennych.
System posiada wszechstronne
możliwości analizy i modyfikacji
zawartości e–maili w celu wymuszenia
określonych polityk bezpieczeństwa
obowiązujących w firmie. Analiza
i klasyfikacja wiadomości może
odbywać się w oparciu m.in. o kryteria
takie jak:
•obecność określonych nagłówków
w wiadomości,
•wyrażenia regularne w odniesieniu do każdego nagłówka i treści
wiadomości,
•obecność wrażliwych danych, wykrywanych przez silnik DLP,
•typ i rozmiar załączników.
Sklasyfikowana wiadomość może
zostać przetworzona w praktycznie
dowolny sposób – m.in. poprzez:
•umieszczenie w jednej z dedykowanych kwarantann wiadomości
naruszających zdefiniowaną politykę bezpieczeństwa,
•dodanie, usunięcie lub zmianę
dowolnych nagłówków wiadomości,
•dodanie, usunięcie lub zmianę
adresatów wiadomości w oparciu
o statyczne mapowania lub usługę
katalogową,
•przekierowanie wiadomości do
innego niż wynika z routingu
SMTP serwera pocztowego,
•usunięcie niedozwolonych załączników wiadomości.
Integracja z usługą katalogową LDAP
pozwala również na weryfikację
odbiorców wiadomości, zanim dotrze
Rys. 4. Weryfikacja reputacji adresu URL
44
ona do serwera pocztowego. Uzyskuje
się dzięki temu znaczące odciążenie
wewnętrznych serwerów pocztowych,
a poprzez odpowiednią konfigurację
odpowiedzi Ironporta do nadawcy,
możliwa jest również ochrona przed
skanowaniem dostępności prawidłowych adresów e–mail przez boty
spamerskie.
Appliance Ironpor t C mogą być
klastrowane dla zapewnienia redundancji. Klaster z punktu widzenia sieci
działa jak oddzielne relay’e SMTP
(podstawowy i zapasowy), jednak
administrowanie nim jest bardzo
proste, dzięki automatycznej replikacji polityk pomiędzy urządzeniami
w klastrze.
Ironport seria S
Ironport serii S z punktu widzenia sieci
jest urządzeniem typu Web Proxy,
mogącym pracować w trybie standardowym (explicit forward proxy), bądź
przezroczystym (transparent proxy)
z wykorzystaniem protokołu WCCP,
a zatem urządzenie bardzo dobrze
integruje się z różnymi topologiami
sieci. Obsługiwane protokoły to:
•HTTP,
•HTTPS z możliwością transparentnego przepuszczania żądań, bądź
ich inspekcji,
•FTP w trybie Native i over HTTP,
•protokoły tunelowane metodą
HTTP CONNECT (obsługa w zakresie przepuszczania, bądź blokowania ruchu).
Weryfikacja żądań proxy na urządzeniu
serii S odbywa się podobnie, jak weryfikacja antyspamowa na urządzeniu
serii C, czyli kilkuetapowo. Adres URL
i każdy kolejny odnośnik na stronie,
Numer: III/2012 (120)
do której on prowadzi może być
wstępnie zweryfikowany w globalnej
bazie reputacyjnej SenderBase. Proces
obrazuje rysunek 4. Każdy adres zostaje
zakwalifikowany na podstawie otrzymanej wartości Web Base Reputation
Score ( WBRS) do jednej z trzech
kategorii:
•BLOCK – adres niebezpieczny –
żądanie musi być zablokowane,
•ALLOW – adres bezpieczny –
żądanie i odpowiedź serwera mogą
być przepuszczone bez dodatkowej
inspekcji antimalware,
•SCAN – adres potencjalnie niebezpieczny – trzeba wykonać głęboką
inspekcję antimalware.
