Bring Your Own Device
Transkrypt
Bring Your Own Device
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® Nr III/2012 (120) W numerze między innymi: WYDARZENIA: Poznański Oddział SOLIDEX przenosi się do DELTY NOWOŚCI: GAiA – nowy system operacyjny firmy Check Point TECHNOLOGIE: Bring Your Own Device – Bring Your Own Device – wygoda komunikacji wiecej na str. 16 wygoda komunikacji Urządzenia sieciowe do zadań specjalnych w środowisku przemysłowym ROZWIĄZANIA: Rozwiązania bezprzewodowe Fortinet ISSN 1233–4944 www.integrator.SOLIDEX.com.pl Numer: III/2012 (120) Szanowni Państwo! Ostatnia dekada to czas wielkich przemian na rynku w dziedzinie IT. W każdym wydaniu INTEGRATORA prezentujemy artykuły, poprzez które staramy się na bieżąco informować Państwa o nowościach i zmianach w branży. INTEGRATOR jako niezależny kwartalnik od samego początku redagowany jest przez Zespół SOLIDEX, trafia do grupy 2500 profesjonalistów IT. Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym serwisem www.integrator.SOLIDEX.com.pl. Życzymy przyjemnej lektury! Spis treści WYDARZENIA 4 4 5 5 Poznański Oddział SOLIDEX przenosi się do DELTY SOLIDEX Złotym Partnerem firmy Sourcefire SOLIDEX partnerem Gold Communications firmy Microsoft Seminarium z cyklu: „SOLIDny EXpert radzi: Jak efektywnie współpracować na odległość?” już za nami NOWOŚCI 6 GAiA – nowy system operacyjny firmy Check Point Technologie 12 16 20 25 28 Technologie PON – „Passive Optical Network” Bring Your Own Device – wygoda komunikacji Urządzenia sieciowe do zadań specjalnych w środowisku przemysłowym. Portfolio Cisco Systems System transmisji optycznej oparty na technologii DWDM Cisco Smart Install – pomocnik administratora? Rozwiązania 32 37 42 47 Rozwiązania bezprzewodowe Fortinet Tufin Secure Track – optymalizacja bezpieczeństwa sieci Rozwiązania Cisco Ironport jako skuteczna ochrona ruchu e-mail i web przed zagrożeniami Wysokospecjalizowane urządzenia serii SRX dla budowy zapór ogniowych Biuletyn Informacyjny SOLIDEX® 3 WYDARZENIA Poznański Oddział SOLIDEX przenosi się do DELTY Z przyjemnością informujemy, że dla zwiększenia komfortu obsługi klienta naszego rozwijającego się Oddziału w Poznaniu w lipcu bieżącego roku nasza poznańska placówka przeniosła się do nowej lokalizacji. Nowa siedziba naszego oddziału je s t z lok a li z owa na w s a mym centrum Poznania, na czwartym piętrze biurowca Delta, przy ulicy Towarowej 35. Nowe przestronne biuro wyposażone w nowoczesny sprzęt i salę konferencyjną będzie dobrym miejscem do organizacji seminariów oraz warsztatów dla naszych Klientów, chcących poszerzyć swoje kwalifikacje, czy dowiedzieć się więcej na temat nowych technologii. Serdecznie zapraszamy do skorzystania z usług naszych SOLIDnych EXpertów! Nowy adres SOLIDEX S.A. Oddział Poznań ul. Towarowa 35 tel. +48 61 663 19 55 fax: +48 61 663 19 25 SOLIDEX Złotym Partnerem firmy Sourcefire Do grona partnerów technologicznych SOLIDEX dołączyła firma Sourcefire, dostarczająca innowacyjnych rozwiązań z dziedziny zarządzania ryzykiem i bezpieczeństwem informacji. z cyberbezpieczeństwem, specjalizuje się w systemach wykrywania i zapobiegania w łamaniom (Intrusion Prevention System) oraz systemach bezpieczeństwa nowej generacji (Next Generation Firewall). Sourcefire, firma aspirująca do bycia Dzięki ciągłemu dopracowywaniu liderem wśród dostawców inteli- swoic h pr oduk t ów S our c ef ir e gentnych rozwiązań związanych zdobywa coraz większe uznanie 4 Integrujemy przyszłość® na rynku, w tym również w Polsce. Ws z ys t k ic h z aint er e s owanyc h ofertą firmy Sourcefire zapraszamy do kontaktu. Więcej informacji na temat samej firmy znajdą Państwo na jej oficjalnej stronie internetowej: http://www.sourcefire.com Numer: III/2012 (120) SOLIDEX partnerem Gold Communications firmy Microsoft Wraz z początkiem lipca, SOLIDEX uzyskał status Partnera Gold firmy Microsoft, w zakresie technologii Communications. W poprzednim numerze informowaliśmy o otrzymaniu przez SOLIDEX partnerstwa Microsoft na poziomie Silver. Teraz z wielką przyjemnością zawiadamiamy o podwyższeniu kwalifikacji na poziom Gold, który pozwoli nam na uzyskanie najwyższego poziomu wsparcia producenta, zarówno w zakresie sprzedaży, jak i implementacji oraz supportu dla Klientów, co przełoży się na utrzymanie wysokiej jakości oraz szerokiego zakresu świadczonych przez nas usług. Technologia Communications oferuje Klientom zintegrowane rozwiązanie służące współpracy i komunikacji biznesowej. Dostępnych jest kilka kanałów komunikacyjnych (wideo, głos, chat), a także integracja ze środowiskiem pracy grupowej: Exchange, SharePoint. Całość znana jest pod nazwą Microsoft Lync i dostępna jest zarówno, jako systemy wewnątrz sieci (on–premise), jak i z chmury. Jeśli będą Państwo zainteresowani uzyskaniem szczegółowych informacji na temat Microsoft Lync, zapraszamy do kontaktu z naszymi SOLIDnymi EXpertami! Seminarium z cyklu: „SOLIDny EXpert radzi: Jak efektywnie współpracować na odległość?” już za nami W dniu 5 czerwca br. w sali konferencyjnej Centrum Kompetencyjno–Szkoleniowego SOLIDEX w Warszawie odbyło się kolejne seminarium z cyklu SOLIDny EXpert radzi, zatytułowane: „Jak efektywnie współpracować na odległość?”. Tematyka prezentacji obejmowała zagadnienia związane z Collaboration. Zaproszeni eksperci zaprezentowali następujące wykłady teoretyczne: •Usprawnienie współpracy i wymiany informacji (Microsoft) •Najważniejsze elementy udanego wdrożenia systemu komunikacji głosowej (SOLIDEX) •BYOD, czyli współpraca w erze „post PC” (Cisco) •Najważniejsze elementy udanego wdrożenia systemu wideokonferencyjnego (Cisco) Serdecznie dziękujemy wszystkim uczestnikom za przybycie. Mamy nadzieję , że por uszone tematy spotkały się z Państwa zainteresowaniem. Jednocześnie już dzisiaj zapraszamy na kolejne seminarium z serii SOLIDny EXpert radzi, które odbędzie po wakacjach. Biuletyn Informacyjny SOLIDEX® Harmonogram kolejnych seminariów oraz szczegółowe informacje odnośnie ich tematyki znajdą Państwo pod adresem: http://www.solidex.com.pl/oferta/ seminaria 5 NOWOŚCI GAiA – nowy system operacyjny firmy Check Point W połowie kwietnia miała miejsce premiera zapowiadanego od dłuższego czasu systemu operacyjnego firmy Check Point o nazwie GAiA. Nowy produkt to kolejny, po wprowadzeniu architektury Software Blade, krok producenta w kierunku unifikacji proponowanych rozwiązań. GAiA ma docelowo zastąpić dwa oferowane dotychczas systemy operacyjne – SecurePlatform (SPLAT) oraz IPSO. SecurePlatform czy IPSO? (Hardware Compability List) publikowanej na stronie internetowej Do tej pory na takie pytanie musiał Check Point. SPLAT oferuje wsparcie odpowiedzieć każdy, kto chciał zasto- dla wszystkich dostępnych w ofercie sować rozwiązania firmy Check Point producenta modułów software’owych w swojej sieci. Odpowiedź niestety tzw. blade’ów. Dotyczy to zarówno nie jest prosta, gdyż w tym przypadku modułów przeznaczonych do pracy wybór systemu operacyjnego deter- w ramach serwera zarządzającego minowany jest zarówno przez zbiór (Security Management Server), jak możliwych do zastosowania platform i zapór sieciowych (Security Gateway). sprzętowych, jak i dostępny zestaw Zasadniczą wadą SecurePlatform funkcjonalności z zakresu bezpie- są małe możliwości w zakresie implementacji routingu dynamicznego. czeństwa sieciowego. System SPL AT przeznaczony jest Na tym polu doskonale sprawdza do instalacji na przeważającej części się system IPSO, który niestety urządzeń produkowanych przez firmę dedykowany jest wyłącznie do obsługi Check Point. SecurePlatform obsługuje platform z serii IP Appliance. Co urządzenia z serii Power–1, UTM–1 oraz więcej, wspiera on ograniczony zbiór 2012 Appliance. Ponadto umożliwia modułów software’owych. Zapory instalację produktów firmy Check Point sieciowe działające pod kontrolą na serwerach innych producentów, systemu IPSO nie obsługują między tzw. open servers, pod warunkiem, że innymi modułu zdalnego dostępu serwery te znajdują się na liście HCL (Mobile Access), modułu ochrony 6 Integrujemy przyszłość® przed wyciekami informacji (DLP) oraz modułu antywirusowego (AntiVirus). W przypadku Security Management Server niewspierany jest np. przez system korelacji zdarzeń (SmartEvent/ SmartReporter). Ponadto ka żdy z systemów operacyjnych charakteryzuje się innym interfejsem użytkownika oraz sposobem konfiguracji, co w przypadku środowisk heterogenicznych wymaga dodatkowego nakładu administracyjnego. Na bazie przedstawionego porównania widać, że administrator dokonując wybor u systemu operac yjnego często musiał iść na kompromis. Przykładowo, co zrobić w przypadku gdy na urządzeniu wymagana jest obsługa routingu dynamicznego i jednoc ze śnie usł uga dost ępu zdalnego? Od kwietnia bieżącego roku odpowiedź na powyższe pytanie brzmi – „Zastosować system GAIA!”. Numer: III/2012 (120) System GAiA został zaprojektowany z myślą o zapewnieniu wysokich parametrów wydajnościowych, które pozwolą na skuteczną walkę z pojawiającymi się nieustannie nowymi źródłami zagrożeń. W systemie GAiA nie zabrakło najlepszych, sprawdzonych w praktyce mechanizmów dost ępnych we wc ze śniejszych systemach: SPL AT oraz IPSO. Na co możemy zatem liczyć instalując nowy system operacyjny? Wydajność System GAiA dostępny jest w dwóch wersjach 32 oraz 64–bitowej. Wersja 6 4 – bitowa wprowadza znaczną poprawę – w stosunku do swoich poprzedników – w zakresie możliwości obsługi jednoczesnych połączeń. Porównanie wydajności systemów operacyjnych w tym aspekcie w zależności od dostępnej pamięci R AM przedstawione zostało w tabeli numer 1. Rys.1. Platforma sprzętowa firmy Check Point Ilość zainstalowanej pamięci RAM SPLAT lub IPSO GAiA [64–bit] 6 GB 1.2M 2.5M 8 GB 1.2M 3.3M 12 GB 1.2M 5M 24 GB 1.2M 10M Tabela 1. Liczba obsługiwanych jednoczesnych połączeń w systemie SPLAT, IPSO oraz GAiA Platformy sprzętowe Nowy system przeznaczony jest do wspó ł pr ac y z pr ak t yc z nie wszystkimi dostępnymi urządzeniami firmy Check Point – Power–1, UTM–1, 2012 Appliance oraz IP Appliance. W przypadku produktów z linii IP Appliance urządzenia typu „flash based” oraz „hybrid” nie są wspierane. GAiA, podobnie jak SPLAT, umożliwia instalację produktów Check Point na urządzeniach typu „open server” zgodnych z HCL . Instalacja wersji 64 –bitowej możliwa jest wyłącznie na urządzeniach wyposażonych w minimum 6GB pamięci R AM. Powyższa uwaga dotyczy zarówno platform dedykowanych jak i „open server”. Rys.2. Platforma sprzętowa firmy Check Point Biuletyn Informacyjny SOLIDEX® 7 NOWOŚCI implement acją . Obs ł uga IP v6 ograniczała się do implementacji podstawowych funkcjonalności stosu IPv4 i IPv6 (dual stack) oraz obsługi protokołów pomocniczych, takich jak ICMPv6. Sporadycznie pojawiały się tzw. „IPv6packs”, które rozszerzały zakres obsługi protokołu o mechanizmy high–availability, CoreXL oraz możliwość obsługi IPSec VPN. Niestety moduły rozszerzeń publikowane były tylko dla określonych wersji systemu, co uniemożliwiało aktualizowanie oprogramowania. W efekcie klienci nie mogli korzystać z pojawiających się nowych funkcjonalności. Ostatni dostępny „Ipv6pack” przeznaczony był dla wersji R70! System GAiA natywnie wspiera obsługę protokołu IPv4 i IPv6. W ramach zaimplementowanych mechanizmów IP v6 wyróż nić możemy: Rys.3. Platforma sprzętowa firmy Check Point • routing statyczny, Wsparcie architektury na moduły zarządzające i moduły • firewall (64 –bit), Software Blade reprezentujące poszczególne mecha- • ClusterXL w trybie High Availability z synchronizacją stanów nizmy bezpieczeństwa. System GAiA zapewnia wsparcie połączeń, dla wszystkich modułów funkcjo- Wsparcie dla protokołu IPv6 • akcelerację w oparciu o mechanizmy SecureXL oraz CoreXL , nalnych dostępnych w architekturze Software Blade. Pod kontrolą nowego W systemie GAiA zaimplementowano • anti–spoofing, systemu operacyjnego mogą pracować obsługę protokołu IPv6. Co prawda • mechanizm Router Discovery, urządzenia pełniące zarówno rolę zgodnie z dokumentacją wsparcie • tunelowanie IPv6 w IPv4. serwera zarządzającego (Security IPv6 obecne było w produktach Management Server), jak i zapory Check Point od wersji NG X 60 Zadania konfiguracyjne związane sieciowej (Security Gateway). Tabela (opublikowanej w roku 2003), jednak z obsługą protokołu IPv6 realinumer 2 z awier a ze s t awienie miało ono bardziej charakter marke- zowane mogą być z poziomu nowego, dostępnych modułów z podziałem tingowy niż związany z rzeczywistą graficznego interfejsu użytkownika (WebGUI) lub bezpośrednio poprzez linię komend (CLI). Security Management Blades Security Gateway Blades Network Policy Management Firewall Logging & Status IPS Monitoring IPsec VPN SmartProvisioning Identity Awareness Management Portal Advanced Networking & Clustering User Directory Mobile Access SmartWorkflow Application Control SmartEvent DLP SmartReporter URL Filtering Anti–Bot Antivirus Anti–Spam & Email Security Tabela 2. Lista modułów software’owych wspieranych w systemie GAiA 8 Integrujemy przyszłość® Mechanizmy wysokiej dostępności We wcześniejszych systemach operacyjnych firmy Check Point wybór mechanizmu wysokiej dostępności implikowany był poprzez zastosowaną platformę sprzętową. System GAiA, dzięki implementacji zarówno pochodzącego z systemu SPLAT mechanizmu ClusterXL, jak i pochodzącego z IPSO standardu VRRP (Virtual Router Redundancy Protocol), pozostawia administratorom pełną swobodę w kwestii wyboru rozwiązania. Każdy z mechanizmów umożliwia łączenie dwóch lub więcej urządzeń Numer: III/2012 (120) typu Security Gateway w grupy pracujące w trybie active–passive lub active–active. Zastosowanie takiego rozwiązania pozwala wyeliminować pojedyncze punkty awarii i znacząco poprawić ciągłość pracy sieci. Konfiguracja mechanizmu VRRP odbywa się bezpośrednio w systemie GAiA (poprzez WebUI lub CLI), natomiast konfiguracja mechanizmu ClusterXL realizowana jest z poziomu serwera zarządzania (Security Management Serwer). Mechanizmy routingu dynamicznego Nowy system operacyjny wspiera szeroki wachlarz protokołów routingu dynamicznego typu unicast oraz multicast. Konfiguracja routingu dynamicznego w systemie GAiA realizowana jest z wykorzystaniem linii komend. Obsługiwane protokoły routingu typu unicast: •RIP RFC 1058, •RIP version 2 (with authentication) RFC 1723, •OSPFv2 RFC 2328, •OSPF NSSA RFC 3101, •BGP4 RFCs 1771, 1963, 1966, 1997, 2918. udostępniono dwa tryby pracy interfejsu – podstawowy oraz rozszerzony. Ciekawym elementem jest możliwość dostępu do linii poleceń bezpośrednio z poziomu interfejsu graficznego przy uż yciu jednego kliknięcia myszy. Rozwiązanie to z pewnością przypadnie do gustu osobom wiernym „czarnemu ekranowi”. Poruszanie się po interfejsie jest łatwe i intuicyjne, dzięki dostępnemu po lewej stronie ekranu panelowi nawigacyjnemu, który przedstawia dostępne możliwości konfiguracyjne w podziale na bloki funkcjonalne, np. ustawienia interfejsów, routing, zarządzanie u ż y t k o w n ik a m i i t d . N o w ym , niezwykle przydatnym elementem interfejsu graficznego jest system wysz uk iwania kont ek st owego. Wystarczy, poprzez podanie słowa kluczowego, wskazać interesujący nas aspekt konfiguracji, żeby w ciągu pomocy kontekstowej, który pozwala na bieżąco uzyskiwać informacje na temat składni używanych poleceń. Podobnie jak w systemach SPL AT oraz IPSO, w linii poleceń wyróżnić możemy dwa poziomy uprawnień administracyjnych – standardowy (wspomniana powłoka CLISH) oraz tzw. tryb „expert”, który umożliwia dos t ę p do niskopoz iomowyc h ustawień systemu. Poziom uprawnień przysługujący poszc zególnym u ż yt kownikom logującym się do systemu GAiA, zarówno poprzez interfejs graficzny, jak i linię poleceń, regulowany jest poprzez mechanizm oparty na rolach (Role Based Administrative Access). System kontroli uprawnień może współpracować z serwerami RADIUS oraz TACACS+. Umożliwienie szczegółowego definiowania poziomu dostępu do poszczególnych aspektów systemu, Obsługiwane protokoły routingu typu multicast: •IGMPv2 RFC 2236, •IGMPv3 RFC 3376, •PIM–SM RFC 4601, •PIM–SSM RFC 4601, •PIM–DM RFC 3973, •PIM–DM state refresh draft–ietf– pim–refresh–02.txt. Zarządzanie