Integrator Nr IV/2012 (121)

Transkrypt

Integrujemy przyszłość®
Biuletyn Informacyjny SOLIDEX®
Nr IV/2012 (121)
Już
10 lat
w Tęczowym
Biurowcu
więcej na str. 6
NOWOŚCI:
Check Point Virtual Systems
– wirtualizacja platformy
bezpieczeństwa
TECHNOLOGIE:
Cisco Prime Infrastructure
1.2, czyli jak efektywnie
zarządzać infrastrukturą
sieciową
ROZWIĄZANIA:
McAfee NitroSecurity
Transport optyczny z
przepływnością 100Gbps
Cisco Telepresence EndPoints,
czyli komunikacja bez granic
ISSN 1233–4944
www.integrator.SOLIDEX.com.pl
Numer: IV/2012 (121)
Drodzy Czytelnicy, Szanowni Klienci!
10 lat temu na przełomie 2002 i 2003 roku mieliśmy przyjemność uroczyście otworzyć nasz Tęczowy Biurowiec w Krakowie.
Z tarasu z widokiem na Kopiec Kościuszki oglądaliśmy pokaz sztucznych ogni w miejscu, gdzie dziś wyrosły kolejne
biurowce pełne młodych przywiązanych do komputera pracowników..
Miniona dekada w Tęczowym Biurowcu to czas wielkiej zmiany w polskim i nie tylko polskim świecie internetu.
Wówczas internet obecny już od dekady na uczelniach, w bankach, urzędach państwowych czy w większych firmach
nie był obecny jeszcze w naszych domach!
Dziś wszedł nie tylko „pod strzechy”, ale „wdarł się” do naszych teczek, czy nawet do kieszeni uczniów i studentów,
dostępny praktycznie wszędzie i dla każdego.
Ułatwiają to liczne projekty tzw. „internetu szerokopasmowego” w gminach i miastach przypominające powtórzenia
pierwszych naszych sieci kampusowych czy miejskich z początku lat dziewięćdziesiątych... Urządzenia domowego
dostępu do niego stały się tanie, rozpowszechniane za kilkadziesiąt złotych nawet w supermarketach.
„INTEGRATOR” towarzyszył od ponad 15 lat kiedyś pionierom, a dziś raczej weteranom budowy rdzenia internetu...
Również dzisiejsze już 121. wydanie poświęcone jest nowym i ważnym dla profesjonalnej sieci rozwiązaniom i technologiom.
I przypomina, że 10 lat naszej SOLIDnej rynkowej aktywności w świecie „internetworkingu” miało swe centrum
w Tęczowym Biurowcu!.... :-)
Życzymy miłej lektury!
Zespół SOLIDEX
Spis treści
WYDARZENIA
4
4
4
SOLIDEX rozwija sieć sprzedaży. Nowy Oddział już działa we Wrocławiu!
Nowoczesne rozwiązania IT dla instytucji finansowych i ubezpieczeniowych
„Internet Przyszłości”, czyli XIV Krajowa Konferencja Inżynierii Oprogramowania
organizowana przez AGH
Bezpieczeństwo danych i informacji w sektorze bankowości
Dostawy urządzeń sieciowych dla Pilkington Chmielów i Sandomierz
10 lat w Tęczowym Biurowcu
5
5
6
NOWOŚCI
10
14
Check Point Virtual Systems – wirtualizacja platformy bezpieczeństwa
Site Survey. Pierwsze kroki w projektowaniu wydajnych sieci bezprzewodowych
Technologie
18
22
FlexPod – wspólna platforma Cisco i NetApp
Cisco Prime Infrastructure 1.2, czyli jak efektywnie zarządzać infrastrukturą sieciową
Rozwiązania
27
30
33
40
45
McAfee NitroSecurity
Transport optyczny z przepływnością 100Gbps
Cisco Telepresence EndPoints, czyli komunikacja bez granic
Przełącznik wirtualny Nexus 1000V
Cisco Unified Computing System Express - następny krok w procesie
konsolidacji infrastruktury informatycznej
3
WYDARZENIA
SOLIDEX rozwija sieć sprzedaży. Nowy Oddział już działa we Wrocławiu!
Miło nam poinformować Szanownych Klientów, że nasza placówka serwisowa we Wrocławiu została przekształcona
w nowy Oddział SOLIDEXu i działa już pod nowym adresem.
Biuro nowego Oddziału mieści się w
samym centrum Wrocławia, na drugim
piętrze kompleksu biurowo-usługowego
*FOCUS PLAZA* przy ulicy Kościuszki
29. W oddziale mogą Państwo zapoznać
się z nowoczesnym sprzętem w demonstracyjnym laboratorium oraz skorzystać
ze standardowych usług doradczych
naszych SOLIDnych EXpertów®.
Zapraszamy również do skorzystania
z warsztatów i szkoleń, które oprócz
K rakowa i Warszawy będziemy
prowadzić również we Wrocławiu
podobnie jak w niedawno przeniesionym do nowego biura Oddziale w
Poznaniu.
Nowy adres
SOLIDEX S.A. Oddział Wrocław
ul. Kościuszki 29
(Focus Plaza, II p, wejście A)
50-011 Wrocław
tel. +48 71 333 99 65
fax: +48 71 333 99 66
Nowoczesne rozwiązania IT dla instytucji finansowych i ubezpieczeniowych
19 września br. w Centrum Bankowo-Finansowym "Nowy Świat" S. A .
w Warszawie odbyła się konferencja: "Ubezpieczenia - Nowoczesne
kanały komunikacji i ich efektywność
w sprzedaży - technologia i prawo".
SOLIDEX wziął udział w imprezie
w charakterze Srebrnego Sponsora.
K onfer enc ja by ł a p o ś wi ę c ona
nowoc zesnym rozwią zaniom IT,
usprawniającym komunikację oraz
sprzedaż w instytucjach finansowych
i ubezpieczeniowych. Głównym
organizatorem Konferencji była firma
Multitrain Sp. z o.o.
Nasz SOLIDny EXpert® poprowadził
wykład zatytułowany: „Narzędzia
komunikacji i współpracy grupowej".
Więcej informacji na temat konferencji
znaleźć można na stronie Organizatora:
http://www.multitrain.pl/home/
kalendarium/ubezpieczenia.htm
„Internet Przyszłości”, czyli XIV Krajowa Konferencja Inżynierii Oprogramowania
organizowana przez AGH
W dniach 10 - 13 września w nowym budynku Centrum Informatyki AGH odbyła się XIV Krajowa Konferencja
Inżynierii Oprogramowania (KKIO). SOLIDEX był jednym ze sponsorów Konferencji.
Głównym celem KKIO, organizowanej
przez Katedrę Informatyki AGH oraz
Polskie Towarzystwo Informatyczne –
Oddział Małopolski była prezentacja
ewolucji metod inżynierii oprogramowania w kontekście wymagań
platform projektowania i budowy
oprogramowania aplikacji „Internetu
Przyszłości”. Metody te w szczególności związane są z przetwarzaniem
w chmurze obliczeniowej, budową
4
aplikacji dla inteligentnego miasta/ „Internetu Przyszłości”, a także ich
domu, aplik ac jami mobilnymi, wpływu na aktualnie stosowane
komunikacją i sieciami społecznymi, procesy wytwarzania i testowania
analizą społeczną oraz systemami oprogramowania, jak i na kształcenie
o b l i c z e n i o w y m i w r a ż l i w y m i informatyków.
na kontekst. W szerszej perspektywie
konferencja miała stanowić forum dla Szczegółowe informacje na temat
dyskusji reprezentantów środowisk programu konferencji znaleźć można
naukowych i przemysłu na temat na stronie internetowej:
zachodzących zmian technologicznych http://kkio2012.agh.edu.pl
oraz nowych wymagań aplikacji
Numer: IV/2012 (121)
Bezpieczeństwo danych i informacji w sektorze bankowości
Konferencja pt. „Bezpieczeństwo danych w nankowości” odbyła się 24 października br. w Centrum Bankowo-Finansowym "Nowy Świat" S.A. w Warszawie i poświęcona była sposobom zwiększenia poziomu bezpieczeństwa
w bankowości oraz przeciwdziałaniu rodzącym się zagrożeniom. Solidex uczestniczył w konferencji w charakterze
Srebrnego Sponsora.
Nasz SOLIDny EXpert® poprowadził
wyk ł ad z atytu łowany: „ Z ar z ą dzanie politykami bezpieczeństwa.
Kształtowanie procesu pozyskania
dostępu do zasobów".
www.multitrain.pl/home/
Więcej informacji na temat konfe- kalendarium/bezpieczenstwo-danychrencji znajdą Państwo na stronie -i-informacji-w-bankowosci-2.htm
internetowej Organizatora:
Dostawy urządzeń sieciowych dla Pilkington Chmielów i Sandomierz
Należący do japońskiego koncernu NSG Group Pilkington Automotive Poland realizuje obecnie przy współudziale
SOLIDEX S.A. jedną z największych inwestycji zagranicznych w Polsce w roku 2011: Budowa i uruchomienie fabryki
szyb samochodowych w Chmielowie k. Tarnobrzegu.
Całkowity koszt inwestycji grupy
wyniesie około 450 milionów zł. Część
środków na jej sfinansowanie pochodzi
z dotacji Ministerstwa Gospodarki.
SOL IDE X zrealizował dost awy
urz ądzeń sieciowych Cisco
oraz Motorola do tego zakładu.
We wrześniu ruszyły pierwsze linie
produkcyjne w nowym zakładzie.
Na rok 2014 zaplanowany jest kolejny
etap rozbudowy, który zakończy się
w 2015 roku.
Od 1 października swoją działalność
rozpoczęło Centrum Usług Wspólnych
utworzone przez NSG Group w Sandomierzu. CUW w Pilkington obsługiwać
będzie zakłady koncernu z Niemiec,
Włoch, Wielkiej Brytanii i Polski
w zakresie finansowo-księgowym, IT
oraz zakupów. Dla powstałego CUW
SOLIDEX dostarczał również najważniejsze urządzenia sieciowe marki Cisco.
