Integrator Nr II/2013 (123)

Transkrypt

Integrujemy przyszłość®
Biuletyn Informacyjny SOLIDEX®
Porządek
w Sieci 2013 
czytaj na str. 4
Nr II/2013 (123)
W numerze
między innymi:
WYDARZENIA:
Wiosenna Akcja:
„PORZĄDEK w SIECI 2013”
NOWOŚCI:
Rozwiązania sieci
bezprzewodowych Cisco
Unified Wireless Network
oraz Unified Access
TECHNOLOGIE:
Check Point ThreatCloud
Security Services –
bezpieczeństwo z chmury
ROZWIĄZANIA:
Elastycznie, bezpiecznie,
wydajnie – rozwiązanie
autorskie Solidex w zakresie
udostępniania zasobów
sieciowych dla gości
ISSN 1233–4944
www.integrator.SOLIDEX.com.pl
Gold Certified Partner
Cisco Learning Specialized Partner
J-Partner Elite
Check Point Platinum Partner
Check Point Collaborative
Certified Support Provider
Elite Partner
Gold Partner
Websense Platinum Partner
Numer: II/2013 (123)
Szanowni Państwo!
Już ponad 22 lata łączymy ludzi, integrujemy standardy, przychodzimy z pomocą wszystkim tym, którzy potrzebują profesjonalnego wsparcia przy projektowaniu, budowie oraz utrzymaniu systemów sieciowych dowolnej skali i złożoności.
Wieloletnie doświadczenie pozwala nam świadczyć usługi na najwyższym poziomie. Ponieważ chcemy dzielić się naszą
wiedzą ekspercką, co kwartał oddajemy w Państwa ręce kolejne wydania naszego biuletynu firmowego INTEGRATOR.
W najnowszym numerze znajdą Państwo relację z naszej Wiosennej Akcji „Porządek w Sieci 2013”  (str. 4), opatrzoną
zdjęciami z seminariów i streszczeniami poszczególnych sesji. Zachęcamy do przeczytania ciekawego artykułu na temat
kierunków rozwoju sieci, który powstał na podstawie prezentacji uznanej przez uczestników wszystkich seminariów
„Porządku w Sieci 2013”  za najlepszą (str. 8). Na kolejnych stronach prezentujemy nowości w architekturze MS Lync
Server 2013 (str. 20) oraz w rozwiązaniach Cisco dla sieci bezprzewodowych (str. 13). W dziale technologie publikujemy
tekst dotyczący Check Point ThreatCloud Security Services (str. 23), powstałych jako odpowiedź na dynamicznie rozwijającą się cyberprzestępczość. Na koniec szczególnie zachęcamy do przeczytania artykułu o najnowszym autorskim
rozwiązaniu SOLIDEX w zakresie udostępniania zasobów sieciowych dla gości: SOLID.poli-server (str. 45).
Życzymy przyjemnej lektury!
Zespół SOLIDEX
Spis treści
WYDARZENIA
4
6
6
6
6
7
7
8
Wiosenna Akcja: „PORZĄDEK w SIECI 2013” 
SOLIDEX Przyjacielem Fundacji Anny Dymnej „Mimo Wszystko”
SOLIDEX odnowił specjalizację ATP Telepresence
Klienci po raz kolejny docenili SOLIDność
SOLIDEX najszybciej rosnącym partnerem Websense w regionie
Wszystkie autoryzowane szkolenia Cisco w SOLIDEX zwolnione z VAT!
Check Point Security Tour 2013 z udziałem SOLIDEX
Sieć – jaka, kiedy i po co, czyli dużo tego dobrego
NOWOŚCI
13
20
Rozwiązania sieci bezprzewodowych Cisco Unified Wireless Network oraz Unified Access
Nowości w architekturze MS Lync Server 2013
Technologie
23
28
32
Check Point ThreatCloud Security Services – bezpieczeństwo z chmury
Cisco Digital Media Suite – model integracji z systemem Wideokonferencji
BYOD – Cisco ISE mózgiem rozwiązania
Rozwiązania
36
42
45
49
F5 iApp – konfiguracja zorientowana na aplikacje
Skrypty w Unified Contact Center Express
Elastycznie, bezpiecznie, wydajnie – rozwiązanie autorskie Solidex
w zakresie udostępniania zasobów sieciowych dla gości
Bezpieczeństwo danych z McAfee Endpoint Encryption
3
WYDARZENIA
Wiosenna Akcja:
„PORZĄDEK w SIECI 2013” 
Za nami już ponad 2 2 lata doświadczeń w integracji sieciowej
w Polsce. Wielostronne doświadczenia zdobyte na przestrzeni
jednego pokolenia pozwalają na szeroką i jednocześnie precyzyjną
identyfikację problemów, jakie może napotkać nasz Klient odpowiedzialny za infrastrukturę sieciową, krwioobieg każdej dzisiejszej
organizacji i każdego rozwojowego biznesu czy współczesnego
zarządzania.
Uczestnicząc przez ponad 20 lat w setkach projektów różnej skali
na bazie różnorodnych doświadczeń zauważyliśmy, że warto, a nawet
trzeba uporządkować WIEDZĘ... DZIAŁANIA... SIEĆ... niezależnie
od jej skali czy przeznaczenia. Zaprosiliśmy zatem naszych Klientów,
Sympatyków i Partnerów biznesowych do wspólnych wiosennych
aktywności pod hasłem „PORZĄDEK w SIECI 2013” . Nasza akcja
obejmowała cykl regionalnych seminariów – prowadzonych kolejno
w Poznaniu, Wrocławiu, Warszawie, Gdańsku oraz Krakowie – dni
otwarte, w czasie których pomagaliśmy Klientom zidentyfikować
problemy i nakreślić drogi dojścia do rozwiązania, oraz specjalne
konsultacje z naszymi SOLIDnymi EXpertami.
STRESZCZENIA
SESJI
4
WIEDZA – problemy do uporządkowania
Zagadnienia związane z sieciami komputerowymi mocno ewaluowały
od czasu ich powstania ponad ćwierć wieku temu. Rozrost technologiczny oprócz postępu przyniósł nowe wyzwania i nowe problemy
przy budowie i codziennym wykorzystywaniu środowisk sieciowych.
W celu wprowadzenia łatwiejszej możliwości identyfikacji potencjalnych
zagrożeń oraz ułatwienia diagnozy, w jakim obszarze sieć potrzebuje
udoskonalenia dobrym pomysłem jest dekompozycja sieci na moduły
funkcjonalne odpowiedzialne za pewien całościowy obszar technologiczny
bądź użytkowy i przyjrzenie się każdemu takiemu modułowi z osobna.
Bazując na ponad dwudziestoletnim doświadczeniu SOLIDEX w budowie
rozwiązań sieciowych oraz ich serwisowaniu w trakcie prezentacji
wyodrębniliśmy i omówiliśmy następujące moduły: warstwa transportowa, segmentacja sieci, bezpieczeństwo i styk z sieciami zewnętrznymi,
utrzymanie i zarządzanie, przechowywanie danych oraz użytkownicy.
Numer: II/2013 (123)
WIEDZA – porządek w bezpieczeństwie
Zabezpieczenie współczesnych sieci stanowi duże wyzwanie. Jest wiele elementów, na które administrator sieci
musi zwracać uwagę, a pojawiające się nowe trendy nie tylko mu tego zadania nie ułatwiają, ale wręcz utrudniają.
Każdy producent wspomnianych systemów bezpieczeństwa próbuje zaistnieć na rynku przedstawiając swój produkt
w jak najlepszym świetle, podkreślając szczególnie cechy, które najlepiej zaimplementował w swoim rozwiązaniu.
Jednak to każda osoba odpowiedzialna za dane środowisko sieciowe, indywidualnie musi sobie odpowiedzieć
na pytanie, co tak na prawdę chce chronić i co może z tego zrealizować przez systemy, które ma już aktualnie
wdrożone. W czasie prezentacji SOLIDny EXpert starał się przybliżyć najważniejsze rozwiązania technologiczne
związane z bezpieczeństwem sieciowym stanowiące trzon, bez którego współczesne sieci w praktyce nie mogą
efektywnie funkcjonować, a jednocześnie są punktem wyjścia dla instalacji bardziej wyrafinowanych systemów
ochrony i zarządzania bezpieczeństwem.
WIEDZA – porządek w utrzymaniu
Im większa sieć tym trudniej utrzymać jej spójność i uzyskać pełnię wiedzy o jej poszczególnych składowych. Zagadnienia związane z różnymi aspektami zarządzania, nadzoru, ale i zapewnienia dostępności i ciągłości pracy środowisk
sieciowych stanowią bardzo ważny element całościowego utrzymania sieci i stabilnego porządku w infrastrukturze.
W czasie prezentacji przedstawione zostały działania, jakie trzeba podjąć, żeby utrzymywane środowisko działało
stabilnie i wydajnie, ale także po to, aby „praca w utrzymaniu” była wydajna i efektywna. Oprócz działań, dużo miejsca
poświęcono narzędziom pomagającym pozyskać wiedzę o utrzymywanym środowisku, szybko reagować na pojawiające
się problemy, a także przewidywać problemy w przyszłości i reagować na nie z odpowiednim wyprzedzeniem.
DZIAŁANIA – Jak i z czego wybrać dobre i optymalne
Powstanie rozwiązania w całości spełniającego potrzeby Klienta powinno być zapewnione przez optymalne,
kompleksowe działania dotyczące całościowego prowadzenia projektu związanego z budową danego rozwiązania:
od fazy analizy potrzeb i genezy wykreowania projektu, aż po udokumentowanie finalnie powstałego rozwiązania i przeszkolenie użytkowników.
Głównym celem prezentacji było przedstawienie wzorcowego modelu
prowadzenia projektu IT z punktu widzenia doświadczonego integratora,
jakim jest SOLIDEX. Wspominany proces podzielono na sześć etapów
(geneza powstania projektu, dobór rozwiązania, testy pilotażowe, oferta,
realizacja, opieka powdrożeniowa), które zostały szczegółowo omówione
przez SOLIDnego EXperta.
SIEĆ – Jaka, kiedy i po co czyli dużo tego dobrego
W ramach ostatniej prezentacji przedstawiliśmy analizę technologii budowy
sieci i tego, co dookoła nich się działo w perspektywie czasu, podejmując
dodatkowo próbę przewidzenia tego, co może nas czekać w przyszłości. Nie
ograniczyliśmy się jednak do suchych faktów, ilustrując prezentację licznymi
praktycznymi przykładami. Ponieważ właśnie ta prezentacja wzbudziła
Państwa największe zainteresowanie, na kolejnych stronach Integratora publikujemy artykuł powstały na jej podstawie. Zapraszamy do lektury!
5
WYDARZENIA
SOLIDEX Przyjacielem Fundacji Anny Dymnej „Mimo Wszystko”
SOLIDEX od lat jest zaangażowany
we współpracę z Fundacją Anny
Dymnej „Mimo Wszystko”. Wspólnie
zorganizowaliśmy wiele przedsięwzięć m.in. wieczór „SOLIDEX Mimo
Wszystko” z okazji 18–lecia Firmy czy
akcję charytatywną na rzecz Fundacji
w trakcie „Powrotu do Europy ...
z SOLIDEX”, by wspomnieć tylko
te najważniejsze. SOLIDEX kilkakrotnie udzielił wsparcia różnym
inicjatywom Fundacji, np.: Festiwalowi Zaczarowanej Piosenki im.
Marka Grechuty.
By podkreślić zaangażowanie oraz
trwającą już blisko 10 lat współpracę
między SOLIDEX a Fundacją, pod
koniec ubiegłego roku Fundacja Anny
Dymnej „Mimo Wszystko” przyznała
SOLIDEX honorowy tytuł Przyjaciela.
Dziękujemy serdecznie za zaufanie
i liczymy na kolejne lata dalszej
owocnej współpracy!
SOLIDEX odnowił specjalizację ATP Telepresence
W ostatnim okresie SOLIDEX odnowił
specjalizację Cisco ATP TelePresence
związaną z rozwiązaniami wideo.
Także w tym wypadku wiązało się
to z ponownym spełnieniem szeregu
szczegółowych wymagań technicznych
i sprzedażowych w zakresie sprzęt owym ora z z potwierdzeniem
wysokich kwalifikacji merytorycznych
SOLIDnych EXpertów w zakresie
sprzedaży oraz instalacji produktów,
a także obsługi Klienta.
Klienci po raz kolejny docenili SOLIDność
Z prawdziwą satysfakcją dzielimy się
informacją, że w styczniu 2013 roku
SOLIDEX po raz kolejny został wyróżniony tytułem Cisco Channel Customer
Satisfaction Excellence, przyznawanym
po przeprowadzeniu badań satysfakcji
klienta Cisco Cisco Channel Customer
Satisfaction, które oceniają m.in.:
poziom zadowolenia klienta z partnera
oferującego rozwiązania Cisco.
Kwestionariusze ankiet zawierają
szereg szczegółowych pytań pozwalających Klientowi wyrazić swoją ocenę
pracy partnera w danym kwartale
w niemalże każdym z możliwych
zakresów. Pojawiają się w niej
pytania o produkty, o sposób świadczenia pomocy przedsprzedażowej, czy
zadowolenie z serwisu. W każdej z tych
kategorii SOLIDEX osiągnął niezwykle
wysoki poziom wskaźników. Oznacza
to, że SOLIDE X niezmiennie jest
obdarzany szczególnym zaufaniem
swoich Klientów.
Dziękujemy za okazane zaufanie
i zapraszamy gorąco do dalszego korzystania z usług SOLIDnych EXpertów!
SOLIDEX najszybciej rosnącym partnerem Websense w regionie
Podczas corocznej konferencji regionu
EMEA mającej miejsce na początku
kwietnia 2013r. w Paryżu, firma
Websense, będąca światowym liderem
w dziedzinie ochrony organizacji przed
cyberatakami i kradzieżą danych,
dokonała podsumowania wyników
ubiegłego roku i ogłosiła zwycięzców
6
w kluczowych kategoriach, przyznając
nagrody EMEA 2012 Partner Awards.
Z pr z yjemno ś c ią infor mujemy,
że SOLIDEX jako jedyna polska firma
znalazł się wśród wyróżnionych
i w uznaniu osiągniętych wyników
oraz swojego zaangażowania w promowanie i sprzedaż produktów Websense,
został nagrodzony tytułem Najszybciej
Rosnącego Partnera w całym regionie.
Podkreślając z dumą uznanie dla
naszych umiejętności oraz kompetencji
w promocji i sprzedaży rozwiązań
systemów bezpieczeństwa zapraszamy
do kontaktu z naszymi SOLIDnymi
EXpertami!
Numer: II/2013 (123)
Wszystkie autoryzowane szkolenia Cisco w SOLIDEX zwolnione z VAT!
Z niekłamaną satysfakcją informujemy, że dzięki spełnieniu szeregu wymagań dotyczących zawartości i jakości prowadzonych
kursów, kwalifikacji kadry, opracowywania materiałów metodyczno–dydaktycznych oraz wyposażenia placówki, SOLIDEX
uzyskał akredytację na wszystkie szkolenia Cisco prowadzone w swoim Autoryzowanym Centrum Szkoleniowym.
Tym samym rozszerzona została
dotychczas posiadana akredytacja
obejmując a wybrane szkolenia.
Od tego momentu wszystkie autoryzowane szkolenia Cisco oferowane przez
SOLIDEX będą zwolnione z podatku
VAT. Co ważne, akredytacja dotyczy
nie tylko szkoleń Cisco obecnie znajdujących się w ofercie, ale również tych,
które mogą zostać do niej dodane
w przyszłości.
Przyznanie akredytacji świadczy
o docenieniu wysokiej jakości merytorycznej i formalnej organizacji szkoleń
realizowanych przez Autoryzowane
Centrum Szkoleniowe SOLIDEX przez
niezależne grono fachowców.
Akredytacja została przyznana przez
Małopolskiego Kuratora Oświaty
na podstawie art. 68b ust. 1,2,3 ustawy
z dnia 7 września 1991 r. o systemie
oświaty i §16 Rozporządzenia Ministra
Edukacji Narodowej i Sportu z dn. 20
grudnia 2003 r. w sprawie akredytacji
placówek i ośrodków prowadzących
kształcenie ustawiczne w formach
pozaszkolnych.
A ktualna lista autoryzowanych
szkoleń Cisco dostępnych w ofercie
SOLIDEX znajduje się na stronie:
http://www.solidex.com.pl/oferta/
autoryzowane–szkolenia–cisco
Zapraszamy Państwa do rejestracji
na kolejne szkolenia!
Check Point Security Tour 2013 z udziałem SOLIDEX
Dnia 8 maja 2013, w warszawskim hotelu Mariott odbyła się konferencja Check Point Security Tour 2013, której SOLIDEX,
jedyny Platynowy Partner firmy Check Point w Polsce, był jednym z głównych sponsorów.
Na konferencji omówione zostały
najnowsze technologie i rozwiązania zwią zane z najgorętszymi
problemami w zakresie bezpie czeństwa internetowego. Firma Check
Point przedstawiła swoją koncepcję
„Bezpieczeństwa 3D” i sposób, w jaki
to rozwiązanie pozwala chronić bezpieczeństwo nowoczesnego środowiska
pracy, między innymi zapobiegać
wyciekom danych, zapewniać bezpieczeństwo infrastruktury mobilnej,
tworzyć bezpieczne sieci oraz optymalizować i chronić punkty końcowe.
W czasie swojej prezentacji SOLIDEX
przedstawił zagadnienia związane
z ochroną danych w kontekście zapewnienia ich poufności oraz wysokiej
dostępności. Skupił się na przedstawieniu aktualnych problemów w tej
dziedzinie od strony funkcjonowania
biznesu oraz administracji, a także
systemów bezpieczeństwa, które
adresują te zagadnienia. Omówione
z o s t a ł y me c ha ni z my z a imple mentowane we wspó łc zesnych
rozwiązaniach bezpieczeństwa Check
Point DDoS Protector oraz DLP.
Przez cały czas trwania konferencji
SOLIDni EXperci byli do Państwa
dyspoz yc ji na nasz ym st oisku,
chętnie odpowiadali na Państwa
pytania związane z szeroko pojętym
bezpieczeństwem.
Dziękujemy za Państwa zainteresowanie i serdecznie zapraszamy
do dalszego kontaktu, w szczególności udziału w naszych szkoleniach,
seminariach oraz warsztatach organizowanych na terenie Tęczowego
Biurowca w Krakowie oraz w Centrum
Kompet enc yjno -Szkoleniowym
zlokalizowanym w naszym oddziale
w Warszawie w Złotych Tarasach.
7
WYDARZENIA
Sieć – jaka, kiedy i po co, czyli dużo
tego dobrego
Patrząc przez pryzmat osi czasu technologie budowy sieci i to, co dookoła nich się
dzieje mocno zmieniały się przez ponad ćwierćwiecze funkcjonowaniana rynku.
Na bazie wybranych zagadnień przeanalizujemy ich istotność wczoraj, dziś oraz
w dającej się przewidzieć przyszłości, ilustrując opis praktycznymi przykładami.
Wdra ż anie nowych technologii
to ZMIANY. Bardzo rzadko mamy
dziś do czynienia z sytuacją, kiedy
budujemy coś od zera – dodawanie
nowych aplikacji, usług, lokalizacji
wymaga integracji z zastanym środowiskiem. Nawet jeśli mamy do czynienia
z nowym budynkiem, to oczywiście
L AN/ WL AN (jak wskazuje „L” jak
„local” w nazwach) tworzymy dowolnie,
ale cały czas musimy połączyć się z tym,
co już istnieje w innych miejscach.
Ponadto sieć jest współdzieloną infrastrukturą, która musi działać w sposób
niezmieniony dla „starych” aplikacji
i ich użytkowników, których zmiana
z reguły nie interesuje.
Sukces zmiany wymaga kontroli.
Im mniejszy „kawałek świata” musimy
skontrolować, tym większa szansa,
że zmiana się powiedzie. Zmiany
musimy adresować lokalnie. Jeśli takie
nie są, musimy je na takie podzielić.
Dekompozycja jest podstawą planowania zmian, przy czym może być
r ealizowana wielowymiar owo.
Moż emy mówić na pr z yk ł ad
8
o dekompozycji geograficznej (każdy
budynek jest osobny), ewentualnie
o takiej, jak proponuje model OSI
(zmiany w warstwie drugiej powinny
być niewidoczne dla warstwy trzeciej),
itd.
Podchodząc do wdrażania nowych
technologii jako zmian, możemy
skorzystać z koncepcji wypracowanych przez lata w tym obszarze.
Zarządzanie zmianami w sieciach, czy
szerzej w IT jest adresowane przez
wiele firm, zarówno dostawców
rozwiązań sieciowych, jak i organizacji propagujących dobre praktyki
zarządzania bezpieczeństwem. Solidex
swoją metodykę wdrażania zmian
opiera głównie na propozycji ISC2,
czyli organizacji przyznającej certyfikaty CISSP. Nie oznacza to, że jest
ona najlepsza z istniejących, ale lata
doświadc zeń doprowadził y nas
do przekonania, że jest ona najbardziej
dostosowana do wymogów środowisk,
które spotykamy na co dzień w biznesie,
a z punktu widzenia klienta wdrożenie
jakiejkolwiek metodyki zarządzania
zmianami jest lepsze, niż nieposiadanie
(i realizowanie) żadnej.