systemem Rys.4. Graficzny interfejs zarządzania systemu GAiA Zarządzenie systemem GAiA, podobnie jak u poprzedników, realizowane może być dwojako – poprzez graficzny interfejs użytkownika (WebUI) lub przez linię komend (CLI). Inter fejs grafic zny przypomina wyglądem poprzednika z system SPL AT, został jednak w znaczny sposób rozbudowany. Zadania konfiguracyjne wykonywane mogą być z poziomu większości dostępnych na rynku przeglądarek internetowych – Internet Explorer, Firefox, Chrome oraz Safari. Do dyspozycji administratora chwili uzyskać dostęp do stron systemu korzystnie wpływa na poziom bezpiepomocy, przedstawiającego krok po czeństwa całego rozwiązania. kroku wymagane czynności konfiguracyjne związane z poszukiwaną Mechanizmy aktualizacji funkcjonalnością. System GAiA został wyposażony Zarządzenie poprze linię komend w m e c h a n i z m y i n f o r m u j ą c e (CLI) oparte jest na doskonale znanej administratorów o dostępnych aktualiz systemu IPSO powłoce CLISH. zacjach zarówno dla zainstalowanych Większość zadań konfiguracyjnych produktów Check Point, jak i samego można zrealizować przy użyciu systemu operacyjnego. Sposób postę4 podstawowych poleceń systemu, powania z dostępnymi aktualizacjami a mianowicie: set, show, delete oraz definiowany jest poprzez konfigurację add. Bardzo dobrze działa system odpowiedniej polityki. W ramach Biuletyn Informacyjny SOLIDEX® 9 NOWOŚCI Check Point. Za najważniejsze należy uznać znaczny wzrost wydajności, dostępność dla większości platform oraz długo oczekiwane wsparcie dla protokołu IPv6. Zastosowanie nowego systemu pozwala na ujednolicenie środowiska sieciowego, co przekłada się na zmniejszenie nakładu pracy administratorów. Dodając do tego przyjazny i funkcjonalny interfejs zarządzający oraz łatwy proces migracji z istniejących produktów, system GAiA wydaje się być produktem kompletnym. Opracowano na podstawie oficjalnych materiałów producenta. Rys.5. Ekran konfiguracyjny polityki aktualizacji systemu wspomnianej polityki administratorzy mogą określić parametry takie jak: •sposób pobierania aktualizacji mechanizm „Auto–rollback”, przywracający stan wyjściowy urządzenia. System GAiA został zaprojektowany z myślą o zapewnieniu wysokich parametrów wydajnościowych, które pozwolą na skuteczną walkę z pojawiającymi się nieustannie nowymi źródłami zagrożeń. (manualny, zaplanowany lub automatyczny), •metodę instalacji aktualizacji (manualny, zaplanowany lub automatyczny), •zakres testów wykonywanych po instalacji nowych pakietów. W ramach dostępnych testów wyróżnić możemy sprawdzenie poprawności działania procesów, sprawdzenie możliwości instalacji polityki bezpieczeństwa oraz sprawdzenie stanu wszystkich interfejsów sieciowych zainstalowanych w systemie. Migracja z systemów SPLAT oraz IPSO Wprowadzając nowy syst em op er ac yjny pr o duc ent z adb a ł o bezproblemowy sposób migracji dla użytkowników korzystających aktualnie z systemów SecurePlatorm oraz IPSO. W bazie wiedzy firmy Check Point dostępne są szczegółowe procedury przedstawiające krok po kroku sposób przeniesienia istniejącej konfiguracji do systemu GAiA. Podsumowanie W przypadku negatywnych wyników Wpr owad zenie sys t emu G A i A testów przeprowadzonych po insta- przedstawia szereg korzyści dla lacji nowych pakietów, dostępny jest użytkowników rozwiązań firmy 10 Integrujemy przyszłość® M.I. Inżynier SOLIDEX Numer: III/2012 (120) Nowość w ofercie Warsztaty Check Point Next - Generation Firewall R75 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową - Warsztaty Check Point Next - Generation Firewall R75. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami - IPS, Content Security, Integracja z ActiveDirectory - budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.solidex.com.pl/oferta/warsztaty Biuletyn Informacyjny SOLIDEX® 11 TECHNOLOGIE Technologie PON – „Passive Optical Network” Technologie dostępowe dla ostatniej mili, stosowane w sieciach operatorskich i metropolitalnych, posiadały pewne ograniczenia w oferowanych prędkościach transferu i możliwym zasięgu. Obecnie wraz z upowszechnieniem się technologii Ethernet oraz ze spadkiem cen kabli optycznych rozwinęły się nowe technologie sieciowe. Jednym z owych rozwiązań jest PON (Passive Optical Network) o zasięgach właściwych dla medium optycznego i wykorzystaniu jednego włókna w połączeniu z niewymagającymi zasilania filtrami, rozgałęziającymi do transmisji wielu sygnałów. Technologie PON dzięki szerokopasmowemu dostarczaniu sygnału sięgającego prędkości 1 Gigabit na sekundę, stanowią przyszłościową alternatywę dla sieci budowanych w technologiach, takich jak ADSL, VDSL, HFC czy standardowy Ethernet. Sieć PON jest nowoczesną architekturą sieciową typu punkt–wielopunkt, opartą o włókna optyczne i wykorzystanie niewymagających zasilania pasywnych filtrów optyc znych, które zapewniają transmisję wielu sygnałów (do 16 do 128) w jednym włóknie. Sieć PON zawiera moduł OLT („optical line terminal”), terminujący sieć po stronie węzła agregacyjnego oraz większą liczbą urządzeń ONU (optical network units), montowanych w zasilanych sygnałem lokalizacjach. Sygnały do abonenta (downstream) są przekazywane za pomocą transmisji do lokalizacji współdzielących włókna optyczne. 12 Rys. 1. Budowa PON Integrujemy przyszłość® Numer: III/2012 (120) Technologia Standard Framing Liczba subinterfejsów per włókno Prędkość Upstream Prędkość Downstream Zasięg Ethernet FTTH IEE 802.3 Ethernet 1 10 Gbps 10 Gbps 10 km BPON ITU–T G983.x ATM 32 155 Mbps 155 Mbps 10 km GPON ITU–T G984.x ATM GFP 32 64 622 Mbps 622 Mbps 622 Mbps 622 Mbps 10 km EPON IEE 802.3ah Ethernet 32 1.25 Gbps 1.25 Gbps 10 km Tabela 1. Porównanie technologii PON Sygnały w kierunku od abonenta (upstream) są transmitowane z zastosowaniem protokołów z podziałem czasu TDMA. Moduł OLT zarządza dostępem elementów ONU do szczelin czasowych dla komunikacji upstream. rozwinięcia tego standardu – G.984.x. GPON oferuje w najpopularniejszych implementacjach asymetryczne łącze: •2,488 Gbit Downstream (OLT do ONT) za pomocą fali 1490nm, Standardy GPON i EPON •1,244 Gbit Upstream (ONT do OLT) za pomocą fali 1310nm. Standardy GPON oraz standard EPON Elementy sieci PON (GEPON) oparte są na technologii W zależności od implementacji produOLT – Optical Line Terminal to element pasywnych sieci optycznych PON centa możliwe jest podłączenie do 128 aktywny sieci, który stanowi centralny i ich koncepcje są bardzo podobne. abonentów do jednego portu OLT, punkt sieci PON. Od tego elementu/ Wykorzystują one te same długości fal. który pozwala na transmisję do 60km, karty sieciowej włókno transmituje W obydwu rozwiązaniach wykorzy- jednakże stosowanie wprowadzasygnały do splitera. OLT zamontowany stuje się 3 długości fali optycznej, jących tłumienie spliterów zmniejsza najczęściej w chassis ma połączenie na których przesyłany jest ruch: zasięgi do ok. 20 km. Ważną zaletą z siecią operatora, skąd otrzymuje •1310nm (Upstream – transmisja sieci technologii GPON jest interosygnał dla konkretnych usług i pełni peracyjność pomiędzy producentami od ONU/ONT do OLT), funkcję switcha (nawet z funkcjonal- •1490nm (Downstream – trans- OLT i ONT dzięki opracowaniu ONT nością warstwy L3). OLT jest głównym Managment Control Interface (OMCI), misja od OLT do ONU/ONT), elementem sieci, z którego dokonuje się •1550nm – opcjonalnie dla równo- który definiuje sposób zarządzania zarządzania, monitoringu i konfiguracji czesnej transmisji CATV lub DVB–T. CPE klienta. zakończeń ONU. OLT realizuje również Zarówno EPON jak i GPON pozwalają EPON (GEPON) jest standardem Quality of Service (QoS). na transmisję telewizji analogowej zdefiniowanym wyłącznie w dwóch ONU/ONT – Optical Network Unit/ lub cyfrowej za pomocą transmitera pierwszych warstwach modelu ISO/OSI. Terminal to element aktywny, który 1550nm. Urządzenia EPON w porównaniu stanowi zakończenie sieci PON GPON to standard opisany przez do zwyc zajnych prze łąc zników w lokalizacji klienta. Moduł ten ITU–T jako standard G.984.x i oznacza u ż y w a n y c h w s i e c i a c h L A N odbiera sygnał optyczny i zapewnia Gigabit Passive Optical Network. Jest są wyposażone w dedykowane funkcje. interfejsy stosownie do wykorzysty- to następca opierającego się na ramce Przykładem takich funkcji jest zdalne wanych usług. ODN – Optical Distribution Network to optyczne elementy pasywne na trasie od OLT, a ONU/ONT to elementy, na które składają się okablowanie światłowodowe oraz splitery. S t a nda r yz ac j ę ur z ą d z e ń P ON nor maliz ują dwie or ganiz ac je międzynarodowe: •IEEE – Standard 802.3av 10GEPON oraz standard 802.3ah GEPON Rys. 2. Przykład urządzenia GPON (UTStarcom) (lub EPON) •ITU – Standard G.983 BPON (prze- ATM st andardu t elekomunika - zarządzanie jednostką dostępową starzały) oraz standard G.984 cyjnego BPON. Specyfikacja GPON abonenta (ONU/ONT), limitowanie wciąż ewoluuje i dostępne są kolejne ruchu już na poziomie urządzenia GPON Tabela numer 1 zestawia parametry i cechy poszczególnych standardów sieciowych dla sieci pasywnych PON. Biuletyn Informacyjny SOLIDEX® 13 TECHNOLOGIE klienta ONU i wiele innych funkcji ułatwiających zarządzanie siecią abonencką oraz zabezpieczających przed uszkodzeniem i zakłóceniem prac y sieci przez u ż ytkownika końcowego. •1000BASE–PX20, – połączenie Ethernet P–to–MP o prędkości 1 Gbit/s poprzez sieć pasywną PON przynajmniej do 20 km. Technologia PON jest to warta rozważenia, bardzo atrakcyjna cenowo opcja dla nowo budowanych sieci konwergentnych, mających zapewnić szerokopasmową transmisję danych, głosu oraz telewizji cyfrowej IPTV. EPON w porównaniu do innych technologii PON wyróżnia się zastosowaniem ramki Ethernet dla każdego przenoszonego ruchu. Jako jedyny standard nie enkapsuluje ramki Ethernet w inną ramkę np. GFP, czy ATM. EPON można zaimplementować w kilku topologiach: najpopularniejszej drzewiastej, drzewiastej z redundancją 2:N oraz magistralowej (kilka spliterów). IEEE definiuje w standardzie 802.3ah dwa standardy dla okablowania optycznego: •1000BASE–PX10, – połączenie Ethernet P–to–MP o prędkości 1 Gbit/s poprzez sieć pasywną PON przynajmniej do 10 km, Rozwiązania Cisco EPON Przełącznik Cisco Catalyst 4500 Series oferuje optyczne karty liniowe (z nadsubskrypcją optymalizowane dla zastosowań FTTH („Fiber to the Home”). Szczególną uwagę warto zwrócić na kartę do 40 portów CSFP, dedykowaną do wdrożeń o dużej gęstości portów. Przykładową implementację przedstawia rysunek 4. Karta liniowa Gigabit Cisco Catalyst 4500E Series 40 module pracuje z nadsubskrypcją 2:1, zapewniając przełączanie z prędkością 24 Gbps i może być używana do zastosowań wymagających dużej gęstości portów. Pracując jednak ze specjalizowanymi modułami optycznymi BX (compact SFP) podwaja ona gęstość do 80 portów na kartę liniową (używając 40 takich dualnych modułów przy nadsubskrypcji 4:1). Moduł CSFP jest dualnym modułem Bi–Di typu SFP, który zasila dwóch użytkowników wyposażonych w interfejsy optyczne bidirectional (moduły BX). Parametry karty WS–X4640–CSFP–E: •40 portów Gigabit SFP (1000BaseX), 24 gigabits per–slot (SFP optional) •40 portów dla modułów Gigabit SFP (nadsubskrypcja 2:1) •80 portów dla modułów Gigabit Compact SFP (nadsubskrypcja 4:1) Rys. 3. Karta WS–X4640–CSFP–E E-FTTH Technology Point-to-point (Star) Topology m 0n 131 A N m 0n downstream 155 A VLA CPE A CPE B CPE CPE IP/MPLS Core Catalyst 4500 ODF CPE CPE upatream CPE PoP CPE Home Rys. 4. Implementacja EPON Cisco 14 Integrujemy przyszłość® •Możliwość mieszania modułów Gigabit SFP oraz Gigabit Compact SFPs •Cisco IOS Software Release IOS XE 3.2.0 SG lub nowszy •Praca wyłącznie z Supervisorem Supervisor Engine 7E and 7L–E •Praca w 3, 6 i 7 slotowym chassis •Wsparcie IEEE 802.3, IEEE 802.3ah, IEEE 802.3x flow control •Wsparcie dla L2–4 Jumbo Frame (do 9216 bytes) •Dziedziczy możliwości QoS Supervisora •Wsparcie dla Point–to–Point “fiber to the home” (FTTH) lub “fiber to the building” (FTTB) •Wsparcie dla “fiber to the desktop” (FTTD) Numer: III/2012 (120) Dualne moduły Compact SFP dla rozwiązań wysokiej gęstości prezentuje rysunek 5. Moduły te zawierają dwa moduły Gigabit Ethernet zabudowane w jeden standardowy moduł SFP. Dostępne modele i porównanie modułów Bidirectional Cisco przedstawiono w tabeli 2. Podsumowanie Sieci optyczne PON wykorzystują w pe łni wszystkie zalety kabli światłowodowych, takie jak niemal nielimitowane prędkości transmisji, Rys. 5. Moduły Compact SFP Product ID Number of Channels FE GE Distance GLC–FE–100BX–D 1 10 km GLC–FE–100BX–U 1 10 km GLC–BX–D 1 10 km GLC–BX–U 1 10 km GLC–2BX–D 2 10 km Tabela 2. Moduły Bidirectional SFP bezpiec zeństwo, niskie zuż ycie energii, a ponadto są tańsze w zakupie (CAPEX) niż sieci tradycyjne. Sieci PON są najtańszymi w utrzymaniu w porównaniu z jakimkolwiek innym rodzajem sieci szerokopasmowej, a dzięki swej odporności na wyładowania atmosferyczne ich serwis jest niemal niepotrzebny. Dzięki wykorzystaniu światłowodów cały system PON może uzyskiwać zasięg nawet do 20 km, a linie światłowodowe mogą być podwieszane na liniach energetycznych, a nawet na słupach wysokiego napięcia. Biuletyn Informacyjny SOLIDEX® Sieci PON zapewniają też niezwykle wysokie wykorzystanie posiadanego czy dzierżawionego okablowania światłowodowego. Zapraszamy do korzystania z pomocy naszych SOLIDnych EXpertów. Opracowano na podstawie oficjalnych materiałów producenta. A.D. Inżynier SOLIDEX 15 TECHNOLOGIE Bring Your Own Device – wygoda komunikacji Ostatnie lata to ogromna ekspansja urządzeń mobilnych. Masowa produkcja przyczyniła się do znacznego spadku ich cen, co z kolei spowodowało, że stały się one produktami powszechnie dostępnymi. Postęp technologiczny odmienił radykalnie ich funkcjonalność. Dziś telefon kojarzy się przede wszystkim z dużym ekranem oraz mnogością aplikacji. Potencjał tkwiący w urządzeniach mobilnych pozwala im dzisiaj wykroczyć daleko poza strefę prostych aplikacji i rozrywki. Stały się naturalnym narzędziem do codziennej pracy: czytania i pisania wiadomości e–mail, synchronizacji kalendarzy, integracji usług głosu i wideo. Od kilku lat, zwłaszcza w USA , obserwuje się szybki rozwój trendu BYOD, „Bring Your Own Device”. Na ten temat zostało powiedziane już wiele, w najprostszych słowach oznacza to użytkowanie w pracy prywatnych urządzeń. Poza IT zjawisko to było widoczne już od dłuższego czasu. Przykładem mogą być odbiorniki nawigacji GPS, które pracownicy często kupowali dla własnej wygody i oszczędności czasu podczas pracy w terenie, nie czekając na zakup takiego sprzętu przez swoich pracodawców. Teraz ten trend rozpowszechnił się w różnego rodzaju środkach komunikacji: telefony, smartfony, tablety, ultrabooki etc. 16 Jest kilka przyczyn takiego stanu rzeczy. Po pierwsze, użytkownik nie jest zmuszony korzystać ze sprzętu jaki oferuje mu pracodawca. Urządzenie wybrane samodzielnie zwykle lepiej trafia w gust i potrzeby użytkownika. Bezsensowne wówczas wydaje się posiadanie dwóch urządzeń o takiej samej funkcjonalności. Konsumenci jednak nie przyjmują BYOD bezkrytycznie. Przeciwnicy tego trendu również mają swoje mocne argumenty. Najważniejszymi z nich wydają się być argumenty związane z bezpieczeństwem. Pojawia się wówczas pytanie– jak zapewnić bez piec z ny dost ę p do danych z nienadzorowanych urządzeń? Jak wyeliminować ryzyko infekcji systemu przetwarzania danych, jeśli system nie ma wpływu na platformę, która podłącza się do sieci? Wątpliwości budzą również kwestie związane z licencjonowaniem, czy kompatybilnością platform i aplikacji. Integrujemy przyszłość® Artykuł ten nie rozstrzygnie tego sporu. BYOD jest faktem i stanowi po prostu kolejne wyzwanie dla producentów z branży IT. W dalszej części postaram się podać przykłady aplikacji, które wydaje się, najlepiej wpisują się w ten trend. Collaboration Model nowoczesnej współpracy opiera się o usługi on–line. Niewątpliwie pierwszą z takich usług była łączność głosowa, która przeszła drogę od TDM do IP i została wzbogacona o kilka towarzyszących aplikacji. Wraz z rozwojem technologii powstały rozwiązania wideokonferencji, które łączyły głos, obraz i przesyłanie treści. Jednym z