Trwają rozmowy o objęciu opieką
serwisową SOLIDEX części istniejącego już sprzętu sieciowego oraz
sprzedaży autoryzowanych szkoleń.
Przełącz się
na nową jakość
5
WYDARZENIA
6
10
lat
w Tęczowym Biurowcu
Numer: IV/2012 (121)
T
ęczowy Biurowiec jest siedzibą centrali firmy SOLIDEX
już od 10 lat, dokładnie od grudnia roku 2002 kiedy
został oddany do użytkowania.
Budynek mieści się przy ulicy Juliusza Lea, w sąsiedztwie miasteczka
studenckiego i zaledwie dwa kilometry od krakowskiego Rynku Głównego.
W miejscu gdzie jeszcze dwa lata wcześniej stały fabryczne baraki z lat
sześćdziesiątych, na przełomie 2002 i 2003 roku powstało dynamiczne
centrum biznesowe działające po dziś dzień.
Okazały budynek o powierzchni ponad 4500m2 zrealizowany na zlecenie
SOLIDEXu, wg projektu znanego krakowskiego architekta doktora
Romualda Loeglera z przeznaczeniem na siedzibę firmy, powstał w efekcie
rozbudowy starego, dwupiętrowego budynku biurowego z roku 1965. Za tę
realizację Minister Infrastruktury wyróżnił zespół architektów Nagrodą
III Stopnia za rok 2003. O przyznaniu nagrody zdecydowały walory
twórcze, takie jak klarowna i wyrazista koncepcja projektowa, oryginalna
i niepowtarzalna forma architektoniczna oraz precyzyjne rozwiązania
funkcjonalno-użytkowe.
Tęczowy Biurowiec, jako tzw. inteligentny budynek, łączy w sobie najnowsze zdobycze
technologiczne. Nowoczesna konstrukcja opasana jest przyciągającymi wzrok przysłonami
w kolorze tęczy. W jasnych i przestronnych wnętrzach wykończonych kompozycją szkła
i aluminium oraz meblami w przyjaznych, naturalnych, bukowych kolorach rozwiązywane
są złożone zagadnienia związane z funkcjonowaniem systemów teleinformatycznych
obejmujących zasięgiem całą Polskę. Mieszczące się na czwartym piętrze komfortowe
sale centrum szkoleniowego goszczą podnoszących swe kwalifikacje specjalistów
teleinformatyki z całego kraju. Całości dopełnia taras widokowy pokrywający prawie
cały dach starego budynku, z którego roztacza się piękny widok na pasmo Sikornika oraz
Kopiec Kościuszki.
Cały budynek został zaprojektowany tak, by oddać charakter firmy i jej przewodnie hasło
jakim przez pierwsze 20 lat działalności była „Sztuka Integracji”. Obecne hasło, wybrane
z okazji jubileuszu 20lecia firmy „Integrujemy przyszłość” pasuje do niego tym bardziej.
Tęczowy biurowiec będąc powiewem nowoczesności wpasowuje się wszak doskonale –
integruje właśnie – w kojarzoną przede wszystkim z historią panoramę Krakowa.
7
NOWOŚCI
Check Point Virtual Systems –
wirtualizacja platformy bezpieczeństwa
Dzisiejsze sieci stają się coraz bardziej skomplikowane. Coraz większa
różnorodność systemów powoduje wzrost wydatków na narzędzia, które mają
je chronić i zabezpieczać naszych klientów. Aplikacje, z których korzystamy,
przenoszone są do zasobów w chmurze, co również stanowi wyzwanie dla
administratorów bezpieczeństwa.
Różne działania możemy podjąć,
aby zaradzić wymienionym zagadnieniom. Jednym z nich jest na pewno
centralizacja systemów i wirtualizacja bezpieczeństwa. Takie podejście
ograniczy wydatki i jednocześnie
umożliwi centralne zarządzanie
c a ł ą inf r a s t r uk tur ą . K olejnym
aspektem jest wybór mechanizmów
inspekcyjnych i poziom kontroli
przesyłanych danych. A ktualne
rozwiązania oferują wiele funkcji,
jak IPSec VPN, IPS, kontrola aplikacji,
przy czym warto również wziąć pod
uwagę zastosowanie innych jak
Data Loss Prevention lub AntiBot,
które sprecyzują informacje o ruchu
w naszej sieci i pozytywnie wpłyną
na bezpieczeństwo.
Check Point przedstawił w ostatnich
miesiącach produkt do wirtualizacji
zapór sieciowych Virtual Systems.
Producent zwraca uwagę i adresuje
swój produkt zwłaszcza do klientów,
którzy:
10
•zarządzają bezpieczeństwem coraz
bardziej skomplikowanych sieci,
w których wymagana jest coraz
większa segmentacja,
•potrzebują ochrony przed współczesnymi zagrożeniami,
•aby zapewnić wymagany poziom
bez piec ze ństwa w kor porac ji,
tworzą coraz bardziej skomplikowane polityki bezpieczeństwa.
Jest to, tak naprawdę, tylko kilka
fundamentalnych przykładów zastosowania systemów, które zapewniają
pracę w środowisku wirtualnym. Nie
ma dzisiaj środowiska IT, które z zalet
wirtualizacji nie mogłoby skorzystać.
Od dostawców usług, którzy mogą
sprzedawać zabezpiec zenia jako
swój produkt, po niewielkie firmy,
które inwestując w taki system
zwrócą uwagę na mniejsze koszty
utrzymania i możliwość kreowania
nowych systemów bezpieczeństwa
bez zakupu dodatkowych urządzeń.
Jak ten system działa?
Idea systemów wirtualnych i korzyści
z nich płynące są już znane na rynku
IT. W przypadku rozwiązań serwerowych wspó łc zesne inst alac je
wykorzystują tę technologię, a administratorzy są świadomi jej działania.
W jaki sposób zaimplementował ten
mechanizm Check Point? Zacznijmy
od porównania.
W klasycznym podejściu do projektowania systemów bezpieczeństwa
każdy segment sieci, który posiada
odrębną politykę bezpieczeństwa,
wymaga wdrożenia dedykowanego
firewalla. Taki model infrastruktury
pociąga za sobą inwestycje w zakup
i serwisowanie wielu urządzeń.
Podnosi to koszty zakupu (CAPEX)
i koszty utrzymania (OPEX) takiej
instalacji. Niewątpliwą zaletą jest
całkowita niezależnoś ć każdego
urządzenia oraz większy wpływ
na jego rozbudowę i obciążenie.
Numer: IV/2012 (121)
Supported Appliances
Appliance Memory
(default/max) GB
Max Recommended VSs
(with default appliance
memory)
Max Recommended VSs
(with max appliance memory)
2200
2/2
3
3
4200
2/4
3
3
4400
4/4
10
10
4600
4/4
10
10
4800
4/8
20
25
12200
4/12
20
50
12400
4/12
25
75
12600
6/12
75
150
21400
12/24
125
250
UTM-1 3070
4/4
10
10
Power-1 9070
4/4
50
50
Power-11 11000
6/6
75
75
lP1280
4/8
10
50
1P2450
4/8
25
75
Tabela 1. Ilość wirtualnych systemów - rekomendacja producenta
Virtual System Extension wprowadza
możliwość wirtualizacji komponentów
egzekwujących polityki. W takiej
konfiguracji każdy wirtualny Security
Gateway działa jako niezależny firewall
posiadający własną adresację, tablice
routingu, tablice stanów polityki
i wiele innych parametrów. Taka
konfiguracja ogranicza czas potrzebny
na wprowadzanie nowego systemu
bezpieczeństwa, ale również koszty
zapewnia środowisko pracy wirtualnym komponentom opisanym
poniżej.
•Vitual Switch: zapewnia przełączanie
pakietów pomiędzy wirtualnymi
systemami.
•Virtual Router: tworzy niezależną
domenę routingu w ramach pracy
na gateway’u VSX.
•Warp Link: są to wirtualne interfejsy
i połączenia zapewniające łączność
Security Gateway
Network 1
Router
Physical mode pozwala na uruchomienie tylko jednej instancji Security
Gateway’a . Taka inst alac ja nie
umożliwia tworzenia wirtualnych
instancji firewalla.
Virtual mode daje możliwość uruchomienia jednej instancji, tym razem
wirtualnej. Ilość takich instancji może
zostać rozszerzona za pomocą dodatkowej licencji do 250 wirtualnych
systemów. To, ile takich systemów
uruchomimy, jest determinowane
przez parametry maszyny fizycznej,
na której taki system będzie funkcjonował. Rekomendacje producenta
zostały przedstawione w tabeli nr 1.
Network 2
Internet
Virtual System SoftwareBlades
Network 3
Niewątpliwą zaletą produktu VSX
jest przejście na licencjonowanie
SoftwareBlade, znanego z klasycznych
produktów. Model ten umożliwia
dos
t os owanie f unkc jonalno ś c i
Rys. 1. Porównanie systemów wirtualnych z konwencjonalnymi
produktu do każdego klienta indywidualnie. Bezpieczeństwo zostało
pozyskania i utrzymania systemu.
punk-punkt pomiędzy wirtualnymi podzielone na blady oferujące ochronę:
Aby taka nowa infrastruktura działała
systemami i wirtualnymi switchami. firewall, IPS, Application Control,
niezawodnie, producent wprowadził •Dedicated Management Interface Identity Awareness URL Filtering,
dodatkowe komponenty, których
(DMI): dedykowany interfejs zarzą- AntiVirus, AntiBot.
konfigurację i funkcjonowanie należy
dzający, który nie przenosi ruchu Jak wspomniałem wcześniej, aby
dodać wirtualne systemy należy
wziąć pod uwagę:
produkcyjnego.
