Integrator Nr IV/2012 (121)
Transkrypt
Integrator Nr IV/2012 (121)
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® Nr IV/2012 (121) Już 10 lat w Tęczowym Biurowcu więcej na str. 6 NOWOŚCI: Check Point Virtual Systems – wirtualizacja platformy bezpieczeństwa TECHNOLOGIE: Cisco Prime Infrastructure 1.2, czyli jak efektywnie zarządzać infrastrukturą sieciową ROZWIĄZANIA: McAfee NitroSecurity Transport optyczny z przepływnością 100Gbps Cisco Telepresence EndPoints, czyli komunikacja bez granic ISSN 1233–4944 www.integrator.SOLIDEX.com.pl Numer: IV/2012 (121) Drodzy Czytelnicy, Szanowni Klienci! 10 lat temu na przełomie 2002 i 2003 roku mieliśmy przyjemność uroczyście otworzyć nasz Tęczowy Biurowiec w Krakowie. Z tarasu z widokiem na Kopiec Kościuszki oglądaliśmy pokaz sztucznych ogni w miejscu, gdzie dziś wyrosły kolejne biurowce pełne młodych przywiązanych do komputera pracowników.. Miniona dekada w Tęczowym Biurowcu to czas wielkiej zmiany w polskim i nie tylko polskim świecie internetu. Wówczas internet obecny już od dekady na uczelniach, w bankach, urzędach państwowych czy w większych firmach nie był obecny jeszcze w naszych domach! Dziś wszedł nie tylko „pod strzechy”, ale „wdarł się” do naszych teczek, czy nawet do kieszeni uczniów i studentów, dostępny praktycznie wszędzie i dla każdego. Ułatwiają to liczne projekty tzw. „internetu szerokopasmowego” w gminach i miastach przypominające powtórzenia pierwszych naszych sieci kampusowych czy miejskich z początku lat dziewięćdziesiątych... Urządzenia domowego dostępu do niego stały się tanie, rozpowszechniane za kilkadziesiąt złotych nawet w supermarketach. „INTEGRATOR” towarzyszył od ponad 15 lat kiedyś pionierom, a dziś raczej weteranom budowy rdzenia internetu... Również dzisiejsze już 121. wydanie poświęcone jest nowym i ważnym dla profesjonalnej sieci rozwiązaniom i technologiom. I przypomina, że 10 lat naszej SOLIDnej rynkowej aktywności w świecie „internetworkingu” miało swe centrum w Tęczowym Biurowcu!.... :-) Życzymy miłej lektury! Zespół SOLIDEX Spis treści WYDARZENIA 4 4 4 SOLIDEX rozwija sieć sprzedaży. Nowy Oddział już działa we Wrocławiu! Nowoczesne rozwiązania IT dla instytucji finansowych i ubezpieczeniowych „Internet Przyszłości”, czyli XIV Krajowa Konferencja Inżynierii Oprogramowania organizowana przez AGH Bezpieczeństwo danych i informacji w sektorze bankowości Dostawy urządzeń sieciowych dla Pilkington Chmielów i Sandomierz 10 lat w Tęczowym Biurowcu 5 5 6 NOWOŚCI 10 14 Check Point Virtual Systems – wirtualizacja platformy bezpieczeństwa Site Survey. Pierwsze kroki w projektowaniu wydajnych sieci bezprzewodowych Technologie 18 22 FlexPod – wspólna platforma Cisco i NetApp Cisco Prime Infrastructure 1.2, czyli jak efektywnie zarządzać infrastrukturą sieciową Rozwiązania 27 30 33 40 45 McAfee NitroSecurity Transport optyczny z przepływnością 100Gbps Cisco Telepresence EndPoints, czyli komunikacja bez granic Przełącznik wirtualny Nexus 1000V Cisco Unified Computing System Express - następny krok w procesie konsolidacji infrastruktury informatycznej Biuletyn Informacyjny SOLIDEX® 3 WYDARZENIA SOLIDEX rozwija sieć sprzedaży. Nowy Oddział już działa we Wrocławiu! Miło nam poinformować Szanownych Klientów, że nasza placówka serwisowa we Wrocławiu została przekształcona w nowy Oddział SOLIDEXu i działa już pod nowym adresem. Biuro nowego Oddziału mieści się w samym centrum Wrocławia, na drugim piętrze kompleksu biurowo-usługowego *FOCUS PLAZA* przy ulicy Kościuszki 29. W oddziale mogą Państwo zapoznać się z nowoczesnym sprzętem w demonstracyjnym laboratorium oraz skorzystać ze standardowych usług doradczych naszych SOLIDnych EXpertów®. Zapraszamy również do skorzystania z warsztatów i szkoleń, które oprócz K rakowa i Warszawy będziemy prowadzić również we Wrocławiu podobnie jak w niedawno przeniesionym do nowego biura Oddziale w Poznaniu. Nowy adres SOLIDEX S.A. Oddział Wrocław ul. Kościuszki 29 (Focus Plaza, II p, wejście A) 50-011 Wrocław tel. +48 71 333 99 65 fax: +48 71 333 99 66 Nowoczesne rozwiązania IT dla instytucji finansowych i ubezpieczeniowych 19 września br. w Centrum Bankowo-Finansowym "Nowy Świat" S. A . w Warszawie odbyła się konferencja: "Ubezpieczenia - Nowoczesne kanały komunikacji i ich efektywność w sprzedaży - technologia i prawo". SOLIDEX wziął udział w imprezie w charakterze Srebrnego Sponsora. K onfer enc ja by ł a p o ś wi ę c ona nowoc zesnym rozwią zaniom IT, usprawniającym komunikację oraz sprzedaż w instytucjach finansowych i ubezpieczeniowych. Głównym organizatorem Konferencji była firma Multitrain Sp. z o.o. Nasz SOLIDny EXpert® poprowadził wykład zatytułowany: „Narzędzia komunikacji i współpracy grupowej". Więcej informacji na temat konferencji znaleźć można na stronie Organizatora: http://www.multitrain.pl/home/ kalendarium/ubezpieczenia.htm „Internet Przyszłości”, czyli XIV Krajowa Konferencja Inżynierii Oprogramowania organizowana przez AGH W dniach 10 - 13 września w nowym budynku Centrum Informatyki AGH odbyła się XIV Krajowa Konferencja Inżynierii Oprogramowania (KKIO). SOLIDEX był jednym ze sponsorów Konferencji. Głównym celem KKIO, organizowanej przez Katedrę Informatyki AGH oraz Polskie Towarzystwo Informatyczne – Oddział Małopolski była prezentacja ewolucji metod inżynierii oprogramowania w kontekście wymagań platform projektowania i budowy oprogramowania aplikacji „Internetu Przyszłości”. Metody te w szczególności związane są z przetwarzaniem w chmurze obliczeniowej, budową 4 aplikacji dla inteligentnego miasta/ „Internetu Przyszłości”, a także ich domu, aplik ac jami mobilnymi, wpływu na aktualnie stosowane komunikacją i sieciami społecznymi, procesy wytwarzania i testowania analizą społeczną oraz systemami oprogramowania, jak i na kształcenie o b l i c z e n i o w y m i w r a ż l i w y m i informatyków. na kontekst. W szerszej perspektywie konferencja miała stanowić forum dla Szczegółowe informacje na temat dyskusji reprezentantów środowisk programu konferencji znaleźć można naukowych i przemysłu na temat na stronie internetowej: zachodzących zmian technologicznych http://kkio2012.agh.edu.pl oraz nowych wymagań aplikacji Integrujemy przyszłość® Numer: IV/2012 (121) Bezpieczeństwo danych i informacji w sektorze bankowości Konferencja pt. „Bezpieczeństwo danych w nankowości” odbyła się 24 października br. w Centrum Bankowo-Finansowym "Nowy Świat" S.A. w Warszawie i poświęcona była sposobom zwiększenia poziomu bezpieczeństwa w bankowości oraz przeciwdziałaniu rodzącym się zagrożeniom. Solidex uczestniczył w konferencji w charakterze Srebrnego Sponsora. Nasz SOLIDny EXpert® poprowadził wyk ł ad z atytu łowany: „ Z ar z ą dzanie politykami bezpieczeństwa. Kształtowanie procesu pozyskania dostępu do zasobów". www.multitrain.pl/home/ Więcej informacji na temat konfe- kalendarium/bezpieczenstwo-danychrencji znajdą Państwo na stronie -i-informacji-w-bankowosci-2.htm internetowej Organizatora: Dostawy urządzeń sieciowych dla Pilkington Chmielów i Sandomierz Należący do japońskiego koncernu NSG Group Pilkington Automotive Poland realizuje obecnie przy współudziale SOLIDEX S.A. jedną z największych inwestycji zagranicznych w Polsce w roku 2011: Budowa i uruchomienie fabryki szyb samochodowych w Chmielowie k. Tarnobrzegu. Całkowity koszt inwestycji grupy wyniesie około 450 milionów zł. Część środków na jej sfinansowanie pochodzi z dotacji Ministerstwa Gospodarki. SOL IDE X zrealizował dost awy urz ądzeń sieciowych Cisco oraz Motorola do tego zakładu. We wrześniu ruszyły pierwsze linie produkcyjne w nowym zakładzie. Na rok 2014 zaplanowany jest kolejny etap rozbudowy, który zakończy się w 2015 roku. Od 1 października swoją działalność rozpoczęło Centrum Usług Wspólnych utworzone przez NSG Group w Sandomierzu. CUW w Pilkington obsługiwać będzie zakłady koncernu z Niemiec, Włoch, Wielkiej Brytanii i Polski w zakresie finansowo-księgowym, IT oraz zakupów. Dla powstałego CUW SOLIDEX dostarczał również najważniejsze urządzenia sieciowe marki Cisco. Trwają rozmowy o objęciu opieką serwisową SOLIDEX części istniejącego już sprzętu sieciowego oraz sprzedaży autoryzowanych szkoleń. Przełącz się na nową jakość Biuletyn Informacyjny SOLIDEX® 5 WYDARZENIA 6 Integrujemy przyszłość® 10 lat w Tęczowym Biurowcu Numer: IV/2012 (121) T ęczowy Biurowiec jest siedzibą centrali firmy SOLIDEX już od 10 lat, dokładnie od grudnia roku 2002 kiedy został oddany do użytkowania. Budynek mieści się przy ulicy Juliusza Lea, w sąsiedztwie miasteczka studenckiego i zaledwie dwa kilometry od krakowskiego Rynku Głównego. W miejscu gdzie jeszcze dwa lata wcześniej stały fabryczne baraki z lat sześćdziesiątych, na przełomie 2002 i 2003 roku powstało dynamiczne centrum biznesowe działające po dziś dzień. Okazały budynek o powierzchni ponad 4500m2 zrealizowany na zlecenie SOLIDEXu, wg projektu znanego krakowskiego architekta doktora Romualda Loeglera z przeznaczeniem na siedzibę firmy, powstał w efekcie rozbudowy starego, dwupiętrowego budynku biurowego z roku 1965. Za tę realizację Minister Infrastruktury wyróżnił zespół architektów Nagrodą III Stopnia za rok 2003. O przyznaniu nagrody zdecydowały walory twórcze, takie jak klarowna i wyrazista koncepcja projektowa, oryginalna i niepowtarzalna forma architektoniczna oraz precyzyjne rozwiązania funkcjonalno-użytkowe. Tęczowy Biurowiec, jako tzw. inteligentny budynek, łączy w sobie najnowsze zdobycze technologiczne. Nowoczesna konstrukcja opasana jest przyciągającymi wzrok przysłonami w kolorze tęczy. W jasnych i przestronnych wnętrzach wykończonych kompozycją szkła i aluminium oraz meblami w przyjaznych, naturalnych, bukowych kolorach rozwiązywane są złożone zagadnienia związane z funkcjonowaniem systemów teleinformatycznych obejmujących zasięgiem całą Polskę. Mieszczące się na czwartym piętrze komfortowe sale centrum szkoleniowego goszczą podnoszących swe kwalifikacje specjalistów teleinformatyki z całego kraju. Całości dopełnia taras widokowy pokrywający prawie cały dach starego budynku, z którego roztacza się piękny widok na pasmo Sikornika oraz Kopiec Kościuszki. Cały budynek został zaprojektowany tak, by oddać charakter firmy i jej przewodnie hasło jakim przez pierwsze 20 lat działalności była „Sztuka Integracji”. Obecne hasło, wybrane z okazji jubileuszu 20lecia firmy „Integrujemy przyszłość” pasuje do niego tym bardziej. Tęczowy biurowiec będąc powiewem nowoczesności wpasowuje się wszak doskonale – integruje właśnie – w kojarzoną przede wszystkim z historią panoramę Krakowa. Biuletyn Informacyjny SOLIDEX® 7 NOWOŚCI Check Point Virtual Systems – wirtualizacja platformy bezpieczeństwa Dzisiejsze sieci stają się coraz bardziej skomplikowane. Coraz większa różnorodność systemów powoduje wzrost wydatków na narzędzia, które mają je chronić i zabezpieczać naszych klientów. Aplikacje, z których korzystamy, przenoszone są do zasobów w chmurze, co również stanowi wyzwanie dla administratorów bezpieczeństwa. Różne działania możemy podjąć, aby zaradzić wymienionym zagadnieniom. Jednym z nich jest na pewno centralizacja systemów i wirtualizacja bezpieczeństwa. Takie podejście ograniczy wydatki i jednocześnie umożliwi centralne zarządzanie c a ł ą inf r a s t r uk tur ą . K olejnym aspektem jest wybór mechanizmów inspekcyjnych i poziom kontroli przesyłanych danych. A ktualne rozwiązania oferują wiele funkcji, jak IPSec VPN, IPS, kontrola aplikacji, przy czym warto również wziąć pod uwagę zastosowanie innych jak Data Loss Prevention lub AntiBot, które sprecyzują informacje o ruchu w naszej sieci i pozytywnie wpłyną na bezpieczeństwo. Check Point przedstawił w ostatnich miesiącach produkt do wirtualizacji zapór sieciowych Virtual Systems. Producent zwraca uwagę i adresuje swój produkt zwłaszcza do klientów, którzy: 10 •zarządzają bezpieczeństwem coraz bardziej skomplikowanych sieci, w których wymagana jest coraz większa segmentacja, •potrzebują ochrony przed współczesnymi zagrożeniami, •aby zapewnić wymagany poziom bez piec ze ństwa w kor porac ji, tworzą coraz bardziej skomplikowane polityki bezpieczeństwa. Jest to, tak naprawdę, tylko kilka fundamentalnych przykładów zastosowania systemów, które zapewniają pracę w środowisku wirtualnym. Nie ma dzisiaj środowiska IT, które z zalet wirtualizacji nie mogłoby skorzystać. Od dostawców usług, którzy mogą sprzedawać zabezpiec zenia jako swój produkt, po niewielkie firmy, które inwestując w taki system zwrócą uwagę na mniejsze koszty utrzymania i możliwość kreowania nowych systemów bezpieczeństwa bez zakupu dodatkowych urządzeń. Integrujemy przyszłość® Jak ten system działa? Idea systemów wirtualnych i korzyści z nich płynące są już znane na rynku IT. W przypadku rozwiązań serwerowych wspó łc zesne inst alac je wykorzystują tę technologię, a administratorzy są świadomi jej działania. W jaki sposób zaimplementował ten mechanizm Check Point? Zacznijmy od porównania. W klasycznym podejściu do projektowania systemów bezpieczeństwa każdy segment sieci, który posiada odrębną politykę bezpieczeństwa, wymaga wdrożenia dedykowanego firewalla. Taki model infrastruktury pociąga za sobą inwestycje w zakup i serwisowanie wielu urządzeń. Podnosi to koszty zakupu (CAPEX) i koszty utrzymania (OPEX) takiej instalacji. Niewątpliwą zaletą jest całkowita niezależnoś ć każdego urządzenia oraz większy wpływ na jego rozbudowę i obciążenie. Numer: IV/2012 (121) Supported Appliances Appliance Memory (default/max) GB Max Recommended VSs (with default appliance memory) Max Recommended VSs (with max appliance memory) 2200 2/2 3 3 4200 2/4 3 3 4400 4/4 10 10 4600 4/4 10 10 4800 4/8 20 25 12200 4/12 20 50 12400 4/12 25 75 12600 6/12 75 150 21400 12/24 125 250 UTM-1 3070 4/4 10 10 Power-1 9070 4/4 50 50 Power-11 11000 6/6 75 75 lP1280 4/8 10 50 1P2450 4/8 25 75 Tabela 1. Ilość wirtualnych systemów - rekomendacja producenta Virtual System Extension wprowadza możliwość wirtualizacji komponentów egzekwujących polityki. W takiej konfiguracji każdy wirtualny Security Gateway działa jako niezależny firewall posiadający własną adresację, tablice routingu, tablice stanów polityki i wiele innych parametrów. Taka konfiguracja ogranicza czas potrzebny na wprowadzanie nowego systemu bezpieczeństwa, ale również koszty zapewnia środowisko pracy wirtualnym komponentom opisanym poniżej. •Vitual Switch: zapewnia przełączanie pakietów pomiędzy wirtualnymi systemami. •Virtual Router: tworzy niezależną domenę routingu w ramach pracy na gateway’u VSX. •Warp Link: są to wirtualne interfejsy i połączenia zapewniające łączność Security Gateway Network 1 Router Physical mode pozwala na uruchomienie tylko jednej instancji Security Gateway’a . Taka inst alac ja nie umożliwia tworzenia wirtualnych instancji firewalla. Virtual mode daje możliwość uruchomienia jednej instancji, tym razem wirtualnej. Ilość takich instancji może zostać rozszerzona za pomocą dodatkowej