Klasyczne pytanie, którego zadanie
często powoduje refleksję, jak zarządzamy zmianami brzmi: „w którym
momencie w naszej firmie uaktualniana jest dokumentacja systemu
podlegającego zmianom – przed czy
po ich wprowadzeniu?”. Odpowiedź
prawidłowa to „przed wprowadzeniem
zmian”, natomiast stan faktyczny
prawie zawsze jest odmienny.
Popatrzmy na kilka dobrze znanych
technologii i zastanówmy się, jak dużą
zmianę ze sobą niosą dla użytkowników. Zacznijmy od takich, których
się „nie boimy”, przykładowo technol o g ie C W DM / D W DM . Ma my
na przykład kilka lokalizacji rozrzuconych po mieście, połączonych
ś wiat łowodami . Pot r zebujemy
większej liczby połączeń niż dostępna
ilość światłowodów, więc te technologie będą jak najbardziej wskazane
do zastosowania. Jak ocenimy ryzyko
wystąpienia dużych problemów
z wią z ane z z amianą po ł ą c ze ń
Numer: II/2013 (123)
punkt-punkt między portami naszych
urządzeń na połączenia z wykorzystaniem DWDM? Na bliskie zeru.
Zmiana jest „widoczna” co najwyżej
dla komunikujących się bezpośrednio
portów (jeśli zastosujemy wkładki
DWDM do urządzeń), a może być dla
nich w ogóle niewidoczna, jeśli zastosujemy zewnętrzne transpondery.
Wówczas z punktu widzenia urządzenia
obsługującego takie połączenie nie
zmienia się zupełnie nic.
Rysunek 1 pochodzi z projek tu
wdrożenia DWDM dla jednej z firm
telekomunikacyjnych. Taki projekt
może być dość skomplikowany, można
popełnić błędy przy planowaniu implementacji na konkretnym rozwiązaniu
producenta, na przykład zapominając,
że firma Cisco postanowiła przeskoczyć
co piąty kanał z GRID ITU standaryzującego 100 częstotliwości (czyli
nie sprzedaje wkładek dla pewnych,
jak najbardziej legalnych długości
fali), co z kolei wpływa na dobór
pasywnych multiplekserów. Ale jeśli
już to prawidłowo zaprojektujemy,
zestawimy fizycznie i przetestujemy,
to sama zmiana polega wyłącznie
na przełożeniu kabli (patchcordów),
ewentualnie wymianie wkładek
światłowodowych w urządzeniach
i nikt nie spodziewa się problemów
w funkcjonowaniu sieci.
Inny przykład zmiany, która w zasadzie
nie jest zmianą, to wdrożenie MPLS
z punktu widzenia użytkownika
końcowego. MPLS potrafi „udawać”
w zasadzie każdą inną technologię
transmisji danych operującą „pod nim”
w niższych warstwach. Czy to będą
połączenia punkt-punkt Ethernet,
PPP, HDLC , ATM, czy to będzie
dedykowana sieć routowana, czy
to będzie sieć Ethernet punkt-wielopunkt, to użytkownik końcowy kupuje
coś, co dobrze zna i z czego korzystał
już do tej pory. Zmienia się nazwa
na fakturze, zmieniają się (dramatycznie) techniczne szczegóły realizacji
tej usługi, ale z punktu widzenia
urządzeń będących pod kontrolą
użytkownika końcowego nie zmienia
się prawie nic. Tak naprawdę nie
interesuje nas co operator ma u siebie.
Nasze urządzenia w jednej lokalizacji
cały czas „sąsiadują się” z naszymi
urządzeniami w innej.
K ilka lat temu w Polsce modne
było „wdrażanie MPLS”, polegające
na przechodzeniu ze starych technologii
operatora na technologie realizowane
właśnie przez MPLS. Zmiana była
bezpieczna i między innymi dlatego
modna, bo z jednej strony dołączaliśmy się do nowej, lepszej, czy tańszej
usługi, a z drugiej nie musieliśmy
zmieniać prawie nic, niemalże tak jak
w przypadku wdrażania rozwiązania
DWDM.
Do tej pory szliśmy po równym, więc
w końcu czas na schody. Takie technologie jak DWDM czy MPLS skutecznie
ukrywają przed użytkownikiem swoją
wewnętrzną złożoność. Z technologią
taką jak IPSec już tak łatwo nie będzie.
IPSec dla zabezpieczenia transmisji
w WAN musi zostać jawnie skonfigurowany na urządzeniach, które tym
razem są w całości pod naszą jurysdykcją. Po to mamy IPSec, aby nie
trzeba było polegać na zewnętrznej
f ir mie , w k we s t ii z ac howania
poufności naszych danych. Istnieją
protokoły i techniki minimalizujące
złożoność procesu uruchamiania IPSec
(np. Dynamic Multipoint VPN), jednak
Rys. 1. Przykładowy projekt wdrożenia DWDM
9
WYDARZENIA
możliwość, że nazajutrz po wprowadzeniu zmiany przestaną działać
bądź pogorszą się usługi dostępne
dzień wcześniej, jest jak najbardziej
realna. Dodatkowo wchodzimy
w nowy świat zagadnień związanych
z kryptografią, wzajemną autentykacją,
ochroną „sekretów”, zarządzaniem
ich cyklem życia. Musimy stać się
ekspertami w nowym obszarze. Inny,
częsty problem z IPSecem związany
jest z tym, że stosuje się go w sieci
extranet, czyli dla połączenia z innymi
firmami partnerskimi bądź współpracującymi. Oznacza to konieczność
uzgodnień „nielokalnych”, dopasowania się do posiadanego sprzętu,
wypracowania kompromisu w zakresie
konfiguracji i zgodności z lokalnymi
politykami bezpieczeństwa. Z reguły
najczęściej kończy się to na wdrożeniu
najprostszej działającej konfiguracji.
O redundancji często zapominamy,
ewentualnie każda strona wdraża
„lokalne ” mechaniz my typu IP
SL A , byle nie musieć uzgadniać
ich z partnerem po drugiej stronie.
Nawet jeśli po obydwu stronach stoją
urządzenia tego samego producenta,
to możemy trafić na niezgodność
zaimplementowanych protokołów
(np. Cisco ASA łączone z routerem tego
producenta, dla którego to wdrożenia
wstępnie pomyśleliśmy o szyfrowaniu
tuneli GRE). Można zaryzykować
stwierdzenie, że jeśli po raz pierwszy
wdrażamy IPSec dla łączności z firmą
zewnętrzną, to najwięcej czasu zajmie
dojście do konkluzji, że wdrożona
konfiguracja finalna będzie aż tak
„uboga”.
Popatrzmy teraz na protokół, którego
sukces wydaje się najważniejszy dla
dalszego rozwoju Internetu. Protokół
IPv6, bo o nim mowa, w grudniu
2013 skończy jako standard 18 lat.
Odnosimy się do dokumentu RFC1883,
czyli nie wizji czy draftu, ale standardu
mającego być podstawą implementacji w rzeczywistym świecie. Na dzień
dzisiejszy (połowa 2013r.) sytuacja
wygląda tak, że RIPE od pół roku nie
przydziela już adresów IPv4, adresacja
„provider independent” jest w zasadzie
niedostępna, a jednak nie widać
dookoła wybuchu wdrażania IPv6:
•globalna tablica BGP dla IPv4
zawiera około 440 000 prefiksów,
natomiast tablica dla IPv6 około 12
000,
10
•czas odpowiedzi na ping od serwerów
DNS Google (czyli jednego z najaktywniejszych promotorów IPv6)
z lookingglass.tp.pl dla IPv4 to 20ms,
liczba hopów to 7, podczas gdy dla
IPv6 to 30ms, a liczba hopów to 9.
Nawet jeśli nie widzimy już w traceroutach tras „skaczących” w obydwie
strony między kontynentami, jak
to było jeszcze kilka lat temu, to i tak
wchodząc w IPv6 wydajemy pieniądze,
a w zamian uzyskujemy „na już” coś
gorszego niż to, co mieliśmy do tej pory.
Powyższa sytuacja jest dość frustrująca
i warto zdać sobie sprawę, że po prostu
tak ma być, a wyjaśnia to „równowaga
Nasha”. Otóż równowaga Nasha
to sytuacja w teorii gier, kiedy każdy
z graczy przyjął pewną strategię
i żadnemu nie opłaca się jej zmieniać,
chyba że zrobią to równocześnie inni.
Popatrzmy na tablicę umownych
wypłat w grze, w której bierze udział
dwóch uczestników (rysunek 2).
więcej, na przykład dostawcy „treści”
w Internecie, czyli setki, tysiące,
miliony podmiotów….? W trochę
innym ujęciu: istnieje stan wyjściowy,
który nie jest najlepszy, a czasem
wręcz po prostu zły oraz stan możliwy,
nazwijmy go pożądanym, do którego
jednak może nie być ścieżki dojścia,
bo jeden z uczestników czasowo
(jako pierwszy) musiałby pogorszyć
swoją sytuację. Jeśli graczy jest wielu,
to osiągnięcie stanu pożądanego
wymaga co najmniej chwilowego
pogorszenia swojej sytuacji przez
znaczną część graczy, bez pewności
że pożądany stan końcowy zostanie
kiedykolwiek osiągnięty.
Niezależnie od powyższego wydaje się,
że IPv6 w końcu zaistnieje. W naszej
ocenie oprogramowania urządzeń dla
transmisji IPv6 „w zasadzie” działają.
Będą przez pewien czas problemy
z niektórymi rodzajami urządzeń
np. load balancerami czy analiza-
Gracz 2 nie
wdraża IPv6
Gracz 1 nie wdraża
IPv6
Gracz 1 wdraża
IPv6
Gracz 2
wdraża IPv6
10/4
10/3
9/4
12/6
Rys. 2. Równowaga Nasha dla wdrażania IPv6
D o s t ę pne s t r at e g ie na z wijmy
„wdrażam IPv6” oraz „nie wdrażam
IPv6”. Każdy na początku ma wdrożone
IPv4 i czerpie z tego pewne zyski.
Wdrożenie IPv6 jest kosztem, który
trzeba ponieść, a który nie daje nam
żadnej korzyści (zmniejszenie wypłat
dla lewej dolnej i prawej górnej
komórki wobec lewej górnej), dopóki
drugi gracz nie zrobi tego samego.
Dodajmy do tego spostrzeżenie,
że nawet jeśli drugi gracz wdroży IPv6,
to dla tego pierwszego osiągnięcie
korzyści nie jest jego zasługą, ale
zasługą konkurencji. Utracony zostaje
związek między naszym działaniem
a sukcesem. A co jeśli graczy będzie
torami ruchu (czyli urządzeniami,
które zaglądają w pakiety głębiej niż
tylko L3), ale nowe routery i switche
nie powinny sprawiać (zbyt dużych)
problemów.
Wspomniano wcześniej o MPL S
z punktu widzenia użytkownika
końcowego, a teraz s łów kilka
o tym samym protokole, ale z punktu
widzenia operatora. Jest on bardziej
złożony niż IPSec i można powiedzieć,
że pod względem „wielkości” znajduje
się gdzieś w połowie drogi między
nim, a IPv6. Na przykład liczba RFC,
w których występują akronimy IPSec,
MPLS oraz IPv6 to odpowiednio 93,
221 i 383, czyli liczba dokumentów RFC
Numer: II/2013 (123)
odnoszących się do MPLS jest przeszło
2 razy większa niż odnoszących się
do IPSec, a niespełna 2 razy mniejsza
niż liczba RFC odnoszących się do IPv6.
Mogłoby się wydawać, że w połowie
drogi między niekoniecznie lubianym
IPSecem, a nie wiadomo jak rokującym
IPv6 nie ma miejsca na protokół, który
odniósłby sukces. A jednak taki istnieje.
Prawie wszyscy dostawcy łączy i usług
ISP realizują swoje usługi z wykorzystaniem MPLS i nie zanosi się, na żadną
rewolucję w tym zakresie. Można
wskazywać wiele źródeł sukcesu
MPLSa, ale w kontekście niniejszego
tekstu warto wskazać na następujące:
•Nie podlega równowadze Nasha,
bo wdraża się go przede wszystkim
lokalnie (wewnątrz jednej organizacji) i daje to od razu konkurencyjną
przewagę wobec innych operatorów.
•Silnie przenika się z IP, czy też wręcz
bazuje na IP, dzięki czemu o jego
elementach składowych można
mówić tak, jak baca opowiadał
znajomym o zwierzętach widzianych
w Afryce: „...lew to taki koń, tylko
z większą grzywą...”. Skracając,
wszystkie zwierzęta to był taki
koń, tylko trochę różniący od konia
właściwego. Jednym wyjątkiem był
krokodyl, którego baca scharakteryzował następująco:
−− Wiecie jak wygląda koń?
−− No wiemy.
−− No więc krokodyl to coś zupełnie
innego niż koń.
W świecie MPLS takich krokodyli jest
niewiele. Podobieństwa elementów
sk ładowych do „konia” moż na
rozpatrywać w kontekście psychologicznego mechanizmu – torowania.
Otóż torowanie (z angielskiego
priming ) to zjawisko polegające
na zwiększeniu prawdopodobieństwa
wykorzystania określonej kategorii
poznawczej w procesach percepcyjnych
i myślowych wskutek wielokrotnej
ek spoz yc ji bod ź c a z alic z anego
do tej kategorii. W trywialnym ujęciu
torowanie oznacza, że to co już znane jest
dla naszego mózgu lepsze. MPLS jako
silnie związany z IP (na które to pojęcie
jesteśmy wystawieni od lat) jest w tym
ujęciu „lepszy” od czegoś zupełnie
nowego. Kolejny składnik sukcesu
MPLSa to ten, że świat zbudowany
w oparciu o protokoły tej rodziny
jest dobrze zarządzalny. Większość
jego usług można zrealizować innymi
protokołami tunelowania (np. VRFy
połączone tunelami GRE dla warstwy
3, tunele L 2 TPv3 dla warstwy 2),
jednak wymagana jest wówczas
ręczna konfiguracja usługi. MPLS daje
odpowiednie automatyzmy, wykorzystujące dobrze znane protokoł y
z rodziny TCP/IP, takie jak zmodyfikowane protokoły routingu OSPFi
IS-IS, czy przede wszystkim BGP.
Powyż ej zaproponowano tok
rozumowania, w którym sukces
wdrażania nowych technologii jest
silnie związany ze skalą zmian jakie
ich wdrażanie ze sobą niesie oraz
z tym jak bardzo nowe technologie
stanowią rozwinięcie starych. Istnieje
jednak inny aspekt, na który warto
zwrócić uwagę. Otóż nie wszystkie
technologie są takiej samej jakości
już w chwili ich tworzenia, a jeszcze
inne odnoszą porażkę, kiedy próbuje
się je implementować w sposób nie
do końca rzetelny, mimo że w innych
zastosowaniach potencjalnie odniosłyby sukces. Dobrym przyładem jest
tutaj omawiany już IPSec. Jeśli wpisać
w wyszukiwarkę Google „IPSec evaluation”, to jako pierwszy pojawi się
link do dokumentu „A Cryptographic
Evaluation of IPSec” February 1999
– Niels Ferguson and Bruce Schneier;
Counterpane Internet Security, Inc.
Przeczytamy tam: „IPSec okazał się
dla nas dużym rozczarowaniem. Biorąc
pod uwagę kwalifikacje ludzi, którzy
nad nim pracowali oraz poświęcony
czas, można było oczekiwać znacznie
lepszych rezultatów. Nie jesteśmy
w tej opinii osamotnieni. Z dyskusji
z różnymi ludźmi biorącymi udział
w pracach wynika, że w zasadzie nikt
nie jest zadowolony ani z przebiegu
samego procesu ani z jego wyników.
Wydaje się, że na postać IPSec niekorzystny wpływ miał „komitetowy”
tryb jego opracowywania. Niezależnie
od powyższego krytycyzmu uważamy
IPSec za najlepsze z dostępnych obecnie
zabezpieczeń protokołu IP”.
Innym przykładem kompromisu, który
został uzgodniony, bo pozostawił
st rony spor u „równie niez ado wolonymi” jest rozmiar celi ATM.
48 bajtów dla danych (payload) wzięło
się z kompromisu między europejskimi,
a amerykańskimi firmami telekomunikacyjnymi. Europejczycy dzięki
32-oktetowym celom, a co za tym idzie
małym opóźnieniom, mogliby uniknąć
konieczności stosowania mechanizmu „echo cancelation”. Amerykanie
głosowali za rozmiarem 64-oktety,
bo mechanizm „echo cancelation”
w kraju o rozmiarze połowy kontynentu i tak był niezbędny, a transmisja
danych preferuje większe „paczki”. Jak
widać nie zawsze to, co dostajemy
do rąk i z pomoc ą c zego mamy
budować lepszy świat jest najlepszym
możliwym narzędziem.
P r z yk ł adem t echnologii, k t óra
w pierwszych implement acjach
wdrażana była w sposób nie do końca
adekwatny do jej możliwości może
być Voice over IP. Rozwią zanie
to na początku było oferowane jako
tani zamiennik dla międzymiastowych
czy międzynarodowych linii telefonicznych. Biznesplanom tworzonym
z reguły w narzędziu typu Excel często
towarzyszył nadmierny optymizm
co do efektywności samego protokołu
(poziom kompresji, jakość głosu), jak
i zachowania „starych operatorów”,
którzy postawieni pod ścianą obniżyli
swoje stawki. Niezależnie od powyższego w dniu dzisiejszym transmisja
głosu po IP działa w szerokim zakresie,
rozwija się i ma się dobrze – mamy
telefonię i wideokonferencje korzystające z tego protokołu.
Do tej pory przyglądaliśmy się technologiom sieciowym i temu, jak rokują
w oderwaniu od konkretnych wdrożeń.
Teraz zastanówmy się, jaki sposób
budowania sieci daje największe
szanse na sukces dziś i otwartość
na modyf ik ac je w pr z ys z ło ś c i .
Zmiany zwykle chcemy wprowadzać
„lokalnie”, co z kolei wymaga, aby nasza
sieć była modularna. Architektury
proponowane przez producentów
sprzętu są jak najbardziej modularne,
jednak mają pewną wadę – z reguły
zawierają bardzo duże, często przewymiarowane ilości urządzeń. Można
to sobie tłumaczyć tym, że wielkość
firm i wynikająca z tego skala przedsięwzięć w Stanach Zjednoczonych jest
zdecydowanie większa niż w Polsce,
a te architektury kierowane są przede
wszystkim na tamten rynek. Można
jednak spojrzeć na to tak że jako
na świadomą próbę zastosowania
efektu „torowania”. Innymi słowy
producenci chcą sprzedać jak najwięcej
sprzętu i tworzą architektury dowolnie
11
WYDARZENIA
r ozbudowane . Mo ż na i t r zeba
je upraszczać czyniąc je tańszymi i lepiej
zarządzalnymi, ale nie wolno odrzucać
ich podstawowego przesłania, którym
jest tworzenie rozwiązań modularnych
i zastosowanie rozsądnego poziomu
nadmiarowości (redundancji).
Wydawałoby się, że zachowanie
modularności jest łatwe, a jednak tak
nie jest. Na przykład w dużych sieciach
c zę sto mamy wiele segmentów
sieciowych połączonych za pomocą
firewalli. Komunikac ja mię dzy
pewnymi punktami często przebiega
przez kilka z nich. W takiej sytuacji
bardzo łatwo utracić kontrolę nad
tym, gdzie tak naprawdę realizowana
jest filtracja. Gdzie jest wnętrze naszej
sieci (segment „inside”), a gdzie świat
zewnętrzny (segment „outside” ),
co i przed czym chronimy. Drugi
problem, to segmenty z wieloma
firewallami, czyli potencjalnie wieloma
możliwymi ścieżkami dla komunikacji.
Zdarza się, że przy wdrożeniu nowych
usł ug kierowanie strumieniami
danych realizowane jest w oderwaniu
od modularności, czy zaplanowanej
kiedyś architektury, ale po prostu
tak jak jest w danej chwili najłatwiej,
żeby jak najszybciej osiągnąć pewien
krótkoterminowy cel.
Jak widać utrzymanie porządku w sieci
wymaga nie tylko dobrze przemyślanego i zrealizowanego wdrożenia,
ale także ścisłej kontroli przy wprowadzaniu zmian. A co jeśli nasza sieć
uległa nazwijmy to entropii? Zawsze
można spróbować przywrócić jej stan
uporządkowania. SOLIDEX ma w tym
niemałe sukcesy. Największe nasze
przedsięwzięcie związane z kontrolą
nad kilkuset lokalizacjami miało
miejsce w 2002 roku i polegało
na migracji sieci WAN czterech banków
połączonych w 1996 roku w grupę
Pekao S.A.:
•Pekao S.A.
•Bank Depozytowo-Kredytowy S.A.
w Lublinie
•Pomorski Bank Kredytowy S. A .
w Szczecinie
•Powszechny Bank Gospodarczy S.A.
w Łodzi
K a żdy z w/w banków posiadał
już własną działającą sieć rozległą.
Sprawne funkcjonowanie utworzonej
grupy bankowej wymagało ujednolicenia ich systemów informatycznych.
Jednym z kroków do osiągnięcia
12
tego celu było zintegrowanie infrastruktury sieci rozległej. Podjęto
decyzję o przebudowie poszczególnych
sieci WAN do spójnej docelowej
str uk tur y. Migrac ja wymagała
częściowego zainstalowania nowych
urządzeń, wykorzystania nowych
łączy i przeprowadzenia wdrożenia
z zachowaniem ciągłości pracy starych
systemów i usług. Podstawowym
narzędziem przy migracji była baza
danych, którą wstępnie wypełniono
informacjami zebranymi w ankietach
od wyznaczonych ludzi, a tak że
danymi z urządzeń, a w dalszych
etapach posłużono się nią z jednej
strony dla logistyki, a z drugiej dla
wygenerowania docelowych konfiguracji urządzeń.