•VSX Gateway: jest kontenerem Każdy system VSX może działać zakupić odpowiednią licencję. Takich
licencji mamy kilka na: 3, 10, 25, 50
(hostem), który zarządza całym w dwóch trybach:
wirtualnych systemów.
systemem. Odpowiada za komuni- •Physical mode,
Każda licencja SoftwareBlade jest
kację z serwerem zarządzającym oraz •Virtual mode.
Network 4
11
NOWOŚCI
Rys. 2. Architektura SoftwareBlade dostępna na rozwiązania Appliance oraz platformy Open Servers
współdzielona przez system. Nie automatycznie podczas tworzenia.
ma znaczenia ile wirtualnych systemów Wszelkie zmiany włącznie z tablicą
stworzymy, ka żdy będzie mógł routingu (destination i source routing)
korzystać ze wszystkich mechanizmów można zmienić w konfiguracji obiektu.
bezpieczeństwa. Warte podkreślenia W nowej wersji R 75.40VS został
jest to, że każdy klient może skorzystać również mocno odświeżony interfejs
z obrazu iso dostępnego na portalu
supportowym i taki system wdrożyć
we własnej firmie. Nie jest konieczna
żadna dodatkowa licencja na produkt
VSX . Od wersji R 75.40VS każde
urządzenie może pracować w trybie
virtual mode bez ponoszenia dodatkowych kosztów.
Virtual mode
Migracja z trybu physical do virtual
mode jest niemal tak prosta jak opisuje
ją producent w swoich materiałach
marketingowych. Przygotowany
wizard prowadzi administratora przez
kolejne kroki konfiguracji. Jeśli pojawia
się błąd, natychmiast zostaje wskazane
jego źródło i numer sk w bazie wiedzy
producenta, pod którym można znaleźć
wytyczne do procesu konwersji.
Gdy kreator kończy swoje działanie,
twor z y obiek t V S X Gateway’a .
W k o l e jny c h k r o k a c h , w t a k
stworzonym kontenerze administrator
konfiguruje wirtualne komponenty:
systemy, switche i routery. Każdy
element jest odzwierciedlony w konfiguracji jako niezależny obiekt, który
posiada unikalne cechy. Podczas
konfiguracji wirtualnego systemu
powinniśmy podać, z jakimi swichami
i routerami będziemy podłączani.
Sys t em aut omatyc z nie dodaje
niezbędne interfejsy i warp linki. Cały
proces zajmuje zaledwie kilka minut.
Jego efektem jest stworzenie obiektu
VSX Gateway’a, w którym umieszczone są „wirtualne obiekty”. Topologia
każdego obiektu zostaje uzupełniona
12
Rys. 3.Kreator konwersji
SmartConsole. Można się do niego
szybko przyzwyczaić, ponieważ jest
bardziej ergonomiczny. Pojawiły się
tutaj dodatkowo:
•Ekran Overview, w którym znajduje
się podsumowanie naszego systemu
Numer: IV/2012 (121)
bezpieczeństwa: ilość reguł, aktualny
ruch, ilość połączeń i wiele innych
parametrów.
•Filtrowanie aktualnie zdefiniowanych reguł firewall.
•Nowy mechanizm konfiguracji tuneli
IPSec VPN.
•Wsparcie dla sygnatur SNORT.
•Obsługa protokołów TLS 1.1 oraz 1.2.
Zmian jest bardzo dużo w porównaniu
z wersją R75.40, a szczegóły dostępne
są na stronie producenta (sk76540).
Wymagania systemu, na którym będzie zainstalowany
Check Point Virtual Systems:
•System operacyjny SPLAT, Windows,
GAIA 32 lub 64 bit.
•Minimalna ilość pamięci R AM:
2GB. Szczegółowe dane dotyczące
minimalnej i maksymalnej ilości
pamięci RAM dla urządzeń firmy
Check Point można znaleźć w tabeli 1.
•Wersja oprogramowania: R75.40VS.
•Takie rozwiązanie wspiera technologie C ore X L , C L usterX L , S SL
Inspection.
Należy zauważyć, że system obsługuje
technologię CoreXL. Taka opcja daje
możliwość skalowania wydajności.
Każdy firewall może mieć przydzielone
zasoby w postaci dedykowanej ilości
rdzeni procesora.
Warto zauważyć, że na liście znajdują
się również starsze urządzenia z serii
Power-1 oraz IP Appliance, które nie
są już w sprzedaży. Obecnie akcesoria
do tych modeli są w dalszym ciągu
dostępne, więc lista może być uzupełniona o inne urządzenia np.: Power-1
5070.
Dodatkowe mechanizmy bezpieczeństwa wprowadzone
w wersji R75.40VS
Penalty box jest mechanizmem
zaimplementowanym w ramach
funkcji Performance Pack. Umożliwia
on odrzucanie pakietów, które trafiają
do nas z podejrzanych lokalizacji.
Idea tego mechanizmu jest bardzo
prosta, a jego implementacja pozwala
na zmniejszenie obciążenia systemu
podczas ataków DDoS.
Jeśli nasz gateway odrzuca próby
nawiązania połączenia w ramach
polityki zdefiniowanej na firewallu
Rys. 4. Przykładowa konfiguracja VSX Gateway
lub nar usz ane s ą polityk i IP S ,
to takie informacje przekazywane
są do mechanizmu penalty box. Jeśli
takie sytuacje pojawiają się systematycznie, wszystkie połączenia
z tego określonego adresu IP klienta
będą odrzucane przez określony czas
na niższym poziomie - warstwie
przetwarzania mechanizmu Performance Pack.
i cenie oferowanych produktów.
Należy spojrzeć z uznaniem i zwrócić
uwagę na ciągły i dynamiczny rozwój
produktów firmy Check Point.
Nowy VSX może stanowić bardzo
ciekawą alternatywę zwłaszcza dla
obecnych klientów. Niewielkim
kosztem mogą oni wdrożyć rozwiązanie, które umożliwi im dodanie
nowyc h wir t ualnyc h f ir ewalli
i inspekcję ruchu w segmentach sieci,
które do tej pory nie były wystarczająco lub w ogóle chronione.
W ramach tej funkcji pojawiły się
dwie nowe tablice kernela:
•dos_suspected,
•dos_penalty_box.
Opracowano na podstawie oficjalnych
W pie r w s z e j k ole jno ś c i adr e s materiałów producenta.
źródła dodawany jest do tablicy
dos_suspected. Jest on tam przetrzyT.P.
mywany przez okres 1 sekundy. Jeśli
Inżynier SOLIDEX
w tym czasie ponownie miało miejsce
zdarzenie w ramach polityk firewall
lub IPS, to taki adres IP źródła jest
przenoszony do drugiej tablicy kernela
dos_penelty_box. Tam obydwa „karę”
przez 180s. Parametr ten możemy
kontrolować z poziomu konsoli systemowej poleceniem
sim erdos –t <seconds>
Podsumowanie
Ostatnie badania firmy IDC Worldwide
2012 wskazują, że Check Point przoduje
w dziedzinie urządzeń firewall i UTM,
posiadając blisko 2 1% udziałów
w rynku. Firma ta jest rozpoznawalna
jako najlepszy producent rozwiązań
bezpieczeństwa i zarządzania nim. Silna
konkurencja sprzyja temu procesowi,
co odbija się pozytywnie na jakości
13
NOWOŚCI
Site Survey. Pierwsze kroki
w projektowaniu wydajnych sieci
bezprzewodowych
Site Survey umożliwiapoznanie i zrozumienie środowiska instalacji projektowanej sieci WLAN. Przygotowany w odpowiedni sposób, jest pierwszym krokiem
do zaprojektowania wydajnej sieci bezprzewodowej, modernizacji istniejącego
rozwiązaniaWLAN oraz do przeprowadzenia audytu istniejącej infrastruktury
produkcyjnej. Site Survey pozwala na stworzenie sieci, która będzie pracować
w sposób stabilny i przewidywalny. Celem Site Survey jest przede wszystkim
dobór odpowiednich urządzeń nadawczych, ich ilości, optymalnego rozmieszczenia oraz konfiguracji. Zebranie informacji na temat miejsca instalacji pozwala na zaprojektowanie sieci, która będzie spełniać oczekiwaniaklienta.
Przygotowanie
Gdy projekt jest modernizacją, bądź
rozbudową istniejącej infrastruktury
Site Survey należy rozpocząć od zrozu- sieciowej, trzeba zebrać informacje
mienia potrzeb klienta oraz zebrania na temat wykorzystanej technologii
informacji, zaczynając od tych ściśle oraz konfiguracji w celu optymalnej
związanych z technologią sieciową, integracji projektowanej sieci. Dane
końc z ąc na nie mniej wa ż nych na temat wykorzystywanych częstosprawach organizacyjnych. Spotkania tliwości przez istniejącą infrastrukturę
i rozmowy z grupami pracowników, bezprzewodową, zarówno urządzenia
z którymi w jakiś sposób zetkniemy się sieci WL AN, jak i bezprzewodowe
podczas wykonywanych prac, pozwolą telefony czy monitoring, mogą już na
na sprawniejszą realizację zadania.
etapie wstępnym zasugerować rodzaj
Jeśli chodzi o kwestie sieciowe, wybranego rozwiązania, które pozwoli
należy m.in. zadać pytania o rodzaj na ograniczenie skali wzajemnych
aplikacji wykorzystywanych w firmie, zakłóceń urządzeń nadawczych. Dane
urządzeń sieciowych, okablowania te zostaną oczywiście zweryfikowane
oraz wymagań dotyczących przepu- w fazie realizacyjnej.
stowości i niezawodności związanych Zazwyczaj istniejąca infrastruktura
z projektowanym rozwiązaniem. kablowa powinna zostać zbadana pod
14
kątem projektowanej sieci bezprzewodowej, która wygeneruje dodatkowy
ruch na urządzeniach sieciowych.
Może zaistnieć potrzeba inwestycji
w nowy sprzęt sieciowy lub rekonfiguracji istniejących urządzeń m. in.