licencji do 250 wirtualnych systemów. To, ile takich systemów uruchomimy, jest determinowane przez parametry maszyny fizycznej, na której taki system będzie funkcjonował. Rekomendacje producenta zostały przedstawione w tabeli nr 1. Network 2 Internet Virtual System SoftwareBlades Network 3 Niewątpliwą zaletą produktu VSX jest przejście na licencjonowanie SoftwareBlade, znanego z klasycznych produktów. Model ten umożliwia dos t os owanie f unkc jonalno ś c i Rys. 1. Porównanie systemów wirtualnych z konwencjonalnymi produktu do każdego klienta indywidualnie. Bezpieczeństwo zostało pozyskania i utrzymania systemu. punk-punkt pomiędzy wirtualnymi podzielone na blady oferujące ochronę: Aby taka nowa infrastruktura działała systemami i wirtualnymi switchami. firewall, IPS, Application Control, niezawodnie, producent wprowadził •Dedicated Management Interface Identity Awareness URL Filtering, dodatkowe komponenty, których (DMI): dedykowany interfejs zarzą- AntiVirus, AntiBot. konfigurację i funkcjonowanie należy dzający, który nie przenosi ruchu Jak wspomniałem wcześniej, aby dodać wirtualne systemy należy wziąć pod uwagę: produkcyjnego. •VSX Gateway: jest kontenerem Każdy system VSX może działać zakupić odpowiednią licencję. Takich licencji mamy kilka na: 3, 10, 25, 50 (hostem), który zarządza całym w dwóch trybach: wirtualnych systemów. systemem. Odpowiada za komuni- •Physical mode, Każda licencja SoftwareBlade jest kację z serwerem zarządzającym oraz •Virtual mode. Network 4 Biuletyn Informacyjny SOLIDEX® 11 NOWOŚCI Rys. 2. Architektura SoftwareBlade dostępna na rozwiązania Appliance oraz platformy Open Servers współdzielona przez system. Nie automatycznie podczas tworzenia. ma znaczenia ile wirtualnych systemów Wszelkie zmiany włącznie z tablicą stworzymy, ka żdy będzie mógł routingu (destination i source routing) korzystać ze wszystkich mechanizmów można zmienić w konfiguracji obiektu. bezpieczeństwa. Warte podkreślenia W nowej wersji R 75.40VS został jest to, że każdy klient może skorzystać również mocno odświeżony interfejs z obrazu iso dostępnego na portalu supportowym i taki system wdrożyć we własnej firmie. Nie jest konieczna żadna dodatkowa licencja na produkt VSX . Od wersji R 75.40VS każde urządzenie może pracować w trybie virtual mode bez ponoszenia dodatkowych kosztów. Virtual mode Migracja z trybu physical do virtual mode jest niemal tak prosta jak opisuje ją producent w swoich materiałach marketingowych. Przygotowany wizard prowadzi administratora przez kolejne kroki konfiguracji. Jeśli pojawia się błąd, natychmiast zostaje wskazane jego źródło i numer sk w bazie wiedzy producenta, pod którym można znaleźć wytyczne do procesu konwersji. Gdy kreator kończy swoje działanie, twor z y obiek t V S X Gateway’a . W k o l e jny c h k r o k a c h , w t a k stworzonym kontenerze administrator konfiguruje wirtualne komponenty: systemy, switche i routery. Każdy element jest odzwierciedlony w konfiguracji jako niezależny obiekt, który posiada unikalne cechy. Podczas konfiguracji wirtualnego systemu powinniśmy podać, z jakimi swichami i routerami będziemy podłączani. Sys t em aut omatyc z nie dodaje niezbędne interfejsy i warp linki. Cały proces zajmuje zaledwie kilka minut. Jego efektem jest stworzenie obiektu VSX Gateway’a, w którym umieszczone są „wirtualne obiekty”. Topologia każdego obiektu zostaje uzupełniona 12 Rys. 3.Kreator konwersji Integrujemy przyszłość® SmartConsole. Można się do niego szybko przyzwyczaić, ponieważ jest bardziej ergonomiczny. Pojawiły się tutaj dodatkowo: •Ekran Overview, w którym znajduje się podsumowanie naszego systemu Numer: IV/2012 (121) bezpieczeństwa: ilość reguł, aktualny ruch, ilość połączeń i wiele innych parametrów. •Filtrowanie aktualnie zdefiniowanych reguł firewall. •Nowy mechanizm konfiguracji tuneli IPSec VPN. •Wsparcie dla sygnatur SNORT. •Obsługa protokołów TLS 1.1 oraz 1.2. Zmian jest bardzo dużo w porównaniu z wersją R75.40, a szczegóły dostępne są na stronie producenta (sk76540). Wymagania systemu, na którym będzie zainstalowany Check Point Virtual Systems: •System operacyjny SPLAT, Windows, GAIA 32 lub 64 bit. •Minimalna ilość pamięci R AM: 2GB. Szczegółowe dane dotyczące minimalnej i maksymalnej ilości pamięci RAM dla urządzeń firmy Check Point można znaleźć w tabeli 1. •Wersja oprogramowania: R75.40VS. •Takie rozwiązanie wspiera technologie C ore X L , C L usterX L , S SL Inspection. Należy zauważyć, że system obsługuje technologię CoreXL. Taka opcja daje możliwość skalowania wydajności. Każdy firewall może mieć przydzielone zasoby w postaci dedykowanej ilości rdzeni procesora. Warto zauważyć, że na liście znajdują się również starsze urządzenia z serii Power-1 oraz IP Appliance, które nie są już w sprzedaży. Obecnie akcesoria do tych modeli są w dalszym ciągu dostępne, więc lista może być uzupełniona o inne urządzenia np.: Power-1 5070. Dodatkowe mechanizmy bezpieczeństwa wprowadzone w wersji R75.40VS Penalty box jest mechanizmem zaimplementowanym w ramach funkcji Performance Pack. Umożliwia on odrzucanie pakietów, które trafiają do nas z podejrzanych lokalizacji. Idea tego mechanizmu jest bardzo prosta, a jego implementacja pozwala na zmniejszenie obciążenia systemu podczas ataków DDoS. Jeśli nasz gateway odrzuca próby nawiązania połączenia w ramach polityki zdefiniowanej na firewallu Rys. 4. Przykładowa konfiguracja VSX Gateway lub nar usz ane s ą polityk i IP S , to takie informacje przekazywane są do mechanizmu penalty box. Jeśli takie sytuacje pojawiają się systematycznie, wszystkie połączenia z tego określonego adresu IP klienta będą odrzucane przez określony czas na niższym poziomie - warstwie przetwarzania mechanizmu Performance Pack. i cenie oferowanych produktów. Należy spojrzeć z uznaniem i zwrócić uwagę na ciągły i dynamiczny rozwój produktów firmy Check Point. Nowy VSX może stanowić bardzo ciekawą alternatywę zwłaszcza dla obecnych klientów. Niewielkim kosztem mogą oni wdrożyć rozwiązanie, które umożliwi im dodanie nowyc h wir t ualnyc h f ir ewalli i inspekcję ruchu w segmentach sieci, które do tej pory nie były wystarczająco lub w ogóle chronione. W ramach tej funkcji pojawiły się dwie nowe tablice kernela: •dos_suspected, •dos_penalty_box. Opracowano na podstawie oficjalnych W pie r w s z e j k ole jno ś c i adr e s materiałów producenta. źródła dodawany jest do tablicy dos_suspected. Jest on tam przetrzyT.P. mywany przez okres 1 sekundy. Jeśli Inżynier SOLIDEX w tym czasie ponownie miało miejsce zdarzenie w ramach polityk firewall lub IPS, to taki adres IP źródła jest przenoszony do drugiej tablicy kernela dos_penelty_box. Tam obydwa „karę” przez 180s. Parametr ten możemy kontrolować z poziomu konsoli systemowej poleceniem sim erdos –t <seconds> Podsumowanie Ostatnie badania firmy IDC Worldwide 2012 wskazują, że Check Point przoduje w dziedzinie urządzeń firewall i UTM, posiadając blisko 2 1% udziałów w rynku. Firma ta jest rozpoznawalna jako najlepszy producent rozwiązań bezpieczeństwa i zarządzania nim. Silna konkurencja sprzyja temu procesowi, co odbija się pozytywnie na jakości Biuletyn Informacyjny SOLIDEX® 13 NOWOŚCI Site Survey. Pierwsze kroki w projektowaniu wydajnych sieci bezprzewodowych Site Survey umożliwiapoznanie i zrozumienie środowiska instalacji projektowanej sieci WLAN. Przygotowany w odpowiedni sposób, jest pierwszym krokiem do zaprojektowania wydajnej sieci bezprzewodowej, modernizacji istniejącego rozwiązaniaWLAN oraz do przeprowadzenia audytu istniejącej infrastruktury produkcyjnej. Site Survey pozwala na stworzenie sieci, która będzie pracować w sposób stabilny i przewidywalny. Celem Site Survey jest przede wszystkim dobór odpowiednich urządzeń nadawczych, ich ilości, optymalnego rozmieszczenia oraz konfiguracji. Zebranie informacji na temat miejsca instalacji pozwala na zaprojektowanie sieci, która będzie spełniać oczekiwaniaklienta. Przygotowanie Gdy projekt jest modernizacją, bądź rozbudową istniejącej infrastruktury Site Survey należy rozpocząć od zrozu- sieciowej, trzeba zebrać informacje mienia potrzeb klienta oraz zebrania na temat wykorzystanej technologii informacji, zaczynając od tych ściśle oraz konfiguracji w celu optymalnej związanych z technologią sieciową, integracji projektowanej sieci. Dane końc z ąc na nie mniej wa ż nych na temat wykorzystywanych częstosprawach organizacyjnych. Spotkania tliwości przez istniejącą infrastrukturę i rozmowy z grupami pracowników, bezprzewodową, zarówno urządzenia z którymi w jakiś sposób zetkniemy się sieci WL AN, jak i bezprzewodowe podczas wykonywanych prac, pozwolą telefony czy monitoring, mogą już na na sprawniejszą realizację zadania. etapie wstępnym zasugerować rodzaj Jeśli chodzi o kwestie sieciowe, wybranego rozwiązania, które pozwoli należy m.in. zadać pytania o rodzaj na ograniczenie skali wzajemnych aplikacji wykorzystywanych w firmie, zakłóceń urządzeń nadawczych. Dane urządzeń sieciowych, okablowania te zostaną oczywiście zweryfikowane oraz wymagań dotyczących przepu- w fazie realizacyjnej. stowości i niezawodności związanych Zazwyczaj istniejąca infrastruktura z projektowanym rozwiązaniem. kablowa powinna zostać zbadana pod 14 Integrujemy przyszłość® kątem projektowanej sieci bezprzewodowej, która wygeneruje dodatkowy ruch na urządzeniach sieciowych. Może zaistnieć potrzeba inwestycji w nowy sprzęt sieciowy lub rekonfiguracji istniejących urządzeń m. in. VLANów, podsieci, zmiany adresacji IP, QOS itp. Osoba zamawiająca pomiar powinna m.in. zdobyć i udostępnić aktualne plany podłogi budynków, oznaczyć na mapach punkty dystrybucyjne oraz określić wymagany obszar pokrycia sygnałem radiowym, a także osobno nakreślić miejsca krytyczne w działaniu sieci, w których konieczna będzie redundancja urządzeń. Istotną kwestią jest, aby proporcje rysunków były zachowane, ponieważ są one Numer: IV/2012 (121) wykorzystywane w oprogramowaniu pomiarowym. Jeśli chodzi o sprawy organizacyjne, w trakcie wizji lokalnej należy przedyskutować szereg, z pozoru mało istotnych kwestii, które jednak mogą znacząco zaważyć na wyniku końcowym lub też w najgorszym przypadku uniemożliwić wykonanie pomiaru. Dostęp do określonych pomieszczeń może wymagać eskorty ochrony, przepustek lub ze względów bezpieczeństwa może nie być w ogóle możliwy. W niektórych przypadkach do instalacji AP w trakcie pomiarów może być konieczne użycie ciężkiego sprzętu, np.: w pomieszczeniach magazynowych charakteryzujących się często znacznym tłumieniem oraz odbijaniem sygnału radiowego. Takie rozwiązanie umożliwi praktycznie odwzorowania środowiska docelowego, jednocześnie jednak wpłynie na czas i koszt pomiarów. W miejscach gdzie propagacja fal radiowych nie napotyka większych przeszkód można zastosować statywy, do których mocowane są AP w trakcie pomiarów. Ponieważ ze względów BHP nie można prowadzić kabli zasilających po ziemi w trakcie pomiarów, np.: na hali produkcyjnej w trakcie godzin pracy, kolejnym problemem może stać się źródło zasilania i użycie baterii UPS. Jest wiele pułapek, pozornie mało istotnych, które czekają po drodze i na pewno doświadczenie w tego typu pracach odgrywa znaczącą rolę i usprawnia pracę. Jeśli weźmiemy pod uwagę fakt, że pomiary często są wykonywane na halach produkcyjnych o powierzchni kilku hektarów, wtedy małe problemy przeradzają się w istotne, które mogą nawet zagrozić właściwemu i terminowemu wykonaniu prac . Zaniechania na etapie przygotowań mogą wpłynąć znacznie na czas wykonania projektu, koszt pomiarów, a końcowy raport może być rozbieżny z oczekiwaniami zamawiającego lub w najgorszym wypadku może być bezużyteczny. hali, gdzie przestrzeń powinna być już zagospodarowana. Jeśli prace są wykonywane na terenie produkcyjnym, takim jak odlewnie, montaż, obróbka itp., należy szczególnie zwrócić uwagę na kwestie BHP. Nie można przeprowadzić testów bez odpowiedniej odzieży oraz wiedzy na temat zagrożeń i miejsc szczególnie niebezpiecznych. Osoba zamawiająca pomiar powinna m.in. zdobyć i udostępnić plany podłogi budynków, następnie jeśli istnieje już infrastruktura kablowa, oznaczyć na mapach punkty dystrybucyjne MDF/IDF oraz określić wymagany obszar pokrycia sygnałem radiowym, nakreślić miejsca krytyczne w działaniu sieci, w których konieczna będzie m.in. redundancja urządzeń. Nadmiarowość urządzeń nie sprowadza się jedynie do AP, pod uwagę należy brać każdy element sieci. Osoba dokonująca pomiaru powinna w obydwu trybach oraz łączenia wyników dla pełnowartościowej analizy. •Symulacje propagacji sygnał u radiowego. Po przeprowadzeniu pomiarów, jeśli na mapach przedstawiających rozkład zmierzonego sygnału wygenerowanych przez aplikację widoczne są miejsca, na których wartości sygnału nie są optymalne, istnieje możliwoś ć zmian w ustawieniach m.in. mocy wyjściowej AP, częstotliwości pracy czy zmiany identyfikatora sieci SSID. Możemy również zmienić pierwotne położenie AP i następnie obserwować skutki zmian, bez konieczności przeprowadzenia dodatkowych prac pomiarowych. •Integrację z AirMagnet Spectrum XT, AirMagnet Spectrum Analyzer, czy Cisco Spectrum Expert dającą możliwość równoczesnego przeprowadzenia pomiarów WiFi oraz Site Survey należy rozpocząć od zrozumieniapotrzeb klienta oraz zebraniainformacji, zaczynając od tych ściśle związanych z technologią sieciową, kończąc na nie mniej ważnych sprawach organizacyjnych. być wyposażona w odpowiedni sprzęt. Jednym z najlepszych narzędzi wykorzystywanych w trakcie Site Survey jest oprogramowanie AirMagnet Survey firmy Fluke Networks. Aplikacja ta jest instalowana na laptopie, który jest wyposażony w kartę służącą do pomiarów. Narzędzie to umożliwia m.in.: •Pomiar pasywny oraz ak tywy sieci WLAN. W trybie aktywnym w odróżnieniu od trybu pasywnego AirMagnet jest podłączony do AP. Umożliwia to emulację pracy użytkownika oraz zebranie informacji na temat przepustowości sieci, retransmisji pakietów oraz ilości utraconych pakietów. Natomiast Realizacja tryb pasywny daje możliwość m.in. wykrycia nieautoryzowanych AP Pomiary powinny zostać przeprowaoraz potencjalnych źródeł zakłóceń. dzone w środowisku docelowym np. AirMagnet daje możliwość jednow nowo wybudowanym budynku czy czesnego przeprowadzenia pomiaru Biuletyn Informacyjny SOLIDEX® p omiar ów mają c yc h na c elu wykrycie potencjalnych interferencji, powodowanych przez różne urządzenia nadające na tym samym paśmie. •Wykrycie interferencji między sąsiadującymi urządzeniami sieci WLAN. •Pomiary pod sieć VoWLAN. Zdefiniowane profile telefonów oraz możliwość tworzenia własnych umoż liwiają zaprojek t owanie sieci zgodnie z zaleceniami producentów. AirMagnet daje możliwość weryfikacji jakości połączenia oraz innych specyficznych parametrów głosowych. •Zobrazowanie obszarów roamingu. •Generowanie szczegółowych raportów - możliwość dostosowywania informacji zawartych w raporcie w zależności od wymagań projektu. •Badanie wielopoziomowe budynków. 