Dzięki takiemu podejściu tylko
niewielka część żądań i odpowiedzi
serwera musi być poddawana skomplikowanej inspekcji intensywnie
wykorzystującej zasoby systemowe
urządzenia i mogącej potencjalnie
powodować opóźnienia. Skanowanie
antymalware może być wykonywane
przez specjalizowany silnik WebRoot
oraz jeden z dwóch silników antywirusowych (McAfee lub Sophos). W razie
potrzeby progi WBRS dla powyższych
akcji mogą być zmieniane niezależnie
dla każdej reguły w politykach dostępu.
Przychodzące żądania mogą być
identyfikowane w oparciu o:
•adres/podsieć IP,
•użytkownika/grupę w usłudze
katalogowej,
•protokół i port,
•datę i czas,
•kategorię adresu URL,
•agenta wysyłającego żądanie.
•kategorii URL w zależności od daty
i czasu wygenerowania żądania,
•typu
pobieranego/wysyłanego
obiektu (np. strumienie wideo,
obiekty flash itd.),
•protokołu i portu.
Możliwe jest również limitowanie
pasma dla mediów strumieniowych
identyfikowanych przez silnik AVC.
Wybrane połączenia szyfrowane
HTTPS mogą być poddawane inspekcji
i przyjmowane bądź odrzucane
wg identycznych kryteriów jak dla
połączeń nieszyfrowanych. Odbywa
się to na zasadzie podstawienia
klientowi certyfikatu serwera (ataku
typu man–in–the–middle).
Autentykacja użytkowników w usłudze
katalogowej może odbywać się w trybie
podstawowym (Basic Authentication),
gdzie użytkownik dostaje monit
z prośbą o wpisanie swojej nazwy
użytkownika i hasła, bądź przezroczystym (Transparent Authentication)
z wykorzystaniem protokołu NTLM.
Autentykacja Basic jest wspierana dla
Active Directory i serwerów LDAP,
a Transparent – tylko dla AD. Możliwe
jest również odróżnienie użytkowników
zdalnych od lokalnych i definiowania
dla nich odrębnych polityk dostępu
dzięki wsparciu dla Cisco Anyconnect
Secure Mobility (integracja z Cisco ASA).
Użytkownicy zdalni mogą być również
rozróżniani poprzez umieszczenie ich
w wydzielonej podsieci IP.
Redundancja Ironport S jest realizowana za pomocą protokołu WCCP,
bądź odpowiednio przygotowanych
plików PAC dla stacji końcowych.
Centralne zarządzanie politykami na
kilku urządzeniach serii S odbywa się
z poziomu urządzenia serii M.
•monitorowania aktywności użytkowników proxy (Web Tracking)
dla serii S.
Cechą wspólną dla statystyk i raportów
z obu typów urządzeń jest możliwość
ich generowania z historycznie dłuższego przedziału czasu, niż w przypadku
wykonywania tego zadania bezpośrednio na urządzeniu serii S lub C.
Wdrożenie Ironport M jest zalecane
w przypadku rozbudowanych instalacji
składających się z kilku urządzeń serii S
i C. Lista funkcjonalności realizowanych
przez ten appliance jest stale poszerzana
w nowych wersja oprogramowania
AsyncOS.
Podsumowanie
Appliance serii Cisco Ironport mogą
stanowić istotny element ochrony
przed zagrożeniami dla korporacyjnej
poczty i ruchu web. Cechuje je łatwość
integracji z istniejącą infrastrukturą,
wysoki poziom zapewnianej ochrony
i proste zarządzanie. Administrator
otrzymuje kompletne narzędzie ochrony
z praktycznie wszystkimi potrzebnymi
funkcjonalnościami w postaci specjalizowanego urządzenia.
Ł.J.