mankamentów tych systemów był jednak brak informacji o dostępności innych, co skutkowało nieudanymi próbami po ł ąc zeń i koniec znoś cią wykorzyst ania systemów, które nie przez wszystkich Numer: III/2012 (120) są lubiane, jak np. poczta głosowa. W międzyczasie pojawiła się nowa forma łączności w postaci komunikatorów. Sukces tych ostatnich zrodził się z dwóch podstawowych czynników. P ier wszym z nich jest st atusu obecności– w grupie komunikujących się ze sobą osób każda z nich widziała, czy pozostałe są obecne i mogą podjąć rozmowę. Drugi czynnik to wiadomości błyskawiczne (Instant Messaging). Stanowią one szybki, a jednocześnie mało absorbujący i mało uciążliwy kanał komunikacji. Wykorzystanie IM jest możliwe w sytuacjach kiedy łączność głosowa, bądź wideo, jest utrudniona lub niemożliwa, np. podczas spotkań. Z czasem aplikacje komunikatorów połączyły wszystkie wymienione wyżej cechy, a co więcej zyskały również nowe, jak na przykład możliwość korzystania przez użytkowników ze wspólnych kalendarzy, ksią żek adresowych, współdzielenie treści, praca nad wspólnymi dok ume n t a mi e t c . Poz w oli ł o to na udostępnienie użytkownikom uniwersalnych platform komunikacji i współpracy, gdzie brak jest ograniczeń co do formy przekazu. Formy, którą moż na wybierać w zale ż no ś c i od sytuacji i osobistych preferencji. Microsoft Lync Rys.1. Microsoft Lync - klient aplikacji ( Edge S er ver, Rever se P roxy), umożliwia korzystanie ze wszystkich usług klientom, przebywającym poza siecią wewnętrzną. Z kolei wariant z chmury niejako z natury jest przewidziany dla klientów mobilnych, którzy chcą pracować w dowolnym miejscu i na dowolnej platformie. Najważniejszymi funkcjami Microsoft Lync są: •Planowanie i uczestniczenie w spotkaniach on–line •Współdzielenie pulpitu i aplikacji •Prezentacje •Połączenia audio i wideo Korzystanie z Lync możliwe jest poprzez aplikację Lync 2010 lub, dla osób niemających tego oprogramowania, poprzez prostą darmową aplikację Lync Attendee. Umożliwia ona dołączenie do istniejącego spotkania i korzystanie z dźwięku, obrazu, wiadomości błyskawicznych oraz dodatkowych aplikacji takich, jak: udostępnianie aplikacji i ekranu, załączniki, tablica, ankiety, prezentowanie slajdów. Rys.2. Microsoft Lync - klient aplikacji Na łamach numeru II/2012 Integratora opisaliśmy funkcjonowanie systemu Microsoft Lync , jako narzędzia do sprawnej i prostej komunikacji. Klient MS Lync jest dostępny, oprócz wersji na platformy PC , również na platformy mobilne: Android, BlackBerry, iOS, Windows Mobile. Microsoft Lync jest rozwiązaniem dostępnym zarówno lokalnie, jak i z chmury. Pierwszy wariant, przy wdrożeniu odpowiedniej architektury Jabber Innym produktem użytkowanym na platformach mobilnych jest Cisco Jabber. Aplikacja, a właściwie grupa aplikacji, spełniająca rolę komunikatora, klienta głosowego, wideo oraz rolę integracyjną z innymi systemami, np. do spotkań grupowych. Portfolio klientów komunikacyjnych Cisco było i jest dość pokaźne. Wynika to częściowo z drogi ewolucji jaką wcześniej opisałem, od głosu do Unified Communications, częściowo zaś z chęci zaproponowania klientom produktów specjalizowanych, służących jednemu zastosowaniu. Przykładem jest IP Communicator, następca niegdysiejszego SoftPhone, czyli programowy „emulator” telefonu. Video Advantage to aplikacja rozszerzająca możliwości telefonu o funkcjonalność wideo. Z kolei Personal Communicator to aplikacja łącząca cechy wideotelefonu i komunikatora. Funkcje wymienionych oraz kilku innych aplikacji posłużyły Cisco do stworzenia nowej platformy framework, zawierającej: •Wideo •Audio •IM/Chat •Presence •Poczta głosowa •Aplikacje Collaboration Rys.3. Cisco Jabber - klient aplikacji Biuletyn Informacyjny SOLIDEX® Klienci nowej platformy dostępni są, pod wspólną nazwą Jabber, na wiele dostępnych platform stacjonarnych i mobilnych. Aplikacja ofer uje korzystanie z kilku kanałów komunikacyjnych. Przede wszystkim jest to Instant Messaging ze statusem 17 TECHNOLOGIE dla działów wsparcia, wspierający świadczenie usług serwisowych dla wewnętrznych zespołów help–desk oraz dla klientów zewnętrznych. •Event Center. Zaprojektowany do organizowania masowych spotkań z dużą liczbą uczestników. Zwykle wykorzystywany do prezentacji nowych produktów, kampanii marketingowych. Rys.4. Cisco Jabber - klient aplikacji obecności (Presence). Za ten zakres funkcjonalności w architekturze własnej (on–premise) odpowiada Cisco Unified Presence Server, alternatywnie usługi te mogą być serwowane z chmury Webex, w połączeniu z lokalną aplikacją Webex Connect. Funkcjonalność przesyłania głosu jest oparta o Cisco Unified Communications Manager. Na niektórych platformach dostępny jest obraz w czasie rzeczywistym, oparty również o CUCM. Opcjonalnie można wzbogacić architekturę o Cisco VCS, za pomocą którego możliwa jest integracja ze środowiskami innych producentów. Webex Connect Webex Connect jest rozwiązaniem funkcjonalnie odpowiadającym innym komunikatorom, jak np. Cisco do usług typu cloud. Jabber, lecz udostępnianym z chmury Korzystanie z Webex możliwe jest internetowej. Dostępne usługi, to: na dwa sposoby: poprzez przeglądarkę presence, Instant Messaging, konfewww oraz za pomocą dedykowanego rencje audio i wideo, współdzielenie klienta– Webex Connect. pulpitu, wsparcie dla wirtualnych Dostęp przez przeglądarkę umożliwia zespołów, integracja z kalendarzami korzystanie z czterech przygotowanych poprzez Microsoft Outlook. w Internecie aplikacji: Oprogramowanie Webex Connect •Meeting Center. Jest to platforma jest dystrybuowane na platformy dedykowana dla spotkań bizne- komputerów osobistych i platformy sowych. Zapewnia komunikację mobilne. W chwili obecnej dostępne konferencyjną audio, wideo, jest na Apple iOS, Android, Blackberry. współdzielenie pulpitu, whiteboard, nagrywanie spotkań. Opracowano na podstawie oficjalnych •Training Center. Specjalizowany materiałów producenta. portal służący edukacji. Wykłady, testy, zdalne laby. A.J •Support Center. Portal stworzony Inżynier SOLIDEX Rys.5. Webex Connect - klient aplikacji Od kilku lat jedną z najbardziej znanych platform współpracy grupowej jest Webex. Od początku usługi Webex były oferowane z chmury, stąd popularność rozwiązania wśród u ż yt kowników r oz pr o s z onyc h i często zmieniających miejsca pobytu. Webex był integrowany z rozwiązaniami lokalnej współpracy grupowej, takimi jak Meeting Place. Obecnie Cisco zapowiada wersję Webex on– premise, która ma być dedykowana dla użytkowników niezbyt przekonanych Rys.6. Webex Connect - klient aplikacji 18 Integrujemy przyszłość® okazje dookoła pobierz darmową aplikację przekaz geolokalizowany – okazje dostępne „tu i teraz” inteligentne dopasowanie treści do zainteresowań użytkownika aplikacja nie wymaga zakładania konta ani podawania danych osobowych GET IT ON www.zonar.pl TECHNOLOGIE Urządzenia sieciowe do zadań specjalnych w środowisku przemysłowym. Portfolio Cisco Systems W dzisiejszych czasach wykorzystanie protokołu Ethernet nie dotyczy tylko sieci uczelnianych, korporacyjnych czy operatorskich. Stosunkowo prosta struktura tego protokołu, łatwość jego implementacji jak i fakt, że praktycznie każde urządzenie sieciowe jest w stanie go „zrozumieć i obsłużyć” spowodowały, że pojawił się w wielu niespotykanych dotąd miejscach. Potrzeba efektywnej komunikacji coraz częściej dotyka środowiska silnie uprzemysłowione. Sieci LAN swoim zasięgiem zaczynają obejmować specjalistyczne hale produkcyjne, huty, kopalnie czy firmy energetyczne, gdzie występują bardzo specyficzne warunki pracy dla urządzeń. Firma Cisco Systems – jako jeden z liderów w branży teleinformatycznej – od niedawna poszerzyła swoje portfolio urządzeń sieciowych o nową rodzinę przełączników serii IE oraz routerów typu M2M, które mogą znaleźć zastosowanie we wspomnianych miejscach. Wyjaśnienie pojęć o integrację w czasie rzeczywistym danych z hali produkcyjnej i informacji Poniżej przedstawionych zostało z aplikacji biznesowych. Architektura kilka kluczowych pojęć z punktu Cisco EttF opiera się na budowaniu sieci widzenia projektowania i działania od końca do końca w taki sposób, aby protokołu Ethernet w środowisku zapewnić przewidywalną wydajność przemysłowym: systemu wymaganą w zastosowaniach przemysłowych. Cisco EttF wspiera Ethernet–to–the–Factory (EttF) również środowiska automatyki Cisco Ethernet to the Factory (EttF) przemysłowej i kontroli aplikacji, jest otwartym standardem rozwią- w celu zapewnienia przewidywalnej zania sieciowego, pozwalającym wydajności, ograniczenia opóźnień na elastyczne i skuteczne działanie (jitter) i zagwarantowania wysokiej sieci teleinformatycznej w oparciu niezawodności. 20 Integrujemy przyszłość® Industrial Automation and Control System (IACS) Networks Standard opisujący wymagania dotyczące protokołów sieciowych oraz urządzeń sieciowych działających w środowiskach przemysłowych. C ommon Indu s t r ia l P r ot o c ol Overview (CIP) Standard, który został stworzony w celu integracji systemów kontroli I/O, a także konfiguracji urządzeń oraz kolekcji danych w systemach automatyki i kontroli. CIP wspiera Numer: III/2012 (120) 3 różne protokoły sieciowe EtherNet/ IP, DeviceNet, ControlNet. EtherNet/IP (EIP) Jest to jeden z protokołów CIP oparty na standardzie Ethernet. EIP określa, w jaki sposób pakiety CIP są transportowane poprzez Ethernet stos protokołów IP. Cell/Area Jest to określenie strefy przełączania sieci L2 dedykowanej dla określonego obszaru funkcyjnego. Portfolio Cisco Przełączniki Systems – Urządzenia sieciowe w środowisku pr zemys ł owym , podobnie jak w przypadku typowych środowisk sieciowych LAN, są klasyfikowane pod kątem ich zastosowań. Projektowanie i budowa sieci teleinformatycznej w przemyśle wymaga podobnego podejścia. Często stosuje się trójwarstwowy model hierarchiczny, w którym przeplatane jest wykorzystywanie urządzeń typu „enterprise” z urządzeniami przystosowanymi do pracy w sieciach automatyki. W przypadku Cisco Systems wszystkie platformy sieciowe korzystają z tego samego oprogramowania IOS, dzięki czemu implementacja funkcjonalności jest identyczna, niezależnie od środowiska pracy. Podobnie jak w przypadku przełączników typu „enterprise”, tak i rodzina przełączników IE jest odpowiednio dobierana. IE2000 Rys. 1. Modele przełączników IE2000 Parametry sprzętowe Specyfikacja Cechy fizyczne 256MB DRAM (ECC) IEEE 1588v2 FPGA 64MB wbudowanej pamięci Flash 1GB pamięci Flash typu SD (opcjonalne) Gęstość portów 4, 8, or 16 100BaseT Ethernet Porty Gigabit Ethernet (UPLINK) 2 SFP or RJ45 1000Based–T ports Obudowa (HxWxD) łącznie z szyną DIN IE2000 6 portowy – 12.7 x 7.37 x 11.46 cm IE2000 10 portowy (mniejsza obudowa) – 12.7 x 8.89 x 11.46 cm IE2000 10 portowy (większa obudowa) – 12.7 x 8.89 x 13.36 cm IE2000 20 portowy – 12.7 x 12.45 x 13.36 cm Waga (bez zasilacza) Od 1.11kg do 1.95kg Zasilacz Redundantny zasilacz DC power 9.6 to 60 VDC Pobór mocy 6–port models: 9.5–15W 10–port models: 12.5–20W 20–port models: 21–30W Złącze alarmowe Alarm I/O: dwa wejścia alarmowe do wykrywania styku otwartego/zamkniętego, jedno wyjście przekaźnika alarmowego –40C to +70C (Zakres temp. pracy w wentyloPrzełącznik serii IE2000 to typowy wanej obudowie) przełącznik dostępowy, posiadający –20C to +60C (Zakres temp. pracy w szczelnej oprogramowanie IOS z przełącznika Temperatura pracy obudowie) 2960. Ze względu na dość dużą ilość –34C to +75C (Zakres temp. pracy w obudowie dostępnych modeli, IE2000 może wyposażonej w wentylator wew.) służyć jako uniwersalny przełącznik dostępowy z dużą ilością portów. Wilgotność względna: 5% do 95% bez Wilgotność Charakterystyczna, wzmocniona kondensacji obudowa, a także brak ruchomych Stopień ochrony IP30 elementów sprawiają, że IE2000 spe łnia wszelkie rygorystyczne Tabela 1. Parametry sprzętowe przełącznika IE2000 wymogi IACS. IE2000 jest przełącznikiem godnym uwagi ze względu ności L2 (włącznie z protokołem Line Rate), na fakt posiadania: REP), •obsługa do 6.5Mpps (dla pakietów •IA SmartPort Macros, •graficznego systemu zarządzania 64bytes), •dwóch trybów licencjonowania Web Device Manager. •wielkość tablicy MAC 8000, IOS (Lan Lite i Lan BASE), Parametry wydajnościowo – funk- •obsługa do 255 VLANów, •mechanizmu Boot Fast, cjonalne: •bezpieczeństwo realizowane •pełnego wparcia dla funkcjonal- •„nieblokowalne” porty (wydajność poprzez obsługę Dot1X, port secu- Biuletyn Informacyjny SOLIDEX® 21 TECHNOLOGIE rity, SSHv2, SNMPv3, TACACS+ i RADIUS, •niezawodność realizowana poprzez obsługę technologii Flex links, Cisco REP, •wsparcie dla protokołów typu „Industrial” (CIP, PROFINETv2). IE3010 Przełącznik IE3010 jest urządzeniem pozycjonowanym w warstwie dostępowej, w miejscach, gdzie wymagane jest wsparcie dla 802 . 3af PoE . W chwili obecnej przełącznik ten jest wyposażony w oprogramowanie IOS bazujące na 2960. Dzięki wsparciu dla technologii PoE IE3010 jest idealnym r oz wią z aniem do podł ąc zenia wszelkich telefonów IP, punktów dostępowych oraz kamer IP. Jeden zasilacz zewnętrzny jest w stanie zasilić 4 porty (65W), natomiast dwa obsłużą 8 portów (170W). IE3010 posiada kilka ciekawych funkcjonalności: •obsługa czterech złącz alarmowych, •możliwość zasilania pojedynczego zasilacza przy wykorzystaniu technologii Load Sharing, •IA SmartPort Macros, •pełne wparcie dla funkcjonalności L2 (włącznie z protokołem REP), •wymiana plików konfiguracyjnych na „gorąco” (Swap Drive). Parametry sprzętowe Specyfikacja Parametry „pojemnościowe” 256MB DDR2 SDRAM 1GB pamięci Flash typu SD (opcjonalne) Gęstość portów 24 100BaseT Ethernet (model IE–3010–24TC) 16 100BaseFX Ethernet (model IE–3010–16S–8PC) 8 10 0 B a s eT E t he r ne t ( PoE ) (mo del IE–3010–16S–8PC) 1 Port konsolowy RJ45/RS232 1 Port konsolowy USB mini B/USB Porty Gigabit Ethernet (UPLINK) 2 SFP or RJ45 1000Based–T (Porty Combo) Obudowa (HxWxD) IE–3010–24TC – 4.45 x 44.5 x 35.6 cm (1RU) IE–3010–16S–8PC – 4.45 x 44.5 x 35.6 cm (1RU) Waga (bez zasilacza) IE–3010–24TC – 4.1kg (bez zasilacza) IE–3010–16S–8PC – 4.5kg (bez zasilacza) PWR–RGD–AC–DC/IA – 1.1kg Zasilacz PWR–RGD–AC–DC i PWR–RGD–LOW–DC Pobór mocy IE–3010–24TC (PWR–RGD–AC–DC) – od 28.6W do 35.5W IE – 3 010 – 24 –TC (P W R – RGD – LOW – DC ) – od 26.8W do 30.7W IE –3010 – 16S – 8PC (P WR – RGD – AC – DC ) – 109.8W do 182.2W IE–3010 –16S – 8PC (PWR–RGD –LOW–DC ) – 106W do 181.9W Złącze alarmowe Alarm I/O: cztery wejścia alarmowe do wykrywania (otwarcie/zamknięcie drzwi, przekroczenie poziomu dopuszcz. temp., zasilanie przejście na UPS, ogień/dym), jedno wyjście przekaźnika alarmowego Temperatura pracy IE3000 –40C to +60C (zakres temperatury podczas ciągłej pracy) –40C to +85C (praca do 16 godzin) Do +40C (zakres temp. pracy na wysokości na wysokości do 3000m) Wilgotność Wilgotność względna: 5% do 95% bez kondensacji IE 3 0 0 0 je s t plat for mą , k t ór a pozycjonowana jest jako urządzenia agregacyjne, montowane na szynach Stopień ochrony IP20 Parametry wydajnościowo – funkcjonalne: •wydajność przełączania wired– speed (8Gbps), •obsługa do 6.5Mpps (dla pakietów 64bytes), •obsługa do 12000 wpisów MAC, obsługa do 255 aktywnych VLANów, •bezpieczeństwo realizowane poprzez obsługę Dot1X, port security, SSHv2, SNMPv3, TACACS+ i RADIUS, •niezawodność realizowana poprzez obsługę technologii Flex links, Cisco REP, Etherchannel LACP, •wsparcie dla protokołów typu „Industrial” (CIP, PROFINETv2). 