A co z nowymi technologiami, które
teraz można nazwać „gorącymi”, jak
choćby technologie bezprzewodowe?
W domu i przedsiębiorstwie WiFi jest,
działa i w zasadzie nie spodziewamy
się tutaj zaskoczeń. Ciekawiej jest
natomiast po stronie operatorów,
bo tutaj brak częstotliwości jest silnie
odczuwany przez końcowych użytkowników. Tak więc z jednej strony mamy
nowe techniki lepszego wykorzystania
częstotliwości w dużej skali – czyli LTE,
które jest po prostu skazane na sukces,
bo nie ma innej drogi. Z drugiej strony
lepsze wykorzystanie przestrzeni
radiowej możliwe jest przez zmniejszanie rozmiaru komórek. Femtocell
to stawianie w biurze mikro (to znaczy
femto) stacji bazowych połączonych
do operatora przez Internet. Z punktu
widzenia uż ytkownika telefonii
komórkowej nic się nie zmienia.
Ze względu na lokalność komórki, nie
ma zagrożenia, że to co dzisiaj działa,
z popularyzacją usługi i zwiększeniem
liczby użytkowników będzie działać
coraz gorzej. Z kolei WiFi offload
to dołączanie do sieci komórkowej
(dla transmisji danych i ewentualnie
głosu) przez zwykłe access-pointy
kontrolowane centralnie (wymagania
na autentykację i szyfrowanie).
Po stronie telefonu przy obsłudze
głosu potrzebna jest pewna niestandardowa logika, czyli oprogramowanie
od operatora. Niezależnie od powyższego, z punktu widzenia operatora
jest t o dodanie nowego bloku
do dobrze zdefiniowanych interfejsów.
Technicznie i organizacyjnie FemtoCell
i WiFi offload są jak najbardziej
wdrażalne. Wszystko sprowadza się
do odpowiedniego liczenia pieniędzy.
Najpierw po stronie operatora, czy
w ogóle startować z usługą, później
po stronie klienta, czy z niej skorzystać.
Zadecyduje oczywiście rynek, ale
kierunek wydaje się słuszny, nie
zapominajmy jednak lekcji VoIP.
BYOD czyli Bring Your Own Device
t o mo ż e nie t yle t e c hnolog ia ,
co praktyka współpracy z firmowym
IT z wykorzystaniem prywatnych
urządzeń końcowych takich jak smartphony czy tablety. Na pierwszy rzut oka
lista pól, nad którymi trzeba zapanować,
jest na tyle duża, że z pozoru skazująca
przedsięwzięcie z góry na porażkę.
Do zaadresowania są kwestie prywatności tego co prywatne, poufności tego
co służbowe, kwestie wsparcia dla
użytkowników z szerokim wachlarzem
sprzętu, kwestie prawne i związane
z produktywnością – na przykład ile
razy pracownik może powiedzieć, że coś
zawalił, bo stracił łączność z „centralą”?
Na początku do głowy przychodzi
skojarzenie z barbarzyńcami u bram
miasta, kiedy się jednak lepiej zastanowić i odrzucić kilka elementów (czyli
wymagań końcowego użytkownika),
to BYOD robi się całkiem podobne
do przysłowiowego wspomnianego
już konia.
K.P.
Inżynier SOLIDEX
Numer: II/2013 (123)
Rozwiązania sieci bezprzewodowych
Cisco Unified Wireless Network oraz
Unified Access
W ostatnich latach rynek urządzeń przeżywa prawdziwą ekspansję urządzeń
mobilnych. Coraz więcej przedsiębiorstw korzysta z aplikacji mobilnych.
Jednocześnie coraz częściej w przedsiębiorstwach mamy do czynienia
ze zjawiskiem określanym jako Bring Your Own Device (BYOD), czyli
użytkowaniem w pracy prywatnych urządzeń mobilnych, takich jak smartfony
czy tablety. Niejako w odpowiedzi na tak rozwijające się trendy, w ostatnich
kliku miesiącach w ofercie Cisco pojawiło się sporo nowości z obszaru sieci
bezprzewodowych.
Niniejszy artykuł jest poświęcony
nowościom w systemie Cisco Unified
Wireless Network (CUWN), nowym
funkcjonalnościom w poszczególnych
urządzeniach WLAN, nowym kontrolerom, punktom dostępowym, nowym
technologiom oraz nowemu, jednolitemu podejściu do projektowania
sieci bezprzewodowej: wizji Cisco
Unifed Access.
Cisco Unified Wireless
Network 7.3
Cisco Unified Wireless Network
(CUWN) 7.3 pozwala wyjść naprzeciw
nowym wyzwaniom w branży IT,
takim jak ogromna ekspansja urządzeń
mobilnych w przedsiębiorstwach
– wynikająca z trendu Bring Your
Own Device (BYOD) – wirtualizacja
infrastruktury sieciowej, wdrożenia
aplikacji mobilnych, które mają
kluczowe znaczenie dla przedsiębiorstw
wykorzystujących do działania sieć
bezprzewodową. CUWN w wersji 7.3
wprowadza kontroler WLAN serii 8500
z wysoce skalowalną liczbą klientów,
kontroler wir tualny dla mał ych
i średniej wielkości wdrożeń, funkcjonalność wysokiej dostępności High
Availability HA, która minimalizuje
czas przestoju sieci bezprzewodowej,
umożliwiając szybkie przełączenie
tysię c y punk tów dost ępowych
na kontroler zapasowy. Dostarcza
także funkcje istotne z perspektywy
dostawców internetowych, takie jak
HotSpot 2.0 dla bezpiecznej łączności
publicznej oraz Proxy Mobile IPv6
(PMIPv6), zapewniające bezproblemową mobilność między siecią
komórkową oraz siecią WiFi. Wersja
CUWN 7.3 wprowadza także punkty
dostępowe drugiej generacji serii
Aironet 2600 ze wsparciem dla 802.11n,
które umożliwiają uzyskanie teoretycznej przepustowości 450 Mb/s,
a także punkty dostępowe zewnętrzne
serii Aironet 1550 z interfejsem EPON.
High Availbility
Funkcja High Availbility w wersji
CUWN 7.3 to nowe podejście w zapewnianiu redundancji kontrolera, które
poz wala z nac z nie sk r óc ić c z as
przestoju sieci w przypadku uszkodzenia kontrolera WLC . W starym
podejściu na każdym punkcie dostępowym ustawiany był kontroler
P r imar y, S ec ondar y i Ter t iar y .
Na rysunku 1 kolorem zielonym
13
NOWOŚCI
Rys.1. Redundantna topologia sieci WLAN z dwoma kontrolerami WLC w stanie Active i Standby
zaznaczono połączenia fizyczne,
natomiast czerwona przerywana
linia to połączenia logiczne. Punkty
dostępowe zestawiają tylko jeden
tunel CAPWAP do WLC, który jest
w stanie Active. W nowej architekturze HA jeden WLC jest w stanie
Active, a drugi w stanie gotowości
Hot Standby, ciągle monitorując stan
aktywnego WLC przez Redundant Port
RP. W momencie awarii wszystkie AP
przełączają się na zapasowy kontroler,
a cały proces trwa poniżej jednej
sekundy.
W sposobie redundancji active/standby
występuje jeden adres IP, wspólny
dla obu kontrolerów, jedno zarządzanie, synchronizacja obrazu IOS oraz
automatyczna synchronizacja konfiguracji. W przypadku awarii kontrolera
WLC primary, dzięki funkcjonalno ś c i A P St at ef ull Swit chover
(AP SSO), punkty dostępowe przełączają się do kontrolera zapasowego
WLC standby, a tunel CAPWAPowy
jest cały czas utrzymywany.
Funkcjonalność HA jest wspierana
na kontrolerach 3850/5500/7500/8500
oraz WiSM-2.
WLC 8500
K ont roler 8 5 0 0 jest platfor mą
dedykowaną dla rynku dostawców
us ł ug int er ne t owyc h , a t ak ż e
do dużych wdrożeń typu enterprise.
Został on zaprojektowany między
innymi w celu obsługi dużej liczby
VL AN-ów, wspiera 6000 punktów
dostępowych w trybie Local, Bridge
i FlexConnect. Obsługuje do 64 000
podłączonych stacji klienckich, a także
obsługuje funkcjonalność Hotspot
2.0 (standard 802.11u), co umożliwia
Rys.2. Kontroler WLC 8500
14
operatorom rozładowanie ruchu
w sieciach mobilnych, poprzez przełączanie klientów z sieci 3G/4G do WiFi.
Nowością w kontrolerze 8500 jest
licencja „right to use”, która zostaje
aktywowana po zaakceptowaniu End
User License Agreement. Ma to pomóc
w rozwiązywaniu problemów z licencjonowaniem w sytuacji dokładania
nowych punk tów dost ępowych
i wg r ywa niu nowyc h lic e nc ji
na kontroler.
Kontroler wirtualny
Do wersji CUWN 7.3 oprogramowanie
kontrolera działało tylko na dedykowanej platformie sprzętowej Cisco.
Cisco Virtual Wireless Controller
(rysunek 3) to kontroler bezprzewodowy działający w formie maszyny
wirtualnej uruchomianej w środowisku
ESX/ESXi, który umożliwia elastyczne
i kosztowo efektywne wdrożenie sieci
bezprzewodowej dla małych i średnich
przedsiębiorstw. Kontroler umożliwia
konf ig ur owa nie i z a r z ą d z a nie
siecią bezprzewodową zawierającą
do 2 0 0 punk tów dost ępowych
i 3000 stacji klienckich. Urządzenie
jest przeznaczone do pracy z punktami
dostępowymi w trybie FlexConnect
z centralnym oraz lokalnym przełączaniem ruchu. Kontroler wirtualny
wspiera bezpieczny dostęp gościnny,
Numer: II/2013 (123)
Rys.3. Kontroler wirtualny
wykrywanie obcych urządzeń oraz
lokalne przełączenie w oddziale ruchu
bezprzewodowego typu głos i video.
Po zainstalowaniu kontrolera z dostarczonego wzorca maszyny wirtualnej,
mamy możliwość aktywacji licencji
czasowej na 60 dni i 200 punktów
dostępowych.
Aironet 2600
oraz zasięg, dzięki formowaniu wiązki
radiowej do urządzenia klienckiego.
Punkty dostępowe Cisco Aironet 2600
są przeznaczone do pracy wewnątrz
budynku i są dostępne w wersji
z antenami wbudowanymi oraz
zewnętrznymi. Zoptymalizowana dla
urządzeń konsumenckich seria Aironet
2600 jest przeznaczona dla użytkowników, którzy potrzebują wydajnej
sieci bezprzewodowej, ale nie planują
w przyszłości wdrożenia standardu
802.11ac.
Cisco Aironet 2600 (rysunek 4) jest
punktem dostępowym pracującym
w standardzie 802.11n, obsługującym
technologię 3x4 MIMO, co odpowiada Cisco Unifed Wireless
trzem antenom nadawczym i czterem Network 7.4
antenom odbiorczym. Urządzenie
obsługuje trzy strumienie przestrzenne, W Cisco Unifed Wireless Network 7.4
co umożliwia uzyskanie teoretycznej zostało wprowadzonych sporo nowych
przepustowości 450MB/s. Punkt i ciekawych funkcjonalności takich jak:
dostępowy 2600 obsługuje nowe • Analiza i kontrola aplikacji w sieci
technologie, takie jak C lean A ir,
bezprzewodowej Application Visibility
ClientLink 2 .0 oraz VideoStream.
and Control (AVC); AVC to nowy
Technologia ClientLink 2.0 poprawia
mechanizm kontroli aplikacji i jakości
przepustowość kanału radiowego
usług świadczonych na urządzeniach
Rys. 4. Punkty dostępowe serii Aironet 2600
Cisco, korzystający z NBAR2, Netflow
czy QoS; Pozwala on na wgląd
w ruch aplikacyjny w sieci oraz daje
nowe możliwości kontroli usług
i raportowania;
•usługi katalogowe Bonjour Directory
Services dla urządzeń Apple w całej
domenie L3;
•wsparcie dla platformy lokalizacyjnej
opar tej na sieciach bezprzewodowych Cisco Connected Mobile
Experience;
•wsparcie dla modułów do Aironet
3600 do realizacji funkcji bezpiec zeństwa ora z analiz y pasma
radiowego;
•obsługę nowych punktów dostępowych serii Aironet 1600, które
umożliwiają uzyskanie teoretycznej
przepustowości 300Mb/s.
Aironet 1600
Cisco Aironet 1600 (rysunek 5) to nowy
punkt dostępowy klasy korporacyjnej,
zaprojektowany w celu zapewnienia
łączności bezprzewodowej dla małych
i średnich przedsiębiorstw. Punkt
dostępowy 16 00 uż ywa MIMO
3x3:2, co daje trzy anteny nadawcze,
trzy anteny odbiorcze, obsługę dwóch
strumieni przestrzennych, dzięki czemu
uzyskuje się teoretyczną przepustowość 300MB/s. Nowy punkt
dostępowy zapewnia zatem sześć razy
większą przepustowość od istniejących
wcześniej punktów dostępowych
w standardzie 802.11a/g oraz zapewnia
zaawansowane funkcje, takie jak
CleanAir Express dla lepszej analizy
pasma radiowego oraz Clientlink 2.0
niezbędnej w optymalizacji pasma
w kierunku do urządzeń klienckich.
Punkt dostępowy 1600 obok modeli
Rys.5. Punkty dostępowe serii 1600
15
NOWOŚCI
P unkty dostępowe
wewnętrzne 802.11n G2
Seria 600
Seria 1600
Seria 2600
Seria 3600
Zastosowanie
Zdalni pracownicy
Małe i średnie firmy
Małe, średnie i duże
firmy
Średnie i duże firmy
Typ lokalizacji
Dom
Biuro, mały magazyn
Biuro, średniej
wielkości magazyn
Duże biuro, średni
i duży magazyn
Dane konsumenckie
Elastyczność wdrożenia
Wydajność klasy
korporacyjnej
Głos/video/multimedia
Dowolne urządzenie/zoptymalizowany pod BYOD
Skalowalny
Ograniczenie interferencji RF
Duża gęstość stacji klienckich
Video HD/VDI
Wsparcie dla 802.11ac
Kompleksowe bezpieczeństwo
-
-
-
TAK, moduł 802.11ac lub
moduł WSSI
(Wireless Security and
Spectrum Intelligence)
Profil wydajności
aplikacji (Application
performance profile)
Modularność
Zatłoczone obszary
-
-
TAK
TAK
Dual (2.4GHz oraz
5.0GHz)
Dual (2.4GHz oraz
5.0GHz)
Dual (2.4GHz oraz
5.0GHz)
Dual (2.4GHz oraz
5.0GHz)
Max przepustowość per
radio
300 Mbps
300 Mbps
450 Mbps
1.3 Gbps (z modułem
802.11ac module)
Parametry MIMO: liczba
strumieni przestrzennych
2x3:2
3x3:2
3x4:3
802.11n: 4 x 4:3
802.11ac: 3 x 3:3
15 / Brak wsparcia dla
ClientLink
128/32
200/128
802.11n: 4 x 4:3
200/128
Możliwość pracy
w trybie autonomicznym
-
TAK
TAK
TAK
ClientLink 2.0
-
TAK
TAK
TAK
CleanAir
-
CleanAir Express
TAK
TAK
VideoStream
-
TAK
TAK
TAK
BandSelect
-
TAK
TAK
TAK
Rogue access point
detection
-
TAK
TAK
TAK
-
TAK
TAK
TAK
TAK
TAK
TAK
TAK
Obsługiwane pasma
Liczba klientów / liczba
klientów dla ClientLink
Adaptive wIPS
OfficeExtend
(tylko modele ze zintegrowaną anteną)
FlexConnect
-
TAK
TAK
TAK
100 do 240 VAC, 50-60 Hz
802.3af, AC adapter
802.3af, AC adapter
802.11n: 802.3af, AC adapter
802.11ac: Enhanced PoE,
802.3at or Universal PoE
(UPoE)
0 to 40°C
1600i: 0 to 40°C
1600e: – 20 to 50°C
2600i: 0 to 40°C
2600e: – 20 to 55°C
3600i: 0 to 40°C
3600e: 0 to 55°C
Anteny
Wewnętrzne
1600i: Wewnętrzne
1600e: Zewnętrzne
2600i: Wewnętrzne
2600e: Zewnętrzne
3600i: Wewnętrzne
3600e: Zewnętrzne
Standardy WiFi
802.11a/b/g/n
802.11a/b/g/n
802.11a/b/g/n
802.11a/b/g/n/ac
Zasilanie
Zakres temperatur
Tabela 1. Porównanie wewnętrznych punktów dostępowych 802.11n drugiej generacji
Aironet 600, 2600 i 3600 stanowi
rodzinę punktów dostępowych drugiej
generacji do zastosowań wewnątrz
budynków wykorzystujących technologię 802.11n. Punkty dostępowe
16
Aironet 600 i Aironet 3600 są w ofercie
Cisco już od dłuższego czasu, dlatego
nie będą omawiane w tym artykule,
zostały one zamieszczone w tabeli nr 1
w celach porównawczych z nowymi
seriami Aironet 1600 oraz Aironet
2600. Porównując model Aironet 2600
z Aironet 3600, to 2600 posiada tylko
trzy układy nadawcze, 3600 cztery.
Cechą wspólną punktów dostępowych
Numer: II/2013 (123)
serii 1600/2600/3600 jest obsługa
anten „dual band”, czyli takich gdzie
pojedyncza antena obsługuje oba
pasma częstotliwości 2.4GHz i 5GHz.
Warto wspomnieć, że w tym roku
pojawią się dwa moduły dla punktu
dostępowego 3600: moduł realizujący usługi bezpieczeństwa WSSI
( Wireless Security and Spectrum
Intelligence) oraz moduł do realizacji
połączeń radiowych Gigabit Ethernet
w standardzie 802.11ac.
Cisco Unified Access
Cisco Unified Access (rysunek 6) to nowe,
jednolite podeście do projektowania
i wdrażania sieci komputerowych
w środowisku bezprzewodowym.
Jego głównym założeniem jest uproszczenie projektowania sieci poprzez
połączenie sieci przewodowych,
bezprzewodowych i wirtualnych sieci
prywatnych (VPN), w jednolitą sieć
„One network”. Dostęp do zasobów
w takiej sieci będzie kontrolowany
przez wspólną politykę dostępu „One
policy” zdefiniowaną na platformie
nowej generacji Cisco Identity Services
Engine (ISE). Trzeci element w Unifed
Access to wspólny system zarządzania
„One management”: dla sieci przewodowej i bezprzewodowej opar ty
o Cisco Prime. One network, one policy,
one management to trzy główne filary,
Rys.6. Trzy filary w Cisco Unified Access
Rys.7. Odrębna infrastruktura, zarządzanie oraz kontrola polityki dostępu dla sieci przewodowej i bezprzewodowej
17
NOWOŚCI
Rys.8. Cisco Unified Access: wspólna infrastruktura dostępowa, zarządzanie oraz kontrola polityki dostępu dla sieci przewodowej
i bezprzewodowej
które tworzą strategię Cisco Unified
Access.
Obe c nie sie c i be z pr zewodowe
s ą budowane jako nak ładka
na sieć przewodową (rysunek 7 ),
gdzie kontroler WALN oraz system
zarządzania stanowią odrębną cześć
sieci oraz kontroler WLAN znajduje
się w centralnym punkcie sieci,
co powoduje, że tunel C APWAP
z ruchem bezprzewodowym przebiega
przez dwa lub więcej przełączników.
W przypadku 100 AP pracujących
w standardzie 802.11n (450Mb/s)
możemy mieć teoretycznie maksymalny ruch 45Gb/s, zatem jeden
kontroler nawet z kilkoma interfejsami
1GE zaczyna być wąskim gardłem
w takiej topologii.
Cisco Converged Access (rysunek 8)
to nowe podejście, którego celem
jest integracja dost ępu przewodowego i bezprzewodowego w sieci
L AN. Zalety tej integracji to przede
wszystkim uzyskanie większej zagregowanej przepustowości dla ruchu
z/do sieci bezprzewodowej – co będzie
miało duże znaczenie w momencie
upowszechnienia się st andardu
802 .11ac – jeden punk t definio wania polityki bezpieczeństwa oraz
możliwość zapewnienia odpowiedniego poziomu usług QoS. Nowy
przełącznik Catalyst 3850 z funkcjonalnością kontrolera sieci bezprzewodowej
18
oraz kontroler WLAN 5760 to nowe
produkty pojawiające się ramach
strategii Cisco Converged Access.
i bezprzewodowej. Będzie to miało duże
znaczenie wraz z upowszechnieniem się
standardu 802.11ac dla gigabitowych
sieci bezprzewodowych.
Nowy Catalyst 3850 z funkcją
kontrolera sieci bezprzewo- Nowy kontroler Cisco 5760
dowej
Wireless LAN Controller
Catalyst 3850 to przełącznik (rysunek 9)
z wbudowanym kontrolerem WLAN
40G, który może obsługiwać 50
punktów dostępowych oraz 2 tys.
klientów. Jest to pierwszy przełącznik,
który umożliwia obsługę sieci przewodowych oraz bezprzewodowych
na jednej platformie programowej Cisco
IOS XE. W nowym urządzeniu zawarto
wiele pionierskich funkcji, takich jak
wysoka dostępność w stosie oparta
na stateful switchover (SSO), granularny QoS, zaawansowane funkcje
bezpieczeństwa oraz Flexible NetFlow.