15 NOWOŚCI Rys. 1. Mapa zasięgu – wizualizacja propagacji sygnału dla okre ślonej war toś ci progowej [dBm] Rys. 2. Mapa zasięgu – wizualizacja interferencji dla zadanej wartości progowej [%] Rys. 3. Mapa zasięgu – wizualizacja nadmiarowości dla przyjętego kryterium [szt.] 16 Integrujemy przyszłość® Numer: IV/2012 (121) Alarm/Threshold Signal Coverage Value 90,70% of Good Area Minimum AP signal strength required -67,00 Multiple AP Signal Coverage 33,10% of Good Area Number of APs required to provide coverage Minimum AP signal strength required to provide coverage Channel Interference 2,00 -67,00 78,00% of Good Area Interfered APs: Exclude APs if signal strength is weaker than -75,00 Interfering APs: Exclude APs if signal strength is weaker than -85,00 Signal Noise Ratio Coverage 90,70% of Good Area Minimum Signal Noise Ratio required 25,00 Tabela 1. Procentowe zestawienie wyników dla wybranych wartości progowych •Pomiar zarówno niewielkich powierzchni biurowych, hali produkcyjnych kończąc na wielkościach rzędu miasta. Obsługa aplikacji polega na wgraniu dostarczonych przez klienta planów budynku oraz konfiguracji parametrów skanowania. Następnie osoba dokonująca pomiarów porusza się z laptopem po wyznaczonym obszarze budynku nanosząc informacje o swoim położeniu na wgranym uprzednio planie. Prędkość poruszania się jest dość istotna, jeśli chodzi o wiarygodność pomiaru. Związane jest to z próbkowaniem sygnału, a na jej wpływ ma ilość skanowanych kanałów. Dla częstotliwości 2,4Ghz oraz 5Ghz zalecany jest osobny pomiar, pomaga to między innymi w późniejszej analizie raportu. Najlepiej skanowanie przerywać mniej więcej co 30 minut, zapisać zebrane dane i rozpocząć nowy pomiar. Dzięki tej praktyce w przypadku jakichkolwiek problemów: czy to z samą aplikacją, systemem Windows, czy nagłym brakiem zasilania, utracimy jedynie część danych. Szczególnie odczujemy to, gdy tego nie zrobimy po kilkugodzinnych pomiarach i będziemy zmuszeni powtórzyć cały proces. Kolejną aplikacją wspomnianą wcześniej jest AirMAgnet Spectrum XT. Program wykorzystywany jest równolegle z oprogramowaniem Survey i służy do wykrywania i identyfikacji różnego rodzaju urządzeń bezprzewodowych mogących zakłócać pracę sieci WLAN. Wykorzystanie aplikacji jest szczególnie istotne w miejscach, takich jak szpitale czy linie produkcyjne, których aparatura może się wzajemnie zakłócać z urządzeniami sieci WL AN. Uruchomienie sieci WLAN z nieodpowiednio dobranym sprzętem w przedstawionych powyżej przypadkach może doprowadzić do poważnych konsekwencji, w najgorszym wypadku do przeprojektowania całej sieci. Raport w stanie na bieżąco monitorować stan sieci bezprzewodowej i identyfikować źródła zakłóceń. Przykładem tego typu rozwiązania jest system WCS firmy Cisco z technologią CleanAir. Opracowano na podstawie oficjalnych materiałów producenta. P.W. Inżynier SOLIDEX Ostatnim krokiem Site Survey jest wygenerowanie raportu z zebranych danych oraz ich odpowiednia interpretacja. Narzędzie AirMagnet Survey oferuje gotowe szablony, k tóre zawierają zdefiniowane zestawy map propagacyjnych. Istnieje również możliwość dostosowywania raportu do własnych potrzeb. Program pozwala na zdefiniowanie wartości progowych dla wymaganych map zasięgów i następnie na bazie zebranych danych tworzony jest raport końcowy. Ze względu na rodzaj medium, jakim jest niekoncesjonowane pasmo radiowe, propagacja sygnału radiowego będzie się zmieniać. Wpływ na to będą miały różne czynniki, takie jak zmiany w układzie pomieszczeń, modernizacja sieci WL AN, czy też montaż nowych urządzeń automatyki przemysłowej komunikujących się z wykorzystaniem standardów sieci 802.11 a/b/g/n. Skutki tego typu zmian są trudne do przewidzenia, dlatego warto zastanowić się nad instalacją systemów zarządzania, które są Biuletyn Informacyjny SOLIDEX® 17 TECHNOLOGIE FlexPod – wspólna platforma Cisco i NetApp Zmieniające się w ostatnich latach podejście do gromadzenia i przetwarzania danych skłania przedsiębiorstwa do tworzenia własnych centrów danych, a użytkowników do pracowania na wirtualnych maszynach uruchomionych na odpowiednich serwerach. Takie podejście jest ekonomiczne, jeśli chodzi o wykorzystanie energii elektrycznej, bezpieczne oraz przede wszystkim bardzo elastyczne pod względem dalszej rozbudowy. Gdy w przedsiębiorstwie występuje wiele działów, każdy z nich korzysta z innego zestawu aplikacji oraz potrzebuje innej mocy obliczeniowej. W takiej sytuacji często pojawiasię problem z kompatybilnością poszczególnych elementów. By sprostać tym wyzwaniom Cisco i NetApp opracowało wspólnie platformę o nazwie FlexPod. Jej cechą charakterystyczną jest kompatybilność z największymi na świecie producentami systemów operacyjnych oraz hypervisorów takich jak: VMware, Red Hat czy Microsoft. Produkty tych producentów zostały przetestowane i zatwierdzone przez platformę FlexPod i posiadają dla niej pełne wsparcie. Dlaczego FlexPod? wirtualizacyjnych należy wyróżnić: •Zintegrowaną i przetestowaną Przedsiębiorstwa potrzebują przetestotechnologię dostarczaną przez liderów wanej platformy Data Center, która jest branży wirtualizacyjnej. korzystna finansowo, wspiera zasoby •Pojedynczą platformę zbudowaną wirtualne i nie-wirtualne oraz może z ujednolic onych t echnologii zostać łatwo wdrożona w dużym do przechowywania danych oraz środowisku IT z maksymalną skuteczser wer owyc h , k t ór a poz wala nością oraz minimalnym ryzykiem. na zbudowanie skalowalnego Wszystkie te założenia spe ł nia centr um danych bez zmian FlexPod. Wśród czynników odróżniaw architekturze. jących FlexPod od innych platform •Scentralizowany, uproszc zony 18 Integrujemy przyszłość® system zarządzania infrastrukturą zasobów. •Nowy elastyczny model wsparcia tworzony przez zespół zarówno inżynierów Cisco jak i NetApp. Komponenty najlepsze w swojej klasie FlexPod składa się z trzech komponentów, k tóre w st andardowej Numer: IV/2012 (121) konfigurac ji pot rafią obs ł u ż yć do 1500 użytkowników, mających różne zapotrzebowania na wydajność. Takie zintegrowane rozwiązanie potrafi znacząco zredukować koszty i wydatki operacyjne, poprawiając wydajność w każdej warstwie. Poniżej przedstawiono poszczególne z nich: •Cisco Unified Computing System – jest to platforma przeznaczona dla centrów obliczeniowych, zaprojektowana tak, aby wyeliminować pochłaniające czas ręczne konfiguracje i zredukować koszty. UCS łączy funkcje jednostki obliczeniowej, sieci, dostępu do centrum obliczeniowego i wirtualizacji w skalowalny, modularny system, który może być łatwo zarządzany jako całość przez Cisco UCS Manager. Maksymalnie uproszczona architektura w doskonały sposób redukuje ilość urządzeń, które muszą być zakupione, s k onf ig ur owa ne , z a r z ą d z a ne i chronione. Szablony profili usług pozwalają na zautomatyzowane, oparte o polisy, konfiguracje sprzętu oraz wdrożenia dla dużych środowisk. Wysokowydajna technologia rozszerzonej pamięci UCS dodatkowo pozwala zmniejszyć zapotrzebowanie na pamięć do 60%. •Cisco Nexus – przełączniki dla centrów obliczeniowych, używające technologii Unified Fabric do identyfikacji i konsolidacji całego ruchu sieciowego w uproszczoną, korzystną finansowo architekturę. Przełączniki Nexus oferują instalację „zero-touch”, automatyczną konfigurację oraz znakomitą skalowalność. Pojedynczy punk t zar z ądzania równie ż Rys. 1. Producenci oprogramowania, którzy są wspierani przez FlexPod zwiększa wydajność, dostępność i bezpieczeństwo. •NetApp FAS – wysoce skalowany sys t em mac ier z y dyskowych, spełniający kompleksowo wszystkie wymagania stawiane centrum przechowywania danych. Ujednolicona platforma od NetApp jest kompatybilna z wszystkimi protokołami, więc nie trzeba dokupować oddzielnych systemów, by dostosować się do różnych wymagań. Macierz posiada wiele narzędzi, które wspomagają jak najkorzystniejsze wykorzystanie przestrzeni dyskowej, między innymi „thin provisioning”, narzędzia do deduplikacji danych, a także odpowiednio zaprojektowany sposób tworzenia backupów oraz klonów. Dostęp do macierzy może być realizowany poprzez łącza 10GbE lub FCoE Rys. 2. Architektura platformy FlexPod Biuletyn Informacyjny SOLIDEX® z wykorzystaniem protokołów NFS i iSCSI. Aplikacje Enterprise + FlexPod SAP Używając SAP Adaptive Computing i Adaptive Computing Controller można w łatwy sposób przenieść system SAP z wirtualnego serwera na serwer fizyczny. SAP Adaptive C omputing C ontroller poz wala uruchomić system SAP, zatrzymać go, przenieść manualnie lub zgodnie z wyznaczonym harmonogramem. Celem zastosowania SAP Adaptive C o m p u t in g j e s t w y m i e n i e n i e używanego dotychczas mało elastycznego połączenia pomiędzy systemem operac yjnym i systemami S A P na centralny system udostępniania danych ze współdzielonymi zasobami. Zasoby te mogą być organizowane w bloki, co pozwala by system reagował z duż ą elastyc znością w zależności od aktualnych potrzeb. FlexPod został zaprojek towany tak, aby spe łnić te wymagania. Typowy klient SAP w dzisiejszych czasach zawiera różne komponenty NetWeaver, a także SAP Business Suite. Procesy takie jak testowanie patchy do aplikacji, wydajność, a także testy integralności danych wymagają kilku kopii komponentów SAP. Muszą być one często odświeżane, zwykle co tydzień lub co miesiąc. Utworzenie kopii systemu SAP zazwyczaj zajmuje kilka dni, a wiele kroków podczas tego procesu musi być wykonywanych 19 TECHNOLOGIE FlexPod zapewnia ujednolicony system macierzy, serwerów i sieci, który sprawia, że każdy klaster Microsoft Hyper-V wykonuje założone cele. Chmura Hyper-V zawiera co najmniej dwa klastry. Pierwszy z nich, zawierający co najmniej dwa nody, jest zwany klastrem zarządzającym. Drugi i każdy następny to klaster hostów. Każdy z nich może zawierać do 16 nodów i wymaga dostępu do zasobów macierzowych poprzez Fibre Channel lub iSCSI SAN. Chmura Microsoft Hyper-V korzysta ze skalowalności FlexPod, by umożliwić wdrożenie kompletnej chmury prywatnej. Model wdrożenia i supportu Rys. 3. Komponenty wchodzące w skład FlexPod ręcznie, co pochłania cenny czas działu IT. Funkcjonalność o nazwie „multi-tenancy” pozwala klonować systemy SAP i trzymać je bezpiecznie odseparowane od ich źródła. Izolacja tych klonów jest zapewniona przez FlexPod, Cisco TrusSec Security i VMware vShield. snapshotów, zdolności do klonowania oraz disaster recovery. Odkąd cały klaster działa w ramach jednego spójnego systemu, administratorzy baz danych nie muszą konfigurować Oracle Oracle Real Application Clusters (RAC) wprowadza innowac yjne podejście do rosnącego zapotrzebowania na miejsce dla danych oraz na wysoką wydajność. Oracle RAC używa modelu „horizontal scaling”, który pozwala organizac ji skorzystać z faktu, że cena architektury x86 spada, a moc obliczeniowa rośnie. Gdy z serwerów tworzone są klastry, ich moce obliczeniowe sumują się do jego Rys. 4. Model Supportu dla FlexPod ogólnej mocy, umożliwia to nowe podejście do zarządzania wydajnością i pojemnością każdego elementu w stacku oddzielnie. takiego klastra. FlexPod wspiera Całość jest zarządzana przez Cisco UCS implementację Oracle Database Manager. 11g Release 2 z technologią R AC zgodną z branżowymi best practises. Microsoft Do zapewnienia możliwości przecho- Klaster Hyper-V jest grupą niezawywania i zarządzania danymi le ż nych ser werów prac ując ych architektura ta używa NetApp Fabric- wspólnie, by zwiększyć dostępność -Attached Storage (FAS) z dyskami aplikacji i usług. Serwery połączone SAS, a także flash cache do dalszego w klaster (zwane nodami) są połączone wz r o s t u w ydajno ś c i i z ap e w - ze sobą fizycznymi kablami oraz nienia wydajnych pojemnościowo oprogramowaniem. Architektura 20 Integrujemy przyszłość® Cisco i NetApp dbają o to, by klient dostał gotowe rozwiązanie, które zostanie szybko i dokładnie wdrożone. Na świecie działa 120 wybranych par tnerów, k tórzy po przejś ciu intensywnych szkoleń są w stanie z aofer ować k lient owi F lexPod. Szkolenia te, głównie dotyc z ą tego, jak poprawnie wdrożyć r oz wi ą z a nie F le xPo d oraz jak zoptymalizować je w zakresie elastyczności konfiguracji, aby spełnić wszystkie wymagania oraz uwzględnić przyszłe plany klientów w zakresie IT. Zarówno partnerzy, jak i klienci mogą korzystać ze specjalnego supportu oferowanego przez specjalistów z Cisco i NetApp. Jest to zespół ekspertów do rozwią zywania unik alnych wymaga ń platformy FlexPod. Wspólny model supportu opiera się na ogromnym do ś wiadc zeniu, k t óre poz wala zapewnić sprawny proces identyfikacji i rozwiązywania problemów klientów, niezależnie od tego, gdzie problem wystąpił. Podsumowanie Mimo tego, że FlexPod został zaprezentowany dopiero pod koniec 2010 roku, zdążył już zdobyć wielu klientów, chcących wdrożyć infrastrukturę Numer: IV/2012 (121) Numer: II/2012 (119) wirtualną w swoim przedsiębiorstwie, Podsumowanie elastyczne rozwiązanie do uruchamiania aplikacji biznesowych lub Lync jest wieloplatformowy, może platformę Software-as-a-Service działać zarówno na komputerach – SaaS. Dzięki współpracy Cisco stacjonarnych Windows i Mac OS, i NetApp powstał produkt, który jest jak i Platformach Mobile Windows kompatybilny z większością oprograPhone, iOS (iPad, iPhone), Android. mowania klasy Enterprise, a zarazem Podstawowy interfejs nie odbiega posiadający innowacyjne podejście od wzorcowego okna komunikatora do supportowania platformy jako internetowego. Rysunek 3 przedstawia spójnej całości. pionowo zorientowaną listę kontaktów ze zdjęciami, obok umieszczono status Opracowano na podstawie oficjalnych i opis, w górnej części menu podstamateriałów producenta. wowych funkcji. Wspomniany pulpit nawigacyjny upraszcza odnajdowanie M.K. i używanie typowych funkcji, takich Inżynier SOLIDEX jak klawiatura numeryczna, wizualna poczta głosowa, lista kontaktów i lista aktywnych konwersacji. Lync jest bardzo elastyczny, jeśli chodzi o wdrożenia i możliwości integracji. Możliwa jest również integracja programu z istniejącą telefonią IP, jak na przykład Cisco. Rysunek 2 przedstawia przykładową integrację z IP telefonami. Powyższy artykuł miał na celu przedstawienie aplikacji Lync od strony użytkownika. Program Microsoft Lync 2010 to doskonały klient do ujednoliconej komunikacji z możliwością obsługi wiadomości błyskawicznych, połączeń głosowych oraz spotkań. W zak tualizowanym inter fejsie użytkownika programu Lync rozmaite narzędzia do komunikacji rozmieszczono w sposób usprawniający ich obsługę. Funkcje konferencji są jeszcze skuteczniejsze dzięki wbudowanej funkcji udostępniania pulpitu i aplikacji, funkcji przekazywania w programie Power Point oraz funkcji kopiowania i wklejania obrazów i innej zawartości. Opracowano na podstawie oficjalnych materiałów producenta. M.G. Inżynier SOLIDEX SOLIDność w każdym działaniu... Biuletyn Informacyjny SOLIDEX® 33 21 TECHNOLOGIE Cisco Prime Infrastructure 1.2, czyli jak efektywnie zarządzać infrastrukturą sieciową Dynamiczny rozwój i transformacja technologii informatycznych niesie za sobą coraz większe wyzwaniadla tradycyjnego zarządzaniasieciami. Popularyzacja urządzeń mobilnych, transmisja głosu i wideo, centra danych z wszechobecną wirtualizacją, wzrost ilości usług w chmurze, to wszystko powoduje znaczne zwiększenie potrzeb związanych z jakością infrastruktury sieciowej. Obecnie od administratorów wymaga się usuwaniaproblemów zanim zaczną wpływać na świadczone usługi lub użytkownika końcowego. Cisco Prime Infrastructure zaprojektowano, aby sprostać tym wyzwaniom oferując kompleksowe rozwiązanie do zarządzaniai monitoringu sieci. Czym jest Cisco Prime Infrastructure? Cisco Prime Infrastructure to narzędzie do zarządzania infrastrukturą sieciową z jednego interfejsu graficznego, które ujrzało światło dzienne we wrześniu tego roku. Łączy ono w sobie bezprzewodowe i przewodowe funkcjonalności Cisco Prime Network Control System (NCS) i Cisco Prime LAN Management Solution (LMS), z możliwościami monitoringu oraz rozwiązywania problemów Cisco Prime Assurance Manager. Konsolidując w jedną całość dotychczasowe rozwiązania oferowane przez Cisco, produkt ten pozwala na zmniejszenie ilości niezbędnych 22 zasobów, a co za tym idzie na zwiększenie produktywności. W związku z pojawieniem się Cisco Prime Infrastructure 1.2, prace nad rozwojem NCS i LMS jako osobnych produktów zostaną wstrzymane. Przejście z Cisco Prime Network Control System na Cisco Prime Infrastruc ture 1. 