22 Rys. 2. Modele przełączników IE3010 Tabela 2. Parametry sprzętowe przełącznika IE 3010 Integrujemy przyszłość® Numer: III/2012 (120) DIN. Model ten dost ępny jest w dwóch wersjach IOSa (LAN BASE na bazie oprogramowania 2960 oraz IP SERVICES na bazie oprogramowania 3 7 5 0 ). Pods t awowy komponent przełącznika IE3000 ma możliwość rozbudowy o dwa moduły rozszerzające (8 portów 10/100BaseTX, 8 portów 100BaseFX oraz zasilacz zewnętrzny). Podstawowy moduł może być rozbudowany do maksymalnie dwóch modułów rozszerzających. IE3000 posiada kilka ciekawych funkcjonalności: •IA SmartPort Macros, •pełne wparcie dla funkcjonalności L2 (włącznie z protokołem REP), •wymiana plików konfiguracyjnych na „gorąco” (Swap Drive), •pełne wsparcie dla funkcjonalności L3, •szybkie uruchomienie podstawowej konfiguracji (Cisco Express set–up). Parametry wydajnościowo – funkcjonalne: •wydajność przełączania wired– speed (16Gbps), •obsługa do 6.5Mpps (dla pakietów 64bytes), •obsługa do 8000 wpisów MAC (L2), •obsługa do 2000 wpisów MAC (L3), •obsługa do 3000 wpisów tras IPv4 unicast (L3), •obsługa do 255 aktywnych VLANów, •bezpieczeństwo realizowane poprzez obsługę Dot1X, port security, SSHv2, SNMPv3, TACACS+ i RADIUS, •niezawodność realizowana poprzez obsługę technologii Flex links, Cisco REP, Etherchannel LACP, •wsparcie dla protokołów dynamicznego routingu (OSPF, EIGRP, BGP, IS–IS), •wsparcie dla IPv6 (EIGRPv6, OSPFv6), •wsparcie dla protokołów typu „Industrial” (CIP, PROFINETv2), •wsparcie dla standardu IEEE 1588v2. Parametry sprzętowe Specyfikacja Parametry „pojemnościowe” 128MB DRAM 64MB pamięci typu Compact Flash Gęstość portów Moduł podstawowy: IE–3000–4TC/–E – 4 x 100BaseT IE–3000–8TC/–E – 8 x 100BaseT Moduł rozszerzony: IEM–3000–8TM – 8 x 100BaseT IEM–3000–8FM – 8 x 100BaseFX 1 Port konsolowy RJ45/RS232 Porty Gigabit Ethernet (UPLINK) 2 SFP or RJ45 1000Based–T (Porty Combo) Obudowa (HxWxD) łącznie z szyną DIN IE–3000–4TC/–E – 152 x 147 x 112 mm IE–3000–8TC/–E – 152 x 147 x 112 mm IEM–3000–8TM – 89 x 147 x 112 mm IEM–3000–8FM – 89 x 147 x 112 mm PWR–IE3000–AC – 51 x 147 x 112 mm Waga (bez zasilacza) IE–3000–4TC/–E – 2.0 kg IE–3000–8TC/–E – 2.0 kg IEM–3000–8TM – 1.0 kg IEM–3000–8FM – 1.45 kg PWR–IE3000–AC – 0.65 kg Zasilacz 18–60VDC + Opcjonalny PWR–IE3000–AC (85–265VAC/88–300VDC) Pobór mocy IE–3000–4TC/–E – 15.1W IE–3000–8TC/–E – 15.7W IEM–3000–8TM – 2.8W IEM–3000–8FM – 10.1W Temperatura pracy –40C do +75C (zakres temperatury podczas ciągłej pracy) –25C do +85C (zakres temperatury przechowywania) Wilgotność Wilgotność względna: 5% do 95% bez kondensacji Stopień ochrony IP20 Tabela 3. Parametry sprzętowe przełącznika IE3000 • Rys. 3. Moduły podstawowe modeli przełączników IE3000 Biuletyn Informacyjny SOLIDEX® Portfolio Router Cisco Systems – CISCO819HG (ISR) Router serii 819HG jest urządzeniem de dykowanym do mniejs z yc h placówek lub mniejszych oddziałów firm. W środowisku przemysłowym często wykorzystywany jest jako węzeł dedykowany do zapewnienia po ł ąc zenia mię dzy maszynami (w miejscach, w których brakuje sieci strukturalnej). Dzięki wbudowanemu modułowi E V DO lub HSPA+ (3G) pozwala on udostępnić sieć w trudno dostępnych miejscach 23 TECHNOLOGIE przedsiębiorstwa. Dodatkowo model ten obsługuje technologie WL AN (a/b/g/n). Router 819H posiada kilka ciekawych funkcjonalności: •pełna funkcjonalność bramki 3G (Dual SIM), •wsparcie dla technologii 3.5G oraz 3.7G, •pełna funkcjonalność warstwy 3 modelu OSI/ISO (dynamiczne protokoły routingu, PfR, VRF, NHR, BFD), •wsparcie dla technologii MetroEthernet (OAM, LMI, IP SLA for Ethernet). Parametry wydajnościowo – funkcjonalne: •wydajność do 15Mbps, •obsługa technologii GPS oraz SMS (do 160 znaków), •obsługa IPv6, •posiada pełne wsparcie dla mechanizmów bezpieczeństwa (SSL VPN, DMVPN, VRF–aware, Zone–Base Firewall, Statesful Inspections transparent Firewall, Dynamic and static port security, itp.), •posiada pełne wsparcie dla mechanizmów (algorytmów) QoS (LLQ, WFQ, CBWFQ, CBTS, CBTP), Zastosowanie Urządzenia klasy IE2000/3000/3010 oraz routery 819HG bez problemu znajdą swoje zastosowanie w sieciach automatyki ze względu na swoje cechy fizyczne (poparte odpowiednimi standardami, np. IP20/30/41), a także pełnowartościowe walory funkcjonalne (poparte zaimplementowanym sys t emem IO S wzb og ac onym o protokoły CIP, REP, itp.). Najczęściej urządzenia te znajdują zastosowanie w sieciach przemysłowych (zakłady chemiczne, energetyka), a tak że w sieciach z pełną automatyką produkcyjną (zakłady motoryzacyjne, spożywcze, elektroniczne, farmaceutyczne). Bardzo dobrze radzą sobie również w środowiskach automatyki przemysłowej w sieciach kopalnianych. Biorąc pod uwagę fakt, iż architektura każdego z powyższych urządzeń opiera 24 Rys. 4. Model routera 819HG Parametry sprzętowe Specyfikacja Parametry „pojemnościowe” 512MB DRAM 256MB wbudowanej pamięci flash Gęstość portów 4 x 10/100Base–T Porty Gigabit Ethernet (UPLINK) 1 x 1000Based–T Obudowa (H x W x D) 44 x 196 x 206 mm Waga (bez zasilacza) 1.5kg Zasilacz AC Power adapter i DC Power adapter Pobór mocy AC Power adapter – 25W (max) DC Power adapter – 26W (max) Temperatura pracy –25C do +60C (zakres temperatury podczas ciągłej pracy) 60C – wartość do 5000m, powyżej 5000m wartość temperatury obniża się o 1.5C o każdy 1000m Wilgotność Wilgotność względna: 5% do 95% bez kondensacji Stopień ochrony IP41 Tabela 4. Parametry sprzętowe routera 819HG się na dobrze znanych platformach klasy Enterprise, to mamy pewność, że są to rozwiązania najwyższej jakości, poparte wieloletnim doświadczeniem ich producenta w tej branży. Integrujemy przyszłość® Opracowano na podstawie oficjalnych materiałów producenta. J.Ś. Inżynier SOLIDEX Numer: III/2012 (120) System transmisji optycznej oparty na technologii DWDM Ciągły wzrost liczby użytkowników sieci Internet powoduje systematyczne zwiększanie się liczby danych transmitowanych w sieciach szkieletowych. Dodatkowo ruch w sieci zostaje zwielokrotniony poprzez obserwowaną w ostatnich latach coraz większą popularność przekazów medialnych. Te wszystkie elementy wymuszają potrzebę wdrażania sieci optycznych o terabitowych przepływnościach. Tytułem powtórzenia proponujmey cykl artykułów poświęconych rozwiązaniom WDM. od kilku do nawet kilkuset sygnałów optycznych przez pojedyncze włókno światłowodowe. K a żdy sygnał pochodzi z oddzielnego źródła i tworzy osobny kanał, czyli promień laserowy o ściśle określonej długości fali λ. System WDM styka się z systemami klienckimi za pomocą transponderów. Większość systemów WDM wyposażonych jest w klienckie interfejsy optyczne mogące pracować niemal we wszystkich standardach (Ethernet, Multipleksowanie z podziałem SDH, Fibre Channel). System WDM długości fali wymaga bardzo spójnego źródła Rozwiązaniem problemu zwiększenia światła z laserów jednoczęstotliwoszybkości transmisji w pojedynczym ściowych o wąskiej charakterystyce włóknie światłowodowym okazało się widma i stabilnej częstotliwości pracy. zastosowanie technologii WDM (ang. Każdy transponder nadaje sygnał na Wavelength Division Multiplexing) – nieco innej długości fali. Następnie zwielokrotnienia z podziałem długości sygnały o zróżnicowanych długofali. Technika transmisji WDM pozwala ściach fal ze wszystkich transponderów na równoległe i niezależne przesyłanie s ą optyc znie multiplek sowane Potrzeba stosowania coraz wyższych szybkości transmisji doprowadziła do problemu braku wolnych włókien światłowodowych w istniejącej infrastrukturze. Ze względu na ogromne koszty budowy nowych, długodystansowych traktów światłowodowych, bardziej efektywne stało się maksymalne wykorzystanie już istniejących zasobów. Biuletyn Informacyjny SOLIDEX® w jeden sygnał. Przy odbiorze sygnału następuje odwrotny proces: odfiltrowywane s ą pojedync ze długości fali, następnie przesyłane do transponderów i dalej wyprowadzane interfejsem klienckim. Obecne systemy WDM przystosowane są do pracy z przepływnościami rzędu 2,5 Gb/s, 10 Gb/s czy 40 Gb/s. Łączna szybkość transmisji ulega zwielokrotnieniu tyle razy ile jest kanałów transmisyjnych w jednym włóknie światłowodu. Zastosowanie technologii WDM pozwala na zwiększenie przepływności włókna, przy braku konieczności inwestowania w nowe linie światłowodowe. CWDM a DWDM W zależności od liczby kanałów rozróżniamy technologię CWDM (ang. Coarse 25 TECHNOLOGIE od 100 Mb/s do 4 Gb/s w tym protokoły Fast and Gigabit Ethernet, OC–3/12/48, STM–1/4/16, 1/2/4G Fibre Channel i zapewniająca regenerację sygnału. Mult iplek s er T DM umo ż liwia agregację kilku kanałów o niższej przepływności w jeden kanał 10Gb/s: •10G 8–channel Gigabit TDM pozwala na transmisję do 8 kanałów 1G w technologii Ethernet lub Fibre Channel. Pasywny multiplek ser/demultiplekser optyc znie łąc zy kanał y Transport długodystansowy 10G Obudowa klasy operatorskiej 6U 19’’, 6U, 19 slotów Obudowa klasy operatorskiej 6U 19’’, 6U, 19 slotów Obudowa klasy operatorskiej 2U 19’’, 2U, 5 slotów 10G 10G Transponder 10G Transponder 10G WDM 26 6 dB, co poprawia wydajność aplikacji dł ugodystansowych. Platforma 10G Microsens wykorzystuje różne moduły funkcjonalne, takie jak: transpondery, multipleksery TDM, wzmacniacze czy pasywne multipleksery/demultipleksery DWDM. Dostępne w rozwiązaniu Microsens moduły funkcjonalne wspierają różnorodne protokoły, m.in.: Ethernet, SDH, Fibre Channel. Wdrożenie platformy transportowej pozwala na elastyczną migrację sieci optycznych w kierunku rozwiązań o podwyższonej szybkości WDM Wavelength Division Multiplexing) i DWDM (ang. Dense Wavelength Division Multiplexing). Technika C WDM pozwala na multipleksowanie od kilku do kilkunastu kanałów, natomiast przy DWDM liczba ta może sięgać 40, 80 i więcej. W przypadku rzadkiego zwielokrotnienia CWDM odstępy międzykanałowe wynoszą 20 nm. 8 kanałowe systemy CWDM operują w zakresie 1470–1610 nm, natomiast systemy 16 kanałowe w zakresie 1310–1610 nm. W technologii gęstego zwielokrotnienia DWDM odstępy między kanałami są bardzo małe, toteż łatwiej jest charakteryzować falę poprzez jej częstotliwość, a nie długość. I tak w przypadku 40 kanałów odstępy między kanałami wynoszą 100 GHz (0,8 nm), natomiast w przypadku 80 kanałów – 50 GHz (0,4 nm). Większość systemów DWDM operuje w paśmie C (ang. Conventional–Band) o długości fal świetlnych 1530 –1565 nm. Jednak w nowych systemach użytkowane jest już pasmo L (ang. Longwave–Band), czyli fale 1565–1625 nm, a do przyszłych zastosowań przeznaczone jest pasmo S (ang. S–Band) o długości 1380–1520 nm. Systemy CWDM pozwalają na użycie laserów niewyposażonych w termoelektryczny element chłodzący, przez co ich cena jest znacznie niższa niż systemów DWDM. Z drugiej jednak strony systemy DWDM wykorzystują znacznie większą ilość kanałów i oferują rozwiązania dla 10 Gb/s, dzięki czemu są obecnie coraz częściej stosowane. Amp Do 300 km bez wzmacniaczy liniowych Do 700 lm ze wzmacniaczami liniowymi Rys. 1. Schemat systemu 10G ze zwielokrotnieniem falowym. Jedna para urządzeń DWDM pozwala w pełni wykorzystać istniejącą infrastrukturę włókien światłowodowych. Ogólny schemat systemu 10G przedstawiono na rysunku numer 1. Rozwiązanie DWDM Microsens Elementy systemu DWDM Microsens Microsens to firma dostarczająca rozwiązania dla światłowodowych systemów transmisji. Wśród szerokiej oferty firmy warto zwrócić uwagę na optyczną platformę transportową 10G. Pozwala ona na przesyłanie do 80 kanałów o maksymalnej przepustowości 10 Gb/s każdy. Za pomocą platformy 10G moż na tworzyć wszystkie podstawowe topologie sieci optyc znych (punkt – punkt , add–drop, pierścieniowe). System umożliwia transmisję na odległość do 300 km, bez użycia wzmacniaczy optycznych. Metoda korekcji błędów FEC (ang. Forward Error Correction) pozwala na osiągnięcie wzmocnienia optycznego do 10 –12 dB, zamiast Chassis, czyli obudowa klasy operatorskiej w rozwiązaniach Microsens dostępna jest w dwóch wersjach: •Chassis 6 U, posiadająca 19 slotów na moduły; •Chassis 2 U, posiadająca 5 slotów na moduły; Transponder służy do łączenia systemu DWDM z systemami klienckimi: •10G Long–Haul – Transponder and Repeater jest to 1–portowa wersja modułu wspierająca protokoły 10 Gigabit Ethernet i OC–192/ STM–64 z funkcją regeneracji sygnału; •Quadruple 4G Repeater jest to 4 – portowa wersja modułu wspierająca sygnały o przepływnościach Integrujemy przyszłość® Rys. 2. Chassis 6 U Rys. 3. Chassis 2 U Numer: III/2012 (120) o różnej długości fali w jedną wiązkę, a następnie po stronie odbiorczej rozdziela poszczególne kanały: •Passive DWDM Multiplexers, OADMs and Coupler dostępny jest w wersji z 2, 4, 8, 10, 32, 40 lub 80 kanałami. Rys. 4. Quadruple 4G Repeater Powyżej zostało wymienione tylko kilka pozycji z szerokiej oferty firmy Microsens. Cała lista modułów, pozwalających dopasować system do swoich potrzeb, dostępna jest na stronie producenta: http://www.microsens.com. Rys. 5. 10G 8–channel Gigabit TDM Opracowano na podstawie oficjalnych materiałów producenta. K.K. Inżynier SOLIDEX Autoryzowane szkolenia Cisco w SOLIDEX! Zapraszamy: Kraków, ul. J. Lea 124 Warszawa Złote Tarasy, ul. Złota 59 Biuletyn Informacyjny SOLIDEX® szczegóły na str. 51 27 TECHNOLOGIE Cisco Smart Install – pomocnik administratora? Zarządzanie siecią rozproszoną na wiele lokalizacji przy ograniczonych zasobach ludzkich bywa bardzo trudne. Zadania takie jak backupy konfiguracji czy utrzymanie aktualnej i odpowiedniej wersji systemu operacyjnego są czasochłonne. Przy dziesiątkach czy setkach zdalnych lokalizacji ogrom pracy, jaki należy włożyć w opanowanie rozległego środowiska, jest niekiedy przytłaczający, i to biorąc pod uwagę jedynie bieżące czynności administracyjne, a nie wspominając o reakcjach na awarie sprzętowe czy rozwój infrastruktury i rozbudowy sieci o kolejne lokalizacje. W celu optymalizacji czasu pracy należy jak najwięcej czynności zautomatyzować. Pomocą w opisanym powyżej przypadku jest funkcjonalność systemu IOS firmy Cisco o nazwie Smart Install (SI). Korzyści, związane z wykorzystaniem wspomnianej technologii to: •posiadanie aktualnych backupów konfiguracji dla urządzeń z uruchomioną funkcjonalnością, •zautomatyzowane wykonywanie upgrade’ów oprogramowania IOS na urządzeniach klienckich na żądanie, •dodawanie do sieci nowych przełączników workgrupowych nieposiadających wgranej konfiguracji, •płynniejsza reakcja na awarię przełączników klienckich – uszkodzone urządzenie może być wymienione przez technika nieposiadającego 28 rozległej wiedzy sieciowej (odpowiednia wersja oprogramowania wraz z konfiguracją wgrywana jest w sposób automatyczny). W dalszej części tekstu postaram się omówić, w jaki sposób można zrealizować wymienione zadania. Element ami sk ł adowymi siec i z włączoną funkcjonalnością Smart Install są: •Director •Grupy przełączników klienckich •Serwer DHCP •Serwer TFTP Poglądowa topologia sieci została przedstawiona na rysunku numer 1. Typowa sieć obsługująca Smart Install składa się z grup urządzeń sieciowych zwanych Klientami oraz wspólnego dla nich przełącznika L3 lub routera, Integrujemy przyszłość® zwanego Directorem. Ten ostatni służy jako centralny punkt zarządzania konfiguracjami, backupami konfiguracji oraz wykorzystywanymi wersjami systemu operacyjnego IOS. W momencie dodania do sieci nowego prze ł ąc znika, Direc tor w sposób automatyczny potrafi to wykryć, a następnie zaalokować dla takiego przełącznika: adres IP, nazwę, wgrać początkową konfigurację oraz odpowiednią wersję IOS. Kiedy mamy do czynienia z wymianą uszkodzonego przełącznika istniejącego w topologii Smart Install, Director potrafi wgrać nowemu switchowi konfigurację uszkodzonego poprzednika (nowy przełącznik musi posiadać ten sam Product ID). Director jest również urządzeniem, które potrafi zarządzać planowymi upgrade’ami pojedynczych Numer: III/2012 (120) Rys. 1. Przykładowa topologia sieci obsługującej Smart Install przełączników lub ich grup. Urządzenie Minimalna wersja zarządzające może służyć jako serwer Urządzenia mogące pełnić rolę Directora IOS DHCP oraz TFTP, na których mogą Routery Cisco ISR G2 serii 3900, 2900, 1900 Cisco IOS 15.1(3)T być przechowywane konfiguracje lub obrazy IOS. Te dane mogą być również Routery Cisco ISR G1 serii 3800, 2800, 1800 Cisco IOS 15.1(3)T zapisane na zewnętrznym serwerze Przełączniki Catalyst 3750–E, 3750, 3560–E, 3560 Cisco IOS 12.2(52)SE TFTP. W sieci z wdrożoną funkcjoPrzełączniki Catalyst 3750–X, 3560–X Cisco IOS 12.2(53)SE1 nalnością Smart Install przełączniki klienckie powinny pobierać adresację Urządzenia mogące być klientami Smart Install zarządzającą z serwera DHCP. Jeśli Przełączniki Catalyst 3750–E, 3750, 3560–E, 3560 Cisco IOS 12.2(52)SE chcemy korzystać z funkcjonalności Przełączniki Catalyst 3750–X, 3560–X Cisco IOS 12.2(53)SE2 automatycznego dodawania nowych przełączników lub ich bezobsługowej Przełączniki Catalyst 2960, 2975 Cisco IOS 12.2(52)SE wymiany, przełączniki klienckie muszą Przełączniki Catalyst 2960–S Cisco IOS 12.2(53)SE1 korzystać z adresacji dynamicznej, Moduły SM–ES2–16P, SM–ES3–*, Cisco IOS 15.1(3)T a cała komunikacja DHCP musi NME–16ES–1G–P przechodzić przez Directora. Przy czym klient SI nie musi być bezpośrednio Tabela. 