Dzięki połączeniu funkcji przewodowych i bezprzewodowych w jednym
urządzeniu możliwe będzie uzyskanie
większej zagregowanej przepustowości
dla ruchu na styku sieci przewodowej
Rys.10. Kontroler WLC 5760
Kontroler WLC 5760 (rysunek 10) jest
przeznaczony do budowy wydajnych,
gigabit owych siec i bez pr zewo dowych 802.11ac wymagających dużej
Rys.9. Przełączniki serii Catalyst 3850
Numer:
Numer:II/2013
II/2012 (123)
(119)
przepustowości,
takiej jak aplikacje
Podsumowanie
mobilne. Kontroler może pracować
w
nowym
konwergentnym,
jak
Lync
jest trybie
wieloplatformowy,
może
również
w
trybie
scentralizowanym.
działać zarówno na komputerach
Najważniejsze
stacjonarnychcechy:
Windows i Mac OS,
•przepustowość
Gbps,Windows
posiada
jak i Platformach60
Mobile
6
uplików
10GE,
Phone, iOS (iPad, iPhone), Android.
•wsparcie
do 1000
punktów
dostęPodstawowy
interfejs
nie odbiega
powych
oraz
12
tys.
klientów
per
od wzorcowego okna komunikatora
kontroler,
internetowego.
Rysunek 3 przedstawia
•zawansowany
QoS, polityki
QoS per
pionowo zorientowaną
listę kontaktów
radio,
SSID,
zeużytkownika,
zdjęciami, obok
umieszczono
status
•IPv6
Mobility,
i opis, Client
w górnej
części menu podsta•obsługa
technologii
Cisco CleanAir,
wowych funkcji.
Wspomniany
pulpit
ClientLink 2.0,
Videostream,
nawigacyjny
upraszcza
odnajdowanie
•skalowalność
z roamingiem
klientów
i używanie typowych
funkcji,
takich
dlaklawiatura
72 000 punktów
dostępowych,
jak
numeryczna,
wizualna
poczta głosowa,
lista
kontaktów
i lista
•wsparcie
dla SGT,
SGACL,
Advanced
aktywnych
konwersacji.
Crypto, Flexible
Netflow, downloLync
jest
bardzo elastyczny, jeśli
adable
ACL,
chodzi o wdrożenia
i możliwości
•wysoka
niez awodno
ś ć dzię k i
integracji.
Możliwa
jest również
klastrowaniu
N+1, agregacji
linków
integracja
programu
z istniejącą
i zapasowym
zasilaczom.
telefonią IP, jak na przykład Cisco.
Rysunek 2 przedstawia przykładową
Podsumowanie:
integrację z IP telefonami.
Zarówno w koncepcji CUWN, jak
Powyższy
artykułwizji
miałUnified
na celuAccess
przedrównież
w nowej
stawienie aplikacji
Lync od strony
otrzymujemy
sporo innowacyjnych
użytkownika. Program
Lync
funkcjonalności,
któreMicrosoft
umożliwiają
2010 to zanie
doskonały
klient kier
do ujednowyznac
nowego
unku
liconej
komunikacji
z możliwością
w
rozwoju
oraz nową jakość
w budowie
obsługi wiadomości
błyskawicznych,
wydajnych
sieci bezprzewodowych.
połączeń głosowych oraz spotkań.
W zak tualizowanym inter fejsie
G.B.
użytkownika programu
Lync
rozmaite
Inżynier
SOLIDEX
narzędzia do komunikacji rozmieszczono w sposób usprawniający ich
obsługę. Funkcje konferencji są jeszcze
skuteczniejsze dzięki wbudowanej
funkcji udostępniania pulpitu i aplikacji,
funkcji przekazywania w programie
Power Point oraz funkcji kopiowania
i wklejania obrazów i innej zawartości.
Opracowano na podstawie oficjalnych
materiałów producenta.
M.G.
Inżynier SOLIDEX
SOLIDność
w każdym działaniu...
Biuletyn Informacyjny
Informacyjny SOLIDEX®
Biuletyn
SOLIDEX®
33
19
NOWOŚCI
Nowości w architekturze MS Lync
Server 2013
Wraz z całą rodziną produktów z serii 2013 Microsoft wprowadził nową wersję
swojego rozwiązania zunifikowanej komunikacji: Lync Server 2013. Jest
to kontynuacja popularnego i udanego produktu (wersji 2010), który stanowi
podstawę komunikacji audio i wideo w wielu przedsiębiorstwach i coraz częściej
zastępuje stare centralki PBX. Wersja Lync 2013 wprowadza wiele zmian,
zarówno w aplikacji klienckiej, jak i w architekturze serwerowej, dlatego warto
przyjrzeć się jej bliżej.
Rys. 1. Aplikacja Lync 2013 na różnych urządzeniach
20
Numer: II/2013 (123)
Aplikacja Lync 2013
Aplikacja kliencka została napisana
pod kątem współpracy z nowym
interfejsem Modern UI, znanym
z Windows 8. Aplikacja jest prosta
w obsłudze i idealnie sprawdza się
na ekranach dotykowych, jak również
na st andardowych monit orach
i klawiaturach. Wsparcie obejmuje
urządzenia pracujące pod systemami
Windows 7/8, Windows Phone 8,
Android oraz iOS (rysunek 1).
Dużym ograniczeniem w wersji Lync
2010 był brak wsparcia przesyłania
głosu i obrazu wideo w środowisku
zwirtualizowanych stacji roboczych
(VDI). W Lync 2013 problem ten został
rozwiązany dzięki Lync VDI Plug-in,
który umożliwia komunikację audio/
video dla cienkich klientów.
Ważną zmianą po stronie klienta Lync
2013 jest domyślne wsparcie kodeka
wideo w standardzie H.264. Odciąża
to serwery Mediation z konieczności
transcodingu między kodekami
oraz zwiększa możliwości integracji
z systemami firm trzecich. Starszy
kodek RTVideo jest wykorzystywany
tylko w przypadku komunikacji
ze starszymi klientami. Dodatkowo
zwiększono maksymalną rozdzielczość
przesyłanego i odbieranego obrazu
do HD 1080p, zarówno dla połączeń
dwust ronnych jak i wideokonferencji, co znac ząco wp ł ynę ło
na jakoś połączeń wideo. Warto tutaj
wspomnieć, iż w przypadku połączeń
wideokonferencyjnych na ekranie
komunikatora może się pojawić
jednocześnie do pięciu strumieni
wideo pochodzących od najbardziej
aktywnych uczestników.
Lync 2013 integruje również funkcjonalność Group Chat z poprzedniej
wersji, dla której Group Chat była
osobną aplikacją. W obecnej wersji
funkcjonalność ta została zastąpiona
przez Persistent Chat (rysunek 2).
Du ż a z miana zos t a ł a wpr owa dzona do Lync Web App. Aplikacja
ta umożliwia, podobnie jak w wersji
2010, dołączenie do konferencji
użytkowników spoza firmy oraz tych,
którzy nie mają zainstalowanej aplikacji
na stacjach końcowych. Po instalacji
odpowiedniego pluginu nowa wersja
daje możliwość połączenia konferencyjnego audio/wideo z poziomu
Rys. 2. Lync 2013 Persistent Chat
przeglądarki internetowej. W związku
z tym wcześniejsza aplikacja Lync 2010
Attendee przestała być rozwijana
i wspierana w Lync Server 2013. Jej
funkcjonalność została przeniesiona
do Lync Web App.
w architekturze Lync Server 2013
jest możliwość zestawiania połączeń
logicznych SIP Trunk w stosunku M:N
do bram IP-PSTN Gateway. Oznacza
to, że do jednej bramy głosowej można
zestawić wiele połączeń SIP Trunk
Microsoft Lync Server 2013 jest rozwiązaniem bardziej dojrzałym,
ulepszonym, łatwiejszym w zarządzaniu i konfiguracji oraz
zapewniającym bardzo szeroką funkcjonalność. Jeden produkt
integruje szereg niezbędnych narzędzi i aplikacji, takich jak rozmowy
audio i wideo, Instant Messaging, Chat Room.
Nowe elementy architektury
Lync Server 2013
z kilku urządzeń Mediation Server, jak
również jeden Mediation Server może
mieć zestawionych wiele połączeń
W celu ułatwienia wdrożenia i zarzą- z różnymi bramami głosowymi. Dzięki
dzania infrastrukturą MS Lync zostały temu sterowanie przesyłaniem głosu
również zmodyfikowane poszczególne (call routing) w Lync Server 2013 jest
role serwerów odpowiedzialnych bardziej elastyczne.
Rozbudowana została funkcjonalność
za komunikację (rysunek 3).
Ważna zmiana nastąpiła w zakresie roli Chat Room, która w Lync Server 2013
Mediation Server, który jest obecnie nosi nazwę Persistent Chat. Jest to nowa
komponentem ka żdego serwera rola serwera w topologii Lync 2013,
Front-End. Co za tym idzie oddzielny która umożliwia prowadzenie do 15000
serwer z tą rolą w nowej topologii jednoczesnych chat-grup. Cała konwernie jest wymagany. Wyjątek stanowi sacja danej chat-grupy jest zapisywana
jedynie przypadek, gdy konieczne i dostępna dla wszystkich członków
jest zestawienie połączenia SIP Trunk grupy, bez względu na obecność osób
do operatora internetowej telefonii w chwili prowadzenia czatu. Ta funkcjo(Internet Telephony Service Provider) nalność może z powodzeniem zastąpić
stosującego Session Border Controller emailowe grupy dyskusyjne.
(SBC) – wówczas osobny serwer z rolą Funkcjonalność do zestawiania federacji
Mediation jest wymagany.
XMPP (Extensible Messaging and
Kolejną istotną zmianą w konfi- Presence Protocol) z systemami firm
guracji Mediation Server i ogólnie trzecich została zaimplementowana
21
NOWOŚCI
Rys. 3. Architektura Lync Server 2013
w rolach Front-End oraz Edge. Nie jest i serwerów SQL, Microsoft przestał
już konieczne instalowanie dodatkowej wspierać SQL clustering. Jedynym
bramy XMPP, co upraszcza znacznie wspieranym rozwiązaniem po stronie
wdrażanie i zarządzanie infrastrukturą. Back-End jest SQL mirroring. Dla obu
Natywnie wspierana jest federacja mechanizmów: SQL mirroring i poolze Skype, co więcej wspierane są też -pairing może być zaimplementowana
federacje z Google Talk oraz Cisco Jabber. funkcjonalność serwera witness, dzięki
Kolejną nowością jest tzw. parowanie której w przypadku awarii serwery
puli (pool pairing). Jest to mechanizm przełączą się automatycznie.
zaimplementowany w celu uzyskania
systemu wysokiej dostępności (High Podsumowanie
Availabity). Poszczególne serwery
tej samej roli w Lync Server 2013 Microsoft Lync Server 2013 jest rozwiąznajdujące się w różnych data center zaniem bardziej dojrzałym, ulepszonym,
mogą być sparowane . Dotyc zy łatwiejszym w zarządzaniu i konfito serwerów Front-End, Director, Edge guracji oraz zapewniającym bardzo
i Mediation. W przypadku awarii szeroką funkcjonalność. Jeden produkt
jednego serwera, kolejny z puli przejmie integruje szereg niezbędnych narzędzi
jego funkcjonalność. Dla roli Back-End i aplikacji, takich jak rozmowy audio
22
i wideo, Instant Messaging, Chat
Room. Wszystko to zapewnia sprawną
komunikację ze współpracownikami
zarówno w obrębie własnej firmy, jak
i poza nią. Dzięki wielu zmianom oraz
wprowadzonym udoskonaleniom
MS Lync 2013 zapewnia jeszcze lepszą
integrację z systemami firm trzecich,
takich jak Cisco, Audiocodes i Polycom,
a wsparcie mobilnej aplikacji klienckiej
dla telefonów pracujących pod obsługą
systemów Android, iOS oraz Windows
Phone 7/8 sprawia, że Lync 2013
odniesie sukces nie mniejszy niż Lync
2010.
M.M.
Inżynier SOLIDEX
Numer: II/2013 (123)
Check Point ThreatCloud Security
Services – bezpieczeństwo z chmury
W ostatnim czasie firma Check Point rozszerzyła portfolio swoich rozwiązań
o dwie nowe usługi: Managed Security Service oraz Incident Response. Usługi te,
zbiorczo określane mianem ThreatCloud Security Services, stanowią rozwinięcie
zaprezentowanego w kwietniu 2012 roku rozwiązaniao nazwie ThreatCloud.
Rys. 1. Źrodła informacji sieci ThreatCloud
ThreatCloud to sieć, która powstała jako
odpowiedź na dynamicznie rozwijającą
się cyberprzestępczość. Podstawową
ideą działania sieci ThreatCloud jest
współpraca organizacji oraz wymiana
informacji o pojawiających się zagroż eniach siec iowych . G łównym
elementem sieci ThreatCloud jest
innowac yjny system sensorów
rozmieszczonych w różnych punktach
na świecie. Zadaniem sensorów jest
monitorowanie i analizowanie ruchu
sieciowego w czasie rzeczywistym
oraz sygnalizowanie pojawiających
się w nim zagrożeń, takich jak malware,
boty oraz APT (Advanced Persistent
Threats). Informacje o pojawiających
się atakach uzyskane z sensorów
uzupełniane są poprzez dane pochodzące z urządzeń sieciowych (security
gateways) zainstalowanych w sieciach
klientów firmy Check Point oraz
poprzez dane z laboratoriów bezpieczeństwa firmy Check Point (rysunek 1).
W efekcie wymiany informacji, ich
analizy i korelacji zdarzeń wzrasta
skuteczność oraz szybkość wykrywania
23
TECHNOLOGIE
ataków. Wykrycie ataku w dowolnym
punkcie sieci ThreatCloud pociąga
za sobą wygenerowanie aktualizacji
zabezpieczeń, która trafia do modułów
programowych (Software Blades)
na wszystkich pozostałych urządzeniach zainstalowanych w sieciach
klientów firmy Check Point, którzy
korzystają z usługi. Działanie takie
pozwala na podniesienie poziomu
bezpieczeństwa sieci, dzięki możliwości uniknięcia zagrożeń (działania
prewencyjne) zanim się jeszc ze
pojawią lub ograniczenia ich zasięgu
i skuteczności.
Bazując na rozwiązaniu ThreatCloud
oraz wieloletnim doświadczeniu
w pracach nad bezpieczeństwem
sieciowym, pod koniec 2012 roku
firma Check Point wprowadziła
do swojej oferty produkt o nazwie
ThreatCloud Security Services. Pod
w sp omnia n ą na z w ą k r yj ą si ę
usługi w ramach których Check
Point wspomaga klientów oraz ich
zespoł y IT w zakresie zabezpieczania sieci komputerowych przed
coraz bardziej wyspecjalizowanymi
atakami, a także zapewnia wsparcie
w momencie wystąpienia samego
ataku. Wśród usług ThreatCloud
Security Services wyróżnić można
m. in. usługi ThreatCloud Managed
Security Service oraz ThreatCloud
Incident Response.
Usługa ThreatCloud
Managed Security Service
Usługa ThreatCloud Managed Security
Service stanowi połączenie najlepszego systemu zabezpieczeń (Threat
Prevention) oraz analiz ekspertów
w zakresie bezpieczeństwa sieciowego.
Usługa realizowana jest w trybie
24x7x365 i ma na celu zapewnienie
optymalnego poziomu ochrony
sieci komputerowych klientów.
Wsparciem objęte są trzy główne
moduły programowe odpowiedzialne
za ochronę sieci w czasie rzeczywistym – IPS (Intrusion Prevention
System), Anti-bot oraz Antyvirus.
24
Rys. 2. Przykładowy alert opisujący wykryte zagrożenie
Dostępne są trzy poziomy wsparcia
– Standard, Premium oraz Elite –
różniące się miedzy innymi czasem
reakcji na zaobserwowane zagrożenia.
Monitoring zagrożeń realizowany
jest poprzez centra SOC (Security
Operations Centre) firmy Check Point
zlokalizowane w Izraelu oraz Kanadzie.
W ramach usługi, logi gromadzone
na urządzeniach sieciowych zainstalowanych w siec iach k lient ów
przesyłane są do sieci ThreatCloud,
gdzie poddawane są zautomatyzowanej analizie. Celem analizy jest
odfiltrowanie spośród zgromadzonych
danych informacji o incydentach
bezpieczeństwa, które stanowią
rzeczywiste zagrożenia dla zasobów
oraz usług klientów. Proces analizy
działa w oparciu o wyrafinowane
filtry i algorytmy, które wykorzystują
aktualizowaną dynamicznie bazę
wiedzy o zagrożeniach. W przypadku
stwierdzenia wrogiej aktywności
mogącej zagrozić bezpieczeństwu
sieci klienta, zarejestrowane incydenty
przekazywane są w ręce ekspertów,
którzy klasyfikują je względem
stopnia zagrożenia oraz opracowują
procedury przeciwdziałające efektom
ich działania. W rezultacie powyższych
działań klienci otrzymują informacje
o wykrytych zagrożeniach dotyczących
ich sieci w formie czytelnych alertów
(rysunek 2) zawierających szczegółowy opis incydentu, ryzyka jakie
za sobą niesie, zasobów którym
zagraża oraz rekomendacje pozwalające na uniknięcie lub ograniczenia
ryzyka ataku. W przypadku klientów
Premium lub Elite, wykrycie zagrożenia o statusie „Critical” (np. trwający
atak, wykrycie podatności na atak
lub rzeczywistej infekcji sieci) równoważne jest z otwarciem zgłoszenia
serwisowego ( Ticket) dokumentującego kroki podjęte przez SOC w celu
usunięcia zagrożenia. Zgłoszenia
pozostają otwarte do czasu definitywnego rozwiązania problemu.
W ramach us ł ugi T hreatC loud
Managed Security Service poza
alertami będącymi efektem analizy
indywidualnych logów klient a,
użytkownicy uzyskują dostęp do informacji o zagrożeniach płynących z sieci
ThreatCloud. Sieć ThreatCloud, zgodnie
z wcześniejszym opisem, na bazie
analizy zagrożeń w czasie rzeczywistym
dostarcza aktualizacji zabezpieczeń
bezpośrednio do modułów programowych uruchomionych na bramach
sieciowych klientów. Jak wspomniano
wcześniej, obecnie z danych płynących
z sieci ThreatCloud korzystają moduły
IPS, Antyvirus oraz Anti-bot.
Elementem składowym ThreatCloud
Managed Security Service jest usługa
optymalizacji polityki bezpieczeństwa
stosowanej przez klientów (rysunek 3).
Ze względu na różną złożoność sieci
k lient ów or a z ic h spe c yf ic z ne
Numer: II/2013 (123)
Rys. 3. Optymalizacja polityki zabezpieczeń
potrzeby, proces optymalizacji polityki
zabezpieczeń ma charakter indywidualny. Pierwsza rekomendacja
trafia do klientów już w momencie
przystąpienia do usługi i oparta jest
na analizie logów zgromadzonych
przez klienta. W trakcie trwania
usługi pierwotna rekomendacja jest
okresowo weryfikowana i dostosowywana do aktualnych zagrożeń,
dos t ę pnych z abe z piec ze ń or a z
wymagań klientów, tak aby zasoby
sieciowe były optymalnie chronione
w każdej sytuacji. Częstotliwość
operacji optymalizacyjnych zależy
od poziomu wsparcia wykupionego
w ramach usługi.
Wszelkie informacje dotyczące stanu
usługi ThreatCloud Managed Security
Service dostępne są dla klientów
poprzez portal internetowy o nazwie
Managed Security Service Web Portal
Standard
Opis
Premium
Elite
Threat Prevention
Expert Threat Prevention
Monitoring and Alerting Monitoring and Alerting
Service
Service
Obsługiwane moduły
zabezpieczeń
Alerty zabezpieczeń w trybie
24x7x365
(rysunek 4). Po zalogowaniu do portalu
użytkownik ma do dyspozycji szereg
zakładek prezentujących wybrane
aspekty działania usługi:
• „Overview” – przedstawia aktualny
stan usługi – m. in. listę zdarzeń
i alertów z ostatnich 24h, otwarte
zgłoszenia (Tickets), alerty oczekujące
oraz zablokowane zdarzenia.
• „Alerts” – prezentuje informacje
o ak tualnych i histor yc znych
alertach wygenerowanych przez
usługę. Zakres danych może być
filtrowany w oparciu o parametry
t ak ie jak st opie ń z agr oż enia,
moment wykrycia/wystąpienia
ataku oraz informacje o źródłowych
i docelowych adresach IP.
• „Events” – zakładka analogiczna
do sekcji „Alerts”, prezentująca informację o zdarzeniach związanych
z zarządzaniem bezpieczeństwem
sieci.
• „Tickets” – zakładka dostępna
wył ąc znie dla u ż ytkowników
posiadających usługę na poziomie
Premium oraz Elite. Panel umożliwia
śledzenie zgłoszeń w ramach przysługującego wsparcia oraz wymianę
informacji z analitykami SOC przypisanymi od konkretnych zgłoszeń.