2 jest stosunkowo proste i bezbolesne. W nowym Rys.1. Cisco Prime Infrastructure 1.2 - okno logowania produkcie otrzymujemy wszystkie dotychczasowe funkcjonal- bardziej skomplikowana może okazać ności wzbogacone o szereg nowych, się migracja z LMS, gdyż w jego do tej pory nieobsługiwanych. Nieco przypadku nie nastąpiło odwzorowanie Integrujemy przyszłość® Numer: IV/2012 (121) jeden do jednego. W związku z tym, aby mieć możliwość spokojnej, przemyślanej i stopniowej migracji, do Cisco Prime Infrastructure 1.2, dodawany jest LMS 4.2 będący zarazem ostatnią wersją tego produktu. Dzięki takiemu rozwiązaniu klienci stają się posiadaczami dwóch produktów i migracja może odbywać się w dowolnym tempie w zależności od potrzeb i możliwości. Kluczowe funkcjonalności i korzyści z nich płynące W celu sprostania wciąż rosnącym wymaganiom dotyczącym zarządzania, utrzymania i monitoringu sieci, Cisco Prime Infrastructure 1.2 oferuje niżej przedstawione funkcjonalności, przekładające się na następujące korzyści: Efektywność operacyjna •Usprawniono podział zadań poprzez dostosowanie ich do ról pełnionych przez poszczególnych użytkowników systemu, co w znaczącym stopniu ułatwia projektowanie, wdrażanie i eksploatację sieci. •Wprowadzono intuicyjny interfejs graficzny pozwalający na wyświetlanie najbardziej istotnych dla danego użytkownika informacji, co znacznie zwiększa wydajność i przyśpiesza procesy rozwiązywania problemów będąc jednocześnie przyjaznym środowiskiem dla początkujących, jak i doświadczonych administratorów. •Wprowadzono pasek narzę dzi dostępny z przeglądarki lub klienta Microsoft Outlook dający podgląd statusu sieci w czasie rzeczywistym; dost ępna jest t ak że aplikac ja na urządzenia mobilne z systemem Apple iOS dająca możliwości zarządzania siecią i usuwania problemów z każdego miejsca w dowolnym czasie. Najlepsze praktyki Cisco •Integracja z bazą wiedzy Cisco, w celu zapewnienia optymalizacji usług, wsparcia, aktualizacji produktów i raportowania. •U ł a t w i o n e t w o r z e nie z a d a ń serwisowych. Rys.2. Cisco Prime Infrastructure 1.2 - kompletne menu z dodatkowym oknem Rys.3. Cisco Prime Infrastructure 1.2 - zakładka Home Rys.4. Cisco Prime Infrastructure 1.2 - zakładka Design •Wbudowane rozwiązanie HA (high availability) mak symalizujące wydajność i dostępność usług. Usprawnienie operacji •Elastyczne i wydajne rozwiązanie Administracja oparte o maszyny wirtualne lub •Kontrola dostępu oparta na rolach fizyczną platformę, łatwe do instaużytkowników, zapewniająca dostęp lacji dla sieci o dowolnej wielkości. tylko do właściwych zasobów. Biuletyn Informacyjny SOLIDEX® Zarządzanie •Jedno kompleksowe rozwiązanie zapewniające możliwoś ć zarządzania infrastrukturą sieciową na wielu poziomach, eliminujące koniec znoś ć posiadania wielu narzędzi, redukujące koszty operacyjne i szkoleniowe. 23 TECHNOLOGIE na odnajdywanie danych •Rozszerzone wsparcie audytu dla na temat problemów występujących wielu protokołów zwiększające w określonym czasie lokalizacji, dokładność i dające pełny obraz sieci czy też dotyczących konkretnych (m.in. CDP, LLDP, ARP, BGP, OSPF). użytkowników bądź urządzeń. •Elastyczne grupowanie i profilowanie pozwalające na lepszy podział •Wsparcie dla NetFlow w wersji 9. zadań i obszarów odpowiedzialności •Zdefiniowana kolekcja szablonów do zbierania informacji na temat w dużych sieciach. działania aplikacji, analizy ruchu. •Centralizacja obsługi wielu urządzeń zapewniająca niezbędne narzędzia •Opcja rozszerzania szablonów o własne dodatkowe parametry, i funkc jonalno ś c i do łatwego szablony konfiguracyjne modułów zarządzania sprzętem sieciowym, N A M, de dykowane s z ablony w t y m au d y t i z a r z ą d z a n i e i przystawki do monitoringu usług oprogramowaniem. głosowych i wideo. •Konfigurowalne szablony oparte o najlepsze praktyki projektowe u ł a t w i a j ą c e i m p l e m e n t a c j ę Sieci bezprzewodowe rozwiązań (integracja z Cisco ISE •Wsparcie dla sprzętu i oprogramowania w wersji WLC 7.3 w tym: i CSACS). kontrolery serii 8500, kontrolery wirtualne, AP serii 2600 i 1550, Proxy Monitoring •Scentralizowany monitoring sieci Mobile IPv6 i wiele innych. różnych rozmiarów i topologii, •Mapy następnej generacji wspierające obrazy wysokiej rozdzielczości dedykowane tablice i widoki dostar(lepsza jakość widoczności obiektów). czające szczegółowych danych do monitorowania użytkowników •Automatyc zne tworzenie map i dodawanie na nich AP przy użyciu końcowych. wyrażeń regularnych. • Bogaty zestaw filtrów pozwalających Rys.5. Cisco Prime Infrastructure 1.2 - zakładka Deploy Rys.6. Cisco Prime Infrastructure 1.2 - zakładka Operate 24 Integrujemy przyszłość® •Zdolność do automatycznego wykrywania wrogich AP i identyfikowania informacji na temat przełącznika i portu do którego są podłączone. •Możliwość audytu i monitorowania przełączników innych producentów oraz kontrolerów bezprzewodowych i AP firmy Aruba Networks. Zarządzanie konfiguracjami •Konfigurowanie szablonów dla DMVPN, GETVPN, ACL i ScanSafe. •Wsparcie na poziomie urządzenia dla DMVPN, GETVPN,ACL, EIGRP, RIP, OSPF, routingu statycznego, interfejsów ethernet, NAT. Wymagania Produkt Cisco Prime Infrastructure 1.2 dostępny jest w postaci maszyn wirtualnych lub dedykowanego urządzenia odpowiadającego swoją wydajnością maszynie wirtualnej „large ova” z preinstalowanym systemem. Do wyboru mamy cztery rodzaje maszyny różniących się wydajnością oraz ilością obsługiwanych urządzeń. Do swojego działania maszyny wirtualne wymagają VMware ESXi Server, wersja zależy od rodzaju maszyny: •small ova - wymaga ESXi 4.1 lub 5.0, 8 GB RAM, 200GB HDD, 4 virtual CPUs @2,93 GHz, •medium ova - wymaga ESXi 4.1 lub 5.0, 12 GB R AM, 300GB HDD, 4 virtual CPUs @2,93 GHz, •large ova - wymaga ESXi 5.0, 16 GB RAM, 400GB HDD, 16 virtual CPUs @2,93 GHz, •extra large ova - wymaga 5.0, 24 GB RAM, 1,2 TB HDD, 16 virtual CPUs @2,93 GHz. Dostęp do interfejsu graficznego przez www możliwy jest z komputerów wyposażonych w następujące przeglądarki: •Google Chrome 19.0 lub wyższa, Prime Infrastructure testowany był na wersjach do 21. •Microsoft Internet Explorer 8.0 lub 9.0 z Adobe Flash i wtyczką Google Chrome Frame, natywny IE nie jest wspierany. •Mozilla Firefox 13,14 lub ESR 10.x. Rozdzielczość: minimalna powinna wynosić 1024x768, dla zwiększenia komfortu pracy zaleca się jednak stosowanie wyższych. Pełna lista wspieranych urządzeń Numer: IV/2012 (121) Rys.7. Cisco Prime Infrastructure 1.2 - zakładka Report poszczególnych urządzeń, użytkowników oraz incydentów (widocznych w postaci alarmów o różnym poziomie istotności), które miały bądź mają miejsce w naszej sieci, a także narzędzia służące do przechwytywania i analizy ruchu. Następną zakładką jest Report (rysunek 7), dająca dostęp do szeregu raportów, domyślnie skonfigurowanych lub zmodyfikowanych przez użytkowników. Ułatwiają one analizę zebranych danych i wyciąganie wniosków na temat działania naszej infrastruktury. Ostatnią zakładką jest Administration (rysunek 8). To tu mamy możliwość konfigurowania Cisco Prime Infrastructure 1.2, dodawania użytkowników i przypisywania im ról oraz uprawnień, aktualizacji oprogramowania i zarządzania licencjami. Podsumowanie Produkt Cisco Prime Infrastructure 1.2 przeznaczony jest dla wszystkich, k t ó r z y c h c ą z au t o m a t y z o w a ć i usprawnić zarządzanie siecią oraz obniżyć koszty związane z jej utrzymaniem. Ze względu na dużą granulację i elastyczność licencjonowania może Rys.8. Cisco Prime Infrastructure 1.2 - zakładka Administration być używany w sieci każdej wielkości, dając administratorom pełny jej obraz i wersji oprogramowania znajduje się m e n u z d o d a t k o w y m o k n e m i sprawiając, że usuwanie problemów umożliwiającym dojście na skróty stanie się szybsze i bardziej efektywne. pod adresem: http://www.cisco.com/en/US/docs/ do podstawowych czynności, które C isc o P r ime Inf r as t r uc tur e 1 . 2 net_mgmt/prime/infrastructure/1.2/ możemy wykonać (rysunek 2), aby to kompleksowe rozwiązanie łączące supported/devices/CPI12_supported_ zacząć pracę z naszą siecią za pomocą w sobie zalety dotychczasowych devices.xlsx Cisco Prime Infrastructure 1.2. Jak widać produktów związanych z administracją zakładki menu zostały podzielone sieci, które pozwala stawić czoła wciąż Rzut oka na GUI na sześć sekcji. Pierwsza z nich to Home rosnącym wymaganiom jakościowym (rysunek 3). Jest ona całkowicie konfi- i bez obaw wdrażać nowe usługi oraz Wraz z pojawieniem się Cisco Prime gurowalna i każdy użytkownik może technologie. Infrastructure 1.2 przemodelowaniu dostosować ją do własnych potrzeb, uległ interfejs graficzny. Domyślnym aby wyświetlane informacje były Opracowano na podstawie oficjalnych widokiem jest tzw. Lifecycle, który adekwatne do pełnionej roli. Kolejną materiałów producenta. organizuje menu w bloki funkcjonalne zakładką jest Design (rysunek 4). Z tego pogrupowane w zależności od zakresu poziomu mamy dostęp do wszystkich P.K. zadań i obszarów odpowiedzialności. zadań związanych z tworzeniem Inżynier SOLIDEX Dla dotychczasowych użytkowników różnego rodzaju szablonów, dodawania NC S czy WC S przyzwyczajonych map itp. Następna zakładka Deploy do innego wyglądu GUI, istnieje (rysunek 5) pozwala nam na implemożliwość przełączenia na tzw. Classic mentację wcześniej skonfigurowanych View, który jest niemal identyczny szablonów, a także oprogramowania. jak we wspomnianych produktach. Idąc dalej trafiamy na zakładkę Po instalacji produktu do interfejsu Operate (rysunek 6), która wykorzygraficznego dostajemy się wpisując stywana będzie najczęściej. Dotyczy adres urządzenia w okno przeglądarki ona bowiem zadań zwią zanych i naszym oczom ukazuje się okno z szeroko rozumianym pojęciem logowania (rysunek 1). Po pierwszym utrzymania sieci. Dostępne są w niej zalogowaniu pojawia się kompletne opcje podglądu statusu całej sieci, Biuletyn Informacyjny SOLIDEX® 25 Remote Access Manager jest elastyczną, skalowalną aplikacją, która w szybki i prosty sposób może zostać dostosowana do indywidualnych potrzeb klienta. Głównym jej zadaniem jest zarządzanie zdalnym dostępem poprzez obsługę kont zewnętrznego dostępu, dynamiczne nadawanie haseł dostępu oraz określanie czasu trwania sesji dostępu. Funkcje zarządcze realizowane są za pomocą konsoli administracyjnej, umożliwiającej ich wykonanie przy użyciu interfejsu webowego. Remote Access Manager 26 Integrujemy przyszłość® Numer: IV/2012 (121) McAfee NitroSecurity Kilka słów o McAfee SIEM znanym jako NitroSecurity. Monitorowanie i zabezpieczenie sieci firmowej stanowi prawdziwe wyzwanie, chociażby ze względu na złożoność jej architektury, ilości punktów styku z Internetem, konieczności publicznego dostępu do sieci komputerowej oraz natężenia i różnorodności ruchu zewnętrznego, jak i wewnętrznego. Aby zapobiec atakom w sieci lub przynajmniej ich skutkom, niezbędne okazują się narzędziaokreślane jako systemy SIEM (Security Information and Event Management). Liderem wśród tego typu systemów jest należący do portfolio firmy McAfee system NitroSecurity, określany również jako SIEM następnej generacji. McAfee SIEM zapewniaochronę i dostęp do zdarzeń w czasie rzeczywistym. Główne cechy: •zintegrowany SIEM i log menadżer, •monitorowanie baz danych, •monitorowanie aplikacji, •zaawansowane funkcje korelacji ryzyka, jak również tryb korelacji historycznych danych. System SIEM firmy Mc Afee jest oparty o wbudowaną autorską bazę danych, która została stworzona specjalnie po to, aby zapewnić wysoką wydajność, prędkość w magazynowaniu, wyszukiwaniu i korelowaniu zdarzeń oraz logów. A rchitek tura systemu jest modułowa, oparta na appliance’ach z opcją VMware Receivera. Pozwala dopasować rozwiązanie do indywidualnych potrzeb zarówno pod kątem wydajności, jak i funkcjonalności, a wszystkimi modułami zarządza się przez pojedyncze adoptowalne okno przeglądarki. Komponenty systemu: •ESM (Enterprises Security Manager) - zapewnia ujednoliconą wizualizację i analizę danych, alarmy i raporty Biuletyn Informacyjny SOLIDEX® dotyczące tych danych oraz zarządzanie politykami bezpieczeństwa. •ELM (Enterprises Log Manager) - zapewnia zarządzanie logami, przestrzeń dla magazynowania logów zarówno na wbudowanej pamięci, jak również możliwość składowania na zewnętrznych przestrzeniach storage’owych (SAN/CIFS/NFS). •Receivery – urządzenia generujące logi i zdarzenia najczęściej różnych producentów (3th Party) dotyczące r uchu w siec i, s ą t o równie ż wirtualne urządzenia zbierające logi z VMware’owych maszyn 27 rozwiązania wirtualnych. •ADM (Application Data Monitor) - monitor danych aplikacji, monitorowanie warstwy siódmej z pełną archiwizacją meta danych. •DBM (DataBase Activity Monitor) - nie inwazyjny monitor baz danych, generuje logi ruchu bazodanowego, wspó ł prac uje z wsz yst k imi wiodąc ymi producent ami baz danych, •ACE (Advanced Correlation Engine) – urządzenie zapewniające zawansowane wiązanie zdarzeń oraz historyczne korelacje zdarzeń, może również przenieść na to urządzenie funkcje podst awowego sinika wykrywania powiązanych zdarzeń. Schemat architektury (rysunek 1) Nie wszystkie komponenty muszą b y ć o s o b nym i a p p li a n c e ’a m i . McAfee ma w ofercie "Combo Boxes", są to urządzenia z więcej niż jedną funkcjonalnością, na przykład ESM, Receiver i ELM. Rozwiązanie jest skalowalne, do każdej ilości EP