1. Lista urządzeń kompatybilnych ze Smart Install podłączony do Directora, ponieważ funkcjonalność Smart Install dopuszcza obsługę urządzeń o ile rozmiar topologii obsługiwanych platform oraz wersji •adresach MAC przełączników, SI nie przekracza 7 przeskoków. IOS przedstawia tabela numer 1. •adresach IP przełączników, Director buduje bazę topologii na •nazwach hostów, Director podstawie snoopingu dhcp oraz •szczegółach topologii, przesyłanych przez klientów informacji •numerach seryjnych przełączników. Directorem w sieci SI może być o sąsiedztwach. W bazie SI znajdują się router lub przełącznik L3 spełniający informację o: Standardowo dhcp snooping uruchaodpowiednie wymagania. Listę •typie przełącznika (produkt ID), miany jest na Vlanie nr 1, jednakże Biuletyn Informacyjny SOLIDEX® 29 TECHNOLOGIE istnieje możliwość skonfigurowania innego numeru bądź kilku Vlan–ów. W obecnej wersji Smart Install brakuje możliwości uruchomienia redundantnego Directora. Klienci SI Klientami Smart Install mogą być przełączniki spełniające odpowiednie wymagania przedstawione w tabeli numer 1. Jeżeli w sieci obsługiwanej przez Directora, uruchomimy różne modele przełączników należy połączyć je w grupy uwzględniając odpowiedni produkt ID (PID). Aby korzystać ze wszystkich funkcjonalności SI minimalną wersją oprogramowania IOS jest 12.2.55SE. Odpowiednie parametry do autokonfiguracji klienta lub grupy klientów wykonujemy na Directorze. Dodawanie klienta do sieci SI Podczas uruchamiania przełącznika – nowego bądź przywróconego do ustawień fabrycznych – następuje próba komunikacji z serwerem DHCP w celu pobrania adresu IP. Na podstawie przychodzących zapytań podłączony do sieci Director ocenia czy urządzenie istnieje w bazie SI. W przypadku nie znalezienia przełącznika, Director ocenia (na podstawie skonfigurowanych parametrów) właściwą wersję oprogramowania do pobrania oraz początkową konfigurację. Dodawany przełącznik aplikuje podaną konfigurację oraz pobiera wskazany system IOS. Po ponownym rozruchu przełącznik uruchamia się ze wskazaną wcześniej konfiguracją startową. W podstawowym pliku konfiguracyjnym możemy umieścić minimalne informacje, które umożliwią późniejsze zalogowanie się na przełącznik i dokończenie konfiguracji. Wymiana przełącznika będącego częścią topologii SI Omawiana funkcjonalność pozwala na tzw. „zero–touch replacement”, czyli wymianę przełącznika bez angażowania zasobów administratorskich. Znajomość aktualnej topologii sieci oraz klientów pozwala Directorowi s t wier d z ić , k ie dy us z kod zony 30 przełącznik powinien być zastąpiony sprawnym. Wymiana ta odbywa się w następujący sposób. Uszkodzone urządzenie oznaczane jest w bazie SI jako „inactive”. Po podłączeniu w jego miejsce identycznej jednostki zastępczej Director jest w stanie stwierdzić, iż w miejscu nieaktywnego przełącznika pojawił się identyczny (ten sam PID) o innym adresie MAC. Następnie urządzenie zarządzające, zastępuje informację o poprzednim nieaktywnym urządzeniu, uaktualnionymi danymi i nakazuje pobrać jednostce zastępczej plik konfiguracyjny oraz wersję IOS poprzednika. Po aktualizacji oprogramowania i ponownym uruchomieniu nowy przełącznik przejmuje funkcję poprzedniego urządzenia i proces wymiany zostaje zakończony. Krytycznym warunkiem poprawnej wymiany jest zastąpienie uszkodzonego urządzenia przełącznikiem posiadającym ten sam Product ID. Jeśli PID będzie inny, Director potraktuje podłączany przełącznik jako nowego klienta i tym samym wskaże mu konfigurację początkową do pobrania. Wykonywanie planowanych upgrade’ów oprogramowania Dla urządzeń, które są klientami Direc tora, możemy zlec ać t zw. „upgrade na żądanie”. W tym celu na Directorze należy określić, na których urządzeniach, bądź grupach urządzeń, należy wykonać wymianę oprogramowania oraz zaplanować czas jej wykonania. Wykonywanie kopii zapasowych konfiguracji Kopie zapasowe konfiguracji dla urządzeń będących klientami Directora wykonują się automatycznie za każdym razem, gdy zapisujemy konfigurację na przełączniku. Dla każdego klienta Director przechowuje dwie rewizje konfiguracji. Konfiguracja „join window” Dla bezpieczeństwa wszystkie zautomatyzowane akcje, na które pozwala SI, mogą być wykonywane tylko w określonym oknie czasowym. Integrujemy przyszłość® Pozwala to na zabezpieczenie infrastruktury przed przypadkowymi anomaliami, które mogą być spowodowane przez podłączane przełączniki. Kilka uwag Należy podkreślić, że przy nowych platformach takich jak 3560E, 3560X, 3 7 5 0E i 3 7 5 0X musimy zadbać o zainstalowanie odpowiednich licencji przed podłączeniem ich do sieci obsługiwanej przez Smart Install. Zmianę domyślnego działania procesu SI (z Vlanu 1 na inny) należy wymusić poprzez odpowiednie sparametryzowanie konfiguracji. W środowiskach, w których w sieci występuje kilka rodzajów przełączników, należy umiejętnie wybrać urządzenie, które będzie pracowało jako Director. Urządzenie zarządzające służy jako punkt przechowywania obrazów systemu IOS dlatego należy zadbać, aby miało odpowiednio pojemną pamięć flash lub należy przechowywać obrazy na zewnętrznym serwerze TFTP. W pierwszym przypadku idealnie nadają się do tego routery ISR G2, posiadające pokaźną ilość pamięci flash. Podsumowanie Po przeanalizowaniu zagadnienia odpowiedź na pytanie postawione w temacie jest oczywista. Uważam, że w rozproszonym, ustandaryzowanym środowisku sieciowym, funkcjonalność Smart Install może stać się bardzo pomocnym i cennym narzędziem administratorskim. Opracowano na podstawie oficjalnych materiałów producenta. A.R. Inżynier SOLIDEX Numer: III/2012 (120) Remote Access Manager jest elastyczną, skalowalną aplikacją, która w szybki i prosty sposób może zostać dostosowana do indywidualnych potrzeb klienta. Głównym jej zadaniem jest zarządzanie zdalnym dostępem poprzez obsługę kont zewnętrznego dostępu, dynamiczne nadawanie haseł dostępu oraz określanie czasu trwania sesji dostępu. Funkcje zarządcze realizowane są za pomocą konsoli administracyjnej, umożliwiającej ich wykonanie przy użyciu interfejsu webowego. Remote Access Manager Biuletyn Informacyjny SOLIDEX® 31 rozwiązania Rozwiązania bezprzewodowe Fortinet Rosnąca popularność urządzeń mobilnych powoduje, że w organizacjach coraz bardziej na znaczeniu zyskują rozwiązania bezprzewodowe. Łatwy oraz szybki dostęp do informacji pozwala na zwiększenie konkurencyjności oraz wydajności pracy. Jednocześnie kluczowym zagadnieniem jest zagwarantowanie odpowiedniego poziomu bezpieczeństwa dla sieci bezprzewodowych i dla reszty infrastruktury sieciowej. Firma Fortinet dostarcza szereg rozwiązań bezprzewodowych, które redukują ryzyko zagrożeń związanych z ruchem w sieci. Można wyróżnić dwie podstawowe archit ek tur y roz wią za ń W i – Fi nazywane Thick AP oraz Thin AP. Wybór jednej z nich zależy od aktualnych potrzeb przedsiębiorstwa: •Thick AP („gruby” punkt dostępowy) – odnosi się do bezprzewodowego punktu dostępowego lub do WTP (Wireless Transaction Protocol). Każdy Thick AP jest samodzielnym urządzeniem odpowiedzialnym za uwierzytelnianie, szyfrowanie i stosowanie polityk kontroli dostępu. Wymaga niezależnego zarządzania lub zarządzania poprzez scentralizowaną aplikację. Urządzenia te przeznaczone są głównie dla mniejszych organizacji. 32 •Thin AP („cienki” punkt dostępowy”) – zapewnia te same funkcje co Thick AP, ale w rozproszonej formie, po to aby zapewnić większy obszar usługi. Urządzenia przekazują ruch sieciowy do kontrolera, wykonując kilka kompleksowych zadań na szczeblu lokalnym. Zdolność ta umożliwia przesyłanie funkcji uwierzytelniania, przetwarzania bezpieczeństwa czy przypisywania kanału do scentralizowanego kontrolera sieci bezprzewodowej. Powoduje to mniejszy stopień zarządzania oraz obniżenie całkowitych kosztów wdrożenia. Urządzenia Thin AP są przeznaczone do miejsc wymagających większego zasięgu, którego Integrujemy przyszłość® nie może dostarczyć pojedynczy Thick AP. Fortinet oferuje urządzenia należące do obu tych architektur, co pozwala na elastyczny wybór rozwiązania w zależności od wymagań. Można wyróżnić następujące rodziny produktów, które dostarczają zintegrowaną oraz kompleksową ochronę sieci bezprzewodowych: FortiWiFi ( Thick AP) Skonsolidowane platformy FortiWiFi oferują szereg funkcjonalności, takich jak: wsparcie dla standardu 802.11n, wsparcie dla komunikacji WAN, opcjonalny bezprzewodowy dostęp szerokopasmowy oraz wsparcie dla Numer: III/2012 (120) zewnętrznych modemów USB 3G/4G. Urządzenia zapewniają kompleksową ochronę przeznaczoną dla mniejszych oddziałów i firm. Wszystkie modele FortiWiFi wyposażone są w osiem SSID (Service Set IDentifier), z czego jeden przeznaczony jest do wyszukiwania wrogich AP (rouge AP scanning) lub w VAP (Virtual Access Points). Każdy VAP pojawia się jako osobny wirtualny interfejs. Fortinet posiada następujące modele FortiWiFi : FortiWiFi–20C FortiWiFi–20C to urządzenie, które oferuje wydajność firewall 20 Mbps, wydajność IPS 20 Mbps oraz do 10 tysięcy jednoczesnych sesji. Rozwiązanie dost arc za jeden inter fejs WAN oraz cztery wewnętrzne porty przełączników, które oferują dwie strefy zabezpieczeń dla wymuszania polityk na odległych miejscach. Łączność WLAN 802.11 b, g, n. przełączników. Ł ączność WL AN 802.11 b, g, n. FortiWiFi–50B FortiWiFi–50B posiada podwójne porty WAN zapewniające wysoką dostępność oraz trzy wewnętrzne por ty pr ze ł ąc z nika . Roz wią zanie oferuje standard 802.11 b, g. Wydajność firewalla wynosi 50 Mbps, IPSa 50 Mbps, a liczba jednoczesnych sesji to 25 000. FortiWiFi–60C/CM Model FortiWiFi-60 oferuje standard 802.11 a, b, g, n oraz bezprzewodowy dostęp typu 3G za pośrednictwem ExpressCard lub USB. Rozwiązanie posiada wbudowaną pamięć masową oraz modem analogowy dial–up. Charakteryzuje się podwójnymi portami WAN do równoważenia obc ią ż enia lub nadmiarowych połączeń internetowych. Model FortiWiFi–60C M–ADSL–A wykorzystywany jest w standardach 802.11 a/b/g/n oraz w usłudze ADSL –A. Rys. 1. FortiWiFi–20C FortiWiFi–40C Urządzenie odznacza się wydajnością firewalla na poziomie 200 Mbps oraz wydajnością IPS 135 Mbps. FortiWiFi– 40C posiada możliwość jednoczesnej obsługi do 40 000 sesji. Rozwiązanie charakteryzuje się dwoma interfejsami WAN oraz pięcioma wewnętrznymi portami Rys. 3. FortiWiFi–60C Wydajność firewalla dla tych urządzeń to aż 1 Gbps, a liczba jednoczesnych sesji może wynieść 400000. FortiWiFi–80CM Rys. 2. FortiWiFi–40C FortiWiFi–80CM posiada wydajność firewalla na poziomie 700 Mbps oraz wydajność IPS równą 350 Mbps. Pamięć wewnętrzna (FortiWifi–81CM) zapewnia lokalną archiwizację danych do osiągnięcia zgodności polityki lub optymalizacji WAN. Rozwiązanie odznacza się podwójnymi portami WAN, sześcioma wewnętrznymi portami przełącznika oraz portem DMZ przeznaczonym do ochrony Biuletyn Informacyjny SOLIDEX® Rys. 4. FortiWiFi–80CM serwerów aplikacji. Złącze PC Card wspiera takie technologie bezprzewodowe, jak: EV–DO, W–CDMA, HSPA i GPR S. FortiWiFi– 80CM pracuje w standardach 802.11 b, g, n oraz posiada dostęp do sieci 3G za pośrednictwem ExpressCard lub USB. FortiWiFi Voice–80CS Urządzenia FortiWiFi Voice–80CS o d z nac z aj ą si ę wbudowa nym zest awem podst awowych oraz zaawansowanych funkcji IP PBX. Są to takie funkcje jak: poczta głosowa, powiadomienie o wiadomościach, zintegrowane wiadomości z odpowiedziami głosowymi (IVR). FortiWiFi Voice – 80C S wspiera integrację z POTS i sieciami ISDN za pośrednictwem analogowych adapterów telefonicznych (ATA). Zawiera on również automatyczną dystrybucję połączeń (ACD). Rozwiązanie posiada wydajność firewall wynoszącą 500 Mbps, wydajność IPS 350 Mbps oraz maksymalną liczbę sesji wynoszącą 400 000. Wykorzystuje standardy 802.11 a, b, g, n. Moduł ExpressCard umożliwia opcjonalny dostęp do sieci 3G. FortiAP ( Thin AP) Platformy FortiAP należą do rozwiązania Thin AP. Obsługują standard 802.11n i zapewniają jednocześnie zintegrowane bezpieczeństwo oraz bezprzewodowy dostęp do klienta w pasmach 2,4 GHz i 5 GHz. Seria FortiAP wykorzystuje technologię MIMO 2x2 (Multiple Input Multiple Output) z podwójnym strumieniem transmisji, która gwarantuje osiągnięcie prędkości do 600 Mb/s. Za wyjątkiem modelu FortiAP-210B, 33 rozwiązania monitorowanie strefy sieci bezprzewodowej oraz dostęp dla użytkowników bez zakłócania generowanego przez nich ruchu dzięki wykorzystaniu dwóch modułów radiowych pracujących niezależnie. FortiAP–221B FortiAP–221B jest wewnętrznym punktem dostępowym zapewniającym wsparcie dla 802.11a, b, g i n. W połączeniu z kontrolerem sieci bezprzewodowej FortiGate, urządzenie może dostarczyć do 600 Mbps. Rozwiązanie zostało Rys. 7. FortiAP–221B Rys. 5. Architektura FortiGate i FortiAP urządzenia te posiadają dwa chipsety radiowe , wspierając e 16 SISD (8+8), z czego 2 są przeznaczone do wyszukiwania wrogich AP. FortiAP s ą centralnie zarz ądzane przez kontrolery sieci bezprzewodowej, które wchodzą w skład skonsolidowanych platform FortiGate. Ruch z punktów dostępowych jest tunelowany do urządzenia, gdzie podlega on kontroli UTM z zakresu usług bezpieczeństwa (np. firewall, VPN, IPS, Web Filtering, QoS, Antivirus, Antispam). Można wyróżnić następujące modele : FortiAP–222B For tiAP–2 2 2B jest zewnętrznym punktem dost ępowym wyposażonym we wzmocnioną obudowę. Nadaje się do trudnych warunków środowiskowych, w tym do ekstremalnych temperatur, stref zanieczyszczonych oraz wilgotnych miejsc. Cztery zewnętrzne anteny pozwalają FortiAP–2 2 2B działać jednoc ze śnie na c zę stotliwoś ci 2,4 GHz i 5 GHz, zapewniając wsparcie dla standardów bezprzewodowych IEEE 802.11a, b, g i n. Rozwiązanie umożliwia objęcie swoim zasięgiem dużego obszaru o mocy sygnału 27dBm (500mW ). Użycie dwóch modułów radiowych pozwala na osiągnięcie wydajności do 600 Mbps. zaprojektowane zgodnie z PCI–DSS. Jedno radio może być skonfigurowane do automatycznego przełączania między częstotliwościami 2,4 GHz i 5 GHz, podczas gdy drugie zapewnia nieprzerwany dostęp o wysokiej przepustowości do Wi–Fi klientów. FortiAP–210B Rys. 8. FortiAP–210B FortiAP–220B Rys. 6. FortiAP–222B 34 F or t i A P – 2 2 0B t o wyt r z yma ł e urządzenie wyposażone w cztery anteny, które gwarantują pracę na częstotliwościach 2,4 GHz i 5 GHz. Rozwiązanie zapewnia do 600 Mbps całkowitej przepustowości oraz wsparcie dla standardów 802.11a, b, g i n. Pozwala na jednoczesne Integrujemy przyszłość® FortiAP-210B to punkt dostępowy wyposażony w dwie wewnętrzne anteny, zapewniający wsparcie dla standardów bezprzewodowych IEEE 802.11a, b, g i n. Urządzenie umożliwia osiągnięcie wydajnośći do 300 Mbps oraz pracę na częstotliwościach 2 ,4 GHz i 5 GHz. For tiAP-210B Numer: III/2012 (120) pozwala na dostępu do sieci dla użytkowników oraz monitorowanie ruchu. Jako jedyny model FortiAP posiada pojedynczy chipset radiowy, co powoduje, że urządzenie wspiera tylko osiem SSID. Wszystkie urządzenia FortiAP mogą być zasilane poprzez PoE (Power over Ethernet), co umożliwia rezygnację z zewnętrznych zasilaczy. Można wyróżnić takie opcje jak: GPI–115 Jest to jednoportowy injector PoE, który pozwala na zasilanie urządzeń FortiAP przez sieć Ethernet. Urządzenie może maksymalnie dostarczać moc do 15,4 W oraz wspiera standard 802.3af. FortiSwitch–80–PoE For tiSwitch – 8 0 – PoE to o śmio portowy przełącznik Gigabit Ethernet, który zapewnia 62 W dzielonych na cztery urządzenia. Może zasilać kilka urządzeń bezpośrednio z portów PoE, w tym FortiAP, telefony IP FortiFone oraz kamery IP. Kontroler sieci bezprzewodowej – platforma FortiGate Platformy bezpieczeństwa FortiGate oraz FortiWiFi mogą pełnić funkcję bezprzewodowych kontrolerów, co FortiManager TM TM FortiAnalyzer Centralized Mgmt muszą szybko przystosowywać się do rozwoju technologii, który daje większą swobodę użytkownikom i przyspiesza migrację firm do Internetu. Nie wystarczy już koncentrować się na zwykłym zabezpieczaniu zasobów informatycznych. Trzeba chronić i