VLANów, podsieci, zmiany adresacji
IP, QOS itp.
Osoba zamawiająca pomiar powinna
m.in. zdobyć i udostępnić aktualne
plany podłogi budynków, oznaczyć
na mapach punkty dystrybucyjne
oraz określić wymagany obszar
pokrycia sygnałem radiowym, a także
osobno nakreślić miejsca krytyczne
w działaniu sieci, w których konieczna
będzie redundancja urządzeń. Istotną
kwestią jest, aby proporcje rysunków
były zachowane, ponieważ są one
Numer: IV/2012 (121)
wykorzystywane w oprogramowaniu
pomiarowym.
Jeśli chodzi o sprawy organizacyjne,
w trakcie wizji lokalnej należy przedyskutować szereg, z pozoru mało
istotnych kwestii, które jednak
mogą znacząco zaważyć na wyniku
końcowym lub też w najgorszym
przypadku uniemożliwić wykonanie
pomiaru.
Dostęp do określonych pomieszczeń
może wymagać eskorty ochrony,
przepustek lub ze względów bezpieczeństwa może nie być w ogóle
możliwy. W niektórych przypadkach
do instalacji AP w trakcie pomiarów
może być konieczne użycie ciężkiego
sprzętu, np.: w pomieszczeniach
magazynowych charakteryzujących
się często znacznym tłumieniem oraz
odbijaniem sygnału radiowego. Takie
rozwiązanie umożliwi praktycznie
odwzorowania środowiska docelowego, jednocześnie jednak wpłynie
na czas i koszt pomiarów. W miejscach
gdzie propagacja fal radiowych nie
napotyka większych przeszkód można
zastosować statywy, do których
mocowane są AP w trakcie pomiarów.
Ponieważ ze względów BHP nie
można prowadzić kabli zasilających po
ziemi w trakcie pomiarów, np.: na hali
produkcyjnej w trakcie godzin pracy,
kolejnym problemem może stać się
źródło zasilania i użycie baterii UPS.
Jest wiele pułapek, pozornie mało
istotnych, które czekają po drodze
i na pewno doświadczenie w tego
typu pracach odgrywa znaczącą rolę
i usprawnia pracę.
Jeśli weźmiemy pod uwagę fakt, że
pomiary często są wykonywane na
halach produkcyjnych o powierzchni
kilku hektarów, wtedy małe problemy
przeradzają się w istotne, które
mogą nawet zagrozić właściwemu
i terminowemu wykonaniu prac .
Zaniechania na etapie przygotowań
mogą wpłynąć znacznie na czas
wykonania projektu, koszt pomiarów,
a końcowy raport może być rozbieżny
z oczekiwaniami zamawiającego lub
w najgorszym wypadku może być
bezużyteczny.
hali, gdzie przestrzeń powinna być już
zagospodarowana.
Jeśli prace są wykonywane na terenie
produkcyjnym, takim jak odlewnie,
montaż, obróbka itp., należy szczególnie zwrócić uwagę na kwestie BHP.
Nie można przeprowadzić testów bez
odpowiedniej odzieży oraz wiedzy na
temat zagrożeń i miejsc szczególnie
niebezpiecznych.
Osoba zamawiająca pomiar powinna
m.in. zdobyć i udostępnić plany
podłogi budynków, następnie jeśli
istnieje już infrastruktura kablowa,
oznaczyć na mapach punkty dystrybucyjne MDF/IDF oraz określić
wymagany obszar pokrycia sygnałem
radiowym, nakreślić miejsca krytyczne
w działaniu sieci, w których konieczna
będzie m.in. redundancja urządzeń.
Nadmiarowość urządzeń nie sprowadza się jedynie do AP, pod uwagę
należy brać każdy element sieci.
Osoba dokonująca pomiaru powinna
w obydwu trybach oraz łączenia
wyników dla pełnowartościowej
analizy.
•Symulacje propagacji sygnał u
radiowego. Po przeprowadzeniu
pomiarów, jeśli na mapach przedstawiających rozkład zmierzonego
sygnału wygenerowanych przez
aplikację widoczne są miejsca, na
których wartości sygnału nie są
optymalne, istnieje możliwoś ć
zmian w ustawieniach m.in. mocy
wyjściowej AP, częstotliwości pracy
czy zmiany identyfikatora sieci
SSID. Możemy również zmienić
pierwotne położenie AP i następnie
obserwować skutki zmian, bez
konieczności przeprowadzenia dodatkowych prac pomiarowych.
•Integrację z AirMagnet Spectrum
XT, AirMagnet Spectrum Analyzer,
czy Cisco Spectrum Expert dającą
możliwość równoczesnego przeprowadzenia pomiarów WiFi oraz
Site Survey należy rozpocząć od zrozumieniapotrzeb klienta
oraz zebraniainformacji, zaczynając od tych ściśle związanych
z technologią sieciową, kończąc na nie mniej ważnych sprawach
organizacyjnych.
być wyposażona w odpowiedni sprzęt.
Jednym z najlepszych narzędzi wykorzystywanych w trakcie Site Survey jest
oprogramowanie AirMagnet Survey
firmy Fluke Networks. Aplikacja ta
jest instalowana na laptopie, który
jest wyposażony w kartę służącą do
pomiarów.
Narzędzie to umożliwia m.in.:
•Pomiar pasywny oraz ak tywy
sieci WLAN. W trybie aktywnym
w odróżnieniu od trybu pasywnego
AirMagnet jest podłączony do
AP. Umożliwia to emulację pracy
użytkownika oraz zebranie informacji na temat przepustowości sieci,
retransmisji pakietów oraz ilości
utraconych pakietów. Natomiast
Realizacja
tryb pasywny daje możliwość m.in.
wykrycia nieautoryzowanych AP
Pomiary powinny zostać przeprowaoraz potencjalnych źródeł zakłóceń.
dzone w środowisku docelowym np.
AirMagnet daje możliwość jednow nowo wybudowanym budynku czy
czesnego przeprowadzenia pomiaru
p omiar ów mają c yc h na c elu
wykrycie potencjalnych interferencji, powodowanych przez różne
urządzenia nadające na tym samym
paśmie.
•Wykrycie interferencji między sąsiadującymi urządzeniami sieci WLAN.
•Pomiary pod sieć VoWLAN. Zdefiniowane profile telefonów oraz
możliwość tworzenia własnych
umoż liwiają zaprojek t owanie
sieci zgodnie z zaleceniami producentów. AirMagnet daje możliwość
weryfikacji jakości połączenia oraz
innych specyficznych parametrów
głosowych.
•Zobrazowanie obszarów roamingu.
•Generowanie szczegółowych raportów - możliwość dostosowywania
informacji zawartych w raporcie
w zależności od wymagań projektu.
•Badanie wielopoziomowe budynków.
15
NOWOŚCI
Rys. 1. Mapa zasięgu – wizualizacja propagacji sygnału
dla okre ślonej war toś ci
progowej
[dBm]
Rys. 2. Mapa zasięgu – wizualizacja
interferencji dla zadanej
wartości progowej
[%]
Rys. 3. Mapa zasięgu – wizualizacja nadmiarowości dla
przyjętego kryterium
[szt.]
16
Numer: IV/2012 (121)
Alarm/Threshold
Signal Coverage
Value
90,70% of Good Area
Minimum AP signal strength required
-67,00
Multiple AP Signal Coverage
33,10% of Good Area
Number of APs required to provide coverage
Minimum AP signal strength required to provide coverage
Channel Interference
2,00
-67,00
78,00% of Good Area
Interfered APs: Exclude APs if signal strength is weaker than
-75,00
Interfering APs: Exclude APs if signal strength is weaker than
-85,00
Signal Noise Ratio Coverage
90,70% of Good Area
Minimum Signal Noise Ratio required
25,00
Tabela 1. Procentowe zestawienie wyników dla wybranych wartości progowych
•Pomiar zarówno niewielkich powierzchni biurowych, hali produkcyjnych kończąc na wielkościach
rzędu miasta.
Obsługa aplikacji polega na wgraniu
dostarczonych przez klienta planów
budynku oraz konfiguracji parametrów
skanowania. Następnie osoba dokonująca pomiarów porusza się z laptopem
po wyznaczonym obszarze budynku
nanosząc informacje o swoim położeniu na wgranym uprzednio planie.
Prędkość poruszania się jest dość
istotna, jeśli chodzi o wiarygodność
pomiaru. Związane jest to z próbkowaniem sygnału, a na jej wpływ ma ilość
skanowanych kanałów. Dla częstotliwości 2,4Ghz oraz 5Ghz zalecany jest
osobny pomiar, pomaga to między
innymi w późniejszej analizie raportu.
Najlepiej skanowanie przerywać mniej
więcej co 30 minut, zapisać zebrane
dane i rozpocząć nowy pomiar. Dzięki
tej praktyce w przypadku jakichkolwiek problemów: czy to z samą aplikacją, systemem Windows, czy nagłym
brakiem zasilania, utracimy jedynie
część danych. Szczególnie odczujemy to,
gdy tego nie zrobimy po kilkugodzinnych pomiarach i będziemy zmuszeni
powtórzyć cały proces.
Kolejną aplikacją wspomnianą wcześniej jest AirMAgnet Spectrum XT.
Program wykorzystywany jest równolegle z oprogramowaniem Survey
i służy do wykrywania i identyfikacji
różnego rodzaju urządzeń bezprzewodowych mogących zakłócać pracę
sieci WLAN. Wykorzystanie aplikacji
jest szczególnie istotne w miejscach,
takich jak szpitale czy linie produkcyjne, których aparatura może się
wzajemnie zakłócać z urządzeniami
sieci WL AN. Uruchomienie sieci
WLAN z nieodpowiednio dobranym
sprzętem w przedstawionych powyżej
przypadkach może doprowadzić do
poważnych konsekwencji, w najgorszym wypadku do przeprojektowania
całej sieci.