S (events per second) można dopasować odpowiednią lic zbę "sk r zynek ". Jedynym ograniczeniem urządzenia jest jego przepustowość, fizyczna możliwość przetworzenia danej liczby ESP na sekundę. Nie ma natomiast ograniczenia licencyjnego. Interfejs u ż yt kownika Nit r o V iew E SM to interaktywne, personalizowane okno przeglądarki. Twórcy kierowali się zasadą od ogóły do szczegółu, proste kliknięcie elementu raportu powoduje uszczegółowienie danego wycinka informacji. Przykładowo kliknięcie w wykres „Logon attempt” powoduje przefiltrowanie i wyświetlenie informacji szczegółowych dotyczących tego typu zdarzeń. Istnieje możliwość zawężenia wystąpienia zdarzeń do wybranych godzin np. od godziny 15:00 do 16:00, powodując zawężenie i uszczegółowienie informacji. Przy czym zmienia się nie tylko okno w które klikamy, ale również pozostałe powiązane okna (rysunek 2). Warto zwrócić uwagę, że dzięki technice „drag and drop” interfejs pozwala na dokładne definiowanie potrzebnych widoków (workflowr ysunek 3). Daje to moż liwo ś ć przejrzystego podglądu informacji, 28 Rys. 1. NitroSecurity - schemat architektury które nas aktualnie interesują, jak np. aktywność firewalla. Definiując kilka takich workflowów, możemy szybko się przełączać pomiędzy interesującymi nas w danym momencie informacjami. Producent dostarcza kątem interesujących nas aspektów, jak na przykład adresy źródłowe odpowiadające danej geolokacji. Przy większym natężeniu ruchu ręczne przeszukiwanie logów i zdarzeń jest niemożliwe, dlatego system musi Rys.2. NitroSecurity - okno przeglądarki sporą liczbę wcześniej zdefiniowanych widoków, które możemy modyfikować do naszych potrzeb. Jeżeli workflow nie dostarczy wystarczająco przejrzystych informacji, możemy zawsze zastosować filtry wyników pod Rys.3. NitroSecurity - workflow Integrujemy przyszłość® dokonywać wstępnej klasyfikacji i korelacji zdarzeń. Niektóre z nich wymagają prawie natychmiastowej reakcji, inne, mniej niepokojące dopóki pewna ich częstotliwość nie zostanie odnotowana w statystykach. Numer: IV/2012 (121) Po odpowiednim zdefiniowaniu reguł Mc Afee SIEM będzie analizował zdarzenia i ostrzegał o zagrożeniach. Dla przykładu rozważmy politykę ostrzegającą przed atakami brute force. Oczywistym jest, że nie ma sensu ostrzegać o każdej próbie nieudanego logowania, jeśli te próby pochodzą z róż nych adresów ź ródłowych. Natomiast serię błędnych logowań z jednego źródła lub grupy adresów źródłowych, możemy już jednoznacznie określić, jako potencjalną próbę ataku, w związku z tym należy odnotować w statystykach ich częstotliwość. Najbardziej niebezpiecznym zjawiskiem jest udany atak brute force, który na pierwszy rzut oka jest niewidoczny. Przy wczesnym wykryciu takiego ataku, mamy szansę zmienić hasło i zapobiec przykrym konsekwencjom. Wystarczy zdefiniować na ACE lub Reciverze regułę korelacji, która będzie podnosiła alarm przy udanym logowaniu poprzedzonym 10 nieudanymi logowaniami. Wówczas praktycznie natychmiast otrzymamy informację o udanym ataku brute force. Możemy również określić, które systemy lub które konta są dla nas krytyczne, co odpowiednio podniesie wagę alarmu przy wyst ąpieniu anomalii. Podsumowanie McAfee SIEM potrafi zbierać i analizować logi oraz zdarzenia z szerokiej gamy urządzeń i systemów operac yjnych, a dzięki dedykowanej autorskiej bazie danych praktycznie wszystko odbywa się w czasie rzeczywistym. Generowanie raportów nie trwa już kilka godzin a zaledwie kilka minut. Mam nadzieję, że udało mi się zachęcić Państwa do dalszego poznawania tego systemu, który pozwala na sprawne śledzenie ruchu w sieci. Zapraszam do kontaktu z firmą SOLIDEX, w celu dopasowania rozwiązania do Państwa potrzeb. Opracowano na podstawie oficjalnych materiałów producenta: www.mcafee.com. M.G. Inżynier SOLIDEX Biuletyn Informacyjny SOLIDEX® 29 rozwiązania Transport optyczny z przepływnością 100Gbps Zwiększająca się ilość przesyłanych danych, więcej usług wymagajacych dużej szerokości pasma oraz malejące ceny nowych technologii, doprowadzą w niedługim czasie do konieczności zastąpienia standardu 10G kolejnym standardem – 100G. W ostatnim czasie na rynku pojawiła się nowa optyczna platforma transportowa, będąca rozszerzeniem dotychczasowego portfolio firmy MICROSENS. Nawiązując do cyklu artykułów poświęconych rozwiązaniom WDM proponujemy naszym czytelnikom prezentację rozwiązaniadla transmisji 100G firmy MICROSENS. Platforma transportowa 100G jest r oz wią z aniem , k t ór e ś wie t nie sprawdza się wszędzie tam, gdzie potrzebne jest stosowanie wysokich pr zep ł ywno ś c i r z ę du 10 0 Gbps bezpośrednio pomiędzy dwoma Rys. 1. MICROSENS 100G 30 Integrujemy przyszłość® urządzeniami sieciowymi, ale również tam, gdzie potrzebna jest agregacja usług o niższych przepływnościach Numer: IV/2012 (121) 10GbE oraz 8G FC w jeden strumień 100Gbps. Wykorzystując rozwiązanie 100G możemy w jednym kanale optycznym pomieścić 10 razy więcej usług 10GbE i aż 100-krotnie więcej usług 1GbE niż do tej pory. Obecny system, oparty o platformę 10G, może zostać rozbudowany o usługi 100Gbps w prosty sposób oraz bez zbędnych zakłóceń dla działających usług poprzez dodawanie do wolnych kanałów optycznych na p a s ywnym mul t iple k s e r z e kolejnych elementów 100G. Niewielki rozmiar 1RU, zintegrowane zarządzanie oraz zasilanie sprawiają, że rozwiązanie to może być stosowane w aplikacjach, w których kluczowym wymaganiem jest niewielka przestrzeń, jaką zajmuje urządzenie fizyczne. Niewątpliwą zaletą jest również fakt, że projektowany system może być dowolnie skalowany oraz umieszczany zarówno w dużych serwerowniach jak i małych jednostkach kolokacyjnych. 1 Typ 100G Transponder lub Muxponder 2 Protokoły (Muxponder) 10GbE, OC-192/STM-64 (w przyszłości), 8G FC (w przyszłości), 10G FC (w przyszłości) 3 Protokoły (Transponder) 100GbE Linia – 100 G, OUT-4 4 Optyczne interfejsy Klient –SFP+ Linia – Wbudowana 5 Zarządzanie MIB – SNMP V2c private MIB Zdalne zarządzanie - 10Mb Ethernet DCC 6 Wielkość modułu 1 RU 7 Temperatura Pracy 0°C do +50°C 8 Temperatura przechowywania -20°C do +85°C 9 Diody LED Status: HW ready, SW ready Alarm: Port Down (Klient i Linia) 10 Odstęp międzykanałowy 50GHz 11 Zużycie energi 200W 12 Interfejs Liniowy OSNR: 14dB Tx power: -1 do +4dB Rx power: -10 do 0dB ze wzmacniaczami -18 dB bez wzmacniaczy Dyspersja: 50,000ps/nm Tabela 1. Specyfikacja techniczna Opis Sytsem 100G MICROSENS jest unikalnym i bardzo elastycznym roz wią z aniem, k t óre , w odróż nieniu od innych tego typu urządzeń dostępnych na rynku, charakteryzuje się bardzo kompaktową budową (wysokość 1 RU). Przystosowany do montażu w szafie technicznej, może także pełnić rolę transpondera 100G lub muxpondera 100G. Obudowa 1U wyposażona jest we własną kartę zarządzającą, system chłodzenia oraz zasilacze. W razie konieczności, kilka jednostek może zostać ułożonych w jedno logiczne urządzenie, co znacznie upraszcza ich zarządzanie. To c zy system 10 0G pe ł ni rolę t ranspondera c z y muxpondera zdeterminowane jest jedynie działającym na nim oprogramowaniem, nie ma fizycznej różnicy w jego konfiguracji. Poniewa ż urządzenie uż ywa tej samej platformy sprzętowej dla obydwu funkcji, jedno rozwiązanie może zostać przekształcone w drugie jedynie poprzez zmianę jego oprogramowania, co może w przyszłości pozwolić na zastosowanie zgodnie z nową koncepcją, bez ponoszenia większych kosztów. System MICROSENS 100G oferuje bardzo elastyczne możliwości multiplexowania dzięki muxponderowi z 12 portami agregującymi (wersja wieloprotokołowa), podczas gdy inne tego typu rozwiązania oferują 10 portów. Wykorzystanie transportu w technologii mikroprocesorowej MICROSENS SDH SDH STM-64 100G λn λn λn 100G Transponder IP 8G FC 10G 100G 8x1GbE 100G Transponder λ1 10GbE 10G TDM 10G TDM 8x1GbE 10G λ1 100G λ1 Pasywny multiplexer DWDM 100G Pasywny multiplexer DWDM Muxponder 8G FC Muxponder STM-64 10GbE IP Rys. 2. Transponder 100G i muxponder 100G – implementacja Biuletyn Informacyjny SOLIDEX® 31 rozwiązania ze specjalnymi możliwościami multipleksowania powoduje, że muxponder nie jest ogranic zony do agrego wania tylko usług 10G, jak to jest w przypadku podobnych rozwiązań. W przyszłości muxponder 100G będzie także wspierał agregację 8G i 10G fiber channel bezpośrednio w instancji muxpondera. Multipleksowanie niższych prędkości wprost na muxponderze odbywałoby się ze stratą dla całościowej przepustowości urządzenia, dlatego w port muxpondera można wpiąć multiplekser 10G TDM pozwalający na ich agregację. Wieloprotokołowa karta 10G TDM pozwala na agregację zmiksowanych 1GbE, 1/2/4G FC, STM-4/OC-12 oraz STM-16/OC-48 wraz z ruchem koncentrowanym poprzez pozostałe 11 portów w muxponderze 100G. Do portów muxpondera 100G może być wpięty jeden, ale równie dobrze dwanaście takich modułów. Pozostałe karty agregujące MICROSENS mogą zostać użyte do multipleksowania usług o niższych prędkościach w muxponder 10G TDM, który później jest multipleksowany w usługę 100G. Zarządzanie (Network Management Platform) dającej możliwoś ć monitoringu, Na podstawowym poziomie rozwią- konfigurac ji oraz administrac ji, zanie 100G może być zarządzane przez której przejrzysty interfejs graficzny SNMP lub przez standardowe interfejsy pozwala w prosty sposób zarządzać zarządzania: wiersz poleceń i www. wszystkimi zarządzalnymi produktami Dostęp do CLI odbywa się zdalnie firmy MICROSENS. Platforma bazuje za pomocą protokołów SSH lub Telnet na liście urządzeń, która umożliwia oraz lokalnie przez wbudowany port grupowanie komponentów sieciowych RS-232. w strukturę drzewa. Urządzenia mogą Grafic zny inter fejs daje dost ęp być przypisane do jednej lub kilku do pełnego monitoringu wydajności, grup, tym samym konfiguracja może manipulacji stanem laserów (włączanie, być przeprowadzana jednocześnie wyłączanie), zdalne i lokalne zapętlanie dla wielu urządzeń. NMP umożliwia przydatne podczas lokalizowania również wizualizację sieci, poszczególne uszkodzeń systemu czy też traktu urządzenia mogą być rozmieszczone światłowodowego. na mapie, łączone ze sobą, a ich Dla interfejsów SFP+ wspierany parametry oraz aktualny status portów jest DDM (ang. Digital Diagnostics i status połączeń - monitorowany. Management), dzięki któremu system Zaprezentowane rozwiązanie jest ma dostęp między innymi do informacji: jednym spośród szerokiej gamy status linku, monitoring wysyłanej (TX) urządzeń dla transmisji optycznej firmy oraz odbieranej (RX) mocy sygnału MICROSENS. optycznego, temperatury oraz danych Więcej informacji na temat pozostałych wkładki (model). produktów tego producenta dostępnych Na potrzeby zdalnego zarządzania jest na stronie internetowej firmy: od strony linii wbudowany został http://www.microsens.com. dziesięciomegabitowy kanał komunikacyjny DCC (ang. Data Communications Opracowano na podstawie materiałów producenta. Channel). W.W. Nie można także zapomnieć o wsparciu Inżynier SOLIDEX dla platformy zarządzającej NMP Waszych organizacji 32 www.SOLIDEX.com.pl Integrujemy przyszłość® Numer: IV/2012 (121) Cisco Telepresence EndPoints, czyli komunikacja bez granic Obecnie biznes rozwija się w bardzo szybkim tempie, a dążenie do ogólnokrajowego lub nawet globalnego zasięgu stało się standardem w każdej chcącej się liczyć na rynku firmie czy organizacji. Kontakt między rozproszonymi, często odległymi od siebie placówkami danego przedsiębiorstwa konieczny jest praktycznie codziennie, co wymaga od pracowników częstych podróży służbowych, a pracodawców naraża na duże koszty. Możliwy jest oczywiście kontakt telefoniczny, jednak nie zapewnia on takich możliwości i wrażeń jak spotkanie „twarzą w twarz”. Wraz ze wzrostem możliwości przesyłania coraz to większej ilości danych przez sieć internetową, coraz szybsze urządzenia aktywne sieci, doskonalsze algorytmy kompresji i protokoły przesyłania danych, tworzył się rynek produktów, dzięki którym można przekazywać w doskonałej jakości dźwięk, jak i obraz w czasie rzeczywistym. Mowa oczywiście o urządzeniach do wide ok onfe r e nc ji , k t ór yc h możliwości są naprawdę ogromne; pozwalają już nie tylko na samo przekazywanie wizji i fonii za pośredn i c t w e m m i k r o f o nu , k a m e r y , głośników i ekranu, ale na swoistą interakcję użytkowników między sobą podczas konwersacji. Istnieje mnóstwo darmowych programów, dost ępnych dla u ż ytkowników „domowych”, oferujących możliwość wideokonferencji, jednak nie są one w stanie zapewnić nawet zbliżonej jakości i niezawodności, jak profesjonalne produkty. Potrzeba rynku tworzy technologie popularne technologie, pozwalające na przetwarzanie w chmurze, przy zachowaniu wysokiego standardu W 2010 roku Cisco kupiło norweską bezpieczeństwa przesyłanych danych. firmę Tandberg, a wraz z nią całą techno- Proponowany jest również specjalilogię i kilkunastoletnie doświadczenie styczny sprzęt dla specyficznych w tej gałęzi rozwiązań sieciowych. odbiorców jak wojsko (rys. 9), czy Dzięki temu rozszerzyło znacząco branża medyczna. Największą zaletą swoją ofertę, proponując szeroką rozwiązań Telepresence jest fakt, gamę produktów od rozwiązań progra- że wszystkie zawierają się w grupie mowych, bazujących na tradycyjnych produktów Unified Communications, stacjach roboczych czy laptopach, co pozwala na ujednolicenie infrapo kompletne zestawy zawierające struktury z telefonią IP oraz centralne sprzęt, oprogramowanie, a nawet całą konfigurowanie i zarządzanie posianiezbędną infrastrukturę sieciową. danymi zasobami. Obecnie są to również coraz bardziej Takie produkty jak Cisco Telepresence Biuletyn Informacyjny SOLIDEX® 33 rozwiązania SX20 QuickSet Seria EX (EX60/EX90) Seria MX (MX200/ MX300) Zewnętrzny (brak w wyposażeniu) format natywny obrazu 16:9 Zintegrowany 21,5” (16:9) (EX60) Zintegrowany 24” (16:10) (EX90) Zintegrowany 42” (16:9) (MX200) Zintegrowany 55” (16:9) (MX300) Kamera PrecisionHD Camera 1080p zoom 4x PrecisionHD Camera 1080p zoom 12x PrecisionHD design PrecisionHD Camera 1080p zoom 4x Głośniki Zewnętrzny (brak w wyposażeniu) Zintegrowane Zintegrowane Mikrofon Biurkowy Zintegrowany Biurkowy Wejścia audio - 2x 4-pinowe minijack - 1x minijack - line in (stereo) - 1x HDMI audio in z kamery - 1x minijack - line in (stereo) - 1x minijack - line in (stereo) Wyjścia audio - 1x minijack for line out (stereo) - 1x HDMI - 1x minijack for line out (stereo) - 1x minijack for line out (stereo) Wejścia wideo - 1x HDMI - 1x DVI-I (cyfrowe i analogowe) - 1x HDMI (tylko EX90), - 1x DVI-I (cyfrowe i analogowe) - 1x DVI-I Wyjścia wideo - 2 x HDMI - bluetooth - bluetooth - 1x Ethernet LAN (RJ-45) 10/100/1000 Mbit - 1x Ethernet LAN (RJ-45) 10/100/1000 Mbit - 1x Ethernet do PC (RJ-45) 10/100/1000 Mbit - 2x Ethernet (RJ-45) wbudowany switch - 1x Ethernet LAN (RJ-45) 10/100/1000 Mbit Ekran Interfejsy sieciowe Tabela 1. Podstawowe dane techniczne systemów Cisco Telepresence spośród oferowanych produktów. Pomimo róż nic w budowie i różnych docelowych środowisk pracyproduktów Telepresence, mają one dużo wspólnych cech i funkcjonalności. Sercem każdego z urządzeń jest odpowiednio dobrany sprzętowy kodek, który zajmuje się przetwarzaniem strumienia audio-wideo oraz jego dalszym przesyłaniem przez sieć Ethernet. Wszystkie produkty mają intuicyjny interfejs graficzny, oparty na autor skim oprogramowaniu Cisco Telepresence System Software, stworzonym specjalnie do serii Telepresence. K o d o w a nie s t r u mie nia au d io we wszystkich proponowanych urządzeniach odbywa się za pomocą Różne potrzeby, różne jednego ze standardów: G.711, G.722, G . 