Inżynier SOLIDEX
Dla sklasyfikowanych wg powyższych
kryteriów żądań mogą być zdefiniowane niezależne polityki dostępu
realizujące blokowanie, bądź przepusz- Urządzenie Ironport M
czanie ruchu dla:
•jednej z kilkudziesięciu predefinio- Urządzenie Ironport M służy do
wanych kategorii URL silnika Cisco centralnego:
•zbierania i generowania statystyk
Ironport Web Usage Controls,
oraz raportowania z urządzeń serii
•kategorii zdefiniowanych przez
S i C,
użytkownika,
•wybranych funkcjonalności apli- •zarządzania politykami proxy dla
urządzeń serii S,
kacji webowych (np. przycisk
„Lubię to” na Facebook–u) identy- •przechowywania wychwyconego
spamu (kwarantanna) dla urządzeń
fikowanych przez silnik Application
serii C,
Visibility and Control (AVC) – lista
wspieranych aplikacji i ich funkcjo- •monitorowania wiadomości e–
mail (Message Tracking) dla serii C,
nalności jest stale poszerzana,
45
SYSTEM REZERWACJI SAL
SYSTEM REZERWACJI SAL
system
rezerwacji sal
intuicyjna i zaawansowana aplikacja
do rezerwacji sal konferencyjnych w firmach
Więcej informacji o ofercie: www.webservice.pl
Numer: III/2012 (120)
Wysokospecjalizowane
urządzenia serii SRX dla budowy
zapór ogniowych
Seria urządzeń SRX to linia wysokospecjalizowanych zapór ogniowych
jednego z największych na świecie producentów sprzętu sieciowego, założonej
w 1996 roku kalifornijskiej firmy Juniper Networks. Jej pierwszym produktem
był innowacyjny router M40, pierwszy, w którym zastosowano technikę
przełączania pakietów z wykorzystaniem dedykowanych układów scalonych
ASIC, dzięki czemu uzyskano rewelacyjną wydajność, niespotykaną wówczas
wśród konkurencji.
Przed 2009 rokiem klienci, decydujący
się na zakup produktów tej firmy,
stawali przed dylematem wyboru
między routerami pracującymi pod
kontrolą systemu JunOS, a urządzeniami serii SSG, działającymi w oparciu
o system firmy NetScreen (ScreenOS),
przejętej na początku 2004 roku
przez Juniper. Te pierwsze oferowały
zaawansowane funkcje routingowe,
ale z ograniczonymi możliwościami
zapewniania bezpieczeństwa, podczas
gdy te drugie były wyspecjalizowane
w zapewnieniu różnorodnych funkcji
bezpieczeństwa, ale miały zaimplementowane jedynie podstawowe
funkcje routingu. Z czasem Juniper dał
możliwość migracji oprogramowania
między routerami serii J oraz wyższymi
modelami serii SSG, pozwalając na urządzenia przeznaczone dla małych
zamienność platform sprzętowych.
i średnich firm (branch) oraz wyższe
W 2009 roku Juniper zaprezen- modele przeznac zone dla siec i
tował nową linię zapór ogniowych: kampusowych (campus), centrów
serię SRX, pracujących pod kontrolą
systemu operacyjnego, który łączy
cechy JunOS oraz ScreenOS. Seria SRX
to wszechstronne, wysokowydajne
urządzenia, integrujące funkcje routera,
zapory sieciowej, systemu filtrowania
i kontroli treści oraz bezpiecznego
Rys. 1. Urządzenie SRX100
dostępu, jednocześnie zapewniające
wysoki poziom niezawodno ś c i
dzięki wspieranym mechanizmom
nadmiarowości.
Seria zapór ogniowych SRX obejmuje
12 modeli, oferujących szerokie
spektrum wydajności. Gamę modeli
producent dzieli na dwie grupy:
47
rozwiązania
przetwarzania i przechowywania
danych (data center) oraz operatorów.
Począwszy od najmniejszego modelu,
którym jest SRX100, urządzenia SRX
posiadają pełną funkcjonalność ,
a kolejne modele serii oferują coraz
większą wydajność. Urządzenia te
zostały zaprojektowane jako uniwersalne platformy, służące do budowy
sieci oraz wszechstronnej ochrony
zarówno zasobów sieciowych, jak
i użytkowników. Dzięki realizacji
zaawansowanych mechanizmów
routingu, przełączania, a przede
wszystkim bezpieczeństwa, a także
posiadaniu różnorodnych interfejsów
sieciowych, można w oparciu o nie
zaprojektować wysokowydajną oraz
wszechstronnie zabezpieczoną sieć
o dowolnej architekturze lub dokonać
rozbudowy już istniejącej sieci przy
minimalnej potrzebie jej reorganizacji i uzupełnienia o dodatkowe
wyposażenie.