Raport
w stanie na bieżąco monitorować stan
sieci bezprzewodowej i identyfikować
źródła zakłóceń. Przykładem tego typu
rozwiązania jest system WCS firmy
Cisco z technologią CleanAir.
materiałów producenta.
P.W.
Inżynier SOLIDEX
Ostatnim krokiem Site Survey jest
wygenerowanie raportu z zebranych
danych oraz ich odpowiednia interpretacja. Narzędzie AirMagnet Survey
oferuje gotowe szablony, k tóre
zawierają zdefiniowane zestawy map
propagacyjnych. Istnieje również
możliwość dostosowywania raportu
do własnych potrzeb. Program pozwala
na zdefiniowanie wartości progowych
dla wymaganych map zasięgów
i następnie na bazie zebranych danych
tworzony jest raport końcowy.
Ze względu na rodzaj medium, jakim
jest niekoncesjonowane pasmo
radiowe, propagacja sygnału radiowego będzie się zmieniać. Wpływ na
to będą miały różne czynniki, takie
jak zmiany w układzie pomieszczeń,
modernizacja sieci WL AN, czy też
montaż nowych urządzeń automatyki przemysłowej komunikujących
się z wykorzystaniem standardów sieci
802.11 a/b/g/n. Skutki tego typu zmian
są trudne do przewidzenia, dlatego
warto zastanowić się nad instalacją systemów zarządzania, które są
17
TECHNOLOGIE
FlexPod – wspólna platforma
Cisco i NetApp
Zmieniające się w ostatnich latach podejście do gromadzenia i przetwarzania
danych skłania przedsiębiorstwa do tworzenia własnych centrów danych,
a użytkowników do pracowania na wirtualnych maszynach uruchomionych
na odpowiednich serwerach. Takie podejście jest ekonomiczne, jeśli chodzi
o wykorzystanie energii elektrycznej, bezpieczne oraz przede wszystkim
bardzo elastyczne pod względem dalszej rozbudowy. Gdy w przedsiębiorstwie
występuje wiele działów, każdy z nich korzysta z innego zestawu aplikacji oraz
potrzebuje innej mocy obliczeniowej. W takiej sytuacji często pojawiasię problem
z kompatybilnością poszczególnych elementów. By sprostać tym wyzwaniom
Cisco i NetApp opracowało wspólnie platformę o nazwie FlexPod. Jej cechą
charakterystyczną jest kompatybilność z największymi na świecie producentami
systemów operacyjnych oraz hypervisorów takich jak: VMware, Red Hat czy
Microsoft. Produkty tych producentów zostały przetestowane i zatwierdzone
przez platformę FlexPod i posiadają dla niej pełne wsparcie.
Dlaczego FlexPod?
wirtualizacyjnych należy wyróżnić:
•Zintegrowaną i przetestowaną
Przedsiębiorstwa potrzebują przetestotechnologię dostarczaną przez liderów
wanej platformy Data Center, która jest
branży wirtualizacyjnej.
korzystna finansowo, wspiera zasoby •Pojedynczą platformę zbudowaną
wirtualne i nie-wirtualne oraz może
z ujednolic onych t echnologii
zostać łatwo wdrożona w dużym
do przechowywania danych oraz
środowisku IT z maksymalną skuteczser wer owyc h , k t ór a poz wala
nością oraz minimalnym ryzykiem.
na zbudowanie skalowalnego
Wszystkie te założenia spe ł nia
centr um danych bez zmian
FlexPod. Wśród czynników odróżniaw architekturze.
jących FlexPod od innych platform •Scentralizowany, uproszc zony
18
system zarządzania infrastrukturą
zasobów.
•Nowy elastyczny model wsparcia
tworzony przez zespół zarówno
inżynierów Cisco jak i NetApp.
Komponenty najlepsze
w swojej klasie
FlexPod składa się z trzech komponentów, k tóre w st andardowej
Numer: IV/2012 (121)
konfigurac ji pot rafią obs ł u ż yć
do 1500 użytkowników, mających
różne zapotrzebowania na wydajność.
Takie zintegrowane rozwiązanie potrafi
znacząco zredukować koszty i wydatki
operacyjne, poprawiając wydajność
w każdej warstwie. Poniżej przedstawiono poszczególne z nich:
•Cisco Unified Computing System –
jest to platforma przeznaczona dla
centrów obliczeniowych, zaprojektowana tak, aby wyeliminować
pochłaniające czas ręczne konfiguracje i zredukować koszty. UCS
łączy funkcje jednostki obliczeniowej,
sieci, dostępu do centrum obliczeniowego i wirtualizacji w skalowalny,
modularny system, który może
być łatwo zarządzany jako całość
przez Cisco UCS Manager. Maksymalnie uproszczona architektura
w doskonały sposób redukuje ilość
urządzeń, które muszą być zakupione,
s k onf ig ur owa ne , z a r z ą d z a ne
i chronione. Szablony profili usług
pozwalają na zautomatyzowane,
oparte o polisy, konfiguracje sprzętu
oraz wdrożenia dla dużych środowisk.
Wysokowydajna technologia rozszerzonej pamięci UCS dodatkowo
pozwala zmniejszyć zapotrzebowanie
na pamięć do 60%.
•Cisco Nexus – przełączniki dla
centrów obliczeniowych, używające
technologii Unified Fabric do identyfikacji i konsolidacji całego ruchu
sieciowego w uproszczoną, korzystną
finansowo architekturę. Przełączniki
Nexus oferują instalację „zero-touch”,
automatyczną konfigurację oraz
znakomitą skalowalność. Pojedynczy
punk t zar z ądzania równie ż
Rys. 1. Producenci oprogramowania, którzy są wspierani przez FlexPod
zwiększa wydajność, dostępność
i bezpieczeństwo.
•NetApp FAS – wysoce skalowany
sys t em mac ier z y dyskowych,
spełniający kompleksowo wszystkie
wymagania stawiane centrum
przechowywania danych. Ujednolicona platforma od NetApp jest
kompatybilna z wszystkimi protokołami, więc nie trzeba dokupować
oddzielnych systemów, by dostosować się do różnych wymagań.
Macierz posiada wiele narzędzi,
które wspomagają jak najkorzystniejsze wykorzystanie przestrzeni
dyskowej, między innymi „thin
provisioning”, narzędzia do deduplikacji danych, a także odpowiednio
zaprojektowany sposób tworzenia
backupów oraz klonów. Dostęp
do macierzy może być realizowany
poprzez łącza 10GbE lub FCoE
Rys. 2. Architektura platformy FlexPod
z wykorzystaniem protokołów NFS
i iSCSI.
Aplikacje Enterprise + FlexPod
SAP
Używając SAP Adaptive Computing
i Adaptive Computing Controller
można w łatwy sposób przenieść
system SAP z wirtualnego serwera
na serwer fizyczny. SAP Adaptive
C omputing C ontroller poz wala
uruchomić system SAP, zatrzymać
go, przenieść manualnie lub zgodnie
z wyznaczonym harmonogramem.
Celem zastosowania SAP Adaptive
C o m p u t in g j e s t w y m i e n i e n i e
używanego dotychczas mało elastycznego połączenia pomiędzy systemem
operac yjnym i systemami S A P
na centralny system udostępniania
danych ze współdzielonymi zasobami.
Zasoby te mogą być organizowane
w bloki, co pozwala by system
reagował z duż ą elastyc znością
w zależności od aktualnych potrzeb.
FlexPod został zaprojek towany
tak, aby spe łnić te wymagania.
Typowy klient SAP w dzisiejszych
czasach zawiera różne komponenty
NetWeaver, a także SAP Business
Suite. Procesy takie jak testowanie
patchy do aplikacji, wydajność, a także
testy integralności danych wymagają
kilku kopii komponentów SAP. Muszą
być one często odświeżane, zwykle
co tydzień lub co miesiąc. Utworzenie
kopii systemu SAP zazwyczaj zajmuje
kilka dni, a wiele kroków podczas tego
procesu musi być wykonywanych
19
TECHNOLOGIE
FlexPod zapewnia ujednolicony system
macierzy, serwerów i sieci, który
sprawia, że każdy klaster Microsoft
Hyper-V wykonuje założone cele.
Chmura Hyper-V zawiera co najmniej
dwa klastry. Pierwszy z nich, zawierający co najmniej dwa nody, jest
zwany klastrem zarządzającym. Drugi
i każdy następny to klaster hostów.
Każdy z nich może zawierać do 16
nodów i wymaga dostępu do zasobów
macierzowych poprzez Fibre Channel
lub iSCSI SAN. Chmura Microsoft
Hyper-V korzysta ze skalowalności
FlexPod, by umożliwić wdrożenie
kompletnej chmury prywatnej.
Model wdrożenia i supportu
Rys. 3. Komponenty wchodzące w skład FlexPod
ręcznie, co pochłania cenny czas działu
IT. Funkcjonalność o nazwie „multi-tenancy” pozwala klonować systemy
SAP i trzymać je bezpiecznie odseparowane od ich źródła. Izolacja tych
klonów jest zapewniona
przez FlexPod, Cisco TrusSec
Security i VMware vShield.
snapshotów, zdolności do klonowania oraz disaster recovery. Odkąd
cały klaster działa w ramach jednego
spójnego systemu, administratorzy
baz danych nie muszą konfigurować
Oracle
Oracle Real Application
Clusters (RAC) wprowadza
innowac yjne podejście
do rosnącego zapotrzebowania na miejsce dla danych
oraz na wysoką wydajność.
Oracle RAC używa modelu
„horizontal scaling”, który
pozwala organizac ji
skorzystać z faktu, że cena
architektury x86 spada,
a moc obliczeniowa rośnie.
Gdy z serwerów tworzone
są klastry, ich moce obliczeniowe sumują się do jego
Rys. 4. Model Supportu dla FlexPod
ogólnej mocy, umożliwia
to nowe podejście do zarządzania wydajnością i pojemnością każdego elementu w stacku oddzielnie.
takiego klastra. FlexPod wspiera Całość jest zarządzana przez Cisco UCS
implementację Oracle Database Manager.