7 2 2 . 1 , or a z MP EG 4 A AC - L D rozwiązania z prędkością 64 kbps (dla serii TX9000 Każda organizacja ma na swój sposób oraz MX nawet do 128 kbps). Kolejną unikalną strukturę, dlatego też, w zależ- wspólną c echą jest moż liwo ś ć ności od jej potrzeb, można wybrać przesyłania dodatkowej zawartości, najbardziej optymalne rozwiązanie na przykład prezentacji, filmów lub są w stanie zaoszczędzić czas pracowników i pieniądze pracodawców, umożliwiają bowiem kontakt między ludźmi w sposób zbliżony do tradycyjnego spotkania, a co najważniejsze uczestnicy mogą prowadzić konwersację nie wychodząc z biura, nawet gdy dzieli ich kilka stref czasowych. Ponieważ, ze względu na mnogość proponowanych rozwiązań, ciężko byłoby pr zedst awić wsz yst k ie produkty, niniejszy artykuł skupia się na prezentacji urządzeń końcowych, opisując tylko niek tóre modele i ich wybrane parametry techniczne. Szczegółowe specyfikacje techniczne serii Cisco Telepresence dostępne są na stronie producenta. 34 Integrujemy przyszłość® zdjęć z laptopa czy tabletu podłączanego bezpośrednio do kodeka. Możliwe jest to dzięki obsłudze przesyłania dwóch strumieni jednocześnie (Dual Stream). Porównanie podstawowych funkcjonalności i parametrów technicznych zawarto w Tabeli 1 oraz Tabeli 2. Oprócz opisywanej tutaj całej serii profesjonalnych produktów, podstawowym jest oczywiście wideotelefon Rys. 1. Cisco E20 Numer: IV/2012 (121) Seria TX1300 Seria TX9000 Ekran Zintegrowany LCD 47" (16:9) (TX1300) Zintegrowany LCD 65" (16:9) (TX1310) Zintegrowany LCD 3x65" panoramiczny (3x16:9) + 42" (16:9) dla dodatkowej zawartości Kamera Zintegrowany klaster 3 kamer wysokiej rozdzielczości (do 1080p) Zintegrowany klaster 3 kamer wysokiej rozdzielczości (do 1080p) Głośniki Zintegrowane Zintegrowane, umieszczone na tylnej ścianie ekranów Mikrofon Biurkowy Zintegrowane biurkowe, dla każdego uczestnika Wejścia audio - HDMI - HDMI Wyjścia audio - HDMI - HDMI Wejścia wideo - HDMI - HDMI Wyjścia wideo - HDMI - HDMI - 1x Ethernet LAN (RJ-45) 10/100/1000 Mbit - 4x Ethernet (RJ-45) wbudowany switch w tym 2 gniazda z PoE+ (IEEE 802.3af) - 1x Ethernet LAN (RJ-45) 10/100/1000 Mbit - 4x Ethernet (RJ-45) wbudowany switch w tym 2 gniazda z PoE+ (IEEE 802.3af) Interfejsy sieciowe Tabela 2. Podstawowe dane techniczne systemów Cisco Telepresence (np.: E 20 – rys. 1), który swoją konstrukcją i funkcjonalnością zbliżony jest do zwykłego telefonu IP, posiada jednak kamerę, za pomocą której możemy przekazywać dodatkowo obraz. Jednak ze względu na to, że produkt jest już długo na rynku nie będzie szerzej opisany w tym opracowaniu. Najbardziej rozbudowanymi i zarazem posiadającymi największe możliwości systemami są TX9000 oraz TX9200. To już nie tylko urządzenia same w sobie, to kompleksowe rozwiązanie zawierające całe wyposażenie sali konferencyjnej. Model TX9000 przeznaczony jest z założenia do prowadzenia konwersacji przez 6 osób jednocześnie, natomiast TX9200 dla 18 osób jednocześnie (rys. 2), w dwóch rzędach specjalnie wyprofilowanych biurek. Zarówno pierwszy, jak i drugi zestaw składa się przede wszystkim z trzech potę żnych 65 calowych ekranów LCD, połączonych w taki sposób, aby dać efekt widoku panoramicznego, dodatkowo zapewniając optymalny kąt widzenia dla każdego z uczestników konferencji. W górnej części środkowego ekranu zainstalowano zestaw 3 zintegrowanych kamer wysokiej rozdzielczości (klaster kamer). Zapewniają one doskonały kontakt wzrokowy między rozmawiającymi, a jednocześnie wykorzystują doskonale ogromną powierzchnię ekranów odwzorowując bardzo wiernie nagrywane środowisko. Rys. 2. Cisco Telepresence TX9200 Biuletyn Informacyjny SOLIDEX® Rys. 3. Cisco Telepresence Touch12 Do zestawu dołączony jest również 42 calowy ekran umieszczony centralnie poniżej ekranów głównych, służący do wyświetlania dodatkowej zawartości, np. prezentacji, prezentacji wideo czy zdjęć. Dostępny jest 12 calowy ekran dotykowy (rys. 3), który dzięki intuicyjnemu interfejsowi zapewnia bardzo łatwy i szybki dostęp do zawartości dodatkowej, a także umożliwia sterowanie podstawowymi parametrami zestawu wideokonferencyjnego tj.: głośnością, sterowaniem kamerami czy parametrami wyświetlania. Seria T X 9000 jest wyposa żona w umieszczone za ekranami głośniki, zapewniające bardzo czysty dźwięk sprawiający wrażenie przebywania rozmówców w jednym pomieszczeniu. Specjalne zintegrowane biurkowe mikrofony umieszczone przy każdym ze stanowisk zapewniają doskonałe zbieranie dźwięku od bezpośredniego 35 rozwiązania SX20 QuickSet Seria EX (EX60/EX90) Seria MX (MX200/ MX300) Kodowanie strumienia danych - H.323/SIP do 6 Mbps punkt do punktu - H.323/SIP do 6 Mbps punkt do punktu - H.323/SIP do 6 Mbps punkt do punktu Kodowanie wideo - H.263 - H.263+ - H.264 - H.239 (H.323) dual stream BFCP (SIP) dual stream - H.239 (H.323) - BFCP (SIP) - Obsługiwana rozdzielczość do 720p30 również w trybie dual stream Szyfrowanie przesyłanych danych H.323/SIP punkt do punktu - H.235 v3 oraz AES - Automatyczne generowanie i wymiana kluczy szyfrowania - Wsparcie szyfrowania w trybie Dual Stream - H.323/SIP punkt do punktu - H.235 v3 oraz AES - Automatyczne generowanie i wymiana kluczy szyfrowania - Wsparcie szyfrowania w trybie Dual Stream - H.323/SIP punkt do punktu - H.235 v3 oraz AES - Automatyczne generowanie i wymiana kluczy szyfrowania - Wsparcie szyfrowania w trybie Dual Stream Dostęp do urządzenia - zarządzanie poprzez HTTPS - zarządzanie poprzez HTTPS - zarządzanie poprzez HTTPS i SSH i SSH i SSH - hasło administracyjne IP - hasło administracyjne IP - hasło administracyjne IP - hasło na konto administratora - hasło na konto administratora - hasło na konto administratora - możliwość zablokowania - możliwość zablokowania - możliwość zablokowania wybranych usług IP wybranych usług IP wybranych usług IP Obsługa firewall - Wsparcie dla Cisco TelePresence VCS Expressway technology - H.460.18, H.460.19 firewall traversal - Wsparcie dla Cisco TelePresence VCS Expressway technology - H.460.18, H.460.19 firewall traversal - Wsparcie dla Cisco TelePresence VCS Expressway technology - H.460.18, H.460.19 firewall traversal Funkcjonalności IP - DNS, DHCP, synchronizacja z NTP - 802.1p QoS, autentykacja 802.1x, 802.1Q Virtual LAN - autowykrywanie gatekeeper'a - DNS, DHCP, synchronizacja z NTP - 802.1p QoS, autentykacja 802.1x, 802.1Q Virtual LAN - autowykrywanie gatekeeper'a - DNS, DHCP, synchronizacja z NTP - 802.1p QoS, autentykacja 802.1x, 802.1Q Virtual LAN - autowykrywanie gatekeeper'a Dodatkowe szczególne funkcjonalności - Autoadaptacja do prędkości łącza wraz z kontrolą przepływu - synchronizacja dźwięku z obrazem - H.245 DTMF poprzez H.323, wybieranie URI - ClearPath - Wsparcie dla technologii Multisite (tylko EX90) - Technologia Cisco TelePresence Multiway - redukcja echa - automatyczna kontrola wzmocnienia mikrofonu - automatyczna redukcja szumów - Technologia Cisco TelePresence Multiway - redukcja echa - automatyczna kontrola wzmocnienia mikrofonu - automatyczna redukcja szumów Obsługa Dual Stream - H.239 (H.323) dual stream - BFCP (SIP) dual stream - Obsługiwane rozdzielczości do 1080p - H.239 (H.323) dual stream - BFCP (SIP) dual stream - Obsługiwane rozdzielczości do 1080p (EX90) - Obsługiwane rozdzielczości do 720p (EX60) H.239 (H.323) dual stream - BFCP (SIP) dual stream - Obsługiwane rozdzielczości do 1080p (EX90) - Obsługiwane rozdzielczości do 720p (EX60) Tabela 3. Podstawowe funkcjonalności, obsługiwane standardy i protokoły rozmówcy, niwelując jednocześnie efekt echa i zabezpieczając przed powstawaniem zakłóceń z sieci bezprzewodowych i komórkowych. Dostarczane do zestawu meble mają nowoczesny wygląd i ergonomiczny kształt (dostępne w dwóch wersjach 36 kolorystycznych). Dodatkowo przy każdym stanowisku dostępne jest gniazdo zasilania i LAN, co pozwala na wygodne podłączenie posiadanych przez uczestników urządzeń osobistych. Kolejnym elementem zestawu jest specjalny ekran ze zintegrowanym Integrujemy przyszłość® oświetleniem LED, który eliminuje powstałe refleksy świetlne i cienie spowodowane nierównomiernym oświetleniem pomieszczenia. Dzięki temu rozwią zaniu obraz przekazywany do zdalnej lokalizacji jest zawsze ostry i wyraźny. Numer: IV/2012 (121) Seria TX1300 Seria TX9000 SIP, H.264, TIP, BFCP SIP, H.264, TIP, BFCP - H.261 - H.263 - H.263+ - H.264 - H.261 - H.263 - H.263+ - H.264 Szyfrowanie przesyłanych danych Pełne szyfrowanie danych i sygnalizacji punkt do punktu H.323/SIP punkt do punktu - H.235 v3 oraz AES - Automatyczne generowanie i wymiana kluczy szyfrowania - Wsparcie szyfrowania w trybie Dual Stream Dostęp do urządzenia - zarządzanie poprzez HTTPS i SSH - hasło administracyjne IP - hasło na konto administratora - możliwość zablokowania wybranych usług IP - zarządzanie poprzez HTTPS i SSH - hasło administracyjne IP - hasło na konto administratora - możliwość zablokowania wybranych usług IP Obsługa firewall - Wsparcie dla Cisco TelePresence VCS Expressway technology - H.460.18, H.460.19 firewall traversal - Wsparcie dla Cisco TelePresence VCS Expressway technology - H.460.18, H.460.19 firewall traversal Funkcjonalności IP - DNS, DHCP, synchronizacja z NTP - 802.1p QoS, autentykacja 802.1x, 802.1Q Virtual LAN - DNS, DHCP, synchronizacja z NTP - 802.1p QoS, autentykacja 802.1x, 802.1Q Virtual LAN Dodatkowe szczególne funkcjonalności - Cisco Dynamic Echo Cancellation - System przywracania utraconych ramek Wideo - Cisco Dynamic Echo Cancellation - Dźwięk przestrzenny - System przywracania utraconych ramek Wideo Obsługa Dual Stream - H.239 (H.323) dual stream - BFCP (SIP) dual stream - Obsługiwane rozdzielczości do 1080p - H.239 (H.323) dual stream - BFCP (SIP) dual stream - Obsługiwane rozdzielczości do 1080p Kodowanie strumienia danych Kodowanie wideo Tabela 4. Podstawowe funkcjonalności, obsługiwane standardy i protokoły Seria TX1300 jest produktem bardzo nagrywanego środowiska. podobnym do TX9000, co prawda nie Podstawową wadą rozwiązań serii zawiera kompletnych stanowisk pracy TX1300 i TX9000 jest brak możli(biurka), jednak możliwości samego wości prowadzenia konwersacji kodeka są zbliżone. Seria TX1300 składa z kilkoma różnymi lokalizacjami się z jednego ekranu LCD, dostępnego jednocześnie. Aby móc skorzystać z tej w dwóch wersjach 65 cali (TX1310) funkcji niezbędnym jest doposażenie oraz 47 cali ( TX1300), dodatkowo urządzeń w jeden z dostępnych Cisco zastosowano taki sam klaster 3 kamer. Telepresence Multipoint Switch. Jest Ze względu na dużo mniejsze gabaryty to spowodowane złożonością obu zestaw przeznac zony jest do mniejszych niż w przypadku TX9000 pomieszczeń, dlatego też dostępny jest w dwóch war iant ach mocowania – możemy powiesić go na ścianie lub wybrać wersję stojącą na podłodze. Do serii TX1300 również dostępny jest 12 calowy ekran dotykowy, do łatwego zarządzania urządzeniem oraz w/w ekran ze zintegrowanym oświetleniem LCD, poprawiającym parametry świetlne Rys. 4. Cisco Telepresence SX20 Quickset Biuletyn Informacyjny SOLIDEX® konstrukcji i dbałością producenta o jak najniższą utylizację łącza klienta. Najbardziej uniwersalną platformą serii Telepresence jest SX20 Quickset (rys. 4). W podstawowej wersji, w pudełku znajdziemy stację kodeka z jedną z dwóch kamer wysokiej rozdzielczości, mikrofon biurkowy oraz pilota. Obydwie kamery mogą pracować w rozdzielczości 1080p, przekazując do 6 0 klatek na sekundę . Optyka umożliwia skorzystanie odpowiednio z 4 i 12-krotnego zoomu optycznego, obydwie k amer y mają mo ż liwo ś ć obracania się w dwóch płaszczyznach. W pełni funkcjonalną platformę wideokonferencyjną, otrzymujemy podłączając kodeka do dowolnego monitora lub telewizora oraz odpowiednio skonfigurowanego ł ąc z a . Oczywiście, jeżeli w środowisku pracy jest już skonfigurowany 37 rozwiązania jednocześnie, bez wykorzystania zewnętrznego mostka wide ok onfe r e nc yjne go . Pozostałe funkcjonalności są zbliżone. Z alet ą tego rozwiązania są jego gabaryty oraz w stosunku do zwykłych wideotelefonów większa przekątna ekranu, co poprawia jakość odbieranego przekazu. Zestaw kompletnego rozwiązania osobistego dostępny jest w dwóch wariantach: EX90 (24” monitor LCD) oraz EX60 (21,5” monitor LCD). Dźwięk Rys. 5. Cisco Telepresence SX20 Quickset realizowany jest poprzez zintegrowane głośniki i mikrofon. C isco Unified C ommunic ations Opcjonalnie dla większej wygody Manager, to urządzenie może pobrać możemy zamówić 8 calowy dotykowy konfigurację automatycznie z serwera ekran do sterowania podstawowymi i poprzez niego być również zarządzane. Opcjonalnie możemy zamówić stelaż umożliwiający montaż kodeka na ścianie (rys. 5). Dźwięk przekazywany jest za pomocą głośników zewnętrznych telewizora/monitora LCD. Kolejnym ciekawym produktem jest seria EX, oferująca dwa modele EX90 i EX60. Są to zintegrowane z ekranem kodeki, które zajmują niewiele miejsca, dzięki czemu można je umieścić na biurku i cieszyć się osobistym zestawem wideo-konferencyjnym (rys. 6). Modele różnią się wielkością przekątnej monitora oraz nieznacznie jego parametrami wyświetlania. Podstawową różnicą między modelami EX90 i EX60 jest fakt, iż ten Rys. 7. Cisco Telepresence MX300 drugi nie obsługuje trybu Multisite, czyli rozmowę możemy prowadzić funkcjami (rys. 6) – rozwiązanie znane tylko z jedną lokalizacją zdalną już z serii TX9000 i TX1300. Seria MX jest to z kolei produkt zbliżony parametrami i gabarytami do zest awu SX20, zawiera jednak komplet niezb ę dnych do pracy urządzeń. Dostępne wersje ekranów LCD: 42 calowy (MX200) oraz 55 calowy (MX300 - rys. 7). Obraz przeRys. 