ulepszać funkcje oraz procesy biznesowe, a jednocześnie przystosowywać się do dynamicznego środowiska użytkowników i zachowywać łatwość w zarządzaniu. Najlepsza, bardzo wydajna technologia zabezpieczająca musi więc być wspomagana przez funkcje upraszczające zarządzanie, monitorujące wydarzenia związane z bezpieczeństwem i bezproblemowo integrujące się z procedurami operacyjnymi przedsiębiorstwa. Innymi słowy, konieczne jest zyskanie „Mocy kontroli”. Filozofia „Power to Control” i „Next Generation Security” Filozofia „Power to Control” firmy Fortinet składa się z następujących obszarów: •Kontrola sieci •Kontrola użytkowników •Kontrola aplikacji •Kontrola baz danych •Kontrola urządzeń i punktów końcowych Rosnące kosz ty operac yjne, wymagania budżetowe, szybko zmieniający się krajobraz zagrożeń wewnę trznych i zewnę trznych, technologia chmury obliczeniowej (Cloud Computing) oraz zwiększenie uprawnień użytkowników, to tylko niektóre z kluczowych wyzwań S ys t emy F or t i W iF i i F or t i A P zwią zanych z bezpieczeństwem doskonale wpisują się w strategię IT. Zabezpieczenia informatyczne „Power to Control”, zapewniając infrastrukturę dla bezpiecznych sieci bezprzewodowych, którymi można bezproblemowo zarządzać za pomocą jednej konsoli. Branch Offices Podsumowanie Do podstawowych kryteriów jakie należy rozważyć przed wdrożeniem technologii bezprzewodowej są: FortiGate® Wireless Controller FortiGate® Wireless Controller FortiAP TM Access Point znacząco obniża koszty oraz złożoność wdrażania WLAN. FortiGate umożliwiają integrację sieci LAN oraz WLAN za pomocą pojedynczego interfejsu zarządzania. Zapewniają pełną ochronę danych, treści i aplikacji. Zawierają zaawansowane funkcje sieciowe, takie jak : wysoka dostępność (High Availability), technologia wirtualnej domeny (VDOM) oraz wysoka wewnętrzna segmentacja danych. Niewątpliwą zaletą rodziny Fortinet jest to, że bezprzewodowym kontrolerem może być każde urządzenie FortiGate, poza modelem 20C. Dodatkowo można zastosować dwa urządzenia : FortiManager – przeznaczone do centralnego zarządzania elementami infrastruktury Fortinet oraz FortiAnalyzer – do logowania, analizy zebranych logów i raportowania. FortiAP TM Access Point HQ FortiGate® Wireless Controller Remote Locations Rys. 9. Przykłady wdrożeń Biuletyn Informacyjny SOLIDEX® Z asię g i sz ybkoś ć – pr o duk t y For tiWiFi i For tiAP dostarczają zazwyczaj 50mW mocy wyjściowej dla dwukierunkowego łącza komunikacyjnego. Zasięg WiFi zależy od przeszkód i źródeł zakłóceń, ale może obejmować 50–60 metrów. Segmentacja użytkowników i dostęp dla gości – Fortinet umożliwia przyporządkowywanie użytkowników do wewnętrznych grup na podstawie informacji uwierzytelniania. Różne polityk i mogą być pr z ypisane 35 rozwiązania do różnych grup, co pozwala na Zagrożenia sieciowe rozwijają się stworzenie własnych reguł w zależ- tak szybko jak technologia. Obecnie ności od potrzeb. mamy do czynienia z atakami tak wyrafinowanymi, że tradycyjne Silne uwierzytelnianie i szyfrowanie metody zabezpieczeń nie potrafią ich – urządzenia bezprzewodowe Fortinet powstrzymać. Popularne ostatnio obsługują szereg typów uwierzytel- serwisy społecznościowe, czy komuniniania, w tym WPA, WPA 2 oraz katory internetowe (tzw. aplikacje nowsze oparte na szyfrowaniu AES, Web 2.0), stanowią pole działalności TKIP oraz WEP. Extended Authenti- wielu nowych generacji wirusów cation Protocol (EAP) wspiera pełen i zagrożeń, mających na celu łamanie zestaw standardowych protokołów, tradycyjnych zapór sieciowych. aby zagwarantować zgodność z bazą Jednocześnie stare zagrożenia nie użytkowników. Serwer R ADIUS znikają . Aby zapewnić ochronę jest zabezpieczony przez EAP–MD5, sieci, potrzebna jest sprawdzona EAP–TLS, EAP–TTLS i PEAP. System platfor ma , obejmując a równo operacyjny FortiOS obsługuje LDAP cześnie podstawowe technologie i Active Directory bez potrzeby dodat- zabezpieczeń (filtrowanie pakietów, kowych licencji na oprogramowanie. translację adresów sieciowych, analizę protoko łów sieciowych Wykrywanie rogue AP – Fortinet z kontrolą stanu sesji, obsługę VPN), pozwala na monitorowanie, wykry- oraz funkcje bezpieczeństwa nowej wanie i opc jonalnie tł umienie generacji (IPS z technologią głębokiej nielegalnych punktów dostępu. analizy pakietów, kontrola aplikacji, Technologia on –wire umożliwia możliwość weryfikacji tożsamości szybką identyfikację fałszywych AP użytkowników i egzekwowania oraz wysyłanie ostrzeżeń. polityki dostępu). Oferowane przez For tinet kompleksowe systemy Ł atwość wdrożenia – For tinet zabezpieczeń FortiGate i FortiWiFi to dostarcza wszystkie komponenty sprawdzone, dedykowane platformy, potrzebne do osiągnięcia szybkiego obejmujące wszystkie wymagane i taniego wdrażania sieci WL AN. funkcje ochrony przed zagrożeniami. Aby uruchomić bezprzewodowy kontroler nie trzeba wykupywać Opracowano na podstawie oficjalnych żadnych licencji, a jedynie dołączyć materiałów producenta. kilka FortiAP. Ł.H. Scentralizowane zarządzanie – Inżynier SOLIDEX FortiGate i FortiWiFi są w stanie kontrolować urządzenia FortiAP, same zaś mogą być centralnie zarządzane z poziomu FortiManagera. Eliminuje to konieczność konfiguracji nowych urządzeń. Aktualizacja oprogramowania odbywa się na szczeblu centralnym. Drugim rozwiązaniem jest FortiAnalyzer, przeznaczony do analizy zebranych logów oraz raportowania. Bezprzewodowa technologia Fortinet zapewnia skonsolidowane usługi bezpieczeństwa. Platformy FortiGate, FortiWiFi i FortiAP pozwalają na dodawanie warstw zabezpieczeń bez wpływu na wydajność oraz zwiększenia kosztów. 36 Integrujemy przyszłość® Numer: III/2012 (120) Tufin Secure Track – optymalizacja bezpieczeństwa sieci Wraz ze zwiększaniem się liczby różnego typu urządzeń sieciowych wchodzących w skład infrastruktury informatycznej współczesnych przedsiębiorstw, przy jednoczesnym stałym nacisku na redukcję kosztów funkcjonowania działów IT – i to pomimo stałego wzrostu liczby zadań oraz stopnia komplikacji zarządzanej przez nie infrastruktury – pojawia się problem, który rozwiązać można tylko poprzez zaangażowanie specjalizowanych narzędzi. Celem nadrzędnym jest z jednej strony odciążenie pionów IT i wsparcie, przy zapanowaniu nad heterogenicznym, stale zmieniającym się środowiskiem sieciowym oraz podniesienie bezpieczeństwa nadzorowanych zasobów sieciowych. Odpowiedź na pytanie, jak wydajnie i bezpiecznie zarządzać zmianami konfiguracji w sieci, może wydawać się dość skomplikowana. Z pomocą przychodzi nam jednak Secure Track (ST), produkt pochodzący „ze stajni” izraelskiej firmy Tufin Software Technologies Ltd. ST stanowi zestaw zintegrowanych ze sobą, użytecznych na r z ę d z i z na komic ie u ł at wia jących pracę administratorom sieci. Narzędzia te służą przede wszystkim zapobieganiu niedostępności usług systemu IT (wynikającej z blokady wspomnianych usług na poziomie sieciowym), a także do szybkiej analizy możliwych problemów z zakresu działania sieci w kontekście istniejących w niej zabezpieczeń. Bardzo Rys. 1. Tufin Secure Track - integracja z rozwiązaniami sieciowymi czołowych producentów Biuletyn Informacyjny SOLIDEX® 37 rozwiązania często Tufin Secure Track bywa również wykorzystywany do optymalizacji konfiguracji systemów zabezpieczeń sieci oraz w charakterze „strażnika”, który w trakcie wprowadzania zmian eliminuje różnego rodzaju błędy konfiguracji na urządzeniach sieciowych. ST zapewnia również ciągły monitoring krytycznych komponentów systemu operacyjnego urządzeń firewall i parametrów wydajnościowych, z apewniając adminis t rat or owi niezbędne informacje na temat stabilności nadzorowanych systemów. Zarządzanie urządzeń konfiguracjami Secure Track posiada również funkcję automatyzacji procesu zarządzania zmianami konfiguracji urządzeń sieci i zabezpieczeń różnych typów urządzeń sieciowych, takich jak systemy ścian ogniowych (firewalls), routery, switche, load balancery. ST znacząco usprawnia i wspomaga pracę administratorów w zakresie zarządzania, jak i odtwarzania backupów urządzeń sieciowych. K a żda zmiana w urz ądzeniach sieciowych jest rejestrowana (w zależności od wybranej opcji automatycznie lub co określony przedział czasu) przez Secure Track, co pozwala na analizę wszystkich wprowadzonych zmian, a także na szybką ścieżkę powrotu do wc ześniej wykorzystywanej i uznanej za poprawną konfiguracji. W dowolnym momencie można ur uchomić proc es porównania aktualnej konfiguracji sieciowej (opcja compare – na rysunku 1) urządzenia i wskazanej konfiguracji archiwalnej, by w wyjątkowo przejrzysty sposób zobaczyć wszystkie różnice z dokładnością do pojedynczego routingu czy opisu na porcie urządzenia. Dokumentowanie zmian D o da t k ow o nie z w yk le c e nn ą funkcjonalnością (audit – > rule documentation) jest możliwoś ć Analiza ruchu sieciowego dokumentowania zmian wprowadzanych w konfiguracji urządzeń Secure Track posiada również narzędzia sieciowych. Pozwala ona zidentyfi- do analizy ruchu sieciowego przechokować, kto zmiany zlecił, kto był dzącego przez urządzenie. Funkcja ta Rys. 2. „Compare” – porównywanie zmian w konfiguracjach urządzenia 38 odpowiedzialny za ich wprowadzenie, czemu miały służyć (np. identyfikacja projektu) oraz w jakim okresie miały obowiązywać. Jest to bardzo użyteczna funkcjonalność, zawłaszcza w dużych sieciach zarządzanych przez różne grupy administratorów, gdzie często mają miejsce rekonfiguracje związane z uruchamianiem nowych usług sieciowych oraz zmiany związane z kontrolą dostępu. Przykładowo po kilku miesiącach administrator może nie pamiętać, kto i w jakim celu zlecił otwarcie komunikacji sieciowej na porcie TCP:34234 do farmy serwerowej w podsieci 172.18.30.0/24. Omawiana funkcjonalność pozwala opisać zmiany w konfiguracji i powiązać je z toczącymi się w firmie konkretnymi projektami (dla których dział IT udostępnia zasoby) lub odpowiedzialnymi za owe projekty managerami. Integrujemy przyszłość® Numer: III/2012 (120) jest szczególnie użyteczna w przypadku konieczności analizy reguł w systemach firewall pod kątem ich wykorzystania, a co za tym idzie potrzeby ich dalszej obecności w konfiguracji. ST jest w stanie zbadać konfigurację urządzenia pod kątem możliwości jej optymalizacji, a ponadto poddać ją audytowi z punktu widzenia analizy rejestrowanego przez urządzenie ruchu sieciowego (w oparciu o bieżący monitoring lub sprawdzenie zgromadzonych wcześniej szczegółowych logów systemowych) i jego korelacji ze zdefiniowanymi regułami bezpieczeństwa. Tego typu analiza pozwala na zidentyfikowanie, które reguły w konfiguracji systemów firewall (listy ACL) są używane oraz jakie jest wykorzystanie poszczególnych reguł (tzw. „hit–rate”). Reguły, które rejestrują więcej ruchu powinny zostać przesunięte w górę, by przyspieszyć przetwarzanie list ACL przez urządzenie sieciowe, co z kolei przełoży się na poprawienie wydajność i szybkości obsługi. Z kolei reguły nieużywane, ale występujące w konfiguracji, są potencjalnymi dziurami w systemie bezpieczeństwa i, skoro nie są już dłużej potrzebne, powinny zostać usunięte. Spowoduje to poprawienie bezpieczeństwa oraz skrócenie konfiguracji urządzeń sieciowych, a co za tym idzie poprawienie jej czytelności. Niestety takie „martwe” reguły sieciowe zostają często w konfiguracji systemów firewall na całe lata i nie są usuwane, ponieważ nikt z obecnych administratorów nie pamięta już, jaki był cel ich wprowadzenia oraz kiedy zostały zdefiniowane. Braki w dokumentacji dodatkowo utrudniają rozwiązanie problemu. Tego typu pozostałości mogą zawsze stanowić ryzyko, iż w przyszłości zostaną wykorzystane do ataku na chronione systemy przez potencjalnego hackera. W ramach wykonywanej optymalizacji ST analizuje zastosowane na urządzeniu reguły (Policy Analysis) pod kątem ich wykorzystania dla obsługi danego typu ruchu sieciowego, umożliwiając wykrycie powtarzających się i nadmiarowych reguł oraz obiektów. Poprzez ich optymalizację oraz usunięcie niepotrzebnych reguł i obiektów uzyskujemy prostszą i czytelniejszą konfigurację. Rys. 3. Aktualna topologia analizowanej sieci generowana przez ST Analiza i prezentacja aktualnej topologii urządzeń sieciowych głównie w efekcie analizy konfiguracji sieciowych poszczególnych urządzeń monitorowanych przez Secure Track oraz informacji z urządzeń gromaSecure Track posiada także wyjątkowo dzących dane w oparciu o protokoły ciekawy mechanizm analizy i prezen- LLDP/CDP. Co więcej nie jest ona tacji bieżącej topologii urządzeń wyłącznie wynikiem typowych sieciowych. Czasami administrator nie dla systemów zarządzania analiz posiada wiedzy na temat aktualnej bazujących na usługach SNMP/S – topologii sieci lub ma przestarzałe TR AP, czy aktywnych metodach dane bazujące na strukturze fizycznych odkrywania topologii na bazie usług połączeń, która w międzyczasie uległa ICMP lub narzędzi w rodzaju „tracezmianie w wyniku przebudowy lub route”. Po wygenerowaniu topologii dynamicznej rekonfiguracji sieci wystarczy wpisać adres IP, aby zidenna bazie mechanizmów routingów. tyfikować poszukiwane przez nas Często w sytuacji krytycznej odszu- urządzenie na wygenerowanej mapie kanie dokumentacji papierowej czy (rysunek 2). schematów topologii rysowanych w VISIO jest dużym wyzwaniem dla Identyfikacja urządzeń blokuadministratorów. Co więcej wiary- jących komunikację sieciową godność takich materiałów jest często dyskusyjna, zwłaszcza jeśli nieprze- S ec ure Track st anowi równie ż strzegane są szczegółowe procedury niezwykle użyteczne narzędzie do w zakresie dokumentowania zmian. wykrywania urządzeń blokujących W takiej sytuacji doskonale sprawdza komunikację sieciową. Często bowiem się Secure Track, oferując narzędzie zdarza się, że w wyniku rekonfiguracji dostarczające informacji o rzeczywistej usług sieciowych następuje utrata strukturze sieci. dostępu do jakiegoś fragmentu sieci Wygenerowana przez ST topologia lub konkretnej usługi. Czasami fakt jest zawsze aktualna i bazuje na odcięcia dostępu do usługi zostaje rzeczywistej konfiguracji urządzeń w krótkim czasie ujawniony przez oraz zdolności sieci do dynamicznej telefony zaniepokojonych użytkowrekonfiguracji. Topologia ta powstaje ników. Nie jest to wówczas najgorszy Biuletyn Informacyjny SOLIDEX® 39 rozwiązania przypadek, pod warunkiem, że nie dotyczy to usług z puli „business continuity”, o czym wspomnimy nieco później. W takiej sytuacji administrator szybko powiązuje fakt utraty dostępu do usług przez użytkowników z przeprowadzoną przez niego wcześniej rekonfiguracją urządzeń sieciowych. Znacznie gorszy jest przypadek, gdy nikt nie zauważa blokady dostępu do usług, a fakt ten wychodzi dopiero po kilku tygodniach czy miesiącach. W takiej sytuacji administrator najczęściej nie kojarzy zgłoszonego mu problemu z modyfikacjami, jakie wprowadził wcześniej na urządzeniach sieciowych, zwłaszcza że naturalnym jest przekonanie, iż zgłoszony problem jest zjawiskiem nowym i niepowiązanym z przeszłymi działaniami. I tu znowu z pomocą przychodzi nam jedna z funkcjonalności ST. Wykorzystując opcje analyze–>analysis queries można zweryfikować drożność ścieżki w sieci określonej adresami SRC i DST i portem usługi sieciowej. Pozwala to na prześledzenie w ciągu paru chwil, czy pomiędzy urządzeniem wskazanym jako źródłowe i docelowym nie znajduje się inne urządzenie, które w wyniku wcześniejszej rekonfiguracji odcina ruch sieciowy. Tego typu pomoc może znacząco przyspieszyć identyfikację urządzenia sprawiającego problem na badanej trasie routowania pakietów IP i umożliwić szybkie odblokowanie odciętej usługi. Dobór właściwej polityki kontroli dostępu Niezwykle użyteczną funkcjonalnością systemu jest identyfikowanie usług sieciowych w przypadkach, gdy administratorzy nie wiedzą, na jakich portach dana usługa jest zdefiniowana oraz pomoc w doborze właściwej polityki kontroli dostępu. Często zdarza się, że niektóre aplikacje uruchamiane w sieci na potrzeby poszczególnych projektów nie posiadają szczegółowo zdefiniowanych wymagań (dostępnych dla administratora systemów zabezpieczeń sieci) odnośnie komunikacji TCP/UDP. W takim przypadku administrator mający zapewnić dostęp do serwerów świadczących taką usługę nie