11g Release 2 z technologią R AC
zgodną z branżowymi best practises. Microsoft
Do zapewnienia możliwości przecho- Klaster Hyper-V jest grupą niezawywania i zarządzania danymi le ż nych ser werów prac ując ych
architektura ta używa NetApp Fabric- wspólnie, by zwiększyć dostępność
-Attached Storage (FAS) z dyskami aplikacji i usług. Serwery połączone
SAS, a także flash cache do dalszego w klaster (zwane nodami) są połączone
wz r o s t u w ydajno ś c i i z ap e w - ze sobą fizycznymi kablami oraz
nienia wydajnych pojemnościowo oprogramowaniem. Architektura
20
Cisco i NetApp dbają o to, by klient
dostał gotowe rozwiązanie, które
zostanie szybko i dokładnie wdrożone.
Na świecie działa 120 wybranych
par tnerów, k tórzy po przejś ciu
intensywnych szkoleń są w stanie
z aofer ować k lient owi
F lexPod. Szkolenia te,
głównie dotyc z ą tego,
jak poprawnie wdrożyć
r oz wi ą z a nie F le xPo d
oraz jak zoptymalizować
je w zakresie elastyczności
konfiguracji, aby spełnić
wszystkie wymagania
oraz uwzględnić przyszłe
plany klientów w zakresie
IT. Zarówno partnerzy, jak
i klienci mogą korzystać
ze specjalnego supportu
oferowanego przez specjalistów z Cisco i NetApp.
Jest to zespół ekspertów
do rozwią zywania
unik alnych wymaga ń
platformy FlexPod.
Wspólny model supportu
opiera się na ogromnym
do ś wiadc zeniu, k t óre poz wala
zapewnić sprawny proces identyfikacji i rozwiązywania problemów
klientów, niezależnie od tego, gdzie
problem wystąpił.
Podsumowanie
Mimo tego, że FlexPod został zaprezentowany dopiero pod koniec 2010
roku, zdążył już zdobyć wielu klientów,
chcących wdrożyć infrastrukturę
Numer: IV/2012 (121)
Numer: II/2012 (119)
wirtualną w swoim przedsiębiorstwie,
Podsumowanie
elastyczne rozwiązanie do uruchamiania aplikacji biznesowych lub
Lync jest wieloplatformowy, może
platformę Software-as-a-Service
działać zarówno na komputerach
– SaaS. Dzięki współpracy Cisco
stacjonarnych Windows i Mac OS,
i NetApp powstał produkt, który jest
jak i Platformach Mobile Windows
kompatybilny z większością oprograPhone, iOS (iPad, iPhone), Android.
mowania klasy Enterprise, a zarazem
Podstawowy interfejs nie odbiega
posiadający innowacyjne podejście
od wzorcowego okna komunikatora
do supportowania platformy jako
internetowego. Rysunek 3 przedstawia
spójnej całości.
pionowo zorientowaną listę kontaktów
ze zdjęciami, obok umieszczono status
Opracowano
na podstawie
oficjalnych
i opis, w górnej
części menu
podstamateriałów
producenta.
wowych funkcji. Wspomniany pulpit
nawigacyjny upraszcza odnajdowanie
M.K.
i używanie typowych funkcji, takich
Inżynier
SOLIDEX
jak klawiatura numeryczna, wizualna
poczta głosowa, lista kontaktów i lista
aktywnych konwersacji.
Lync jest bardzo elastyczny, jeśli
chodzi o wdrożenia i możliwości
integracji. Możliwa jest również
integracja programu z istniejącą
telefonią IP, jak na przykład Cisco.
Rysunek 2 przedstawia przykładową
integrację z IP telefonami.
Powyższy artykuł miał na celu przedstawienie aplikacji Lync od strony
użytkownika. Program Microsoft Lync
2010 to doskonały klient do ujednoliconej komunikacji z możliwością
obsługi wiadomości błyskawicznych,
połączeń głosowych oraz spotkań.
W zak tualizowanym inter fejsie
użytkownika programu Lync rozmaite
narzędzia do komunikacji rozmieszczono w sposób usprawniający ich
obsługę. Funkcje konferencji są jeszcze
skuteczniejsze dzięki wbudowanej
funkcji udostępniania pulpitu i aplikacji,
funkcji przekazywania w programie
Power Point oraz funkcji kopiowania
i wklejania obrazów i innej zawartości.
M.G.
Inżynier SOLIDEX
SOLIDność
w każdym działaniu...
33
21
TECHNOLOGIE
Cisco Prime Infrastructure 1.2,
czyli jak efektywnie zarządzać
infrastrukturą sieciową
Dynamiczny rozwój i transformacja technologii informatycznych niesie za sobą
coraz większe wyzwaniadla tradycyjnego zarządzaniasieciami. Popularyzacja
urządzeń mobilnych, transmisja głosu i wideo, centra danych z wszechobecną
wirtualizacją, wzrost ilości usług w chmurze, to wszystko powoduje znaczne
zwiększenie potrzeb związanych z jakością infrastruktury sieciowej. Obecnie
od administratorów wymaga się usuwaniaproblemów zanim zaczną wpływać
na świadczone usługi lub użytkownika końcowego. Cisco Prime Infrastructure
zaprojektowano, aby sprostać tym wyzwaniom oferując kompleksowe
rozwiązanie do zarządzaniai monitoringu sieci.
Czym jest Cisco Prime
Infrastructure?
Cisco Prime Infrastructure to narzędzie do zarządzania infrastrukturą
sieciową z jednego interfejsu graficznego, które ujrzało światło dzienne
we wrześniu tego roku. Łączy ono
w sobie bezprzewodowe i przewodowe funkcjonalności Cisco Prime Network Control System (NCS) i Cisco
Prime LAN Management Solution
(LMS), z możliwościami monitoringu oraz rozwiązywania problemów
Cisco Prime Assurance Manager.
Konsolidując w jedną całość dotychczasowe rozwiązania oferowane przez Cisco, produkt ten pozwala
na zmniejszenie ilości niezbędnych
22
zasobów, a co za tym
idzie na zwiększenie produktywności. W związku z pojawieniem się Cisco Prime Infrastructure
1.2, prace nad rozwojem
NCS i LMS jako osobnych produktów zostaną
wstrzymane.
Przejście z Cisco Prime
Network Control
System na Cisco Prime
Infrastruc ture 1. 2 jest
stosunkowo proste
i bezbolesne. W nowym Rys.1. Cisco Prime Infrastructure 1.2 - okno logowania
produkcie otrzymujemy
wszystkie dotychczasowe funkcjonal- bardziej skomplikowana może okazać
ności wzbogacone o szereg nowych, się migracja z LMS, gdyż w jego
do tej pory nieobsługiwanych. Nieco przypadku nie nastąpiło odwzorowanie
Numer: IV/2012 (121)
jeden do jednego. W związku z tym, aby
mieć możliwość spokojnej, przemyślanej i stopniowej migracji, do Cisco
Prime Infrastructure 1.2, dodawany
jest LMS 4.2 będący zarazem ostatnią
wersją tego produktu. Dzięki takiemu
rozwiązaniu klienci stają się posiadaczami dwóch produktów i migracja
może odbywać się w dowolnym tempie
w zależności od potrzeb i możliwości.
Kluczowe funkcjonalności
i korzyści z nich płynące
W celu sprostania wciąż rosnącym
wymaganiom dotyczącym zarządzania, utrzymania i monitoringu sieci,
Cisco Prime Infrastructure 1.2 oferuje
niżej przedstawione funkcjonalności,
przekładające się na następujące
korzyści:
Efektywność operacyjna
•Usprawniono podział zadań poprzez
dostosowanie ich do ról pełnionych
przez poszczególnych użytkowników
systemu, co w znaczącym stopniu
ułatwia projektowanie, wdrażanie
i eksploatację sieci.
•Wprowadzono intuicyjny interfejs
graficzny pozwalający na wyświetlanie najbardziej istotnych dla danego
użytkownika informacji, co znacznie
zwiększa wydajność i przyśpiesza
procesy rozwiązywania problemów
będąc jednocześnie przyjaznym
środowiskiem dla początkujących, jak
i doświadczonych administratorów.
•Wprowadzono pasek narzę dzi
dostępny z przeglądarki lub klienta
Microsoft Outlook dający podgląd
statusu sieci w czasie rzeczywistym;
dost ępna jest t ak że aplikac ja
na urządzenia mobilne z systemem
Apple iOS dająca możliwości zarządzania siecią i usuwania problemów
z każdego miejsca w dowolnym czasie.
Najlepsze praktyki Cisco
•Integracja z bazą wiedzy Cisco, w celu
zapewnienia optymalizacji usług,
wsparcia, aktualizacji produktów
i raportowania.
•U ł a t w i o n e t w o r z e nie z a d a ń
serwisowych.
Rys.2. Cisco Prime Infrastructure 1.2 - kompletne menu z dodatkowym oknem
Rys.3. Cisco Prime Infrastructure 1.2 - zakładka Home
Rys.4. Cisco Prime Infrastructure 1.2 - zakładka Design
•Wbudowane rozwiązanie HA (high
availability) mak symalizujące
wydajność i dostępność usług.
Usprawnienie operacji
•Elastyczne i wydajne rozwiązanie Administracja
oparte o maszyny wirtualne lub •Kontrola dostępu oparta na rolach
fizyczną platformę, łatwe do instaużytkowników, zapewniająca dostęp
lacji dla sieci o dowolnej wielkości.
tylko do właściwych zasobów.
Zarządzanie
•Jedno kompleksowe rozwiązanie
zapewniające możliwoś ć zarządzania infrastrukturą sieciową
na wielu poziomach, eliminujące
koniec znoś ć posiadania wielu
narzędzi, redukujące koszty operacyjne i szkoleniowe.