6. Cisco Telepresence EX90 i Touch8 kazywany jest 38 Integrujemy przyszłość® za pomocą znanej już z serii SX20 kamery wysokiej rozdzielczości Cisco Telepresence PrecisionHD Camera 1080p x4. Dźwięk realizowany jest poprzez zintegrowane z ekranem głośniki i mikrofon biurkowy (w przypadku MX300 – 2 mikrofony). Zestawy przeznaczone są do małych i średnich sal konferencyjnych. Również do serii MX możliwe jest podłączenie 8 calowego dotykowego ekranu ułatwiającego komunikację z urządzeniem. Przewaga serii MX nad zestawem uniwersalnym SX20 jest taka, że otrzymujemy bardzo dobrze dobrany, zintegrowany zestaw, który pozwala na maksymalne wykorzystanie możliwości urządzenia (odpowiednie głośniki i ekran LCD). To co wyróż nia serie E X i M X , to możliwość dodania nowej osoby do trwającej już wideokonferencji. Technologia nosi nazwę Cisco Telepresence Multiway, wymaga jednak zastosowania jednego z mostków konferencyjnych serii MCU oraz serwera Cisco VCS. Są to również produkty linii Telepresence, przeznaczone do bardziej zaawansowanych, wymagających bardzo dużej wydajności i skalowalności systemów. Bezpieczeństwo i obsługa sieci Każdy z zestawów Cisco Telepresence zapewnia moż liwo ś ć zabezpieczenia zarówno dostępu do samego urządzenia, jak i przesyłanych danych, wspierając kilka standardów szyfrowania oraz funkcje Numer: IV/2012 (121) Rys. 8. Cisco Telepresence VX Tactical niezbędne do przekazywania danych przez firewalle. Obsługiwanych jest także kilka ułatwiających zarządzanie i konfigurację usług sieci ethernet, np.: DHCP, QoS. Obsługa znanych standardów pomaga w prawidłowym umieszc zeniu urz ądzeń w sieci, ułatwia ich konfigurację i zarządzanie. Wszystkie urządzenia serii Telepresence są oczywiście kompatybilne między sobą, co pozwala zestawić sesję między dowolnymi „końcówkami”. Ważniejsze parametry zestawiono w Tabeli 3 oraz Tabeli 4. Podsumowanie W zależności od potrzeb można dobrać optymalne środowisko od podstaw lub zintegrować je z istniejącą infrastrukturą – to ogromna zaleta dla dużych organizacji posiadających już rozwiązanie telefonii IP opartej na Cisco. Możliwe jest zbudowanie systemu uniwersalnego lub wybranie kompleksowego rozwiązania zawierającego wszystkie niezbędne elementy. Jedynymi ograniczeniami są rozmiary sali konferencyjnej i oczywiście ilość możliwych do przeznaczenia środków finansowych, produkty te bowiem nadal nie należą do rozwiązań najtańszych. Zważywszy jednak na fakt, że częste, dalekie podróże wią żą się z dużo wyższymi kosztami, jest to inwestycja na przyszłość, która w dużej organizacji może się bardzo szybko zwrócić. Opracowano na podstawie oficjalnych materiałów producenta: www.cisco.com. T.K. Inżynier SOLIDEX C isc o Telepresenc e jest bardzo ciekawym rozwiązaniem problemu współpracy na duże odległości. Autoryzowane szkolenia Cisco w SOLIDEX! Zapraszamy: Kraków, ul. J. Lea 124 Warszawa Złote Tarasy, ul. Złota 59 Biuletyn Informacyjny SOLIDEX® szczegóły na str. 51 39 rozwiązania Przełącznik wirtualny Nexus 1000V Coraz większa ilość usług jest uruchamiana na serwerach wirtualnych. Środowiska wirtualne zyskują coraz większą popularność i stają się coraz bardziej rozbudowane, przez co stawiane im wymagania stale rosną. Jednym z bardzo ważnych aspektów tego zagadnienia jest kontrola nad ruchem sieciowym.Firma Cisco stworzyła rozwiązanie dające możliwości porównywalne z przełącznikami fizycznymi. Przełącznik wirtualny Nexus 1000V został opracowany w odpowiedzi na rosnące potrzeby dotyczące sterowania ruchem w sieciach wirtualnych. Jest to zaawansowane narzędzie dające ogromne możliwości i ułatwiające codzienne zadaniaadministracyjne. Przełączanie ruchu w środowisku wirtualnym VMware W początkowym okresie życia infrastr uk tur y wir tualnej wyst arc za kor z yst anie z wbudowanych prze łąc zników vSwitch. Jednak w rozrastającym się środowisku takie podejście może okazać się niewystarczająco bezpieczne, jak również mało elastyczne i niewydajne w zarządzaniu. Jednym z największych problemów związanych z topologią sieci z wykorzystaniem wbudowanych przełączników vSwitch (rysunek 1) jest utrzymanie spójności konfiguracji przełączników wirtualnych. Taka topologia będzie 40 Rys. 1. Topologia sieci z wykorzystaniem wbudowanych przełączników vSwitch Integrujemy przyszłość® Numer: IV/2012 (121) działać niezawodnie, jeśli konfi- do szeregu zaawansowanych funkcji Virtual Supervisor Module guracja wszystkich przełączników jakie posiada przełącznik Nexus 1000V. vSwitch będzie jednakowa. ŚrodoV SM jest modułem sterującym. wiska produkcyjne są dużo większe Architektura przełącznika Jest on odpowiedzialny za konfiniż te przedstawione na rysunku nr 1, Nexus 1000V gurację całego przełącznika. Działa co wymaga kontroli nad konfiguracją pod kontrolą systemu operacyjnego złożoną z kilkudziesięciu przełącz- Architektura przełącznika Nexus 1000V NX-OS znanego z innych produktów ników. Może się wówczas okazać, jest rozproszona i składa się z dwóch Cisco. Jeden moduł VSM kontroluje że w przypadku niespójnej konfiguracji przekonamy się o błędzie dopiero w czasie awarii, kiedy maszyna wir tualna zostanie uruchomiona na innym hypervisorze i nie otrzyma dostępu do sieci. Kolejnym problemem dla tej topologii jest kontrola nad ruchem w wirtualnej części sieci. W przypadku sieci opartej w całości o przełączniki fizyczne, administratorzy sieci są odpowiedzialni za jej konfigurację i działanie. Sieć wirtualna oparta o wbudowane przełączniki vSwitch, jak również o dystrybuowane przełączniki vDS uniemożliwia kontrolę nad tą częścią sieci. Administrator sieci dodaje odpowiednie VL AN-y do połączeń typu trunk do klastra VMware, natomiast wirtualną część sieci konfiRys. 3. Architektura przełącznika Nexus 1000V guruje administrator środowiska VMware. W praktyce administratorzy sieci mogą kontrolować ruch jedynie na poziomie połączeń trunk. Nie mają oni jednak żadnej możliwości kontroli podstawowych komponentów: wiele modułów VEM, tworząc jedno logic zne urządzenie modularne. ruchu między maszynami wirtualnymi, •Virtual Supervisor Module (VSM), bo taki ruch nie musi przechodzić przez •Virtual Ethernet Module (VEM). Zamiast fizycznych kart liniowych, przełączniki fizyczne. jako moduły pracują C z ę ś ć pr oblemów w t ym wyp adk u V E M - y . K onf ig u związanych z siecią wirtualną rozwiązuje racja przełącznika pr ze ł ąc z nik vD S jest automatycznie propagowana (vNe t wor k Dis t r i buted Switch). do wszystkich Firma Cisco postamodułów VEM. nowiła rozbudować U ż yc ie systemu operacyjnego NX-OS jego moż liwo ś c i w Nexus 10 0 0V i na podstawie architektury vDS stworzyła zapewnia: swoje własne • Elastyczność rozwiązanie. i skalowalność. Port profile (nowa funkcja W topologii z wykorzystaniem przełącznika systemu NX-OS) dają Nexus 1000V (rysunek możliwość konfiguracji kategorii portów 2) jeden przełącznik obsługuje całe środo(zamiast pojedynwisko wir tualne . czych portów). Dzięki Z arz ądzanie siecią temu rozwią zanie wir tualną może sprawdza się dobrze pr z y du ż ej ilo ś c i zost ać pr zeka zane administratorom sieci portów. i otrzymujemy dostęp Rys. 2. Topologia sieci z wykorzystaniem przełącznika Nexus 1000V Biuletyn Informacyjny SOLIDEX® 41 rozwiązania •Wysoką dostępność. Dwa redundantne moduły VSM pracujące w trybie aktywny/pasywny synchronizują między sobą stan. Dzięki temu w przypadku awarii urządzenia aktywnego przełączenie następuje natychmiastowo. Jest to rozwiązanie znane z urządzeń fizycznych. •Znany interfejs. Nexus 1000V może być zarządzany przez Cisco CLI, SNMP, XML API i CiscoWorks LMS. Virtual Ethernet Module Moduły VEM działają jako część jądra systemu ESX lub ESXi. Zastępują one funkcje przełącznika VMware Virtual Switch. Do integracji z VMware wykorzystują one vDS API, które zostało zaprojektowane wspólnie przez Cisco i VMware. Wysoki poziom integracji zapewnia, że przełącznik Nexus 1000V jest w pełni świadomy wszelkich procesów wirtualizacyjnych ( VMotion, DR S , itp.). Moduł y VEM są odpowiedzialne za przełączanie ruchu w 2 warstwie sieci oraz za zaawansowane funkcje sieciowe: •Agregacja portów. •Quality of service (QoS). •Bezpieczeństwo: Prywatne VLAN-y, listy kontroli dostępu (ACL), port security. •Monitoring: NetFlow, Switch Port Analyzer (SPAN) i Encapsulated Remote SPAN (ERSPAN). Funkcjonalności ka Nexus 1000V przełączni- Polityki dostępu do sieci Ze względu na dynamiczną naturę sieci wirtualnej, przełącznik Nexus 1000V został wyposażony w port profile, które pozwalają skonfigurować polityki dostępu do sieci dla różnych klas maszyn wirtualnych. Poszczególne wirtualne karty sieciowe (vNIC) maszyn mogą zostać następnie przypisane do odpowiednich profili. Typowy przykład klasy określonej przez port profile to nr VLAN-u. Mobilność właściwości sieciowych i bezpieczeństwa maszyn wirtualnych Polityki dostępu do sieci i polityki bezpieczeństwa podążają za maszyną 42 Rys. 4. Ścieżka dla strumienia danych z wykorzystaniem vPath Funkcjonalność Możliwości Zapobiega Przypisuje MAC adres do portu Spoofing adresów MAC na poziomie maszyn wirtualnych IP source guard Mapuje adres IP do adresu MAC Spoofing adresów IP i adresów MAC Dynamic ARP inspection Monitoruje i limituje zapytania ARP maszyn wirtualnych ARP cache poisoning DHCP snooping •Zapobiega dotarciu zapytania do niezaufanego serwera DHCP •Limituje ilość zapytań DHCP •DHCP spoofing •ataki DOS na usługi DHCP Port security Tabela 1. Funkcjonalności bezpieczeństwa wirtualną w przypadku jej migracji na inny serwer, uśpienia, hibernacji czy restartu. Ponadto VSM przenosi informacje na temat stanu sieciowego maszyny, takie jak liczniki na porcie. Działanie maszyn, które są monitorowane przez NetFlow lub ERSPAN pozostaje niezakłócone przez VMotion. W przypadku zmiany konfiguracji port profil, wszystkie porty wirtualne od niego zależne zostają uaktualnione. do firewalli. Dodatkowo jesteśmy w stanie stworzyć łańcuch urządzeń, przez które strumień danych musi przejść, aby dotrzeć do celu. Daje to możliwość drobiazgowej kontroli ruchu. Wbudowane funkcjonalności bezpieczeństwa przełącznika Nexus 1000V Przełącznik Nexus 1000V posiada funkcjonalności znane z urządzeń fizycznych, takie jak port security, IP Architektura Cisco vPath source guard, dynamic ARP inspection Wykor zystując vPath jeste śmy i DHCP snooping. Pozwalają one w s t a n i e p r z e k i e r o w a ć r u c h zabezpiec zyć sieć wir tualną już do urządzeń równoważących obcią- na poziomie warstwy 2. ż enie, akcelerat orów WA N lub Integrujemy przyszłość® Numer: IV/2012 (121) Nexus 1000V w praktyce w skład klastra VMware. Przełącznik Nexus 1000V od strony VMware Po zainstalowaniu i wstępnej konfi- przedstawiono na rysunku nr 6, guracji przełącznika możemy nim gdzie po prawej stronie przełącznika zarządzać w podobny sposób jak zostały umieszczone port profile typu urządzeniami fizycznymi. Możemy ethernet. W nich znajdują się fizyczne sprawdzić ogólny stan przełącznika katy sieciowe serwerów ESXi, które wydając polecenie show module. przekazują ruch sieciowy do dalszej Rys. 5. Wynik polecenia show module Na rysunku nr 5 możemy zobaczyć, że działają oba moduły VSM, przy czym jeden z nich ma status ha-standby, czyli jest gotowy do przejęcia funkcji aktywnego supervisora. Widać również, że posiadamy dwa moduły VEM. Są to oczywiście hosty wchodzące części sieci. Po lewej stronie znajdują się port profile typu vethernet, z których korzystają maszyny wirtualne. Profile o nazwach Unused_Or_Quarantine są tworzone automatycznie i nie należy z nich korzystać. Konfiguracja port profili została przedstawiona na rysunku nr 7. Najciekawszą opcją jest mac-pinning dla port profili typu ethernet. Jest to jeden ze sposobów agregacji portów (fizycznych kart sieciowych na s er wer ac h E S X i ). Mo ż emy z niego skorzystać, jeśli przełączniki fizyczne, do których jest podłączone środowisko wirtualne nie obsługują standardowych protokołów agregacji. Przełącznik Nexus wykorzystuje dla ruchu sieciowego wszystkie porty i dba o to, aby pojedyncza maszyna wirtualna korzystała zawsze z tego samego portu, natomiast przełączniki fizyczne nie są świadome agregacji. Jedną z największych zalet przełącznika Nexus 1000V są możliwości monitorowania sieci wirtualnej. Możemy między innymi sprawdzić status wszystkich interfejsów jak równie ż wy świet lić st atystyk i pojedynczych portów. Na rysunku nr 9 widzimy szczegóły portu wirtualnego, z którego korzysta maszyna wirtualna o nazwie „test”. Widać równie ż , że obecnie ten port działa na module czwartym. Numer modułu jest równoważny z konkretnym hostem, wchodzącym w skład klastra VMware. Korzystając z polecenia show module (rysunek nr 5) możemy zlokalizować fizyczny serwer, na którym działa maszyna. P r ze ł ąc znik Nexus 10 0 0V daje ogromne możliwości administratorom sieci, pozwalając jednocześnie administratorom środowiska wirtualnego na konfiguruję dostępu do sieci w standardowy sposób. Na rysunku Rys. 6. Widok przełącznika w vCenter Biuletyn Informacyjny SOLIDEX® 43 rozwiązania Rys. 7. Konfiguracja port profil’i nr 10 przedstawiono konfigurację karty sieciowej dla maszyny wirtualnej. Podsumowanie Przełącznik Nexus 1000V pozwala na zbudowanie bezpiecznej, wydajnej i skalowalnej sieci wirtualnej. Środowiska wirtualne mają tendencje do rozrastania się, dlatego warto rozważyć wdrożenie przełącznika Nexus od razu w trakcie budowy takiego środowiska, nawet jeśli początkowo jest niewielkie. Dzięki temu unikniemy problemów związanych z migracją w późniejszym okresie. Ze względu na to, że jest to przełącznik software’owy, jest on wygodny w testowaniu. Ponadto po ściągnięciu oprogramowania ze strony Cisco i zainstalowaniu go w środowisku wirtualnym otrzymujemy 60-cio dniową licencję demo. Zachęcam do testów. Rys. 8. Wynik polecenia show interface brief Rys. 9. Wynik polecenia show interface Opracowano na podstawie oficjalnych materiałów producenta. J.R. Inżynier SOLIDEX Rys. 10. Konfiguracja maszyny wirtualnej 44 Integrujemy przyszłość® Numer: IV/2012 (121) Cisco Unified Computing System Express - następny krok w procesie konsolidacji infrastruktury informatycznej Rozwój dzisiejszej infrastruktury informatycznej zmierza w kierunku centralizacji. Organizacje wielooddziałowe dążą do jak największego uproszczenia infrastruktury informatycznej swoich oddziałów terenowych. Są jednak sytuacje, w których istnienie lokalnych serwerów jest pożądane dla efektywnej pracy sieci oddziałowej. Odpowiedzią na problem związany z koniecznością uproszczania infrastruktury oddziałowej i wymaganą dostępnością niektórych usług na poziomie lokalnym jest platforma Cisco UCS Express. Dzisiejsza sieć oddziałowa wymaga c z a s a mi lok a lne j do s t ę pno ś c i niektórych usług i aplikacji, które można zaimplementować na dwa sposoby. Możemy każdą aplikację uruchomić na oddzielnym serwerze, dzięki czemu otrzymujemy odizolowanie poszczególnych aplikacji od siebie, co stanowi zaletę w kwestii bezpieczeństwa i wydajności. Zasadniczą wadą tego rozwiązania jest jednak konieczność utrzymywania nadmiarowego sprzętu. Drugim sposobem jest uruchomienie wszystkich aplikacji i usług na jednym serwerze. W takiej sytuacji tracimy jednak możliwość o di z olow a nia p o s z c z e gó lnyc h usług od siebie. Zamiana serwerów fizycznych na wirtualne i uruchomienie ich w wirtualnym środowisku daje możliwoś ć wykorzystania zalet każdego z powyższych podejść, przy jednoczesnym zredukowaniu kosztów. Każdą aplikację możemy uruchomić na oddzielnym wirtualnym serwerze, a wszystkie wirtualne serwery mogą być uruchomione na jednym fizycznym urządzeniu. Dodatkowym elementem ważnym do rozważenia jest fizyczny serwer, na którym chcielibyśmy postawić wir tualne środowisko. Wykorzystanie do tego celu tradycyjnego serwera wolnostojącego niesie ze sobą pewne wady, takie jak np.: komplikacja infrastruktury informatycznej spowodowana dodatkowym okablowaniem sieciowym i elektrycznym; Biuletyn Informacyjny SOLIDEX® brak elastyc znej metody zwiększania wydajności serwera poprzez rozbudowę zasobów sprzętowych. Najlepszym rozwią zaniem było by zatem wykorzystanie serwerów typu blade. Tego typu urządzenia mogą wykorzystywać wspólne zasilanie i chłodzenie. Są łatwe w instalacji, a poprzez dołożenie dodatkowego serwera typu blade możemy w prosty sposób zwiększyć wydajność systemu. Dzisiejsza typowa sieć oddziałowa jest ściśle podzielona na część sieciową i część serwerową. Taka nieskonsolidowana infrastruktura wymaga zapewnienia dodatkowych portów na pr ze ł ąc znikach, pr zewodów sieciowych i zasilających, przestrzeni w serwerowni, często dodatkowych 45 rozwiązania urządzeń. Ponadto dokonywanie jakichkolwiek fizycznych przepięć w okablowaniu wymaga osobistych wizyt osoby technicznej w oddziale, wielu instancji serwerów Microsoft Windows Server i Linux na serwerach typu blade zainstalowanych bezpośrednio w ruterach Cisco ISR G2. Cisco i VMware dostarc zające natywny hypervisor uruchamiany na module Cisco SRE, umożliwiający konsolidacje fizycznych serwerów w sieci oddziałowej. Pomimo, że infrastruktura sieci zostanie skonsolidowana fizycznie w jednym urządzeniu, zarządzanie każdą z platform nadal pozostaje oddzielne. Te same metody administracyjne wykorzystywane do zarządzania siecią, serwerami i środowiskiem wirtualnym w tradycyjnej infrastrukturze, mogą być również wykorzystane w przypadku administracji systemem Cisco UCS Express. Platforma Sieciowa Rutery Cisco ISR są jednym z najczęściej używanych sieciowych urządzeń w oddziałach terenowych. Posiadają one możliwość zainstalowania dodatkowych modułów o różnorakich funkcjonalnościach. W ruterach Cisco ISR G2 pojawiła się możliwość instaloRys. 