Full Threat Prevention
Management Service
IPS, Anti-Bot, Antivirus
Zautomatyzowane
Analiza ekspertów
Analiza ekspertów
1 godzina
30 minut
30 minut
Czasy reakcji supportu
Zagrożenia na poziomie Critical/
High
Zagrożenia na poziomie Medium
Reakcja na zapytania klientów
Zarządzanie bramami sieciowymi
Miesięczne podsumowanie
6 godzin
1 godzina
1 godzina
Klient
Klient
Check Point
Dostęp do portalu Managed
Security Service Web Portal
Śledzenie oraz eskalacja
incydentów bezpieczeństwa
Raporty lokalne i globalne
Optymalizacja polityki
zabezpieczeń
Tak
Nie
Tak
Tak
Standardowe
Rozszerzone
Rozszerzone
Roczna
Kwartalna
Kwartalna
Tabela 1. Poziomy wsparcia usługi Threat Cloud Managed Security Service
25
TECHNOLOGIE
•„Reports” – zakładka oferuje zestaw
pr e def iniow a nyc h r ap o r t ów
dotyczących zabezpieczeń, alertów
oraz ataków. Raporty mogą być
generowane ad hoc lub okresowo
oraz przesyłane do określonych
odbiorców.
•„Global” – panel prezentuje dane
o zakresie globalnym, pochodzące
z sieci ThreatCloud. Zakładka oferuje
możliwość generowania raportów
porównujących prywatne statystyki
klientów w zakresie bezpieczeństwa
z ogólnymi ob s er wowanymi
trendami. Dane takie przydatne
są w procesie planowania rozwoju
polityki bezpiec zeństwa sieci.
Dodatkowo, zakładka zapewnia
dostęp do czarnych list (blacklists)
adresów IP.
Usługa ThreatCloud Managed Security
Service, jak wspomniano wcześniej,
Rys. 4. Okno portalu Managed Security Service Web Portal
wciąż trwa, ograniczenie strat klienta
oraz jak najszybsze przywrócenie
organizacji do stanu obserwowanego
przed atakiem. Usługa dostępna jest
dla klientów 24 godziny na dobę, 7 dni
ThreatCloud to sieć, która powstała jako odpowiedź na dynamicznie
w tygodniu. Jak wygląda procedura
rozwijającą się cyberprzestępczość. Podstawową ideą działania sieci
uzyskania wsparcia w ramach usługi?
W momencie wystąpienia incydentu
ThreatCloud jest współpraca organizacji oraz wymiana informacji o
klient zgłasza telefonicznie problem
do
fir my C heck Point z prośbą
pojawiających się zagrożeniach sieciowych.
o wsparcie. W ciągu maksymalnie 30
minut zestawione zostaje połączenie
konferencyjne pomiędzy klientem oraz
inżynierem przydzielonym do obsługi
dostępna jest w trzech wariantach – Usługa TreatCloud Incident
zgłoszenia. Dedykowany inżynier
Standard, Premium oraz Elite. Wariant Response
współpracuje z klientem w zakresie
podstawowy zapewnia zautomaident yf ik ac ji ź r ód ł a pr oblemu
dokonując analizy zasobów systetyzowaną analizę logów modułu
mowych, poprawności pracy urządzeń,
IP S ora z dost arc z anie aler t ów
wydajności aplikacji oraz wzorców
w przypadku wykrycia znaczących
ruchu pod kątem niepokojących
zagrożeń. Poziom Premium rozszerza
anomalii. Analizie poddawane są logi
pakiet o wsparcie ekspertów Check
pochodzące z urządzeń firmy Check
Point, których zadaniem jest analiza
Point (Firewall, IPS, DLP, Anti-bot),
pojawiających się alertów i określanie
a także w miarę potrzeb z innych
czy wymagają one natychmiastowej
urządzeń sieciowych, aplikacji pracuinterwencji. Zarówno poziom Standard,
jak i Premium umożliwiają rozwi- Usługa ThreatCloud Incident Response, jących w środowisku klienta, w tym
nięcie usługi o analizę logów modułu w odróź nieniu od T hreatC loud także przechwycony ruch sieciowy
Anti-bot oraz Antivirus. Poziom Elite Managed Security Service ma charakter (packet captures). Szeroka analiza
poza elementami wymienionymi stricte reaktywny. Usługa ta przezna- ma na celu jak najdokładniej określić
powyżej (włączając analizę logów czona jest dla klientów, których sieć występujące zagrożenia, tak aby
IPS, Anti-bot, Antivirus) zapewnia komputerowa padła ofiarą ataku można było sprawnie i efektywnie
zdalne administrowanie infrastrukturą powodującego np. wyciek danych, im przeciwdziałać. Efektem opisanych
zabezpieczeń opartą o produkty Check utrat ę danych lub ogranic zenie prac jest rekomendacja dotycząca
Point, a także zarządzanie polityką dostępności usług (atak DoS, DDoS). kroków, jakie klient powinien podjąć
bezpieczeństwa. Szczegółowe infor- G łównym celem realizowanym w celu ograniczenia samego ataku,
macje dotyczące każdego z wariantów w ramach usługi ThreatCloud Incident jak i jego skutków. Po potwierdzeniu
Response jest zatrzymanie ataku, jeżeli ustąpienia zgłaszanego problemu oraz
przedstawione zostały w tabeli nr 1.
26
Numer: II/2013 (123)
Rys. 5. Portal Incident Response
usunięciu jego skutków, zgłoszenie
zostaje zamknięte, a klient w ciągu
maksymalnie 48 godzin otrzymuje
s z c z egó ł owy r ap or t opisują c y
okoliczności wystąpienia incydentu.
W r apor c ie z najduje się s zc ze gółowy opis incydentu, analiza jego
przebiegu wraz z konkretnymi informacjami z logów systemowych, wykaz
podjętych czynności, a także szczegółowa rekomendacja dotycząca
dalszego postępowania. Raporty
dotyczące wszystkich zgłoszonych
incydentów dostępne są dla klienta
z poziomu portalu Incident Response
(rysunek 5). Portal dostarcza zestaw
niezbędnych informacji wspomagających przygotowanie się oraz
efektywne przeciwdziałanie pojawiającym się zagrożeniom. Poza raportami
opisującymi zaistniałe incydenty,
popr zez por t al udost ę pniane
są klientom informacje o wykrytych
w ciągu ostatniej doby zagrożeniach
wraz z opisem ich działania, zalecenia
„best practices”, a także okresowe
porównania z aobser wowanych
zdarzeń u klienta w stosunku do zbiorczych danych producenta. Incident
Response Portal dostarcza tak że
mechanizm umożliwiający bezpieczne
przekazywanie logów systemowych
w celu wykonania analizy przez
ekspertów Check Point oraz przedstawienia ewentualnych zaleceń
dotyczących modyfikacji mechanizmów zabezpieczeń. Przekazywane
logi są ponadto kompresowane
i pr zechowywane na wypadek
pojawienia się ataku – działanie takie
ma na celu zminimalizowanie czasu
potrzebnego na usunięcie problemu.
Logi przekazywane są do firmy Check
Point w odstępach 30-dniowych.
W ramach usługi ThreatCloud Incident
Response poza zapewnieniem wsparcia
w czasie rzeczywistym, możliwe jest
także uzyskanie pomocy w kwestii
rekomendacji ekspertów pozwalających na udoskonalenie systemu
zabezpieczeń. Możliwa jest pomoc
w zakresie tworzenia dedykowanych
sygnatur, analiz ruchu sieciowego,
rozwoju dedykowanych zabezpieczeń
oraz rekomendacji dotyc z ąc ych
zabezpieczeń produktów innych
producentów.
materiałów producenta.
M.I.
Inżynier SOLIDEX
27
TECHNOLOGIE
Cisco Digital Media Suite –
model integracji z systemem
Wideokonferencji
Od kilku lat obserwowany jest ciągły wzrost zapotrzebowania użytkowników
na urządzenia umożliwiające transmisję obrazu i dźwięku na odległość w sieci
IP, począwszy od systemów dystrybucji treści multimedialnej, a skończywszy
na systemach wideokonferencyjnych. Nie ma w tym nic dziwnego, tym bardziej,
że takie rozwiązaniapozwalają zaoszczędzić czas i pieniądze. W tym kontekście
firma Cisco wychodzi naprzeciw oczekiwaniom klientów, oferując im zarówno
systemy do dystrybucji treści multimedialnej (m.in. Cisco Digital Media Suite),
jak i wideokonferencji (Cisco Telepresence).
Do tej por y powyż sze systemy
rozważane były niezależnie, ale
od kilku miesięcy istnieje możliwość
integracji tych środowisk, dzięki
wykorzystaniu Telepresence Content
Server i Media Experience Engine,
co zostało przedstawione na rysunku 1.
W ar tykule tym przedst awiony
zostanie Digial Media Suite, Cisco
Telepresence oraz elementy spinające
oba systemy: Telepresence Content
Server i Media Experience Engine
3500. Z aprezentowany zostanie
także model integracji środowiska
przeznaczonego do wideokonferencji
i dystrybucji treści multimedialnej,
który idealnie wpisuje się w architekturę Capture-Transform-Share
(rysunek 2), gdzie obraz i dźwięk
są początkowo przechwytywane
( z apis ywa ne or a z k o dowa ne ) ,
28
Rys. 1. Integracja DMS i Cisco Telepresence
nast ępnie obrabiane – przekonwer towywane do odpowiednich
formatów dla odbiorników (PC ,
tabletów, smartfonów) – a na samym
końcu udostępniane użytkownikom
końcowym.
Cisco TelePresence
System wideokonferencji firmy Cisco
był już omawiany we wcześniejszych opracowaniach, niemniej
dla por z ądku pr z ypomnijmy
elementy wchodzące w skład jego
Numer: II/2013 (123)
Rys. 2. Architektura Capture-Transform-Share
podstawowej architektury:
•serwer przetwarzania połączeń –
w obecnej architekturze do wyboru
są dwa serwery: Cisco Unified
Communications Manager lub Cisco
TelePresence Video Communication
Server,
•serwer zarządzania kompotentami
systemu Cisco TelePresence – Cisco
TelePresence Management Suite,
•serwer umożliwiający elastyczne
alokowanie zasobów mostków –
Cisco TelePresence Conductor,
•mostki wideokonferencyjne – serie
MCU 4500, MCU 5300,
•serwer archiwizacji wideo spotkań –
TelePresence Content Server,
•terminale wideo:
−− Personal: Seria EX, Cisco Jabber™
Video for TelePresence,
−− Multipurpose: Seria MX, seria
Profile, pakiet integratorski, SX20
quick set,
−− Immersive: Seria TX.
Cisco Digital Media Suite
(DMS)
synchronizację czasową, skończywszy
na wyświetleniu na ekranach LCD oraz
komputerach osobistych.
Podstawą systemu jest Cisco Digital
Media Manager (DMM) – aplikacja
zarządzająca całą funkcjonalnością
systemu (rysunek 3). Umożliwia ona
m.in.:
playlist z odpowiednimi czasami
trwania, natychmiastowa lub też zaplanowana w harmonogramie zmiana
wyświetlanej treści),
•wyświetlanie wcześniej przygotowanych materiałów multimedialnych
(Cisco Digital Signs),
•zaplanowanie transmisji na żywo
Rys. 3. Cisco Digital Media Manager
DMS to kompleksowe rozwiązanie
multimedialne dla przedsiębiorstw
i instytucji. Jest jednym z kilku
systemów w ofercie firmy Cisco, umożliwiających dystrybucję obrazu i dźwięku
w sieci IP. Cisco Digital Media Suite
pozwala na odpowiednie przygotowanie materiału źródłowego, poprzez
jego edycję, tworzenie list odtwarzania,
•zarządzanie Cisco Digital Media
Player znajdującymi się w sieci IP
(wyszukiwanie, konfigurowanie,
monitorowanie stanu urządzeń,
grupowanie DMP w obszary w zależności np. od strefy czasowej, miejsca
instalacji),
•kontrolowanie wyświetlanej treści
na poszczególnych ekranach (tworzenie
(IP T V ), czy też listy materiałów
VoD, z których użytkownicy mogą
wybierać interesującą ich treść (Cisco
Cast),
•projektowanie schematów wyświet la nia t r e ś c i mul t ime dia lne j
na ekranach,
•tworzenie raportów z wyświetlonych
materiałów multimedialnych,
29
TECHNOLOGIE
•kontrolę monitorów, na których
wyświetlane są treści multimedialne (włąc zenie/wyłąc zenie,
sterowanie głośnością, parametrami
wyświetlania).
Nieodłącznym elementem systemu
są Digital Media Players – odtwarzacze multimedialne umożliwiające
wyświetlanie na ekranach treści
multimedialnej strumieniowanej
w sieci IP (rysunek 4). Firma Cisco
w c elu og r anic zenia dos t ę pu
do zamieszczanych materiałów
multimedialnych,
•zamieszczanie plików do pobrania,
plików transkrypcji,
•p r z yp i s a n i e z a m i e s z c z a ny c h
mater iałów do odpowiednich
kategorii,
•tworzenie wydarzeń na żywo,
•nagrywanie materiałów wideo przy
wykorzystaniu kamery internetowej,
•wyszukiwanie tre ści multime dialnej na podstawie kategorii,
tytułu, autora lub słów kluczowych
z możliwością subskrypcji oraz
powiadomień odnośnie aktywności
poszczególnych autorów (opisy,
komentarze).
Powyższe elementy DMS można
u z up e ł ni ć o s er wer y s t r umie Rys. 4. Cisco Digital Media Player
niujące, kodery sprzętowe (np. DME
2100, Scientific Atlanta Encoder),
w swojej ofercie udostępnia dwa Set Top Box-y, urządzenia pozwamodele DMP: DMP 4310G i 4400G. lające na strumieniowanie mediów
Odtwarzacze te umożliwiają wyświe- w rozległej sieci IP (Cisco Media
tlanie materiałów multimedialnych Delivery Engine) oraz wiele innych
typu VoD, IPTV, stron http, aplikacji e l e m e n t ó w u m o ż l i w i a j ą c y c h
flash w jakości HD i FullHD. DMP rozbudowę systemu dystrybucji treści
umoż liwiają DMM sterowanie multimedialnej, które nie są tematem
parametrami podłączonych do nich niniejszego artykułu.
wyświetlaczy. Odtwarzacze te mogą
być zarządzane lokalnie lub też przez
centralną aplikację – Digital Media
Manager. DMP obsługują następujące
protokoły: (S)FTP, HTTP(S), UDP, RTP,
RTSP.
Podstawową architekturę systemu
DMS można rozbudować o Cisco Show
and Share (rysunek 5). Jest to portal
społecznościowy przeznaczony dla
korporacji, instytucji, pozwalający
m.in. na:
•z a m i e s z c z a n i e f o r m a t ó w
plików Windows Media, Flash
i MPEG-4/H.264,
•integrację z Media Experience
Engine, która zapewnia automatyczne transkodowanie plików
do MPEG-4,
•dostęp do portalu dla użytkowników
przez przeglądarkę internetową (nie
trzeba instalować żadnych dodatkowych aplikacji na PC),
•dostęp do portalu dla klientów
mobilnych (Apple IOS),
•ograniczenie przez administratorów
praw dostępu do portalu,
•edytowanie materiałów Flash,
MPEG-4,
•g r u p o w a n i e u ż y t k o w n i k ó w , Rys. 5. Cisco Show and Share
30
Model Integracji
Integracja tych dwóch środowisk
(Cisco DMS i TelePresence) nie byłaby
możliwa, gdyby nie wykorzystanie
potencjału MXE 3500 (od wersji 3.3)
i TCS (od wersji 5.2). Ich funkcjonalności zostały przedstawione poniżej:
• Cisco Media Experience Engine
(MXE) umożliwia transkodowanie
materiałów multimedialnych nie
tylko na żądanie, ale również w czasie
rzeczywistym. Na rynku dostępne
są dwa modele tego produktu MXE
3500 oraz MXE 5600. Skupmy
się przykładowo na modelu MXE
3500. Urządzenia te, podobnie jak
większość urządzeń firmy Cisco
można klastrować. MXE umożliwia
przetwarzanie w czasie rzeczywistym
strumieni wideo zakodowanych
MPEG SS, MPEG2-TS, MPEG2-PS,
MPEG ES, WMV do WMV, h.264,
Flash, MPEG2-TS, a także plików
multimedialnych WMV, Flash,
MP4, QuickTime i innych, m.in.
do formatów: WMV, Flash, MP4,
3 GP, Q uic k T ime . M X E 3 5 0 0
umożliwia transkodowanie obrazu,
jak i d ź wię k u poc hod z ą c ego
Numer: II/2013 (123)
Rys. 6. MXE 3500 – możliwości
z różnych źródeł (format, rozdzielc zo ś ć , bitrate) do for matu
odpowiedniego dla danego
urządzenia końcowego, co zostało
zaprezentowane na rysunku 6 .
Podczas transkodowania materiału
multimedialnego istnieje możliwość
dodania sygnatur, z naków
wodnych, tematów, animacji, ale
także znakowania i indeksowania
wypowiadanych słów w przetwarzanych materiałach wideo, w celu
łatwiejszego przeszukiwania tych
materiałów – opcja Pulse Video
Analytics. Wyżej wymieniona opcja
pozwala na identyfikowanie mówcy.
•Cisco TelePresence Content Server
(TCS) jest to serwer pozwalający
archiwizować i strumieniować
prowadzone wideokonferencje
(wra z z udost ę pnianą prezen tacją), a następnie udostępniać
je użytkownikom. Dzięki opcji
P r emium Re s olut ion is t nieje
możliwoś ć nagr ywania wideo
spotkań w jakości Full HD i strumieniowania ich w jakości HD. TCS
obsługuje protokoły H.323 i SIP,
umożliwia nagrywanie do dziesięciu
równoczesnych wideokonferencji
i strumieniowanie do 2 wideo
spotkań. Strumieniowanie realizowane jest dzięki wbudowanemu
ser wer owi s t r umieniując emu
Windows Media Services. Odbywa
się ono zarówno przy wykorzystaniu
transmisji unicast, jak i multicast.
Cisco TCS można klastrować – do 10
urządzeń – rozszerzając w ten sposób
możliwości archiwizacji i strumieniowania równoczesnych wideo.
Nagrywanie spotkań odbywa się
w formatach Windows Media,
Adobe Flash, MPEG-4, Real Media.
Istnieje możliwość odtwarzania
nagranych wc ze śniej spotkań
na wideo terminalu, jak i przy
do MXE, gdzie następuje transkodowanie materiału multimedialnego
do odpowiednich formatów obsługiwanych przez określone aplikacje.
Tak obrobiony materiał może zostać
od razu przesłany i opublikowany
na portalu Show and Share.
TCS daje możliwość strumieniowania
nagrywanych materiałów, dzięki
wbudowanemu serwerowi strumieniującemu Windows Media Services,
który wykorzystuje transmisję unicast
lub multicast. Strumień ten może
bezpośrednio trafić do użytkowników końcowych Show and Share,
a także do DMP po jego przetranskodowaniu w czasie rzeczywistym przez
MXE. Transkodowanie strumienia dla
odtwarzaczy multimedialnych jest
konieczne ze względu na fakt, że przy
transmisji wideo w czasie rzeczywistym
obsługiwany jest format MPEG-2TS
w postaci ruchu multicastowego,
a źródłowy strumień to WMV (unicast,
multicast).
Integracja systemu Cisco TelePresence
i Cisco Digital Media Suite umożliwia
dotarcie do szerszej grupy odbiorców.
Dzięki takiemu schematowi (Capture-Transform-Share) można dotrzeć
zarówno do jednego, jak i tysiąca
osób niejednokrotnie zlokalizowanych
w różnych strefach czasowych, krajach.
wykorzystaniu przeglądarki internetowej. Połączenia do serwera
TC S odbywają się z prędkością
do 4 Mb/s . Nagr ywane konferencje mogą być magazynowane
na lokalnych zasobach serwera
lub też zewnętrznych, przy równoczesnym zabezpieczeniu ich hasłem.
TCS daje możliwość edycji i montażu
nagranych materiałów.
Rola, jaką odgrywają MXE 3500 i TCS
w architekturze Capture-Transform- S ha r e z o s t a ł a p r z e d s t awio na
na rysunku 7.
Terminale wideo, jak i TCS, MCU
rejestrowane są na serwerze przetwarzania połączeń (CUCM lub VCS)
przy wykorzystaniu protokołu SIP
lub H. 32 3. Użytkownicy, którzy
chcą zarchiwizować lub strumieniować wideo spotkanie muszą
do niego włączyć TCS-a. Odbywa się O p r a c o w a n o n a p o d s t a w i e
to przez wybór odpowiedniego aliasu oficjalnych materiałów producenta:
serwera, dokładnie tak samo, jak www.cisco.com.
w przypadku dołączania kolejnego
M.J.
uczestnika wideokonferencji. Nagrane
Inżynier SOLIDEX
wydarzenie, prezentacja, czy spotkanie
może zostać automatycznie przesłane
Rys. 7. Topologia koncepcji Capture-Transform-Share
31
TECHNOLOGIE
BYOD – Cisco ISE mózgiem
rozwiązania
W ostatnim czasie bardzo popularny stał się termin BYOD. Jest to skrót od „Bring
Your Own Device”, czyli w wolnym tłumaczeniu – Przynieś swoje urządzenie
(laptop, smartfon, tablet, itp…). Również Integrator poruszał niedawno ten
temat w jednym z ostatnich numerów.
Korzystanie z prywatnych urządzeń
mobilnych w pracy, choć coraz bardziej
popularne, może w określonych
warunkach przynieść więcej szkód
ani żeli korzyś c i. Dzieje się t ak
zwłaszcza wtedy, gdy jest to robione
w sposób niekontrolowany. Właśnie
w takich przypadkach z pomocą
przychodzi BYOD.