23
TECHNOLOGIE
na odnajdywanie danych
•Rozszerzone wsparcie audytu dla
na temat problemów występujących
wielu protokołów zwiększające
w określonym czasie lokalizacji,
dokładność i dające pełny obraz sieci
czy też dotyczących konkretnych
(m.in. CDP, LLDP, ARP, BGP, OSPF).
użytkowników bądź urządzeń.
•Elastyczne grupowanie i profilowanie pozwalające na lepszy podział •Wsparcie dla NetFlow w wersji 9.
zadań i obszarów odpowiedzialności •Zdefiniowana kolekcja szablonów
do zbierania informacji na temat
w dużych sieciach.
działania aplikacji, analizy ruchu.
•Centralizacja obsługi wielu urządzeń
zapewniająca niezbędne narzędzia •Opcja rozszerzania szablonów
o własne dodatkowe parametry,
i funkc jonalno ś c i do łatwego
szablony konfiguracyjne modułów
zarządzania sprzętem sieciowym,
N A M, de dykowane s z ablony
w t y m au d y t i z a r z ą d z a n i e
i przystawki do monitoringu usług
oprogramowaniem.
głosowych i wideo.
•Konfigurowalne szablony oparte
o najlepsze praktyki projektowe
u ł a t w i a j ą c e i m p l e m e n t a c j ę Sieci bezprzewodowe
rozwiązań (integracja z Cisco ISE •Wsparcie dla sprzętu i oprogramowania w wersji WLC 7.3 w tym:
i CSACS).
kontrolery serii 8500, kontrolery
wirtualne, AP serii 2600 i 1550, Proxy
Monitoring
•Scentralizowany monitoring sieci
Mobile IPv6 i wiele innych.
różnych rozmiarów i topologii, •Mapy następnej generacji wspierające obrazy wysokiej rozdzielczości
dedykowane tablice i widoki dostar(lepsza jakość widoczności obiektów).
czające szczegółowych danych
do monitorowania użytkowników •Automatyc zne tworzenie map
i dodawanie na nich AP przy użyciu
końcowych.
wyrażeń regularnych.
• Bogaty zestaw filtrów pozwalających
Rys.5. Cisco Prime Infrastructure 1.2 - zakładka Deploy
Rys.6. Cisco Prime Infrastructure 1.2 - zakładka Operate
24
•Zdolność do automatycznego wykrywania wrogich AP i identyfikowania
informacji na temat przełącznika
i portu do którego są podłączone.
•Możliwość audytu i monitorowania
przełączników innych producentów
oraz kontrolerów bezprzewodowych
i AP firmy Aruba Networks.
Zarządzanie konfiguracjami
•Konfigurowanie szablonów dla
DMVPN, GETVPN, ACL i ScanSafe.
•Wsparcie na poziomie urządzenia dla
DMVPN, GETVPN,ACL, EIGRP, RIP,
OSPF, routingu statycznego, interfejsów ethernet, NAT.
Wymagania
Produkt Cisco Prime Infrastructure 1.2
dostępny jest w postaci maszyn wirtualnych lub dedykowanego urządzenia
odpowiadającego swoją wydajnością maszynie wirtualnej „large
ova” z preinstalowanym systemem.
Do wyboru mamy cztery rodzaje
maszyny różniących się wydajnością
oraz ilością obsługiwanych urządzeń.
Do swojego działania maszyny
wirtualne wymagają VMware ESXi
Server, wersja zależy od rodzaju
maszyny:
•small ova - wymaga ESXi 4.1 lub 5.0,
8 GB RAM, 200GB HDD, 4 virtual
CPUs @2,93 GHz,
•medium ova - wymaga ESXi 4.1 lub
5.0, 12 GB R AM, 300GB HDD, 4
virtual CPUs @2,93 GHz,
•large ova - wymaga ESXi 5.0, 16 GB
RAM, 400GB HDD, 16 virtual CPUs
@2,93 GHz,
•extra large ova - wymaga 5.0, 24 GB
RAM, 1,2 TB HDD, 16 virtual CPUs
@2,93 GHz.
Dostęp do interfejsu graficznego
przez www możliwy jest z komputerów wyposażonych w następujące
przeglądarki:
•Google Chrome 19.0 lub wyższa,
Prime Infrastructure testowany był
na wersjach do 21.
•Microsoft Internet Explorer 8.0 lub
9.0 z Adobe Flash i wtyczką Google
Chrome Frame, natywny IE nie jest
wspierany.
•Mozilla Firefox 13,14 lub ESR 10.x.
Rozdzielczość: minimalna powinna
wynosić 1024x768, dla zwiększenia
komfortu pracy zaleca się jednak stosowanie wyższych.
Pełna lista wspieranych urządzeń
Numer: IV/2012 (121)
Rys.7. Cisco Prime Infrastructure 1.2 - zakładka Report
poszczególnych urządzeń, użytkowników oraz incydentów (widocznych
w postaci alarmów o różnym poziomie
istotności), które miały bądź mają
miejsce w naszej sieci, a także narzędzia
służące do przechwytywania i analizy
ruchu. Następną zakładką jest Report
(rysunek 7), dająca dostęp do szeregu
raportów, domyślnie skonfigurowanych lub zmodyfikowanych przez
użytkowników. Ułatwiają one analizę
zebranych danych i wyciąganie
wniosków na temat działania naszej
infrastruktury. Ostatnią zakładką jest
Administration (rysunek 8). To tu mamy
możliwość konfigurowania Cisco Prime
Infrastructure 1.2, dodawania użytkowników i przypisywania im ról oraz
uprawnień, aktualizacji oprogramowania i zarządzania licencjami.
Podsumowanie
Produkt Cisco Prime Infrastructure
1.2 przeznaczony jest dla wszystkich,
k t ó r z y c h c ą z au t o m a t y z o w a ć
i usprawnić zarządzanie siecią oraz
obniżyć koszty związane z jej utrzymaniem. Ze względu na dużą granulację
i elastyczność licencjonowania może
Rys.8. Cisco Prime Infrastructure 1.2 - zakładka Administration
być używany w sieci każdej wielkości,
dając administratorom pełny jej obraz
i wersji oprogramowania znajduje się m e n u z d o d a t k o w y m o k n e m i sprawiając, że usuwanie problemów
umożliwiającym dojście na skróty stanie się szybsze i bardziej efektywne.
pod adresem:
http://www.cisco.com/en/US/docs/ do podstawowych czynności, które C isc o P r ime Inf r as t r uc tur e 1 . 2
net_mgmt/prime/infrastructure/1.2/ możemy wykonać (rysunek 2), aby to kompleksowe rozwiązanie łączące
supported/devices/CPI12_supported_ zacząć pracę z naszą siecią za pomocą w sobie zalety dotychczasowych
devices.xlsx
Cisco Prime Infrastructure 1.2. Jak widać produktów związanych z administracją
zakładki menu zostały podzielone sieci, które pozwala stawić czoła wciąż
Rzut oka na GUI
na sześć sekcji. Pierwsza z nich to Home rosnącym wymaganiom jakościowym
(rysunek 3). Jest ona całkowicie konfi- i bez obaw wdrażać nowe usługi oraz
Wraz z pojawieniem się Cisco Prime gurowalna i każdy użytkownik może technologie.
Infrastructure 1.2 przemodelowaniu dostosować ją do własnych potrzeb,
uległ interfejs graficzny. Domyślnym aby wyświetlane informacje były Opracowano na podstawie oficjalnych
widokiem jest tzw. Lifecycle, który adekwatne do pełnionej roli. Kolejną materiałów producenta.
organizuje menu w bloki funkcjonalne zakładką jest Design (rysunek 4). Z tego
pogrupowane w zależności od zakresu poziomu mamy dostęp do wszystkich
P.K.
zadań i obszarów odpowiedzialności. zadań związanych z tworzeniem
Inżynier SOLIDEX
Dla dotychczasowych użytkowników różnego rodzaju szablonów, dodawania
NC S czy WC S przyzwyczajonych map itp. Następna zakładka Deploy
do innego wyglądu GUI, istnieje (rysunek 5) pozwala nam na implemożliwość przełączenia na tzw. Classic mentację wcześniej skonfigurowanych
View, który jest niemal identyczny szablonów, a także oprogramowania.
jak we wspomnianych produktach. Idąc dalej trafiamy na zakładkę
Po instalacji produktu do interfejsu Operate (rysunek 6), która wykorzygraficznego dostajemy się wpisując stywana będzie najczęściej. Dotyczy
adres urządzenia w okno przeglądarki ona bowiem zadań zwią zanych
i naszym oczom ukazuje się okno z szeroko rozumianym pojęciem
logowania (rysunek 1). Po pierwszym utrzymania sieci. Dostępne są w niej
zalogowaniu pojawia się kompletne opcje podglądu statusu całej sieci,
25
Remote Access Manager jest elastyczną, skalowalną aplikacją, która w szybki
i prosty sposób może zostać dostosowana do indywidualnych potrzeb klienta.
Głównym jej zadaniem jest zarządzanie zdalnym dostępem poprzez obsługę kont
zewnętrznego dostępu, dynamiczne nadawanie haseł dostępu oraz określanie
czasu trwania sesji dostępu. Funkcje zarządcze realizowane są za pomocą konsoli
administracyjnej, umożliwiającej ich wykonanie przy użyciu interfejsu webowego.
Remote Access Manager
26
Numer: IV/2012 (121)
McAfee NitroSecurity
Kilka słów o McAfee SIEM znanym jako NitroSecurity. Monitorowanie
i zabezpieczenie sieci firmowej stanowi prawdziwe wyzwanie, chociażby
ze względu na złożoność jej architektury, ilości punktów styku z Internetem,
konieczności publicznego dostępu do sieci komputerowej oraz natężenia
i różnorodności ruchu zewnętrznego, jak i wewnętrznego. Aby zapobiec atakom
w sieci lub przynajmniej ich skutkom, niezbędne okazują się narzędziaokreślane
jako systemy SIEM (Security Information and Event Management). Liderem
wśród tego typu systemów jest należący do portfolio firmy McAfee system
NitroSecurity, określany również jako SIEM następnej generacji. McAfee SIEM
zapewniaochronę i dostęp do zdarzeń w czasie rzeczywistym.