1. Komponenty systemu Cisco UCS Express wania modułów Cisco SRE będących serwerami typu blade. Otrzymujemy co gener uje dodatkowe kosz ty. W skład UC S Express wchodz ą dzięki temu możliwość uruchomienia w jednym urz ądzeniu zarówno Umieszczenie wszystkich elementów poniższe trzy platformy: sieciowych i serwerowych w jednym •Platforma sieciowa (Cisco ISR G2) platformy sieciowej, jak i serwerowej. urządzaniu, zapewniającym integrację – w postaci rutera ISR G2. Serwery Wewnętrzna matryca przełączająca i wewnętrzną komunikację pomiędzy i urządzenia sieciowe mogą być (Multigigabit Fabric – MGF) w ruterze tymi poszczególnymi elementami, umiejscowione w jednej obudowie zapewnia bezpośrednią komunikację poz woliłoby usuną ć powyż sze rutera ISR G2. Wewnętrzna matryca pomiędzy poszczególnymi kompoproblemy i obniżyć koszty utrzymania przełączająca zapewnia bezpośrednią nent ami systemu bez potrzeby infrastruktury oddziałowej. komunikację pomiędzy poszcze- zestawiania dodatkowych połączeń Wspomniane powyżej wymagania, gólnymi komponentami systemu bez kablowych. stawiane nowoczesnej infrastrukturze potrzeby zestawiania dodatkowych Matryca MGF pozwala na podłączenie wirtualnego środowiska i bezpośredni informatycznej w sieci oddziałowej, połączeń kablowych. realizuje system Cisco UCS Express. •P l a t f o r m a s e r w e r o w a t y p u dostęp wirtualnych serwerów do sieci Cisco Unified Computing System blade (Cisco Services-Ready Engine LAN. Komunikację tę możemy zrealiExpress (UCS Express) jest platformą (SRE)) – serwer typu blade w postaci zować z wykorzystaniem modułów konsolidującą w sobie najważniejsze modułu Cisco SRE instalowany Cisco EtherSwitch EHWIC i Service Modules , realiz ując t ransmisję elementy infrastruktury informaw ruterze ISR G2. tycznej, takie jak platforma sieciowa, •Platforma wirtualizacyjna (Cisco z pominięciem procesora rutera serwerowa i platforma środowiska Services-Ready Engine Virtualization i zwiększając wydajność systemu. wirtualnego. (SRE-V) ) – wspólne przedsięwzięcie Oprogramowanie IOS rutera zapewnia Rozwiązanie to jest rozszerzeniem architektury systemu Cisco Unified Computing System, dzięki czemu umożliwia obsługę nie tylko centrów przetwarzania danych, ale tak że oddziałów terenowych. Cisco UCS Express jest rozwiązaniem de dykowanym dla or ganiz ac ji ze scentralizowaną infrastrukturą, która posiada oddziały terenowe wymag aj ą c e lok a lnyc h u s ł ug . Rys.2. Ruter Cisco 3945 obsadzony dwoma serwerami typu blade (Cisco SRE) Platforma umożliwia uruchomienie 46 Integrujemy przyszłość® Numer: IV/2012 (121) nam natomiast Inter-VL AN ruting i pozostałe funkcjonalności warstwy trzeciej dla środowiska wirtualnego. Na rysunku nr 3 przedstawiono możliwe metody wykorzystania wewnętrznej matrycy przełączającej MGF do obsługi ruchu. Platforma serwera typu blade W systemie C isco UC S Express do pełnienia funkcji serwerów typu blade dedykowane są moduły Cisco Services-Ready Engine (SRE). Moduły Cisco SRE posiadają swój procesor, pamięć, przestrzeń dyskową oraz interfejsy sieciowe. Moduły Cisco SRE uruchomione w ruterze ISR G2, działają z wykorzystaniem własnych zasobów sprzętowych, niezależnie od zasobów sprzętowych rutera. Dzięki temu nie występuje sytuacja, w której wyczerpane zasoby platformy serwerowej mogłyby zagrozić wydajnemu działaniu samego rutera. Router ISR G2 dostarcza modułowi Cisco SRE zasilanie, chłodzenie i zintegrowany wewnętrzny przełącznik w postaci wspomnianej wcześniej matrycy MGF. Cisco SRE do rutera jest podłączony dwoma wewnętrznymi int er fejs ami Gigabit E t her ne t . Jeden z interfejsów jest interfejsem warstwy drugiej, który łączy Cisco SRE blade z wewnętrzną matrycą MGF i dedykowany jest dla ruchu danych z serwerów wirtualnych. Drugi interfejs jest interfejsem warstwy trzeciej i dedykowany jest dla ruchu zarządzającego. Dodatkowo moduł Cisco SRE posiada trzeci, zewnętrzny interfejs Gigabit Ethernet, który można wykorzystać np. dla celów redundancji. Rys. 3. Przykładowe metody wykorzystania wewnętrznej matrycy przełączającej MGF do obsługi ruchu Obecnie dostępne są cztery wersje modułów Cisco SRE różniące się między sobą zasobami sprzętowymi. Dokładną specyfikację poszczególnych modułów przedstawiono w osobnej tabeli. Wszystkie moduły mają wymienialne (w łatwy sposób) dyski twarde. Dodatkowo moduły typu SRE 900 Rys. 4. Moduł Cisco SRE pełniący funkcje serwera typu blade Biuletyn Informacyjny SOLIDEX® i 910 wspierają RAID, dzięki zainstalowaniu dwóch dysków twardych. Moduły Cisco SRE pełniące funkcje ser wera posiadają wiele z alet . Moduły te instalowane w obudowie rutera nie zabierają dodatkowej przestrzeni i zużywają dużo mniej energii elektrycznej w porównaniu z tradycyjnymi serwerami. Z uwagi, iż komunikacja z modułami Cisco SRE i ich zasilenie odbywa się poprzez wewnętrzne zintegrowane interfejsy, moduły te nie wymagają stosowania żadnego sieciowego ani elektrycznego ok ablowania . Tym s amym t e ż do podłączenie tego typu serwerów nie potrzebujemy portów przełącznika. Ze względu na powyższe właściwości dużo łatwiejsza jest także sama fizyczna instalacja modułów Cisco SRE, która wymaga tylko wsunięcia modułu do slotu rutera ISR. Całą resztę prac związanych z zasileniem modułu, zestawieniem połączenia i uruchomieniem na module właściwej 47 rozwiązania na odtworzenie serwera w stanie, w jakim znajdował się w momencie zapisywania. Środowisko wirtualne gwarantuje także lepsze wykorzystanie zasobów sprzętowych, dzięki moż liwo ś c i rozłożenia pamię c i i mocy procesora na kilka instancji serwerów. Konsolidacja środowiska serwerów w jednym urządzeniu zmniejsza zapotrzebowanie na energię elektryczną, chłodzenie i fizyczną przestrzeń w serwerowni. Duż ą zaletą jest także fakt, że w środowisku wirtualnym każdy wirtualny serwer znajduje się w dedykowanym kontenerze odizolowanym od pozostałych wirtualnych serwerów. Rys. 5. Architektura modułu Cisco SRE na przykładzie Cisco SRE 910 platfor my adminis t r at or mo ż e wykonać zdalnie. W tabeli nr 1 przedstawiono specyfikację techniczną dostępnych modułów Cisco SRE typu blade wraz z wykazem wspieranych ruterów. Parametr odtworzenie systemów w przypadku awarii. Duże znaczenia ma tutaj fakt, że wirtualny serwer jest uniezależ- System operacyjny na maszyniony od platformy sprzętowej i może nie wirtualnej być uruchomiony na różnym sprzęcie. Dodatkowo stan wirtualnego serwera W systemie Cisco UC S Express, można zapisać do pliku, który pozwali na maszynie wirtualnej możemy Cisco SRE 700 i SRE 710 Cisco SRE 900 i SRE 910 Intel Core 2, 1.86GHz (single core) Intel Core 2 Pamięć RAM 4 GB 4 GB lub 8 GB Dysk twardy Jeden dysk 500GB SATA Dwa dyski 500GB SATA - Non-RAID, RAID 0, RAID 1( Software RAID controller in Cisco SRE-V) 3 porty Gigabit Ethernet 3 porty Gigabit Ethernet Procesor RAID Interfejsy sieciowe I/O Wspierane modele ruterów ISR Jeden zewnętrzny port USB Jeden zewnętrzny port USB Cisco 2911, 2921, 2951, 3925, 3925E, 3945, 3945E Cisco 2911, 2921, 2951, 3925, 3925E, 3945, 3945E Tabela 1. Specyfikacja modułów Cisco SRE Platforma wirtualizacyjna Cisco wspólnie z VMware stworzyło platformę Cisco SRE Virtualization (SRE-V ). Jest to VMware vSphere Hypervisor (ESXi) zoptymalizowany do wykorzystania z modułami Cisco SRE. Cisco SRE-V jest natywnym hyp e r vi s o r e m u r u c h o mia nym bezpośrednio na module Cisco SRE. Hypervisor dostarc za wir tualne s e r we r y , na k t ór yc h mo ż e my ur uchomić konk r et ne sys t emy operacyjne wraz z potrzebnymi nam aplikacjami. Wirtualizacja środowiska pozwala nam na uruchomienie serwerów wirtualnych znacznie szybciej niż ich fizycznych odpowiedników. Tym samym, tak że dużo szybsze jest 48 Rys. 6. Architektura środowiska Cisco SRE-V Integrujemy przyszłość® zainstalować dowolny system operacyjny. Cisco UCS Express posiada wsparcie dla systemów Microsoft Windows Server 2003 i 2008. Cisco UCS Express został poddany procesowi certyfikacji Microsoft. Moduł Cisco SRE przeszedł pozytywnie testy Microsoft Windows Hardware Quality Lab ( WHQL) i uzyskał certyfikat kompatybilności z Microsoft Windows Server 2003 i 2008 . Natomiast platforma Cisco SRE-V przeszła pozytywnie testy Microsoft Server Virtualization Validation Program (SV VP) i także dostała certyfikat gwarantujący poprawne działanie systemów Microsoft Windows Server 2003 i 2008 na tej platformie. Opróc z wsparc ia dla ser werów Mic r os of t , V Mwar e vSpher e Numer: IV/2012 (121) Rys. 7. System zarządzający Cisco IMC Express Platforma Cisco ISR G2 Narzędzie do zarządzania platformą CLI, CiscoWorks LAN Management Solution (LMS) , Cisco Configuration Professional Cisco SRE blade Cisco IMC Express Cisco SRE-V VMware vSphere Client i vCenter Server Tabela 2. Narzędzia do zarządzania systemem Cisco UCS Express Hypervisor (ESXi) wspiera wiele innych systemów operacyjnych w tym większość dystrybucji Linuxa (między innymi Red Hat Enterprise Linux, Novell SUSE Linux Enterprise Server i Oracle Linux). Zarządzanie Do zarządzania modułami Cisco SRE, zainstalowanymi w ruterze ISR G2, dedykowany jest system Cisco IMC Express. Cisco IMC Express pozwala na instalacje hypervisora na modułach Cisco SRE, konfiguracje interfejsów, monitorowanie pracy modułów Cisco SRE i zarządzanie ich zasilaniem. Cisco IMC Express jest osadzony w ruterze ISR G2, działa na dedykowanych zasobach sprzętowych, niezależnie od oprogramowania IOS rutera. Cisco IMC Express oferuje zarządzanie poprzez konsolę graficzną lub linie komend. Konsola graficzna jest identyczna z konsolą Cisco IMC wykorzystywaną w standardowym środowisku UCS. Dzięki temu istnieje pe ł na spójno ś ć w z ar z ądz aniu serwerami typu blade w Centrali i w oddziale. Cisco UCS Express oferuje separacje zar z ądzania poszc zególnymi element a mi plat for my . Mimo że system konsoliduje środowisko sieciowe, wirtualne i serwerowe w jednym fizycznym urządzeniu, zarządzanie tymi środowiskami pozostawiono oddzielne. Dzięki temu administratorom sieci możemy nadać uprawnienia do zarządzania tylko ruterem, a administratorom serwerów dać uprawnienia do zarządzania tylko samymi serwerami. Do zarządzania poszczególnymi elementami systemu możemy wykorzystać dedykowane odrębne narzędzia zgodnie z informacjami zawartymi w tabeli nr 2. generuje mniejsze koszty operacyjne (TCO) w porównaniu z tradycyjnym środowiskiem infrastruktury informatycznej. Pozwala skonsolidować do jednego urządzenia najistotniejsze elementy infrastruktury informatycznej. Cisco UCS Express daje przy tym administratorom możliwość pełnej zdalnej kontroli nad infrastrukturą IT w oddziale terenowym, bez konieczności osobistych wizyt. Niewątpliwie nowe rozwiązanie Cisco wytycza nowy kierunek w podejściu do projek towania nowoc zesnej infrastruk tur y I T w oddziałach terenowych. Daje możliwość wprowadzenia do małych sieci oddziałowych nowoczesnych rozwiązań, które były do tej pory stosowane tylko w centralach przedsiębiorstw. Podsumowanie Opracowano na podstawie oficjalnych materiałów producenta. Wykorzystanie Cisco UCS Express daje organizacji posiadającej serwery w oddziałach terenowych liczne korzyści. System Cisco UCS Express Biuletyn Informacyjny SOLIDEX® M.Z. Inżynier SOLIDEX 49 Nowość w ofercie Warsztaty Check Point Next - Generation Firewall R75 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową - Warsztaty Check Point Next - Generation Firewall R75. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami - IPS, Content Security, Integracja z ActiveDirectory - budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.solidex.com.pl/oferta/warsztaty 50 Integrujemy przyszłość® Program SOLIDEX Autoryzowane Szkolenia Cisco Systems ® ICND1 Interconnecting Cisco Network Devices Part 1 ICND2 Interconnecting Cisco Network Devices Part 2 CCNAX Interconnecting Cisco Networking Devices: Accelerated NOWOŚĆ! ROUTE Implementing Cisco IP Routing SWITCH TSHOOT Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks BGP MPLS QOS IINS SECURE FIREWALL VPN Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Securing Networks with Cisco Routers and Switches v1.0 Deploying Cisco ASA Firewall Features Deploying Cisco ASA VPN Solutions CIPT P1 Implementing Cisco Unified Communications Manager Part 1 v8.0 CIPT P2 Implementing Cisco Unified Communications Manager Part 2 v8.0 CWLMS Implementing CiscoWorks LMS IP6FD IPv6 Fundamentals, Design, and Deployment IUWNE Implementing Cisco Unified Wireless Networking Essentials DESGN Designing for Cisco Internetwork Solutions NOWOŚĆ! ARCH Designing Cisco Network Service Architectures NOWOŚĆ! Infolinia: 800 49 55 82 Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 Kraków www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944. Nakład: 2500 egz. Redakcja: Zespół Komunikacji Marketingowej SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] www.integrator.SOLIDEX.com.pl