BYOD to nie tylko hasło czy trend,
to także zestaw polityk i regulacji, dzięki
którym korzystanie z prywatnych
urządzeń mobilnych w pracy staje
się dopuszczalne i bezpieczne dla
pracodawców. W ramach BYOD
należy zredefiniować zasady dostępu
do danych korporacyjnych uwzględniając dostęp z urządzeń mobilnych
oraz określić procedury bezpieczeństwa
dla takich urządzeń.
Implementacja praktyczna BYOD nie
ogranicza się do pojedynczego produktu,
to również funkcjonalności zintegrowane z urządzeniami sieciowymi
oraz dodatkowe komponenty tworzące
32
Rys. 1. Architektura BYOD
Numer: II/2013 (123)
Rys. 2. Przykład polityk autoryzacyjnych
„inteligentną sieć”. Na rysunku 1 przed- mają możliwość budowania szczegóstawiona została architektura BYOD łowych polityk dostępowych. Reguły
uwierzytelniające i autoryzacyjne,
wysokiego poziomu według Cisco.
bazujące na tożsamości użytkownika,
dodatkowo mogą badać tzw. kontekst
ISE w pigułce
sesji, czyli to skąd użytkownik się
K luc zowym komponent em dla łączy (lokalizacja), poprzez jakie
implementacji architektury BYOD medium, kiedy, a przede wszystkim
w środowisku Cisco jest ISE – Identity z jakiego urządzenia. Co najważniejsze,
Services Engine. ISE dostarcza szeregu odbywa się to bez konieczności instausług, wśród których najważniejsze to: lacji dodatkowego oprogramowania
•au t e nt yk ac ja u ż y t kowników na urządzeniu końcowym, bez tak
zwanego agenta. Przykład rzeczyi urządzeń,
•autoryzacja dostępu dla użytkow- wisty definicji polityk autoryzacyjnych
z wykorzystaniem kontekstu sesji
ników i urządzeń,
przedstawia rysunek numer 2.
•profilowanie urządzeń,
•rejestrowanie urządzeń,
•portal gościnny,
Architektura ISE
•portal samoobsługowej rejestracji
użytkowników i urządzeń,
Logicznie ISE składa się z czterech
•zarządzanie politykami dostępu
autonomicznych modułów zwanych
•raportowanie,
„Persona”. Każdy z modułów spełnia
•określanie zgodności stacji z polityką określone funkcje:
(ang. posture assessment).
Administration Persona – umożliwia
Poza najważniejszymi funkcjami, jak wykonywanie wszelkich operacji
autentykacja i autoryzacja dostępu administ rac yjnych z wią z anych
do sieci, ISE umożliwia również z funkcjonowaniem systemu jako
identyfikację urządzeń podłączonych c a ło ś c i . W ś r odowisk u r oz pr o do sieci. Na podstawie najróżniej- szonym przynajmniej jeden z węzłów,
szych atrybutów i wiedzy o danym a maksymalnie dwa mogą posiadać
urządzeniu (która aktualizowana rolę Administration Persona. W takim
jest w sposób ciągły i dynamiczny), przypadku jeden z węzłów określony
administratorzy bezpieczeństwa jes t jako P r imar y i umo ż liwia
dowolną modyfikację konfiguracji
oraz polityk bezpieczeństwa. Drugi
z węzłów zwany Secondary posiada
kopię konfiguracji węzła Primary.
W przypadku awarii węzła Primary,
węzeł Secondary należy ręcznie
wypromować na węzeł Primary.
Policy Service Persona – dostarcza
mechanizmów kontroli dostępu
sieciowego, walidacji stacji, dostępu
gościnnego oraz usług profilowania
urządzeń. To adres IP tego węzła (lub
węzłów w środowisku rozproszonym)
podaje się w konfiguracji urządzeń
dostępowych jako „Authentication
Server” dla autentykacji użytkowników i hostów oraz jako klienta dla
mechanizmu Radius CoA (Change
of Authority). W środowisku rozproszonym ilość węzłów posiadających
rolę Policy Service Persona uzależniona
jest od złożoności i modelu wdrożenia.
Monitoring Persona – umożliwia ISE
funkcjonowanie jako kolektor oraz
repozytorium logów dla pozostałych
modułów. Dostarcza zaawansowanych
narzędzi do monitorowania, raportowania i rozwiązywania problemów
dotyczących bezpiecznego dostępu
do sieci. W środowisku rozproszonym
mak symalnie dwa wę zł y mogą
posiadać rolę Monitoring Persona
(primary i secondary), oba węzły
33
TECHNOLOGIE
uruchomione wszystkie niezbędne
moduły (Persona), co przedstawiono
na rysunku 4. Implementacja taka
pozwala na obsługę maksymalnie
do 2000 końcówek bez względu
na wykorzystaną platformę.
Nieco bardziej zaawansowanym
modelem wdrożenia jest model rozproszony wykorzystujący dwie fizyczne
lub wirtualne platformy (rysunek 5).
Jest to minimalny zalecany model
do implementacji w środowiskach
produkcyjnych. W modelu tym na obu
węzłach uruchomione są wszystkie
niezbędne moduły. Oba węzły są dla
siebie wzajemnie redundantne, przy
Rys. 3. Architektura logiczna Cisco ISE
czym pierwszy z węzłów pełni rolę
Primary dla modułu Administracyjnego
otrzymują te same logi. W przypadku i planowanych do pojawienia się i Secondary dla modułu Monitoruawarii węzła Primary, wszelkie usługi na rynku w najbliższym czasie.
jącego. Drugi z węzłów odwrotnie,
związane z monitorowaniem i raporto- Wszystkie moduły z wyjątkiem tj. pełni rolę Secondary dla modułu
waniem automatycznie są świadczone Inline Posture Persona mogą być Administracyjnego i Primary dla
z węzła Secondary.
uruchomione na dowolnej platformie, modułu Monitorującego. Podobnie jak
Inline Posture Persona – specjalny typ wliczając w to platformę wirtualną. w przypadku modelu podstawowego
węzła wykorzystywany w przypadku Inline Posture Persona może być bez redundancji, implementacja taka
integracji środowiska z urządzeniami uruchomiona tylko i wyłąc znie pozwala na obsługę maksymalnie
dostępowymi niewspierającymi na platfor mie fizyc znej. Dobór do 2000 końcówek.
odpowiedniej platformy zależy przede W przypadku konieczności obsługi
mechanizmu Radius CoA.
Na rysunku numer 3 przedstawiono wszystkim od złożoności środowiska ponad 2000 a mniej niż 10000
graficznie architekturę logiczną Cisco ISE. oraz modelu wdrożenia.
końcówek, zaleca się uruchomienie
modułu Policy Service na osobnej
Platforma fizyczna czy
Modele wdrożeń
plat for mie (mak symalnie pię ć
wirtualna?
wę złów). Roz wią z anie t ak ie
Istnieje kilka schematów wdrożeń. umożliwia przydział większej ilości
ISE dostępne jest jako platforma W yb ór o dp owie dniego z ale ż y zasobów poszczególnym modułom,
fizyczna oraz wirtualna (VMware). głównie od ilości hostów obsługi- a w konsekwencji zwiększenie ilości
W t abeli numer 1 ze s t awiono wanych przez ISE. Najprostszym obsługiwanych końcówek (rysunek
porównanie platform sprzętowych modelem jest wdrożenie ISE jako 6). Rozwiązanie takie preferowane
ISE, zarówno dostępnych obecnie pojedynczego urządzenia (fizycznego jest również w przypadku posiadania
do wykorzystania komercyjnego, jak lub wirtualnego). Węzeł taki posiada dwóch i więcej dużych lokalizacji
Hardware
Small – 3315
Medium – 3350
Large – 3395
Small – New – L arge – New –
3415
3495
Processor
1 x QuadCore
Intel Core 2 CPU
Q9400 @ 2.66
GHz
1 x QuadCore
Intel Xeon CPU
E5504 @ 2.00
GHz
2 x QuadCore
Intel Xeon CPU
E5504 @ 2.00
GHz
1 x Intel Xenon
Quad-Core 2.4
GHz E5-2609
2 x Intel Xenon
Quad-Core 2.4
GHz E5-2609
Memory
4 GB
4 GB
4 GB
16 GB
32 GB
Hard disk
2 x 250-GB
SATA HDD
2 x 300-GB SAS
drives
4 x 300-GB SFF
SAS drives
1 x 600GB 6Gb
SAS 10K RPM
2 x 600GB 6Gb
SAS 10K RPM
No
Yes (RAID 0)
Yes (RAID 0+1)
No
Yes (RAID 0+1)
Ethernet NICs
4 x Integrated
Gigabit NICs
4 x Integrated
Gigabit NICs
4 x Integrated
Gigabit NICs
4 x Integrated
Gigabit NICs
4 x Integrated
Gigabit NICs
Power supply
350W
Dual 675W
(redundant)
Dual 675W
(redundant)
650W
Dual 650W
(redundant)
RAID
Tabela 1. Platformy sprzętowe ISE
34
Numer: II/2013 (123)
Rys. 4. Model podstawowy
Rys. 5. Model podstawowy redundantny
Rys. 6. Model rozszerzony – obsługa do 10k końcówek
Rys. 7. Model rozszerzony – obsługa do 100k końcówek
zdalnych, gdzie w celu optymalizacji
można umieścić dedykowany węzeł
Policy Service.
Największym i zarazem najbardziej
zaawansowanym modelem wdrożenia
jest model, gdzie wymaga się obsługi
do 100 tysięcy końcówek. W takim
przypadku zalecana jest separacja A r t y k u ł z o s t a ł o p r a c o w a n y
wszystkich modułów, to znaczy na podstawie oficjalnych materiałów
ur uchomienie ich na osobnych producenta
platformach w celu uzyskania maksymalnej wydajności (rysunek 7). Model
R.S.
ten pozwala na uruchomienie maksyInżynier SOLIDEX
malnie 40 węzłów Policy Service.
www.SOLIDEX.com.pl
35
rozwiązania
F5 iApp – konfiguracja zorientowana
na aplikacje
Ciągły rozwój samych aplikacji oraz mnogość pojawiających się opcji
w rozwiązaniach producentów oferujących możliwości wdrażania, kontroli
i zarządzania aplikacjami sieciowymi, sprawiają, że optymalna implementacja
takich aplikacji w dzisiejszych czasach przestaje być sprawą prostą. Jednocześnie
obserwowany jest wzrost czasochłonności prac implementacyjnych tego typu
rozwiązań.
Do poprawnego wdrożenia aplikacji
sieciowej wymagana jest bezbłędna
znajomość wielu aspektów takich jak:
•wiedza, co się dzieje na poziomie
aplikacyjnym,
•wiedza, co się dzieje na poziomie
sieciowym,
•znajomość specyfiki wdrożenia
aplikacji w określonym środowisku
sieciowym.
Wraz z nastaniem wersji v10 dla
produktów F5 Big-IP, producent
ten wyszedł naprzeciw rosnącym
oczekiwaniom, by uprościć bardzo
c zasochłonny, manualny proces
wdrażania najczęściej spotykanych
i wykor z ys t ywanyc h aplik ac ji
sieciowych. W tej wersji oprogramowania po raz pierwszy zostały użyte
tzw. wzorce (Template’y) aplikacyjne.
W wersji v10 zaimplementowano
36
je dla najczęściej używanych aplikacji
takich jak:
•BEA WebLogic,
•Microsoft® Exchange Outlook Web
Access (OWA),
•Microsoft Internet Information
Services (IIS),
•Microsoft SharePoint,
•Oracle Application Server,
•SAP ERP Central Component,
•SAP Enterprise Portal,
•VMware Virtual Desktop Infrastructure (VDI).
Rolą tych narzędzi było zminimalizowanie nie tylko czasu potrzebnego
na wdrożenie konkretnej aplikacji,
ale też wyeliminowanie błędów
i konfliktów z istniejącą konfiguracją.
Po wyborze odpowiedniego wzorca
startował wizard, który wymagał
odpowiedzi na określone pytania
dotyczące implementacji (zadane
z punktu widzenia łączącego podejście
biznesowe i sieciowo-administracyjne). Warto także zauważyć fakt,
że wzorce te powstały jako odzwierciedlenie najlepszych praktyk wdrożenia
aplikacji, wypracowanych wskutek
testów i ścisłej współpracy z producentami samych aplikacji.
Rozwiązanie zaproponowane w v10
nie było idealne z kilku powodów
takich jak:
•brak możliwości edycji wzorca,
•brak możliwości wdrażania własnych
wzorców,
•brak scentralizowanego zarządzania
konfiguracją powstałą z wzorca.
Ponadto nawet po wykorzystaniu
określonego wzorca przeważnie była
wymagana nieznaczna modyfikacja
manualna dodanych obiektów i ich
Numer: II/2013 (123)
może współpracować, by wdrożona
aplikacja realizowała cele biznesowe.
Mechanizm iApp zmienia całkowicie
podejście konfiguracyjne, skupiając
się na zarządzaniu z punktu widzenia
aplikacji. Wówczas takie tradycyjne
obiekty struktury ADN jak nodes,
pools, application monitors itp. mogą
być zgrupowane w jedną całość i zarządzane jako część tzw. application
workflow. Rysunek 2 przedstawia
zwrot koncepcji z użyciem iApp:
Jest to diametralnie inne podejście
gdyż sam proces implementacji skupia
się na zorientowaniu na określoną
aplikac ję , a obiek ty potr zebne
do jej prawidłowego funkcjonowania
są tworzone automatycznie w trakcie
pracy z funkcjonalnością iApp.
Rys. 1. Konfiguracja dostępu do aplikacji – podejście bez iApp
Składowe iApp
Na funkcjonalność iApp składają się
następujące komponenty:
•iApp Template,
•iApp Application Services,
•iApp EcoSystem,
•iApp Analytics.
iApp Template definiuje interfejs
i zachowanie dla określonego typu
aplikacji. Ma za zadanie stworzyć
Rys. 2. Konfiguracja dostępu do aplikacji – podejście z iApp
specyficzny, konfiguracyjny formularz
instruujący administratora przy
parametrów, ze względu na specyfikę Wraz z pojawieniem się funkcjonal- wykonywaniu złożonej konfiguracji
środowiska produkcyjnego. Pomimo ności iApp udało się wprowadzić dla określonej aplikacji. Konstrukcja
swoich ograniczeń wzorce aplikacyjne element spajający wiele indywidu- pojedynczego iApp Template zawiera
stanowiły jednak wyraźny sygnał alnych komponentów wymaganych trzy podstawowe sekcje:
nowej wizji implementacji dostępu
do aplikacji sieciowych.
Nowa wizja – iApp
Jest to diametralnie inne podejście gdyż sam proces implementacji
Wraz z wersją v11 dla produktów F5
Big-IP pojawiło się narzędzie iApp,
które stanowi rozwinięcie wizji, jaka
została zapoczątkowana w wersji
v10. Jeszcze przed pojawieniem się
tej nowej funkcjonalności, fundamentalnym problemem był brak
z r oz umienia , jak pos zc zególne
komponenty infrastruktury składają
się na system dostarczenia aplikacji
sieciowej do użytku. Przykładowo
dla każdej aplikacji należało utworzyć
osobne obiekty, podać wartości ich
parametrów i ustawić zależności
pomiędzy poszczególnymi grupami
obiektów, by uzyskać funkcjonującą
konfigurację – tak jak to pokazano
na rysunku 1.
skupia się na zorientowaniu na określoną aplikację, a obiekty
potrzebne do jej prawidłowego funkcjonowania są tworzone
automatycznie w trakcie pracy z funkcjonalnością iApp.
do dostarczenia aplikacji poprzez
zgrupowanie ich w odpowiednim
wzorcu połąc zonym z aplikacją .
Obecnie iApp wprowadza szablon
(framework), poprzez który personel
zwią zany z róż nymi funkc jami
(aplikacji, zabezpieczeń, sieci, operacji)
całej struktury dostarczania aplikacji
(Application Delivery Network (ADN))
Presentation – ma za zadanie pełnić rolę
interfejsu prezentacji dla użytkownika
i zbierać informacje wprowadzane przez
niego w odpowiednich polach formularza konfiguracyjnego. Sekcja ta jest
pisana w języku oprogramowania APL
(Application Presentation Language).
To w tym miejscu decydujemy, jakie
pytania powinny zostać zadane
37
rozwiązania
sys application template f5.template_name {
actions {
definition {
html-help {
<HTML help definition goes here>
}
implementation {
<Back-end Tcl and TMSH code goes here>
}
presentation {
<Application presentation language code goes here>
}
}
}
}
Rys. 3. Struktura pustego iApp Template
użytkownikowi, jakie dane muszą
zostać wprowadzone lub jakie obiekty
czy funkcjonalności wykorzystane.
Dzięki takiemu podejściu ograniczona zostaje również ilość kroków
potrzebna do wdrożenia planowanego
rozwiązania.
Implementation – wykorzystuje dane
wprowadzone przez użytkownika
do zbudowania konfiguracji, która
będzie kontrolować ruch związany
z aplikacją. Po pozyskaniu tych danych,
dzięki tej warstwie mamy możliwość
zautomatyzowania prak tyc znie
ka żdego zadania na urządzeniu
Big-IP. Ta sekcja jest pisana w języku
oprogramowania Tcl/tmsh. Generalnie
przyjmuje się, że wszystko, co może
być zrobione za pomocą języka tmsh
( Traffic Management Shell) może
zostać zaimplementowane w iApp.
HTML Help – ograniczony do kilku
podstawowych tagów, ma za zadanie
dokumentowanie wzorca oraz dostarczenie użytkownikom odpowiednich
informacji i pomocy w warstwie
prezentacji interfejsu.
Niewątpliwą zaletą iApp Template jest
fakt, że mogą być tworzone, edytowane,
kopiowane i kasowane bezpośrednio
z GUI urządzenia Big-IP. Ich edycja jest
możliwa również z dowolnego edytora
tekstowego. Struktura pustego iApp
Template została przedstawiona na
rysunku 3.
Istnieje kilka rodzajów iApp Template:
• F 5 suppor ted i A pp Templates
– stworzone, testowane
i wspierane przez producenta (F5).
Wzorce te są dostarczane wraz
z wersją software lub producent
udostępnia je na swojej stronie
38
internetowej. Obecnie dostępne
są wzorce dla typowych aplikacji i ich
funkcjonalności:
−− Oracle WebLogic Server 10.3 (BEA
WebLogic 5.1 and 8.1),
−− Citrix Presentation Server 4.5,
−− Citrix XenApp 5.0, 5.1 and 6.0,
−− Diameter,
−− DNS Load Balancing,
−− HTTP,
−− IP Forwarding,
−− LDAP,
−− Microsoft Exchange 2010 and 2010
SP1,
−− Microsoft Exchange OWA 2007,
−− Microsoft IIS 7 and 7.5,
−− Microsoft Lync 2010,
−− Microsoft OCS 2007 R2,
−− Microsoft Sharepoint 2010,
−− Microsoft Sharepoint 2007,
−− nPath,
−− Oracle Application Server 10g
(and SSO version 10g Release 2
– v10.1.2.0.2),
−− Oracle EBS 12,
−− Oracle PeopleSoft 9,
−− Radius,
−− SAP Enterprise Portal 6.0, mySAP
ERP 2005,
−− SAP ERP Central Component 6.0,
mySAP ERP 2005,
−− VMware View 2.1, 3.0.1, 4.0 and 4.5.
•F5 contributed iApp Templates –
stworzone i testowane przez F5,
ale nie osiągnęły jeszcze statusu
pe ł nego wsparc ia pr oduc enc kiego, .Community contributed
iApp Templates – stworzone przez
użytkowników forum społecznościowego DevCentral. Bez wsparcia
ze strony producenta.
Na rysunku 4 został przedstawiony
przykład wspieranego wzorca f5.http
widziany z poziomu konfiguracji GUI.
Rys. 4. Przykład wspieranego iApp Template f5.http
Numer: II/2013 (123)
Rys. 5. Przykład tworzenia serwisu iApp na podstawie iApp Template – f5.http
Rys. 6. Zunifikowany podgląd na komponenty aplikacji utworzone w ramach iApp
Application Service
Kolejnym komponentem jest iApp
Application Services, który jest
procesem wdrożenia iApp Template
dla określonej aplikacji np. standardowej aplikacji http. Na rysunku 5
pokazano przykładowy proces konfiguracji serwisu iApp z użyciem wzorca
iApp Template f5.http.
Po wystartowaniu nowego serwisu
iApp, z punktu widzenia administratora
urządzenia Big-IP, prezentowany jest
pewien zestaw pytań, dotyczący
wdrożenia aplikacji (pobierany z iApp
Template). Odpowiedzi na te pytania
powodują, że działający w tle skrypt
procesuje wprowadzone wytyczne
i tworzy odpowiednią konfigurację
pod określoną aplikację. W wyniku
działania narzę dzia i App otrzymujemy zunifikowany podgląd
na komponenty związane z tą aplikacją.
Wszystkie niezbędne elementy konfiguracji są tworzone automatycznie.
Na rysunku 6 pokazano przykład
podglądu na zgrupowane komponenty
aplikacji po zatwierdzeniu konfiguracji
z rysunku 5.
Po stworzeniu tzw. obiektu ASO (Application Service Object) należy pamiętać,
iż prawie wszystkie zgrupowane w nim
obiekty są zarządzane praktycznie
tylko z poziomu iApp (po wyborze
zakładki Reconfigure). Takie zachowanie można wyłączyć per określony
obiekt ASO, ale nie jest to rekomendowane przez producenta. Grupowanie
obiek tów konfigurac yjnych dla
aplikacji w ramach A SO posiada
jeszcze jedną istotną implikację,
o której warto pamiętać – wykasowanie ASO powoduje automatyczne
wykasowanie wszystkich obiektów
związanych z tą aplikacją.