Zaimplementowane funkcje obsługi
sieci to m.in. dynamiczne protokoły
routingu (RIP, OSPF, BGP), mechanizmy QoS, segmentacja sieci dzięki
wykorzystaniu wirtualnych sieci
(VLAN), stref bezpieczeństwa, wirtualnych routerów (VR) oraz systemów
logicznych (L SYS). Możliwa jest
również obsługa protokołów IS–IS
oraz MPLS.
Wszystkie modele mogą zapewniać
wysoką niezawodność dzięki mechanizmom HA (active/passive lub active/
active). Ponadto od modelu SRX650
wyposażenie obejmuje zwielokrotniony układ zasilania oraz oddzielne
moduły kontrolno–zarządzające.
Głównym zadaniem urządzeń serii SRX
jest ochrona sieci oraz użytkowników,
a także zapewnienie zdalnego dostępu
pracowników do zasobów firmy.
Realizowane jest to dzięki obsłudze
podstawowych mechanizmów zabezpieczeń, do których można zaliczyć
wspomnianą wcześniej segmentację
sieci, filtrowanie pakietów (stateless
oraz stateful firewall), translację
adresów (NAT) oraz tunele VPN, jak
również bardzo zaawansowanych
i wyrafinowanych funkcji łagodzenia
zagrożeń, jakimi są zintegrowane
funkcje inspekcji warstwy aplikacyjnej
(UTM).
Małe oraz średnie urządzenia serii
SRX oferują kompletny zestaw funkcji
UTM, których skuteczność i wszechstronność oparta jest o wieloletnie
doświadczenia nie tylko samej firmy
Juniper, ale również innych wiodących
producentów zabezpieczeń sieciowych:
•identyfikacja, klasyfikacja oraz
inspekcja aplikacji (AppSecure),
•mechanizm wykrywania i zapobiegania włamaniom (IPS), wykorzystujący bazę sygnatur firmy
Juniper,
•zintegrowany antywirus, z możliwością wyboru między mechanizmem skanującym dostarczonym
przez fimę Kaspersky (Kaspersky
Rys. 6. Urzadzenie SRX650
Parametry techniczne
SRX100/
SRX110
SRX210
SRX220
SRX240
SRX550
SRX650
Przepustowość firewall (max)
700Mbps
850Mbps
950Mbps
1,5Gbps
5,5Gbps
7Gbps
Przepustowość firewall (imix)
200Mbps
250Mbps
300Mbps
500Mbps
1,7Gbps
2,5Gbps
Przepustowość IPS
60Mbps
85Mbps
100Mbps
100Mbps
800Mbps
900Mbps
Przepustowość VPN
65Mbps
85Mbps
100Mbps
250Mbps
1Gbps
1,5Gbps
Antywirus
25Mbps
30Mbps
35Mbps
85Mbps
300Mbps
350 Mbps
Pakietów na sekundę
(64 Bajty)
75Kpps
80Kpps
125Kpps
200Kpps
700Kpps
900Kpps
Liczba połączeń (max)
pamięć DRAM
16K/32K
512MB/1GB
32K/64K
512MB/1GB
96K 1GB
64K/128K
512MB/1GB
375K 2GB
512K 2GB
2000
2000
2500
9000
27000
30000
Routery wirtualne (max)
3
10
15
20
48
60
Strefy bezpieczeństwa (max)
10
12
24
32
96
128
Vlany (max)
16
64
128
512
3072
4096
Liczba równoczesnych tuneli
VPN
128
256
512
1000
2000
3000
Liczba połączeń na sekundę
Tabela 1. Parametry techniczne urządzeń SRX (modele od SRX100 do SRX650)
48
Numer: III/2012 (120)
Parametry techniczne
SRX1400
SRX3400
SRX3600
SRX5600
SRX5800
Przepustowość firewall (max)
10Gbps
20Gbps
30Gbps
70Gbps
150Gbps
Przepustowość firewall (imix)
2,5Gbps
8Gbps
18Gbps
20Gbps
37,5Gbps
Przepustowość IPS
2 Gbps
6Gbps
10Gbps
15Gbps
26Gbps