jest w stanie zdefiniować reguł bezpieczeństwa pod postacią sztywnych reguł ACL na urządzeniach sieciowych, 40 zwłaszcza gdy nie ma czasu na szczegółowe śledzenie blokowanych połączeń. W takiej sytuacji również pomocny okazuje się Secure Track (automatic policy generator), który w procesie nauki rozpoznaje połączenia zestawiane do nowo uruchomionych usług. W efekcie po zadanym czasie (np. po kilku czy kilkunastu dniach) system w oparciu o zdobytą wiedzę proponuje administratorowi dobór odpowiedniej może mieć spore problemy z analizą konfiguracji „ścian ogniowych” innych producentów (np. Juniper, Palo Alto czy Check Point), w szczególności wymogów bezpieczeństwa dla danej platformy sprzętowej. Dzięki ST po zaledwie kilku kliknięciach myszką (wybieramy opcję audit best practice) oraz wskazaniu urządzenia (wraz z zaleceniami w zakresie weryfikacji ogólnych założeń „best practice” lub szczególny- Rozwiązania Tufin ST są wykorzystywane przez wiodące przedsiębiorstwa na całym świecie i to zarówno w sektorze usług finansowych czy ochrony zdrowia, jak i w sektorze telekomunikacyjnym, technologicznym, transportowym czy energetycznym. polityki bezpieczeństwa, pozwalając ograniczyć mniej lub bardziej szczegółowo – w zależności od wymagań w zakresie bezpieczeństwa– dostępne połączenia sieciowe wymagane do poprawnej pracy nowej aplikacji (opcja balance graph). Zgodność konfiguracji z „dobrymi praktykami” i politykami bezpieczeństwa ST znacząco pomaga administratorom eliminować błędy będące skutkiem tzw. „czynnika ludzkiego”, powstające często w procesie zarządzania zmianami sieci i rekonfiguracji zabezpieczeń sieciowych. Jak już wspomniano Secure Track posiada możliwość monitorowania urządzeń sieciowych pod kątem zmian konfiguracji oraz zapewnia wsparcie dla administratorów. Szczególnie pomocne są tu narzędzia analizy zmian konfiguracji oraz ich zgodności z tzw. „dobrymi praktykami” (best practice) rekomendowanymi dla poszczególnych platform sieciowych. Do rzadkości należą sytuacje, gdy jeden administrator jest specjalistą w zakresie konfiguracji urządzeń sieciowych różnych producentów. I tak przykładowo specjalista w dziedzinie konfiguracji systemów klasy firewall bazujących na produktach firmy Cisco Systems Integrujemy przyszłość® mi wytycznymi dla danego producenta) uzyskujemy raport weryfikujący poprawność naszej konfiguracji lub ewentualnie zalecenia wskazujące jednoznacznie konieczność dokonania niezbędnych zmian służących uszczelnieniu konfiguracji audytowanych systemów. Oprócz weryfikacji zmian konfiguracji w kontekście zgodność z tzw. „best practice”, ST daje możliwość badania konfiguracji urządzeń, a właściwie dokonywanych na nich zmian zgodnie z obowiązującym w danej organizacji zespołem polityk i zaleceń z zakresu bezpieczeństwa (tzw. „corporate policy” ). W tym celu wystarczy „nauczyć” ST obowiązujących polityk bezpieczeństwa, by każda późniejsza modyfikacja konfiguracji urządzeń sieciowych naruszająca zdefiniowaną wcześniej i zatwierdzoną w firmie politykę bezpieczeństwa wywoływała alarm, który uświadomi nieuważnemu administratorowi, że właśnie łamie obowią zując ą politykę bezpie czeństwa (np. zezwalając na połączenia nieszyfrowaną usługą terminalową telnet zamiast szyfrowanego SSH do urządzeń sieciowych). Inną niezwykle pomocną funkcją oferowaną przez ST jest wykorzystanie polityk oznaczanych jako „business continuity”, których zadaniem jest przypilnowanie, aby nadgorliwy Numer: III/2012 (120) administrator jednym nieostrożnym ruchem nie doprowadził do przerwy w funkcjonowaniu usług sieciowych, kluczowych z punktu widzenia firmy, stanowiących czasami o jej być albo nie być (np. krytyczne usługi finansowe, systemy sterujące liniami technologicznymi, korporacyjna telefonia IP etc.) . W tym celu wystarczy wcześniej określić zakres owych usług, definiując ich źródło w postaci adresów IP (src/ dst), numerów portów (port:tcp/udp) oraz ewentualnie kierunków ruchu sieciowego. Ponadto ST umożliwia weryfikowanie konfiguracji urządzeń pod kątem zgodności z normami bezpieczeństwa zdefiniowanymi wymogami PCI DSS, SOX, HIPAA, ISO 17799, NERC, Basel II lub naszą wewnętrzną polityką na poszczególne domeny administracyjne (np. podział ze względu na kompetencje administratorów, obszar geograficzny, funkcjonalność czy producentów urządzeń etc.) zarządzane przez wyznaczonych w tym celu administratorów/grupy. Użytkownicy mogą być dodawani lokalnie lub ich źródłem może być zewnętrzna usługa katalogowa (LDAP/AD). T–80 obsługujące do 10 urządzeń, dedykowane głównie dla małych, rozproszonych oddziałów. Przy czym lista platform sieciowych wspieranych przez ST jest bardzo szeroka i stale się powiększa (należą do niej Cisco, Palo Alto, CheckPoint, F5, Fortinet, Juniper, F5, McAfee, Blue Coat). Niewątpliwie pomocnym jest wykorzystanie rozwiązania Tufin Open Platform ( TOP) umożliwiającego monitorowanie Podsumowanie dowolnych urządzeń, których konfiguracje można pobrać w postaci pliku Tufin Secure Track dostępny jest pod tekstowego. Pełna lista wspieranych postacią oprogramowania poczy- producentów oraz ich rozwiązań nając od platform softwarowych dostępna jest na stronie producenta (Linux: RedHat , CentOS), przez pod linkiem: http://www.tufin.com/ platformy wirtualne, skończywszy na products_supported_devices.php. dedykowanych urządzeniach sprzętowych (T–series appliance – rys. 4). Rozwiązania Tufin ST są wykorzystywane przez wiodące przedsiębiorstwa na całym świecie i to zarówno w sektorze usług finansowych czy ochrony zdrowia, jak i w sektorze telekomunikacyjnym, technologicznym, transportowym czy energetycznym. Firma Tufin posiada również inne narzędzie klasy „workflow” powiązane funkcjonalnie z ST, które służy przede wszystkim analizie procesu projektowania i akceptowania oraz nadzorowaniu procesów wprowadzania zmian i cyklu ich życia w konfiguracji sieci. Omówieniu Secure Change (S.C.), bo o nim tu mowa, będzie poświęcony oddzielny artykuł w jednym z kolejnych wydań Integratora. Ws z ys t k ic h z aint er e s owanyc h Rys. 4. Tufin T–appliances (T–500,T–1000/XL) produktem Tufin Secure Track oraz przetestowaniem jego możliwości określaną jako Compliance Police. Występują 4 rodzaje urządzeń z serii na przykładzie własnego środowiska O p r ó c z w / w f u n k c j o n a ln o ś c i „T” różniące się między sobą wydaj- sieciowego zachęcamy do kontaktu system umożliwia generowanie nością i gabarytami (seria T–500 z działem handlowym SOLIDEX. raportów zawierających informacje 1RU). Seria T–500 jest przeznaczona o wersjach systemów operacyjnych do zarządzania max. 100 urządzeniami Opracowano na podstawie oficjalnych urządzeń sieciowych i ich weryfi- sieciowymi, podczas gdy seria T–1000 materiałów producenta. kac ję w kontek ś c ie wymogów zapewnia obsługę do 500 urządzeń, A.J. bezpieczeństwa. a seria T–1000XL obsługuje ich aż 750 Inżynier SOLIDEX na jednym systemie appliance (archiInterfejs administracyjny tektura systemu pozwala łączyć ze sobą kolejne urządzenia, uzyskując S e c ur e Tr ac k z a r z ą d z a ny je s t praktycznie nieograniczoną skaloz dowolnego punktu sieci za pomocą walność ). Wszystkie urządzenia zwykłej przeglądarki WWW wspiera- z serii „T” zapewniają redundancje jącej prot. SSL (HTTPS). Jego interfejs zarówno dla podsystemów dyskowych jest niezwykle funkcjonalny i intuicyjny (R AID), jak i zasilaczy. Uzupełw obsłudze dla użytkownika. System nieniem w/w urządzeń, nadających umożliwia gradacje uprawnień, się do instalacji w szafach rack, są małe dzięki czemu można podzielić sieć „nierackowalne” urządzenia z serii Biuletyn Informacyjny SOLIDEX® 41 rozwiązania Rozwiązania Cisco Ironport jako skuteczna ochrona ruchu e-mail i web przed zagrożeniami Sprawnie działająca poczta elektroniczna i dostęp do sieci Internet stanowi obecnie krytyczny element funkcjonowania każdej firmy czy organizacji. Stawia to przed działami IT trudne zadanie ochrony przed zagrożeniami płynącymi z dostępu do tych mediów. Do problemów, z którymi muszą •wyłudzanie poufnych danych następujące problemy: zmierzyć się administratorzy poczty (phishing), •narażenie komputerów na niebeze–mail, możemy zaliczyć: •kradzież poufnych danych przez pieczną zawartość aktywną na •spam, pracowników, stronach internetowych (wirusy •niechciane wiadomości reklamo- •ataki na znane podatności serwei innego rodzaju malware), we, które z technicznego punktu rów pocztowych i ataki typu DoS. •wyłudzanie poufnych informawidzenia nie są spamem, a więc są cji przez fałszywe strony www trudne do wychwycenia, Z kolei niekontrolowany dostęp (phishing), •wirusy i innego rodzaju malware, pracowników do Internetu stwarza •kradzież poufnych danych przez pracowników poprzez wysyłanie ich na zewnętrzne serwery, •utrata produktywności pracowników poprzez wykorzystywanie Internetu w celach innych niż służbowe, •nadmierne i niepotrzebne wykorzystanie pasma łączy internetowych. Rodzina produktów Ironport Cisco Ironport to specjalizowane urządzenia, zapewniające kompleksową ochronę ruchu e–mail i web. Można Rys. 1. Urządzenie serii Cisco Ironport 42 Cisco Integrujemy przyszłość® Numer: III/2012 (120) Urządzenie Przeznaczenie Ironport S670 HQ, duże firmy Ironport S370 Średnie firmy, duże oddziały Ironport S170 Ironport S160 Małe firmy, małe oddziały dostępnym przez WWW. Co ważne – GUI wszystkich typów urządzeń jest zorganizowane w podobny sposób, co bardzo ułatwia pracę administratorom. Dostępna jest również funkcjonalność zarządzania urządzeniami poprzez CLI oraz SNMP. Tabela 1. Appliance z serii Ironport S Ironport serii C Urządzenie Przeznaczenie Ironport X1070 ISP, bardzo duże organizacje Ironport C670 HQ, duże firmy Ironport C370 Średnie firmy, duże oddziały Ironport C370D Urządzenie zoptymalizowane do wysyłania dużej ilości autentykowanej poczty Ironport C170 Ironport C160 Małe firmy, małe oddziały Tabela 2. Appliance z serii Ironport C Urządzenie Przeznaczenie Ironport M1070 HQ, duże firmy Ironport M670 Średnie firmy, duże oddziały Ironport M170 Ironport M160 Małe firmy, małe oddziały Tabela 3. Appliance z serii Ironport M wśród nich wyróżnić trzy główne linie produktowe: •Ironport serii C przeznaczone do ochrony poczty e–mail, •Ironport serii S przeznaczone do ochrony ruchu web, •Ironport serii M służące do centralnego zarządzania i raportowania z urządzeń serii S oraz C. Obecnie dostępne urządzenia Ironport w portfolio produktowym Cisco zebrano w tabelach 1, 2 i 3. Dla urządzeń serii C jest dostępne rozwiązanie szyfrowania poczty Cisco Ironport E–Mail Encryption, EMAIL INTERNET oferowane jako dedykowany Cisco Ironport Encryption Appliance, bądź usługa Cisco Registered Envelope Service (CRES). Każdą z funkcjonalności urządzeń Ironport uruchamia oddzielna licencja, co pozwala Klientom dostosować urządzenie dokładnie do swoich potrzeb, a także łatwo rozbudować je o dodatkowe funkcjonalności poprzez prostą instalację dodatkowych licencji. Wszystkie urządzenia serii Ironport posiadają, jako oprogramowanie specjalizowany i bezpieczny system operacyjny AsyncOS z intuicyjnym, graficznym interfejsem użytkownika FIREWALL IRONPORT EMAIL SECURITY APPLIANCE Ironport serii C pełni rolę bramy SMTP przejmującej na siebie zadanie odbierania i wysyłania poczty na styku z Internetem. Korporacyjne serwery pocztowe komunikują się tylko z urządzeniem, a więc są bardzo skutecznie odseparowane i chronione przed atakami z zewnątrz. Ideę pokazuje rysunek 2. Urządzenia cechuje bardzo wysoka wydajność i skuteczność w wykrywaniu spamu, dzięki wykorzystaniu usług rozproszonych i specyficznemu podejściu do analizy nadawców, jak i samych e–maili. Nadawcy wiadomości są wstępnie weryfikowani w dynamicznie aktualizowanej, globalnej bazie danych z informacjami o nadawcach (SenderBase). Na etapie nawiązywania sesji SMTP odrzucana jest ogromna większość nadawców spamu, który nie musi być dalej przetwarzany. Dzięki temu znacznie oszczędza się zasoby systemowe urządzenia. E–maile od nadawców, którzy przeszli weryfikację SRBS, są analizowane dalej i skanowane pod kątem treści wskazujących na spam. Ideę pokazuje rysunek 3. Unikalną funkcjonalnością Ironport C jest możliwość wykrywania wiadomości technic znie niebędących spamem, bo pochodzących od prawidłowych nadawców, ale zawierających niechciane treści reklamowe. E–maile mogą być także skanowane pod kątem obecności malware przez jeden z dwóch dostępnych silników antywir usowych (Mc A fee lub GROUPWARE CLIENTS IronPort email security solutions integrate easily into existing messaging infrastructures - delivering defense-in-depth security. Rys. 2. Integracja Ironport C z systemem pocztowym Biuletyn Informacyjny SOLIDEX® 43 rozwiązania Rys. 3. Wielopoziomowa ochrona przed spamem na urządzeniach Ironport C Sophos). Ponadto dzięki silnikowi Virus Outbreak Filters, system zapewnia t ak że ochronę przed nowymi zagrożeniami, dla których nie ma jeszcze opracowanych sygnatur antywirusowych. Administrator otrzymuje zatem kompletne narzędzie ochrony antyspamowej i antywirusowej dla poczty zewnętrznej i nie musi już wdrażać tego typu mechanizmów na wewnętrznych serwerach pocztowych. Oczywiście nadal pozostaje kwestia ochrony stacji końcowych użytkowników przed malware przeniesionym np. za pomocą nośników wymiennych. System posiada wszechstronne możliwości analizy i modyfikacji zawartości e–maili w celu wymuszenia określonych polityk bezpieczeństwa obowiązujących w firmie. Analiza i klasyfikacja wiadomości może odbywać się w oparciu m.in. o kryteria takie jak: •obecność określonych nagłówków w wiadomości, •wyrażenia regularne w odniesieniu do każdego nagłówka i treści wiadomości, •obecność wrażliwych danych, wykrywanych przez silnik DLP, •typ i rozmiar załączników. Sklasyfikowana wiadomość może zostać przetworzona w praktycznie dowolny sposób – m.in. poprzez: •umieszczenie w jednej z dedykowanych kwarantann wiadomości naruszających zdefiniowaną politykę bezpieczeństwa, •dodanie, usunięcie lub zmianę dowolnych nagłówków wiadomości, •dodanie, usunięcie lub zmianę adresatów wiadomości w oparciu o statyczne mapowania lub usługę katalogową, •przekierowanie wiadomości do innego niż wynika z routingu SMTP serwera pocztowego, •usunięcie niedozwolonych załączników wiadomości. Integracja z usługą katalogową LDAP pozwala również na weryfikację odbiorców wiadomości, zanim dotrze Rys. 4. Weryfikacja reputacji adresu URL 44 Integrujemy przyszłość® ona do serwera pocztowego. Uzyskuje się dzięki temu znaczące odciążenie wewnętrznych serwerów pocztowych, a poprzez odpowiednią konfigurację odpowiedzi Ironporta do nadawcy, możliwa jest również ochrona przed skanowaniem dostępności prawidłowych adresów e–mail przez boty spamerskie. Appliance Ironpor t C mogą być klastrowane dla zapewnienia redundancji. Klaster z punktu widzenia sieci działa jak oddzielne relay’e SMTP (podstawowy i zapasowy), jednak administrowanie nim jest bardzo proste, dzięki automatycznej replikacji polityk pomiędzy urządzeniami w klastrze. Ironport seria S Ironport serii S z punktu widzenia sieci jest urządzeniem typu Web Proxy, mogącym pracować w trybie standardowym (explicit forward proxy), bądź przezroczystym (transparent proxy) z wykorzystaniem protokołu WCCP, a zatem urządzenie bardzo dobrze integruje się z różnymi topologiami sieci. Obsługiwane protokoły to: •HTTP, •HTTPS z możliwością transparentnego przepuszczania żądań, bądź ich inspekcji, •FTP w trybie Native i over HTTP, •protokoły tunelowane metodą HTTP CONNECT (obsługa w zakresie przepuszczania, bądź blokowania ruchu). Weryfikacja żądań proxy na urządzeniu serii S odbywa się podobnie, jak weryfikacja antyspamowa na urządzeniu serii C, czyli kilkuetapowo. Adres URL i każdy kolejny odnośnik na stronie, Numer: III/2012 (120) do której on prowadzi może być wstępnie zweryfikowany w globalnej bazie reputacyjnej SenderBase. Proces obrazuje rysunek 4. Każdy adres zostaje zakwalifikowany na podstawie otrzymanej wartości Web Base Reputation Score ( WBRS) do jednej z trzech kategorii: •BLOCK – adres niebezpieczny – żądanie musi być zablokowane, •ALLOW – adres bezpieczny – żądanie i odpowiedź serwera mogą być przepuszczone bez dodatkowej inspekcji