Funkcjonalność iApp jest pewną
c z ę ś c i ą t z w. i A pp E c o sys t em ,
ze względu na to, że iApp Template
mogą być eksportowane i przenoszone pomiędzy różnymi systemami
Big-IP. Tego typu działalność ułatwia
istnienie portalu społecznościowego
DevCentral, na którym wielu administratorów i programistów dzieli się
wiedzą, a także gotowymi przykładami
iApp Template.
Komponent iApp A nalytics jest
elementem opcjonalnym, jaki może
zostać włączony dla aplikacji przy
tworzeniu obiektu ASO. Jego użycie
pozwala na przeglądanie w czasie
rzeczywistym statystyk dotyczących
39
rozwiązania
i przenoszenia pomiędzy systemami,
•możliwość re-edycji po zakończeniu
konfiguracji,
•elastyczność poprzez możliwość
zaprogramowania praktycznie każdej
funkcjonalności supportowanej przez
urządzenia F5 Big-IP.
Sama funkcjonalność iApp została
zaprojektowana z myślą o dostarczeniu rzeczywistego rozwiązania
typu Application Delivery Network.
Rozwiązanie to stara się w sposób
inteligentny zrozumieć kontekst mechanizmu wdrażania aplikacji i umożliwić
jak najszybsze, scentralizowane
i optymalne zarządzanie i integrację
infrastruktury z aplikacjami. To główne
i najważniejsze zadanie jest oczywiście
tylko wierzchołkiem góry lodowej,
bowiem elastyczność zastosowania
Rys. 7. Przykład wykorzystania iApp Template do automatycznego backupu konfiguracji
iApp na pewno będzie w przyszłości
aplikacji, sprawdzania metryk wydaj- Powyższy przykład jest tylko jedną wykorzystywana także do innych,
nościowych oraz stanowi cenne źródło z propozycji wykorzystania funkcjo- przydatnych zastosowań ułatwiających
informacji przy operacjach związanych nalności iApp. Dzięki możliwości pracę administratorów systemów F5
z dostrajaniem i optymalizacją funkcjo- operowania językami skryptowymi Big-IP.
nowania samej aplikacji.
wspieranymi na urządzeniach Big-IP,
prak tyc z ne z ast osowania i A pp Opracowano na podstawie oficjalnych
Elastyczność rozwiązania
wychodzą daleko poza samą konfi- m a t e r i a ł ó w p r o d u c e n t a o r a z
materiałów dostępnych na portalu
gurację zorientowaną na aplikację.
DevCentral.
Przy okazji omawiania sekcji implementacyjnej dla i App Template Podsumowanie
D.S.
padło stwierdzenie, że wszystko,
Inżynier SOLIDEX
co może być zrobione za pomocą Na urządzeniach F5 Big-IP oprócz
języka tmsh ( Traffic Management wcześniejszych elastycznych funkcjoShell), może zostać zaimplemen- nalności, takich jak iRule czy iControl,
t owane w i A pp . E la s t yc z no ś ć i A pp jes t s t osunkowo nowym
narzędzia iApp pozwala na pewną elementem zasygnalizowanym w wersji
swobodę implementacji rozwiązań v10, a wprowadzonym i rozwijanym
nie tylko dotyczących aplikacji, ale od wersji v11. Ta funkcjonalność posiada
także dodania funkcjonalności, które wiele niezaprzeczalnych zalet takich jak:
standardowo nie zostały dołączone •ukr ywanie złożonoś ci rozwią przez producenta w GUI. Takim
zania poprzez stosowanie wzorców
przykładowym rozwiązaniem jest
z elementami prowadzenia konfigumożliwość zautomatyzowania archiracji dla administratora krok-po-kroku,
wizowania konfiguracji urządzenia •ułatwianie wykonywania powtaBig-IP. Odpowiedni iApp template
rzalnych zadań,
t ypu C ommunit y C ont r ibu t e d •transakcyjne zarządzanie konfiguracją
wraz z opisem funkcjonowania jest
i statusem per aplikacja,
dostępny na portalu DevCentral:
•zorientowanie na aplikacje, a nie
https: //devcentral.f5 .com/
na oddzielne komponenty aplikacji,
t e c h - t i p s / a r t i c l e s / a r c h i v i n g - •zapewnienie wspólnej platformy
big-ip - c onf ig ur at ions - wit h - an współpracy dla różnego personelu
iapp-in-v112#.URDmqchigTh
IT związanego z wdrażaniem aplikacji
Po wgraniu wzorca oraz wykonaniu
sieciowych,
dodatkowych czynności opisanych •dostępne i wspierane iApp Template
w artykule autora, tworząc nowy
wspomagają wdrożenie najbardziej
obiek t A S O mamy mo ż liwo ś ć
popularnych i skomplikowanych
zaplanowania wykonywania automaaplikacji,
tycznego backupu konfiguracji, jak •otwartość rozwiązania poprzez
moż liwoś ć ek spor tu wzorców
to przedstawiono na rysunku 7.
40
Numer: II/2013 (123)
Warsztaty Check Point Next – Generation Firewall R75
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową – Warsztaty Check Point Next – Generation Firewall R75.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN
S2S oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami – IPS,

Content Security,
 Integracja z ActiveDirectory
– budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.solidex.com.pl/oferta/warsztaty
41
rozwiązania
Skrypty w Unified Contact Center
Express
Już od prawie 7 lat firma Cisco dodaje do systemu Unified Communications
Manager darmowy pakiet licencji na oprogramowanie Unified Contact Center
Express (UCCX). W wielu przypadkach zdarza się, że licencje te lądują w szufladzie
lub na dnie szafy, bo przecież: „call center nie jest nam potrzebne”. Szkoda, gdyż
spektrum zastosowań systemu UCCX jest znacznie szersze i wykracza poza
zakres określony jego nazwą. W niniejszym artykule chcielibyśmy podzielić się
z czytelnikami doświadczeniami związanymi z realizacją różnego rodzaju usług
IVR za pomocą darmowego pakietu UCCX.
Unified Contac t Center Express
jest zintegrowanym narzędziem,
przeznaczonym do obsługi połączeń
g łosowych, wiadomo ś c i email
i wywołań WWW/HTTP. Składa się
trzech zasadniczych części:
•IVR (Interactive Voice Response) –
środowisko wykonywania skryptów
implementujących logikę; będzie
to główny obszar zainteresowania
niniejszego artykułu;
•ACD (Automatic Call Distribution)
– podsystem realizujący rozpraszanie połączeń w grupie agentów
w r a z z k o mp le t e m ap lik a c ji
współpracujących;
•RTR /HR (Real Time Reporting/
Historical Reporting) – system raportowania bieżącego i historycznego.
42
W wersji podstawowej
system może być zainstalowany na pojedynczym
serwerze fizycznym lub
wir tualnym . Opc jo nalnie możliwe
jest uzupe ł nienie
o dodatkowy serwer
przejmujący funkcję
serwera podstawowego
w razie jego awar ii.
Maksymalna możliwa
Rys. 1. Unified Contact Center Express
pojemność systemu to:
400 kanałów IVR i 400 agentów Interesującą cechą promocyjnej licencji
w przypadku serwera wirtualnego lub (wersja Enhanced) jest to, że porty
300 kanałów IVR i 300 agentów dla IVR nie są licencjonowane. Innymi
serwera fizycznego. Całość jest ściśle słowy mając licencję na minimalną
zintegrowana z systemem Unified ilość agentów (5 szt.) mamy do dyspoCommunications Manager (rysunek 1). zycji maksymalną iloś ć por tów
Numer: II/2013 (123)
Rys. 2. Cisco Unified CCX Editor
obsługiwaną przez daną platformę
sprzętową (lub wirtualną). Stwarza
to idealne warunki do budowy taniej
platformy IVR dla firmy lub organizacji.
Podsystem IVR jest środowiskiem
wykonującym zaprojektowaną przez
administratora logikę w kontekście
połączenia. Skrypt jest formą programu
r e a li z owa ne go w o dp owie d z i
na nawiązanie połączenia. Do jego
tworzenia służy specjalny edytor
instalowany na stacji administratora
(rysunek 2). Do dyspozycji mamy
różnego rodzaju polecenia (ang. steps),
zarówno znane z innych języków
programowania (Set, If, Goto, Switch,
Call Subflow, End), jak i specyficzne
dla IVR (Play Prompt, Get Digit String,
Menu i inne). Dodatkowo możliwe jest
użycie w skryptach własnych bibliotek
klas języka Java. Zastosowanie takiego
podejścia daje praktycznie nieskończone możliwości konstrukcji logiki.
W dalszej części artykułu omówione
zostanie kilka przykładów różnego
rodzaju logik, których zastosowanie
dalece odbiega od typowego systemu
Call Center.
zasada działania jest następująca:
po nawiązaniu połączenia na numer
dowiązany do skryptu jest on uruchamiany począwszy od kroku ‘Start’.
Po zaakceptowaniu po ł ąc zenia
odgrywana jest zapowiedź powitalna
zawar t a w pliku welcome .wav
za pomoc ą kroku ‘Play Prompt ’.
Następnie uruchamiany jest krok
‘Menu’, który odtwarza komunikat
o dostępnych opcjach menu i oczekuje
na naciśnięcie pojedynczej cyfry.
Jeżeli dzwoniący wybierze cyfrę
odpowiadającą danej opcji, skrypt jest
kontynuowany od odpowiadającej jej
zakładki. Po wybraniu opcji połączenie
jest przekierowywane na odpowiedni
numer telefonu przy pomocy polecenia
‘Call Redirect’. Jeżeli transfer zostanie
przeprowadzony poprawnie skrypt
kończy działanie, w przeciwnym
wypadku odtwarzany jest komunikat
o błędzie i połączenie jest przerywane.
P r os t e , pr awda . . . ? Oc z ywi ś c ie
powyższy skrypt może być napisany
bardziej optymalnie, ale zasada
działania pozost aje t aka sama .
W szczególności możliwe jest lepsze
obsłużenie sytuacji, gdy przekazanie
połączenia do danego działu nie uda
się z różnych przyczyn.
Poczta głosowa
K o le jny p r z yk ł a d t o f u nk c j o nalność poczty głosowej. Załóżmy,
że wymagane jest rozbudowanie
naszego przykładu o możliwoś ć
pozostawienia wiadomości głosowej
w sytuacji, gdy połączenie zostanie
nawiązane poza godzinami pracy.
Dodatkowo chcemy, aby wiadomości
Rys. 3. Skrypt realizujący przykładowy
głosowe wysyłane były na skrzynki
scenariusz dla automatycznego
e-mail różne dla różnych działów.
recepcjonisty
Normalnie konieczne byłoby zastosowanie dodatkowego urządzenia
Wymagany scenariusz jest następujący: realizującego funkcję poczty głosowej,
chcemy, aby po połączeniu się Klienta np. Unity Connec tion lub Unity
z numerem głównym firmy system Express. Możliwe jest jednak zaimpleodeg r a ł z apowied ź powit alną , mentowanie identycznej funkcji
a następnie poprosił o wybranie za pomocą UCCX.
pojedynczej cyfry w celu połączenia Fragment skryptu realizującego
się z odpowiednim działem, np. 1 – to zadanie przedstawiono na rysunku
Automatyczny recepcjonista zamówienia, 2 – księgowość, 3 – serwis, 4. Na wstępie, za pomocą kroków
itd. Chcemy również, aby po wybraniu ‘Day of Week’ i ‘Time of Day’, program
Jako pierwszy przypadek weźmy zera lub w przypadku niewybrania sprawdz a c z y c z as nawią z ania
pod uwagę funkcjonalność automa- żadnej opcji następowało połączenie połączenia mieści się w harmonogramie pracy danego działu. Jeżeli
t y c z n e g o r e c e p c j o n i s t y . J e s t z operatorem.
to najc zę ściej implementowany Skrypt realizujący powyższą logikę tak, program dokonuje przekieroprzypadek uż ycia systemu IVR . przedstawiono na rysunku 3. Jego wania według logiki z poprzedniego
43
rozwiązania
przykładu. Jeżeli nie, wykonywana
jest dalsza czę ść skryptu pozwalająca na pozostawienie wiadomości
głosowej. Do realizac ji funkc ji
nagrywania zastosowano polecenie
‘Recording’, które odtwarza zapowiedź
zachęty oraz nagrywa dźwięk o zadanej
maksymalnej długości.
Kolejnym krokiem jest wysłanie
e-maila z załącznikiem zawierającym
nagranie. Ponieważ w wersji licencji
Enhanced nie ma polecenia pozwalającego na wysłanie e-maila (wymagana
byłaby rozbudowa do wersji Premium),
wykorzystana została możliwość
wywołania ze skryptu zewnętrznej
klasy języka Java. Daje to możliwość
omini ę c ia og r anic ze ń wynik a jących z wersji zastosowanej licencji.
Wysłanie wiadomości odbywa się
w dwóch krokach: najpierw nagranie
zapisywane jest w pliku tymczasowych
poleceniem ‘ Write’, a następnie
wywoływana jest metoda send( )
klasy com.solidex.przykład2.emailGateway. Klasa taka została napisana
i załadowana do systemu UCCX. Jeżeli
przesyłka została wysłana poprawnie
skrypt kończy działanie, jeżeli nie –
odgrywany jest komunikat o błędzie.
W ten sposób moż na znac z ąco
og r anic z y ć ko s z t y , eliminują c
konieczność zakupu dodatkowego
serwera poczty głosowej. Przykład
ilustruje dużą elastyczność platformy
UCCX. W sytuacji, gdy jakaś funkcjonalność nie jest dostępna można
ją dodać w postaci własnego kodu
w języku Java. Prawdziwy szwajcarski
scyzoryk...
Ostatni przykład jest
dużo bardziej skomplikowany. Ponownie
rozbudujemy logikę
z pierwszego przykładu.
Tym razem wymagane
jest aby dzwoniący
K lient był roz po znawany według jego
numeru telefonu. Jeżeli
dana osoba znajduje się
w bazie (np. systemu
C R M) i ma przypisanego opiekuna,
to program powinien
połączyć dzwoniącego Rys. 4. Fragment skryptu realizującego zadanie poczty
głosowej
bezpośrednio z jego
opiek unem . Je ż eli
Klient nie znajduje się w bazie lub Zakładamy, że w razie problemów
opiekun nie odbierze telefonu, należy skrypt będzie przekazywał połączenia
go połączyć z numerem ogólnym na numer ogólny.
działu.
Następnym etapem jest pobranie inforW tym przypadku konieczne jest macji o numerze osoby dzwoniącej
napisanie programu, który będzie (ang. ANI) i przesłanie tej informacji
wymieniał informacje z systemem do serwera CRM. Jest to dokonywane
zewnętrznym. Skorzystamy tutaj za pomocą poleceń odpowiednio
z możliwości nawiązywania sesji ‘Get Call Contact Info’ i ‘Create URL
HT TP z zewnętrznymi serwerami Document’. Otrzymany dokument
W W W oraz możliwości przetwa- jest analizowany za pomocą polecenia
rzania i edycji dokumentów XML . ‘Create XML Document’. Jeżeli składnia
Skrypt będzie generował zapytanie jest poprawna, program pobiera dane
do serwera W W W systemu CRM opiekuna za pomocą polecenia ‘Get
zawierające numer telefonu Klienta, XML Document Data’. Jako język
a ser wer w odpowiedzi bę dzie zapytania używany jest język XPath
przesyłał dokument XML zawie- pełniący w rodzinie standardów XML
rający informacje o opiekunie Klienta analogiczną rolę jak SQL przy dostępie
(w szczególności numer jego telefonu). do baz danych.
Oczywiście konieczne jest zaimple- Uzyskany numer telefonu opiekuna
mentowanie w jakiś sposób takiego jest przezywany do polecenia ‘Call
serwera, ale temat ten wykracza poza Redirect’. W przypadku nieudanego
zakres niniejszego artykułu.
przekierowania połączenie przysyłane
Rozpoznanie dzwoniącego
Zmodyfikowany fragment skryptu jest na numer ogólny działu i skrypt
realizujący powyższy kończy działanie.
algor ytm przeds t a w i o n y z o s t a ł Przedstawione przykłady oczywiście
n a r y s u n k u 5 . nie wyczerpują możliwych zastoNa wstępie ustawiono, sowań modułu IVR systemu UCCX,
za pomocą polecenia ale pozwalają uzmysłowić sobie, jak
‘ O n E x c e p t i o n ’ , uniwersalnym narządzeniem jest
obsługę wyjątków to oprogramowanie. W dobie integracji
związanych z opera- metod komunikacji i systemów inforc jami sie c iowymi matycznych Unified Contact Center
dostępu do serwera Express jest doskonałą propozycją
W W W. W skrócie w zakresie systemów IVR małych
c ho d z i o t o , ab y i średnich. Może warto jednak zajrzeć
w przypadku błędu na dno szuflady...?
komunikac ji
z serwerem skrypt
D.P.
IVR nie uległ niekonInżynier SOLIDEX
Rys. 5. Fragment skryptu realizującego algorytm pozwatrolowanej awarii.
lający na rozpoznanie dzwoniącego
44
Numer: II/2013 (123)
Elastycznie, bezpiecznie, wydajnie
– rozwiązanie autorskie Solidex
w zakresie udostępniania zasobów
sieciowych dla gości
Każdy, kto gościł w jakiejkolwiek instytucji, czy to biznesowo np. jako
wdrożeniowiec, czy handlowiec, czy to nawet jako zwykły klient, chciałby
mieć możliwość skorzystania z zasobów sieciowych danej organizacji.
Z reguły w takich przypadkach słyszał, że albo się nie da, albo musiał
czekać aż administrator poprzepina kable w serwerowni, żeby możliwe
było tymczasowe z reguły skorzystanie z dostępu do sieci. W niniejszym
artykule zostaną opisane sposoby radzenia sobie przez firmy z tego typu
niedogodnościami, jakie daje możliwość połączenia urządzeń Cisco
z oprogramowaniem autorskim SOLIDEX o nazwie SOLID.poli-server, dzięki
któremu udostępnianie własnych zasobów sieciowych jest łatwe, wygodne,
a przy tym bezpieczne.
Jak wspomniano powyżej, głównym
celem biznesowym opisywanego
systemu jest możliwość nadawania
tymczasowego dostępu do sieci dla
osób spoza organizacji, z założenia nie
mających stałego podłączenia do sieci
korporacyjnej (lub udostępnianej
komercyjnie). Najczęstszą i najbardziej oczywistą potrzebą zachodzącą
w relacjach biznesowych jest nadanie
dostępu do Internetu, jednak coraz
częściej tego typu rozwiązanie przydaje
się tak że, jeśli zachodzi potrzeba
udostępnienia innych usług, jak np.
prezentacja wersji demo oferowanych
produktów wymagających złożonej
infrastruktury sieciowej, serwerów
plików, c zy lokalnych zasobów
informacyjnych.
Zastosowanie systemu SOLID.poli-server jest możliwe dla sieci różnej
skali wielkości (rozumianej jako ilość
węzłów) – średniej wielkości (np.
udostępnianie Internetu dla gości
sieci hoteli, czy też dla kontrahentów
odwiedzających przedsiębiorstwo), jak
również dla dużych operatorów telekomunikacyjnych (świadczenie usług dla
swoich klientów). Działanie systemu
nie sprowadza się jednak wyłącznie
do prostego udostępnienia zasobów,
ponieważ taki efekt można by osiągnąć
za pomocą różnych usług jak chociażby
FTP, Reverse proxy itp. Prawdziwą
wartość systemu można docenić,
kiedy zachodzi potrzeba bardziej
zaawansowanych metod zarządzania
ruchem sieciowym, przy jednoczesnym
dużym wolumenie obsługiwanego
ruchu. System oferuje możliwości
bardzo elastycznego kształtowania
polityk udzielania tego dostępu.
Można definiować limity (czasowe
i ograniczone wolumenem przesłanych
danych), zasoby ograniczane za pomocą
45
rozwiązania
Rys. 1. Architektura rozwiązania opartego o Cisco ISG i serwer AAA
ACL, możliwość definiowania QoS itp.
Bardzo istotna jest także możliwość
zdefiniowania us ł ug , k tóre
nie wymagają wc ze ś niejs zego
uwie r z y t elnie nia , c o p oz wa la
na wyświetlanie treści marketingowych i informacyjnych zanim gość
będzie miał możliwość skorzystania
z zasobów objętych kontrolą dostępu.
Z drugiej strony system bardzo
upraszcza zarządzanie dostępem.
Jest on wyposażony w mechanizmy
zarządzania użytkownikami korzystającymi z sieci, a także ma możliwości
integracji z zewnętrznymi źródłami
danych, zarówno w zakresie danych
wejściowych (np. import/synchronizacja użytkowników z zewnętrznymi
źródłami danych jak np. bazy danych,
usługi sieciowe), jak również w zakresie
danych wyjściowych (np. możliwość
udostępnienia usługi sieciowej umożliwiającej integrację z zewnętrznymi
urządzeniami jak np. drukarka fiskalna,
bramka SMS wysyłając a has ło
dostępowe na telefon komórkowy itp.).
Przy tych wszystkich cechach decydujących o elastyczności rozwiązania,
bardzo istotną właściwością systemu
46
jest bezpiec zeństwo, k tóre jest
zapewniane przez wewnętrzne mechanizmy routera, dzięki czemu ryzyko
wystąpienia potencjalnych luk bezpieczeństwa zostaje zminimalizowane.