Przepustowość VPN
2Gbps
6Gbps
10Gbps
15Gbps
30Gbps
Pakietów na sekundę
(64 Bajty)
1,15Mpps
3Mpps
6/6,5Mpps
(6,5M z dodatkową
licencją)
7Mpps
15Mpps
Liczba połączeń (max)
512 K
2,25/3M
(3M z dodatkową
licencją)
2,25/6M
(6M z dodatkową
licencją)
9M
20M
45000
175000
175000/300000
(300K z dodatkową
licencją)
350000
350000
Routery wirtualne (max)
500
1000
1000
2000
2000
Strefy bezpieczeństwa (max)
256
512
512
2000
2000
Vlany (max)
4096
4096
4096
4096
4096
Liczba równoczesnych tuneli
VPN
5000
7500
7500
15000
15000
Liczba połączeń na sekundę
Tabela 2. Parametry techniczne urządzeń SRX (modele od SRX1400 do SRX5800)
Scan Engine), a rozwiązaniem
firmy Juniper (ExpressAV Engine);
firma Kaspersky dostarcza również
bazę sygnatur wirusów dla obu
mechanizmów,
•zintegrowany antyspam, stworzony we współpracy z firmą
Sophos, która zapewnia również
ocenę reputacji adresów IP
(blocklist),
•filtrowanie stron WWW – działające w oparciu o bazę ponad
20 milionów adresów stron, pogrupowanych w 54 kategorie, dostarczaną przez firmę Websense.
W przypadku wyższych modeli,
czyli tych przeznaczonych dla sieci
kampusowych (campus), centrów
przetwarzania i przechowywania
danych (data center) oraz operatorów,
filtrowanie ruchu WWW możliwe jest
wyłącznie poprzez przekierowanie
go do zewnętrznych dedykowanych
serwerów filtrujących firmy Websense
(Websense Web filtering). Mimo że
funkcje antywirus oraz antyspam
nie są na tych platformach dostępne,
to jednak obsł ugują wszystkie
funkcje mechanizmu AppSecure,
jakimi są: AppTrack (identyfikacja
oraz klasyfikacja aplikacji), AppFW
(egzekwowanie polityki bezpiec zeństwa, dotyc zącej aplikacji),
AppQoS (segregacja oraz priorytetyzacja ruchu poszczególnych aplikacji),
AppDoS (ochrona przeciwko atakom
typu DoS, ukierunkowanym przeciwko
poszczególnym aplikacjom). Z kolei
urządzenia serii SR X typu branch,
zapewniają obsługę jedynie dwóch
pierwszych funkcji, czyli AppTrack oraz
AppFW.
Wyższe modele serii SRX bazują na
koncepcji DSA (Dynamic Services
Architecture), której kluczowymi
elementami są moduły kontrolne:
Switch Fabric Boards (SBC), Switch
Control Board (SCB) oraz wielozadaniowe karty Service Processing
Card (SPC ), przetwarzające ruch
z zapewnieniem odpowiednich usług.
Rozwiązanie to zapewnia wysoką
skalowalność w ramach jednolitej
architektury, a także osiągnięcie
wysokiego współczynnika niezawodności dzięki zwielokrotnieniu
podzespołów bazowych.
Tabela numer 1 zawiera zestawienie
parametrów technicznych małych
i średnich modeli serii SRX.
Tabela numer 2 zawiera zestawienie
parametrów technicznych wyższych
modeli serii SRX.
Oprogramowanie Network and
Security Manager (NSM) pozwala na
zarządzanie produktami serii SRX oraz
ich konfigurację, natomiast skrypty
Advanced Insight Solution (AIS)
zapewniają automatyczny monitoring
oraz ocenę problemów i zagrożeń.