antimalware, •SCAN – adres potencjalnie niebezpieczny – trzeba wykonać głęboką inspekcję antimalware. Dzięki takiemu podejściu tylko niewielka część żądań i odpowiedzi serwera musi być poddawana skomplikowanej inspekcji intensywnie wykorzystującej zasoby systemowe urządzenia i mogącej potencjalnie powodować opóźnienia. Skanowanie antymalware może być wykonywane przez specjalizowany silnik WebRoot oraz jeden z dwóch silników antywirusowych (McAfee lub Sophos). W razie potrzeby progi WBRS dla powyższych akcji mogą być zmieniane niezależnie dla każdej reguły w politykach dostępu. Przychodzące żądania mogą być identyfikowane w oparciu o: •adres/podsieć IP, •użytkownika/grupę w usłudze katalogowej, •protokół i port, •datę i czas, •kategorię adresu URL, •agenta wysyłającego żądanie. •kategorii URL w zależności od daty i czasu wygenerowania żądania, •typu pobieranego/wysyłanego obiektu (np. strumienie wideo, obiekty flash itd.), •protokołu i portu. Możliwe jest również limitowanie pasma dla mediów strumieniowych identyfikowanych przez silnik AVC. Wybrane połączenia szyfrowane HTTPS mogą być poddawane inspekcji i przyjmowane bądź odrzucane wg identycznych kryteriów jak dla połączeń nieszyfrowanych. Odbywa się to na zasadzie podstawienia klientowi certyfikatu serwera (ataku typu man–in–the–middle). Autentykacja użytkowników w usłudze katalogowej może odbywać się w trybie podstawowym (Basic Authentication), gdzie użytkownik dostaje monit z prośbą o wpisanie swojej nazwy użytkownika i hasła, bądź przezroczystym (Transparent Authentication) z wykorzystaniem protokołu NTLM. Autentykacja Basic jest wspierana dla Active Directory i serwerów LDAP, a Transparent – tylko dla AD. Możliwe jest również odróżnienie użytkowników zdalnych od lokalnych i definiowania dla nich odrębnych polityk dostępu dzięki wsparciu dla Cisco Anyconnect Secure Mobility (integracja z Cisco ASA). Użytkownicy zdalni mogą być również rozróżniani poprzez umieszczenie ich w wydzielonej podsieci IP. Redundancja Ironport S jest realizowana za pomocą protokołu WCCP, bądź odpowiednio przygotowanych plików PAC dla stacji końcowych. Centralne zarządzanie politykami na kilku urządzeniach serii S odbywa się z poziomu urządzenia serii M. •monitorowania aktywności użytkowników proxy (Web Tracking) dla serii S. Cechą wspólną dla statystyk i raportów z obu typów urządzeń jest możliwość ich generowania z historycznie dłuższego przedziału czasu, niż w przypadku wykonywania tego zadania bezpośrednio na urządzeniu serii S lub C. Wdrożenie Ironport M jest zalecane w przypadku rozbudowanych instalacji składających się z kilku urządzeń serii S i C. Lista funkcjonalności realizowanych przez ten appliance jest stale poszerzana w nowych wersja oprogramowania AsyncOS. Podsumowanie Appliance serii Cisco Ironport mogą stanowić istotny element ochrony przed zagrożeniami dla korporacyjnej poczty i ruchu web. Cechuje je łatwość integracji z istniejącą infrastrukturą, wysoki poziom zapewnianej ochrony i proste zarządzanie. Administrator otrzymuje kompletne narzędzie ochrony z praktycznie wszystkimi potrzebnymi funkcjonalnościami w postaci specjalizowanego urządzenia. Opracowano na podstawie oficjalnych materiałów producenta. Ł.J. Inżynier SOLIDEX Dla sklasyfikowanych wg powyższych kryteriów żądań mogą być zdefiniowane niezależne polityki dostępu realizujące blokowanie, bądź przepusz- Urządzenie Ironport M czanie ruchu dla: •jednej z kilkudziesięciu predefinio- Urządzenie Ironport M służy do wanych kategorii URL silnika Cisco centralnego: •zbierania i generowania statystyk Ironport Web Usage Controls, oraz raportowania z urządzeń serii •kategorii zdefiniowanych przez S i C, użytkownika, •wybranych funkcjonalności apli- •zarządzania politykami proxy dla urządzeń serii S, kacji webowych (np. przycisk „Lubię to” na Facebook–u) identy- •przechowywania wychwyconego spamu (kwarantanna) dla urządzeń fikowanych przez silnik Application serii C, Visibility and Control (AVC) – lista wspieranych aplikacji i ich funkcjo- •monitorowania wiadomości e– mail (Message Tracking) dla serii C, nalności jest stale poszerzana, Biuletyn Informacyjny SOLIDEX® 45 SYSTEM REZERWACJI SAL SYSTEM REZERWACJI SAL system rezerwacji sal intuicyjna i zaawansowana aplikacja do rezerwacji sal konferencyjnych w firmach Więcej informacji o ofercie: www.webservice.pl Numer: III/2012 (120) Wysokospecjalizowane urządzenia serii SRX dla budowy zapór ogniowych Seria urządzeń SRX to linia wysokospecjalizowanych zapór ogniowych jednego z największych na świecie producentów sprzętu sieciowego, założonej w 1996 roku kalifornijskiej firmy Juniper Networks. Jej pierwszym produktem był innowacyjny router M40, pierwszy, w którym zastosowano technikę przełączania pakietów z wykorzystaniem dedykowanych układów scalonych ASIC, dzięki czemu uzyskano rewelacyjną wydajność, niespotykaną wówczas wśród konkurencji. Przed 2009 rokiem klienci, decydujący się na zakup produktów tej firmy, stawali przed dylematem wyboru między routerami pracującymi pod kontrolą systemu JunOS, a urządzeniami serii SSG, działającymi w oparciu o system firmy NetScreen (ScreenOS), przejętej na początku 2004 roku przez Juniper. Te pierwsze oferowały zaawansowane funkcje routingowe, ale z ograniczonymi możliwościami zapewniania bezpieczeństwa, podczas gdy te drugie były wyspecjalizowane w zapewnieniu różnorodnych funkcji bezpieczeństwa, ale miały zaimplementowane jedynie podstawowe funkcje routingu. Z czasem Juniper dał możliwość migracji oprogramowania między routerami serii J oraz wyższymi modelami serii SSG, pozwalając na urządzenia przeznaczone dla małych zamienność platform sprzętowych. i średnich firm (branch) oraz wyższe W 2009 roku Juniper zaprezen- modele przeznac zone dla siec i tował nową linię zapór ogniowych: kampusowych (campus), centrów serię SRX, pracujących pod kontrolą systemu operacyjnego, który łączy cechy JunOS oraz ScreenOS. Seria SRX to wszechstronne, wysokowydajne urządzenia, integrujące funkcje routera, zapory sieciowej, systemu filtrowania i kontroli treści oraz bezpiecznego Rys. 1. Urządzenie SRX100 dostępu, jednocześnie zapewniające wysoki poziom niezawodno ś c i dzięki wspieranym mechanizmom nadmiarowości. Seria zapór ogniowych SRX obejmuje 12 modeli, oferujących szerokie spektrum wydajności. Gamę modeli producent dzieli na dwie grupy: Rys. 2. Urządzenie SRX210 Biuletyn Informacyjny SOLIDEX® 47 rozwiązania przetwarzania i przechowywania danych (data center) oraz operatorów. Począwszy od najmniejszego modelu, którym jest SRX100, urządzenia SRX posiadają pełną funkcjonalność , a kolejne modele serii oferują coraz większą wydajność. Urządzenia te zostały zaprojektowane jako uniwersalne platformy, służące do budowy sieci oraz wszechstronnej ochrony zarówno zasobów sieciowych, jak i użytkowników. Dzięki realizacji zaawansowanych mechanizmów routingu, przełączania, a przede wszystkim bezpieczeństwa, a także posiadaniu różnorodnych interfejsów sieciowych, można w oparciu o nie zaprojektować wysokowydajną oraz wszechstronnie zabezpieczoną sieć o dowolnej architekturze lub dokonać rozbudowy już istniejącej sieci przy minimalnej potrzebie jej reorganizacji i uzupełnienia o dodatkowe wyposażenie. Zaimplementowane funkcje obsługi sieci to m.in. dynamiczne protokoły routingu (RIP, OSPF, BGP), mechanizmy QoS, segmentacja sieci dzięki wykorzystaniu wirtualnych sieci (VLAN), stref bezpieczeństwa, wirtualnych routerów (VR) oraz systemów logicznych (L SYS). Możliwa jest również obsługa protokołów IS–IS oraz MPLS. Wszystkie modele mogą zapewniać wysoką niezawodność dzięki mechanizmom HA (active/passive lub active/ active). Ponadto od modelu SRX650 wyposażenie obejmuje zwielokrotniony układ zasilania oraz oddzielne moduły kontrolno–zarządzające. Głównym zadaniem urządzeń serii SRX jest ochrona sieci oraz użytkowników, a także zapewnienie zdalnego dostępu pracowników do zasobów firmy. Realizowane jest to dzięki obsłudze podstawowych mechanizmów zabezpieczeń, do których można zaliczyć wspomnianą wcześniej segmentację sieci, filtrowanie pakietów (stateless oraz stateful firewall), translację adresów (NAT) oraz tunele VPN, jak również bardzo zaawansowanych i wyrafinowanych funkcji łagodzenia zagrożeń, jakimi są zintegrowane funkcje inspekcji warstwy aplikacyjnej (UTM). Małe oraz średnie urządzenia serii SRX oferują kompletny zestaw funkcji UTM, których skuteczność i wszechstronność oparta jest o wieloletnie doświadczenia nie tylko samej firmy Juniper, ale również innych wiodących producentów zabezpieczeń sieciowych: •identyfikacja, klasyfikacja oraz inspekcja aplikacji (AppSecure), •mechanizm wykrywania i zapobiegania włamaniom (IPS), wykorzystujący bazę sygnatur firmy Juniper, •zintegrowany antywirus, z możliwością wyboru między mechanizmem skanującym dostarczonym przez fimę Kaspersky (Kaspersky Rys. 4. Urządzenie SRX240 Rys. 5. Urządzenie SRX3400 Rys. 6. Urzadzenie SRX650 Parametry techniczne SRX100/ SRX110 SRX210 SRX220 SRX240 SRX550 SRX650 Przepustowość firewall (max) 700Mbps 850Mbps 950Mbps 1,5Gbps 5,5Gbps 7Gbps Przepustowość firewall (imix) 200Mbps 250Mbps 300Mbps 500Mbps 1,7Gbps 2,5Gbps Przepustowość IPS 60Mbps 85Mbps 100Mbps 100Mbps 800Mbps 900Mbps Przepustowość VPN 65Mbps 85Mbps 100Mbps 250Mbps 1Gbps 1,5Gbps Antywirus 25Mbps 30Mbps 35Mbps 85Mbps 300Mbps 350 Mbps Pakietów na sekundę (64 Bajty) 75Kpps 80Kpps 125Kpps 200Kpps 700Kpps 900Kpps Liczba połączeń (max) pamięć DRAM 16K/32K 512MB/1GB 32K/64K 512MB/1GB 96K 1GB 64K/128K 512MB/1GB 375K 2GB 512K 2GB 2000 2000 2500 9000 27000 30000 Routery wirtualne (max) 3 10 15 20 48 60 Strefy bezpieczeństwa (max) 10 12 24 32 96 128 Vlany (max) 16 64 128 512 3072 4096 Liczba równoczesnych tuneli VPN 128 256 512 1000 2000 3000 Liczba połączeń na sekundę Tabela 1. Parametry techniczne urządzeń SRX (modele od SRX100 do SRX650) 48 Rys. 3. Urządzenie SRX220 Integrujemy przyszłość® Numer: III/2012 (120) Parametry techniczne SRX1400 SRX3400 SRX3600 SRX5600 SRX5800 Przepustowość firewall (max) 10Gbps 20Gbps 30Gbps 70Gbps 150Gbps Przepustowość firewall (imix) 2,5Gbps 8Gbps 18Gbps 20Gbps 37,5Gbps Przepustowość IPS 2 Gbps 6Gbps 10Gbps 15Gbps 26Gbps Przepustowość VPN 2Gbps 6Gbps 10Gbps 15Gbps 30Gbps Pakietów na sekundę (64 Bajty) 1,15Mpps 3Mpps 6/6,5Mpps (6,5M z dodatkową licencją) 7Mpps 15Mpps Liczba połączeń (max) 512 K 2,25/3M (3M z dodatkową licencją) 2,25/6M (6M z dodatkową licencją) 9M 20M 45000 175000 175000/300000 (300K z dodatkową licencją) 350000 350000 Routery wirtualne (max) 500 1000 1000 2000 2000 Strefy bezpieczeństwa (max) 256 512 512 2000 2000 Vlany (max) 4096 4096 4096 4096 4096 Liczba równoczesnych tuneli VPN 5000 7500 7500 15000 15000 Liczba połączeń na sekundę Tabela 2. Parametry techniczne urządzeń SRX (modele od SRX1400 do SRX5800) Scan Engine), a rozwiązaniem firmy Juniper (ExpressAV Engine); firma Kaspersky dostarcza również bazę sygnatur wirusów dla obu mechanizmów, •zintegrowany antyspam, stworzony we współpracy z firmą Sophos, która zapewnia również ocenę reputacji adresów IP (blocklist), •filtrowanie stron WWW – działające w oparciu o bazę ponad 20 milionów adresów stron, pogrupowanych w 54 kategorie, dostarczaną przez firmę Websense. W przypadku wyższych modeli, czyli tych przeznaczonych dla sieci kampusowych (campus), centrów przetwarzania i przechowywania danych (data center) oraz operatorów, filtrowanie ruchu WWW możliwe jest wyłącznie poprzez przekierowanie go do zewnętrznych dedykowanych serwerów filtrujących firmy Websense (Websense Web filtering). Mimo że funkcje antywirus oraz antyspam nie są na tych platformach dostępne, to jednak obsł ugują wszystkie funkcje mechanizmu AppSecure, jakimi są: AppTrack (identyfikacja oraz klasyfikacja aplikacji), AppFW (egzekwowanie polityki bezpiec zeństwa, dotyc zącej aplikacji), AppQoS (segregacja oraz priorytetyzacja ruchu poszczególnych aplikacji), AppDoS (ochrona przeciwko atakom typu DoS, ukierunkowanym przeciwko poszczególnym aplikacjom). Z kolei urządzenia serii SR X typu branch, zapewniają obsługę jedynie dwóch pierwszych funkcji, czyli AppTrack oraz AppFW. Wyższe modele serii SRX bazują na koncepcji DSA (Dynamic Services Architecture), której kluczowymi elementami są moduły kontrolne: Switch Fabric Boards (SBC), Switch Control Board (SCB) oraz wielozadaniowe karty Service Processing Card (SPC ), przetwarzające ruch z zapewnieniem odpowiednich usług. Rozwiązanie to zapewnia wysoką skalowalność w ramach jednolitej architektury, a także osiągnięcie wysokiego współczynnika niezawodności dzięki zwielokrotnieniu podzespołów bazowych. Tabela numer 1 zawiera zestawienie parametrów technicznych małych i średnich modeli serii SRX. Tabela numer 2 zawiera zestawienie parametrów technicznych wyższych modeli serii SRX. Oprogramowanie Network and Security Manager (NSM) pozwala na zarządzanie produktami serii SRX oraz ich konfigurację, natomiast skrypty Advanced Insight Solution (AIS) zapewniają automatyczny monitoring oraz ocenę problemów i zagrożeń. Biuletyn Informacyjny SOLIDEX® Rys. 7. Urządzenie SRX3600 Rys. 8. Urządzenie SRX5600 Rys. 9. Urządzenie SRX5800 49 rozwiązania Logi, dostarczane przez urządzenia SR X, mogą zostać wykorzystane przez system zarządzania incydentami bezpieczeństwa (SIEM) firmy Juniper, czyli oprogramowanie Security Threat Response Manager (STRM). Urządzenia serii SRX firmy Juniper wydają się przeczyć zasadzie: „jeśli coś jest do wszystkiego, to jest do niczego”, stanowiąc wydajne, uniwersalne oraz elastyczne platformy o wszechstronnym zastosowaniu w różnorodnych sieciach. Od momentu premiery urządzenia te plasują się w czołówce firewalli w corocznych raportach firmy analityczno–doradczej Gartner, Inc. Wysoka wydajność, bogata oferta modeli oraz dobra obsługa zgłoszeń serwisowych przez firmę Juniper to zalety najczęściej wskazywane przez klientów. Teoretycznie możliwa jest budowa sieci wyłącznie w oparciu o urządzenia serii SRX, jednak w takim przypadku dysponujemy ograniczoną ilością portów sieciowych. Uzupełnienie topologii o przełączniki serii EX eliminuje to ograniczenie, umożliwiając budowę sieci przewodowej o dowolnej topologii oraz gęstości portów. Jednak więcej na ten temat w jednym z kolejnych numerów Integratora... Opracowano na podstawie oficjalnych materiałów producenta. L.S. Inżynier SOLIDEX Przełącz się na nową jakość 50 Integrujemy przyszłość® Call Manager Telbook daje możliwość zdefiniowania wielu źródeł danych zawierających informacje o numerach telefonicznych w organizacji. Dzięki czemu w jednej Książce Telefonicznej mogą znajdować się dane z kilku różnych systemów i niezależnie od miejsca pochodzenia, mogą być prezentowane w taki sam sposób. Architektura solid.book została zaprojektowana tak, aby cały ciężar analizy danych źródłowych, wyszukiwania i zarządzania nimi, został przeniesiony na stronę tego oprogramowania, co w dużym stopniu odciąża infrastrukturę IT u klienta. Program SOLIDEX Autoryzowane Szkolenia Cisco Systems ® ICND1 Interconnecting Cisco Network Devices Part 1 ICND2 Interconnecting Cisco Network Devices Part 2 CCNAX Interconnecting Cisco Networking Devices: Accelerated NOWOŚĆ! ROUTE Implementing Cisco IP Routing SWITCH TSHOOT Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks BGP MPLS QOS IINS SECURE FIREWALL VPN Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Securing Networks with Cisco Routers and Switches v1.0 Deploying Cisco ASA Firewall Features Deploying Cisco ASA VPN Solutions CIPT P1 Implementing Cisco Unified Communications Manager Part 1 v8.0 CIPT P2 Implementing Cisco Unified Communications Manager Part 2 v8.0 CWLMS Implementing CiscoWorks LMS IP6FD IPv6 Fundamentals, Design, and Deployment IUWNE Implementing Cisco Unified Wireless Networking Essentials DESGN Designing for Cisco Internetwork Solutions NOWOŚĆ! ARCH Designing Cisco Network Service Architectures NOWOŚĆ! Infolinia: 800 49 55 82 Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 Kraków www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944. Nakład: 2500 egz. Redakcja: Zespół Komunikacji Marketingowej SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] www.integrator.SOLIDEX.com.pl