Ostatnią bardzo istotną cechą systemu
jest sposób uwierzytelnienia gości
chcących uzyskać dostęp do zasobów
sieciowych. Korzystanie z systemu
przez użytkowników końcowych nie
wymaga od nich instalowania żadnych
agentów, wtyczek czy jakiegokolwiek
dodatkowego oprogramowania
klienckiego. Do skorzystania z bramy
dostępowej do usług wystarczy
przeglądarka internetowa, gdyż
oprogramowanie realizujące proces
uwierzytelnienia jest rozwiązaniem
typu Captive Portal, które pozwala
na realizację procesu uwierzytelnienia
z wykorzystaniem protokołu HTTP/
HTTPS.
Architektura rozwiązania
W skład systemu SOLID.poli-server
wchodzą:
•router Cisco z funkcją Intelligent
Services Gateway,
•s e r w e r A A A F r e e R A D I U S
z modułami autorskimi SOLIDEX,
•policy server (JBoss Application
server z modułami),
•relacyjna baza danych,
•moduł dystrybuujący kody dostępu
do systemu (np. bramka SMS).
Głównym elementem całego rozwiązania jest router z możliwością
dynamicznego wyboru usług pod
nazwą Intelligent Services Gateway,
k t ór y je s t na s t ę p c ą s t ar s zego
oprogramowania Service Selection
Gateway. Zapewnia on funkcjonalności pozwalające na świadczenie
na rzecz uwierzytelnionych użytkowników pewnych usług sieciowych,
które dostarczane są na podstawie
predefiniowanych zestawów polityk.
Polityki definiowane są w taki
sposób, że projektant może za pomocą
dyrektyw konfiguracyjnych zadecydować, jakie parametry mają mieć
serwisy sieciowe dostępne użytkownikowi w czasie trwania sesji, a także
pozwala zaplanować jakie działania
podjąć, kiedy w trakcie czasu trwania
sesji zajdą określone zdarzenia, a także
co powinno się stać po zakończeniu
Numer: II/2013 (123)
sesji. Można więc reagować na różne
zdarzenia typu rozpoczęcie sesji,
pomyślne przejście procesu uwierzytelnienia, wylogowanie użytkownika,
przekroczenie dopuszczalnego limitu
itp. Definicja polityki określa zarówno
serwisy, z jakich użytkownik może
korzystać, jak również klasy ruchu,
które podlegają określonej polityce.
Jakkolwiek konfiguracja ISG daje
projektantowi bardzo mocne narzędzie
do kreowania zaawansowanych
polityk, to jednak siłę rozwiązania
można docenić w momencie, kiedy
zaczniemy nim sterować za pomocą
interfejsu CoA (Change of Authentication) zgodnego z RFC 5176, który
pozwala dynamicznie zarządzać
serwisami użytkownika na podstawie
określonych parametrów, odpytywać
ISG o stan sesji lub informować o tym,
czy ewentualny limit przyznany
użytkownikowi w ramach sesji nie
został przekroczony.
Serwer FreeR ADIUS jako jedno
z najlepszych na rynku rozwiązań
typu AAA ma jedną bardzo istotną
zaletę. Będąc oprogramowaniem
wydawanym na zasadach Open
Source, a także udostępniając interfejs
programistyc z ny do twor zenia
w ł a s nyc h m o du ł ów, p oz wa la
na dostosowanie go do własnych
wymagań praktycznie do granic
możliwości, a jednocześnie daje
komfort pewności, że nie wykroczy się
poza granice protokołu. FreeRADIUS
jest jednym z najpopularniejszych
rozwiązań tej klasy na rynku, sprawdzając ym się w wymagając ych
środowiskach o bardzo du ż ych
wolumenac h t r ansfer owanyc h
danych. Jego rolą jest pośredniczenie
pomiędzy a ISG, a aplikacją Policy
Server zainstalowaną na serwerze
aplikacyjnym JBoss Application
Server 7.
Aplikacja sterująca stanowi centrum
zarządzania systemem. To w tym
miejscu zaimplementowana została
l o g ik a p r z e t w a r z a n i a d a ny c h
użytkowników, definiowanie zawartości komunikatów CoA, kontrola
czasu trwania sesji itp.
Dzięki takiemu podejściu można
więc w bardzo elastyczny sposób
odseparować od siebie zakresy
odpowiedzialności poszczególnych
komponentów rozwią zania,
c o pr zek ł ada się na ł atwiejsze
z a r z ad z a nie , adminis t r owa nie
i ewentualną rozbudowę systemu.
Przebieg sesji
W przedstawionym scenariuszu
zakładamy, że użytkownik podłączył
się do sieci (może to być zarówno
podłączenie kablowe, jak również
bezprzewodowe), zaś sama sieć jest
skonfigurowana w taki sposób, że jego
żądania sieciowe będą kierowane przez
ISG.
Standardowy scenariusz pracy z SOLID.
poli-server rozpoczyna się w momencie,
kiedy użytkownik zażąda dostępu
do z a s ob ów sie c iowyc h , c z yli
przykładowo w swojej przeglądarce
internetowej wpisze adres np. http://
www.solidex.com.pl . W momencie
kiedy pierwszy pakiet trafi do routera
z ISG, tworzona jest sesja użytkownika
(w terminologii ISG nazwanego
subskrybentem), w ramach której
przekierowany przy próbie uzyskania
dostępu do zasobów chronionych oraz
adres usługi A A A (Authentication,
Authorization, Accounting), którego
rolą jest kontrola uprawnień.
Zakładając, że aktualnie przetwarzane
żądanie znajduje się w puli zasobów
dostępnych po uwierzytelnieniu,
ruch użytkownika zostaje przekierowany do Captive Portalu, który
wysyła do ISG zapytanie o status
sesji za pomoc ą zapyt ania C oA
Session Query, w którym weryfikuje
status sesji. Po uzyskaniu informacji,
że zasób wymaga uwierzytelnienia
i jednocześnie sesja subskrybenta
ma status „nieuwierzytelniony”,
Captive Portal wykona przekierowanie
do formatki służącej do uwierzytelnienia. W najprostszym scenariuszu
zakładamy, że użytkownik otrzymał
kod z hasłem jednorazowym wydrukowany z zewnętrznego systemu.
W formularzu uwierzytelniania
Przy tych wszystkich cechach decydujących o elastyczności
rozwiązania, bardzo istotną właściwością systemu jest
bezpieczeństwo, które jest zapewniane przez wewnętrzne
mechanizmy routera, dzięki czemu ryzyko wystąpieniapotencjalnych
luk bezpieczeństwa zostaje zminimalizowane.
pierwszym krokiem jest udostępnienie
usług dostępnych bez konieczności
uwierzytelnienia. Zestaw usł ug
startowych przypisywanych na starcie
nieuwierzytelnionemu użytkownikowi jest pierwszym miejscem,
w którym podejmowane są decyzje
o charak terze technic zno -bizne sowym. W tym miejscu decyduje się
jaki charakter ruchu jest niezbędny
dla prawidłowego funkcjonowania
ruchu sieciowego (DHCP, DNS), jaki
zakres usług będzie udostępniany
przed uwierzytelnieniem (np. strona
dostępowa do korporacyjnej strony
internetowej, czy też do wewnętrznego
intranetu z informacjami przeznaczonymi dla gości). Tak że w tym
miejscu definiuje się adres sieciowy
portalu do uwierzytelniania (Captive
Portal), na który użytkownik jest
użytkownik musi wpisać otrzymane
hasło i po wykonaniu akcji uwierzytelnienia sterowanie zostaje zwrócone
do ISG, które przekazuje zapytanie
uwierzytelniające do usługi A A A
zaimplementowanej na serwerze
FreeR A DIUS . Jak wspomniano
w punkcie „Architektura rozwiązania”,
rolą serwera RADIUS jest wyłącznie
funkcja komunikacyjna, dlatego też
cała logika przetwarzania zapytań
zostaje oddelegowana do Policy
Servera udostępnionego przez serwer
aplikacyjny JBoss za pomocą protokołu
SOAP. Po przekazaniu wpisanego kodu
usługa weryfikuje w wewnętrznych
źródłach danych wszelkie biznesowe
reguły, czyli takie informacje jak
poprawność kodu, rodzaje predefiniowanych usług, z jakich może korzystać
użytkownik, przyznane limity dla
47
rozwiązania
danego kodu, poziom wykorzystania
limitów itp. Wszystkie te informacje są uzyskiwane z profilu, jaki
został skojarzony z kodem podanym
przez użytkownika. Dzięki takiemu
podejściu można tworzyć dowolne
profile i kojarzyć je z odpowiednimi
pulami kodów jednorazowych, dzięki
czemu po poprawnej weryfikacji kodu
przez usługę webservice, do usługi
AAA zostanie odesłany komplet informacji o tym, w jaki sposób ISG powinno
ustawić parametry połączenia dla
danej sesji. Odpowiedź jest przekazywana za pomocą interfejsu CoA
do ISG. W przypadku udanego uwierzytelnienia, serwer RADIUS odpowiada
statusem Access-Accept i w tej samej
odpowiedzi odsyła w odpowiednich
parametrach informacje o profilu
użytkownika, zawierające listę usług
zdefiniowanych na ISG, które powinny
zostać aktywowane dla danej sesji.
Dla rozpatrywanego przypadku
dodatkowo zostanie wysłana informacja o przyznanym limicie transferu,
jako że założeniem projektu usług było
przyznawanie limitu transferu w zależności od puli, do jakiej przynależy dany
kod jednorazowy. Po przypisaniu
przez ISG odpowiedniego zestawu
dostępnych usług, od sesji powinna
zostać odłączona reguła, nakazująca
kierowanie wszystkich zapytań
nieuwierzytelnionych do portalu
uwierzytelniającego.
Definiowanie polityk na ISG jest
bardzo elastyczne, ponieważ oprócz
możliwości wysterowania za pomocą
serwera RADIUS, istotna część polityk
48
bazuje na występowaniu określonych
zdarzeń w systemie. Możliwe jest takie
wymodelowanie polityki, aby niezależnie od parametrów przesłanych
przez CoA, pewne akcje na ISG były
uruchamiane zawsze. Pozwala to zdefiniować zestaw usług startowych, które
są ładowane na starcie, za pomocą
obsługi zdarzenia session-star t ,
o k r e ś li ć z ac how a nie s y s t e mu
po zajściu zdarzenia uwierzytelnienia (account-logon), zastosować
odpowiednie reguły w momencie
wystąpienia przekroczenia czasu
trwania sesji (timed-policy-expiry) itp.
W przedstawionym wyżej scenariuszu
zaprezentowany został model rozliczania na podstawie kodu wybranego
z puli dostępnych opartego na rozliczaniu tzw. prepaid. System daje jednak
możliwości pracy także z nazwanymi
użytkownikami (np. abonentami),
gdzie polityki rozliczania są zbudowane
inaczej, niż w przypadku usług przedpłaconych. Możliwe jest wówczas
uwierzytelnienie użytkowników
w oparciu o parę użytkownik/hasło,
można dodatkowo zabezpieczyć proces
uwierzytelnienia za pomocą haseł
jednorazowych wysyłanych na telefon
komórkowy abonenta.
Istotną częścią każdego systemu,
zajmującego się przydzieleniem
dostępu do sieci jest umożliwienie
rozliczania sesji swoich subskrybentów.
Wiąże się to zarówno z rozliczaniem
klientów w sytuacji komercyjnego
udost ę pniania pewnych us ł ug
w ramach wykupionego abonamentu,
jak również z obsługą potencjalnych
reklamacji. Podstawowym źródłem
informacji rozliczeniowych są logi
accountingowe serwera R ADIUS,
które mogą być zbierane globalnie,
osobno dla każdej usługi, czy wręcz
pogrupowane według określonych
parametrów. Wraz z systemem dostarczane jest narzędzie do transformacji
logów do formatów wymaganych
przez różne narzędzia służące do rozliczania. Można uznać, że moduł ten
stanowi klamrę spinającą wszystkie
funkcjonalności dostarczane przez
system i jednocześnie czyni ten system
kompletnym, realizującym w sposób
wyczerpujący zadania przed nim
stawiane.
W niniejszym opracowaniu przedstawiono koncepcję rozwiązania
problemu udostępniania sieciowej
infrastruktury dla gości. Mimo,
że rozwią zanie st anowi zwar ty
system, to jednak pozostaje on otwarty
w zakresie integracji, dostępnych
metod uwierzytelniania, czy rozliczania.
System jest więc wszechstronnym
narzędziem pozwalającym gościom
skorzystać z zasobów posiadanych
przez organizacje, a jednocześnie chroni
przed potencjalnymi nadużyciami.
Pozostaje tylko odpowiedź na pytanie:
„Czy mamy taką potrzebę biznesową?”.
Wydaje się jednak, że wcześniej czy
później odpowiedź na to pytanie
będzie twierdząca.
K.S.
Inżynier SOLIDEX
Numer: II/2013 (123)
Bezpieczeństwo danych z McAfee
Endpoint Encryption
Utrata poufnych danych stanowi w obecnych czasach realne zagrożenie dla
ludzi na całym świecie. W ankiecie przeprowadzonej w 2007 roku przez Ponemon
Institute 85% respondentów potwierdziło, że w ich firmach miały miejsce
przypadki złamaniazabezpieczeń i wycieku danych. Zgodnie z danymi Instytutu,
średniawielkość kosztów ponoszonych w przypadku tego typu zdarzeń wynosiła
6,3 miliona dolarów.
Odpowiednie zabezpieczenie danych
przed utratą staje się sprawą priorytetową. McAfee Endpoint Encryption
EEPC jest oprogramowaniem służącym
do szyfrowania danych. Wykorzystuje ono silny algorytm szyfrowania
AES-256 oraz rygorystyczną kontrolę
dostępu, w celu uniemożliwienia
nieupoważnionego wglądu do danych
znajdujących się w komputerach
stacjonarnych, laptopach, tabletach
PC, smartfonach i palmtopach, także
urządzeniach USB.
Oprogramowanie to umożliwia pełną
ochronę krytycznych danych firmy.
Rozwiązanie wykorzystuje kontrolę
dostępu z uwierzytelnianiem pre-boot
tuż przed zainicjowaniem systemu
operacyjnego tak, aby nikt niepowołany nie dostał się do systemu
za pomocą narzędzi pomijania autentykacji lub alternatywnych urządzeń
inicjujących system. Szyfrowanie
i rozszyfrowywanie z udziałem
McAfee to proces niezauważalny dla
użytkownika wykonywany „w locie”.
bez żadnego negatywnego wpływu
na działanie urządzeń.
Mc A fe e E ndp oin t E nc r yp t ion
doskonale integruje się z istniejącymi
systemami posiadanymi przez daną
organizację oraz zapewnia sprawność
operacyjną znacznie obniżającą łączny
koszt posiadanego systemu.
EEPC znacząco zmniejsza możliwość
utraty danych poprzez odpowiednie
zabezpieczenia oraz spełnia wymagania
przepisów prawnych, stosując pełny
zakres rozwiązań zabezpieczających
i szyfrujących, które są zarządzane
za pomocą jednej centralnej konsoli.
Oprogramowanie zapewnia funkcje
zarządzania centralnego, obejmujące
administrację, centralne wdrażanie,
zdalne aktualizacje, zarządzanie
wymaganą polityką bezpieczeństwa,
narzędzia skryptowe, odzyskiwanie
danych, synchronizację itd. Rozbudowane funkcje raportowe pokazują
czy urządzenie było zaszyfrowane,
gdy zostało zgubione lub skradzione,
co zapewnia zgodność z obowiązującymi przepisami. Obowiązkowe
polityki bezpieczeństwa mogą być
przejrzyście wdrażane przez administratorów. McAfee Endpoint Encryption
obsługuje także pojedyncze logowanie
SSO oraz bezpieczne odzyskiwanie
hasła użytkownika w przypadku m.in
zablokowania konta. Dostępność
pełnego audytu zapewnia zgodność
z podejściem „Safe Harbor”, które
sprawia, że ze względu na zaszyfrowanie danych, zgubienie laptopa lub
urządzenia USB nie powoduje wycieku
49
rozwiązania
z a pomoc ą ePolic y
Orchestrator służący
do komunikacji
pomiędzy stacją komputerową, a systemem
zarz ądzania . Dzięki
agent owi Mc A fee
możliwe jest otrzymywanie oprogramowania,
jego aktualizacja oraz
zmiany polityk bezpiec z e ń s t wa na s t ac ji
komputerowej.
Rysunek 1 przedRys.1. Autentykacja użytkownika z włączoną funkcją
stawia autentykację
pre-boot
użytkownika podczas
logowania do systemu
z wdrożonym oprogradanych ani publicznego ujawnienia
mowaniem McAfee. W pierwszej fazie
informacji.
użytkownik musi wpisać swoje dane
i hasło. Po poprawnym uwierzytelKomponenty systemu
nieniu użytkownika następuje etap
McAfee
logowania do zwykłego systemu
Poniżej został przedstawiony krótki operacyjnego Windows. Ze względów
opis poszczególnych komponentów bezpieczeństwa istnieje możliwość
systemu Mc Afee. Bardziej szcze- ograniczenia liczby nieprawidłowych
gółowe informacje na ich temat można logowań do systemu skutkująca
znaleźć w dokumentacji produktu oraz w przypadku niepowodzenia zablokowaniem konta oraz niemożliwością
na stronach producenta.
odszyfrowania danych.
Komponenty systemu McAfee:
ePolicy Orchestrator – scentrali- Za pomocą produktu McAfee ePolicy
zowany system zarządzania służący Orchestrator można zarządzać, tworzyć
do dystrybucji oprogramowania oraz przypisywać indywidualne
bezpieczeństwa, zarządzania stacjami polityki do komputerów, czy użytkowników (rysunek 2). W politykach
końcowymi, raportowania.
EEPC – oprogramowanie służące definiuje się reguły zarządzania
do szyfrowania komputerów, zawiera komputerem nadając mu odpowiednie
odpowiednie rozszerzenia w celu uprawnienia. System ten umożliwia
również generowanie raportów czy
integracji z ePolicy Orchestrator.
McAfee Agent – agent instalowany zdalną dystrybucję oprogramowania
na stacjach roboczych typu komputer McAfee.
McAfee posiada również
w swojej bogatej ofercie
EEFF czyli endpoint
enc r yption for files
and folders. Rozszerzenie to instaluje się
również na serwerze
eP O i dys t r ybuuje
oprogramowanie
na st ac je końc owe .
Dzięki temu zyskuje się
możliwość szyfrowania
urządzeń mobilnych
typu pendrive, płyt CD/
DVD. Jest to również
ciekawa alternatywa
szyfrowania wybranych
miejsc na komputerze np.
zamiast
szyfrować całą
Rys.2. Polityki EEPC w konsoli ePO
50
stację roboczą, wszystkie jego dyski,
chcemy zabezpieczyć tylko konkretny
folder lub foldery na naszych stacjach
końcowych znajdujące się w wybranej
lokalizacji na komputerze.
Nowości 2013
W najbliższym czasie pojawią się
najnowsze produkty producenta
oferujące jeszcze więcej funkcjonalności: McAfee EPPC 7.0, ePO 5.0,
McAfee EEFF
W zakresie EPPC 7.0 nowości to:
•integracja z technologią Intel AMT,
•wsparcie dla systemów operacyjnych
Windows 8,
•zwiększona wydajność,
•aktywacja offline,
•ułatwienia w procesach recovery,
•sprawdzanie systemu za pomocą
healthcheck.
Dla ePO 5.0 nowości obejmują:
•funkcjonalnoś ć porównywania
polityk,
•łatwiejsza nawigacja,
•snapshot konfiguracji,
•usprawnienie wdrażanie produktów,
•nowy wygląd,
•zwiększona wydajność.
Natomiast w przypadku EEFF 4.1
nowymi elementami są:
•zwiększona wydajność,
•raportowanie wykorzystywania
urządzeń,
•reguły dotyczące haseł dostępu
do urządzeń.
materiałów producenta oraz własnych
testów:
www.mcafee.com
M.P.
Inżynier SOLIDEX
Program SOLIDEX
Autoryzowane
Szkolenia
Cisco
Systems
®
ICND1
Interconnecting Cisco Network Devices Part 1
ICND2
Interconnecting Cisco Network Devices Part 2
CCNAX
Interconnecting Cisco Networking Devices: Accelerated NOWOŚĆ!
ROUTE
Implementing Cisco IP Routing
SWITCH
TSHOOT
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
BGP
MPLS
QOS
IINS
SECURE
FIREWALL
VPN
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Securing Networks with Cisco Routers and Switches v1.0
Deploying Cisco ASA Firewall Features
Deploying Cisco ASA VPN Solutions
CIPT1
Implementing Cisco Unified Communications Manager Part 1 v8.0
CIPT2
Implementing Cisco Unified Communications Manager Part 2 v8.0
CWLMS
IP6FD
Implementing CiscoWorks LMS
IPv6 Fundamentals, Design, and Deployment
IUWNE
Implementing Cisco Unified Wireless Networking Essentials
DESGN
Designing for Cisco Internetwork Solutions NOWOŚĆ!
ARCH
Designing Cisco Network Service Architectures NOWOŚĆ!
Infolinia: 800 49 55 82
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX
Złote Tarasy - Lumen, ul. Złota 59
Kraków
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944. Nakład: 2500 egz.
Redakcja:
Zespół Komunikacji Marketingowej SOLIDEX S.A.
ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
www.integrator.SOLIDEX.com.pl

Integrator Nr II/2013 (123)

Transkrypt

Podobne dokumenty

cisco.netacad.net

W numerze między innymi:

Integrator Nr II/2011 (115)

Integrator Nr III/2013 (124)