49
rozwiązania
Logi, dostarczane przez urządzenia
SR X, mogą zostać wykorzystane
przez system zarządzania incydentami
bezpieczeństwa (SIEM) firmy Juniper,
czyli oprogramowanie Security Threat
Response Manager (STRM).
Urządzenia serii SRX firmy Juniper
wydają się przeczyć zasadzie: „jeśli
coś jest do wszystkiego, to jest do
niczego”, stanowiąc wydajne, uniwersalne oraz elastyczne platformy
o wszechstronnym zastosowaniu
w różnorodnych sieciach. Od momentu
premiery urządzenia te plasują się
w czołówce firewalli w corocznych
raportach firmy analityczno–doradczej
Gartner, Inc. Wysoka wydajność,
bogata oferta modeli oraz dobra
obsługa zgłoszeń serwisowych przez
firmę Juniper to zalety najczęściej
wskazywane przez klientów.
Teoretycznie możliwa jest budowa
sieci wyłącznie w oparciu o urządzenia
serii SRX, jednak w takim przypadku
dysponujemy ograniczoną ilością
portów sieciowych. Uzupełnienie
topologii o przełączniki serii EX
eliminuje to ograniczenie, umożliwiając budowę sieci przewodowej
o dowolnej topologii oraz gęstości
portów. Jednak więcej na ten temat
w jednym z kolejnych numerów
Integratora...
L.S.
Inżynier SOLIDEX
Przełącz się
na nową jakość
50
Call Manager Telbook daje możliwość zdefiniowania wielu źródeł danych zawierających
informacje o numerach telefonicznych w organizacji. Dzięki czemu w jednej Książce
Telefonicznej mogą znajdować się dane z kilku różnych systemów i niezależnie od miejsca
pochodzenia, mogą być prezentowane w taki sam sposób.
Architektura solid.book została zaprojektowana tak, aby cały ciężar analizy danych
źródłowych, wyszukiwania i zarządzania nimi, został przeniesiony na stronę tego
oprogramowania, co w dużym stopniu odciąża infrastrukturę IT u klienta.
Program SOLIDEX
Autoryzowane
Szkolenia
Cisco
Systems
®
ICND1
Interconnecting Cisco Network Devices Part 1
ICND2
Interconnecting Cisco Network Devices Part 2
CCNAX
Interconnecting Cisco Networking Devices: Accelerated NOWOŚĆ!
ROUTE
Implementing Cisco IP Routing
SWITCH
TSHOOT
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
BGP
MPLS
QOS
IINS
SECURE
FIREWALL
VPN
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Securing Networks with Cisco Routers and Switches v1.0
Deploying Cisco ASA Firewall Features
Deploying Cisco ASA VPN Solutions
CIPT P1
Implementing Cisco Unified Communications Manager Part 1 v8.0
CIPT P2
Implementing Cisco Unified Communications Manager Part 2 v8.0
CWLMS
Implementing CiscoWorks LMS
IP6FD
IPv6 Fundamentals, Design, and Deployment
IUWNE
Implementing Cisco Unified Wireless Networking Essentials
DESGN
Designing for Cisco Internetwork Solutions NOWOŚĆ!
ARCH
Designing Cisco Network Service Architectures NOWOŚĆ!
Infolinia: 800 49 55 82
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX
Złote Tarasy - Lumen, ul. Złota 59
Kraków
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944. Nakład: 2500 egz.
Redakcja:
Zespół Komunikacji Marketingowej SOLIDEX S.A.
ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
www.integrator.SOLIDEX.com.pl

Bring Your Own Device

Transkrypt

Podobne dokumenty

W numerze między innymi:

Integrator Nr III/2013 (124)

Integrator Nr II/2011 (115)

Integrator nr III/2014 (128)

Integrator Nr I/2012 (118)

Szkolenia

W numerze między innymi: - Integrator