Główne cechy:
•zintegrowany SIEM i log menadżer,
•monitorowanie baz danych,
•monitorowanie aplikacji,
•zaawansowane funkcje korelacji
ryzyka, jak również tryb korelacji
historycznych danych.
System SIEM firmy Mc Afee jest
oparty o wbudowaną autorską bazę
danych, która została stworzona
specjalnie po to, aby zapewnić wysoką
wydajność, prędkość w magazynowaniu, wyszukiwaniu i korelowaniu
zdarzeń oraz logów.
A rchitek tura systemu jest
modułowa, oparta na appliance’ach
z opcją VMware Receivera. Pozwala
dopasować rozwiązanie do indywidualnych potrzeb zarówno pod kątem
wydajności, jak i funkcjonalności,
a wszystkimi modułami zarządza się
przez pojedyncze adoptowalne okno
przeglądarki.
Komponenty systemu:
•ESM (Enterprises Security Manager)
- zapewnia ujednoliconą wizualizację
i analizę danych, alarmy i raporty
dotyczące tych danych oraz zarządzanie politykami bezpieczeństwa.
•ELM (Enterprises Log Manager)
- zapewnia zarządzanie logami,
przestrzeń dla magazynowania logów
zarówno na wbudowanej pamięci,
jak również możliwość składowania
na zewnętrznych przestrzeniach
storage’owych (SAN/CIFS/NFS).
•Receivery – urządzenia generujące
logi i zdarzenia najczęściej różnych
producentów (3th Party) dotyczące
r uchu w siec i, s ą t o równie ż
wirtualne urządzenia zbierające
logi z VMware’owych maszyn
27
rozwiązania
wirtualnych.
•ADM (Application Data Monitor)
- monitor danych aplikacji, monitorowanie warstwy siódmej z pełną
archiwizacją meta danych.
•DBM (DataBase Activity Monitor)
- nie inwazyjny monitor baz danych,
generuje logi ruchu bazodanowego,
wspó ł prac uje z wsz yst k imi
wiodąc ymi producent ami baz
danych,
•ACE (Advanced Correlation Engine)
– urządzenie zapewniające zawansowane wiązanie zdarzeń oraz
historyczne korelacje zdarzeń, może
również przenieść na to urządzenie
funkcje podst awowego sinika
wykrywania powiązanych zdarzeń.
Schemat architektury
(rysunek 1)
Nie wszystkie komponenty muszą
b y ć o s o b nym i a p p li a n c e ’a m i .
McAfee ma w ofercie "Combo Boxes",
są to urządzenia z więcej niż jedną
funkcjonalnością, na przykład ESM,
Receiver i ELM. Rozwiązanie jest
skalowalne, do każdej ilości EP S
(events per second) można dopasować
odpowiednią lic zbę "sk r zynek ".
Jedynym ograniczeniem urządzenia
jest jego przepustowość, fizyczna
możliwość przetworzenia danej liczby
ESP na sekundę. Nie ma natomiast
ograniczenia licencyjnego. Interfejs
u ż yt kownika Nit r o V iew E SM
to interaktywne, personalizowane
okno przeglądarki. Twórcy kierowali
się zasadą od ogóły do szczegółu,
proste kliknięcie elementu raportu
powoduje uszczegółowienie danego
wycinka informacji. Przykładowo
kliknięcie w wykres „Logon attempt”
powoduje przefiltrowanie i wyświetlenie informacji szczegółowych
dotyczących tego typu zdarzeń. Istnieje
możliwość zawężenia wystąpienia
zdarzeń do wybranych godzin np.
od godziny 15:00 do 16:00, powodując
zawężenie i uszczegółowienie informacji. Przy czym zmienia się nie tylko
okno w które klikamy, ale również
pozostałe powiązane okna (rysunek
2). Warto zwrócić uwagę, że dzięki
technice „drag and drop” interfejs
pozwala na dokładne definiowanie
potrzebnych widoków (workflowr ysunek 3). Daje to moż liwo ś ć
przejrzystego podglądu informacji,
28
Rys. 1. NitroSecurity - schemat architektury
które nas aktualnie interesują, jak
np. aktywność firewalla. Definiując
kilka takich workflowów, możemy
szybko się przełączać pomiędzy interesującymi nas w danym momencie
informacjami. Producent dostarcza
kątem interesujących nas aspektów,
jak na przykład adresy źródłowe
odpowiadające danej geolokacji.
Przy większym natężeniu ruchu ręczne
przeszukiwanie logów i zdarzeń jest
niemożliwe, dlatego system musi
Rys.2. NitroSecurity - okno przeglądarki
sporą liczbę wcześniej zdefiniowanych
widoków, które możemy modyfikować do naszych potrzeb. Jeżeli
workflow nie dostarczy wystarczająco
przejrzystych informacji, możemy
zawsze zastosować filtry wyników pod
Rys.3. NitroSecurity - workflow
dokonywać wstępnej klasyfikacji
i korelacji zdarzeń. Niektóre z nich
wymagają prawie natychmiastowej
reakcji, inne, mniej niepokojące
dopóki pewna ich częstotliwość nie
zostanie odnotowana w statystykach.
Numer: IV/2012 (121)
Po odpowiednim zdefiniowaniu reguł
Mc Afee SIEM będzie analizował
zdarzenia i ostrzegał o zagrożeniach.
Dla przykładu rozważmy politykę
ostrzegającą przed atakami brute
force. Oczywistym jest, że nie ma sensu
ostrzegać o każdej próbie nieudanego
logowania, jeśli te próby pochodzą
z róż nych adresów ź ródłowych.
Natomiast serię błędnych logowań
z jednego źródła lub grupy adresów
źródłowych, możemy już jednoznacznie określić, jako potencjalną
próbę ataku, w związku z tym należy
odnotować w statystykach ich częstotliwość. Najbardziej niebezpiecznym
zjawiskiem jest udany atak brute force,
który na pierwszy rzut oka jest niewidoczny. Przy wczesnym wykryciu
takiego ataku, mamy szansę zmienić
hasło i zapobiec przykrym konsekwencjom. Wystarczy zdefiniować
na ACE lub Reciverze regułę korelacji,
która będzie podnosiła alarm przy
udanym logowaniu poprzedzonym
10 nieudanymi logowaniami. Wówczas
praktycznie natychmiast otrzymamy
informację o udanym ataku brute
force. Możemy również określić, które
systemy lub które konta są dla nas
krytyczne, co odpowiednio podniesie
wagę alarmu przy wyst ąpieniu
anomalii.
Podsumowanie
McAfee SIEM potrafi zbierać i analizować logi oraz zdarzenia z szerokiej
gamy urządzeń i systemów operac yjnych, a dzięki dedykowanej
autorskiej bazie danych praktycznie
wszystko odbywa się w czasie rzeczywistym. Generowanie raportów nie
trwa już kilka godzin a zaledwie
kilka minut. Mam nadzieję, że udało
mi się zachęcić Państwa do dalszego
poznawania tego systemu, który
pozwala na sprawne śledzenie ruchu
w sieci. Zapraszam do kontaktu z firmą
SOLIDEX, w celu dopasowania rozwiązania do Państwa potrzeb.
materiałów producenta:
www.mcafee.com.
M.G.
Inżynier SOLIDEX
29
rozwiązania
Transport optyczny z przepływnością
100Gbps
Zwiększająca się ilość przesyłanych danych, więcej usług wymagajacych
dużej szerokości pasma oraz malejące ceny nowych technologii, doprowadzą
w niedługim czasie do konieczności zastąpienia standardu 10G kolejnym
standardem – 100G.
W ostatnim czasie na rynku pojawiła się nowa optyczna platforma transportowa,
będąca rozszerzeniem dotychczasowego portfolio firmy MICROSENS.
Nawiązując do cyklu artykułów poświęconych rozwiązaniom WDM
proponujemy naszym czytelnikom prezentację rozwiązaniadla transmisji 100G
firmy MICROSENS.
Platforma transportowa 100G jest
r oz wią z aniem , k t ór e ś wie t nie
sprawdza się wszędzie tam, gdzie
potrzebne jest stosowanie wysokich
pr zep ł ywno ś c i r z ę du 10 0 Gbps
bezpośrednio pomiędzy dwoma
Rys. 1. MICROSENS 100G
30
urządzeniami sieciowymi, ale również
tam, gdzie potrzebna jest agregacja
usług o niższych przepływnościach
Numer: IV/2012 (121)
10GbE oraz 8G FC w jeden strumień
100Gbps.
Wykorzystując rozwiązanie 100G
możemy w jednym kanale optycznym
pomieścić 10 razy więcej usług 10GbE
i aż 100-krotnie więcej usług 1GbE niż
do tej pory.
Obecny system, oparty o platformę
10G, może zostać rozbudowany
o usługi 100Gbps w prosty sposób
oraz bez zbędnych zakłóceń dla działających usług poprzez dodawanie
do wolnych kanałów optycznych
na p a s ywnym mul t iple k s e r z e
kolejnych elementów 100G.
Niewielki rozmiar 1RU, zintegrowane
zarządzanie oraz zasilanie sprawiają,
że rozwiązanie to może być stosowane
w aplikacjach, w których kluczowym
wymaganiem jest niewielka przestrzeń,
jaką zajmuje urządzenie fizyczne.
Niewątpliwą zaletą jest również fakt,
że projektowany system może być
dowolnie skalowany oraz umieszczany
zarówno w dużych serwerowniach jak
i małych jednostkach kolokacyjnych.
1
Typ
100G Transponder lub Muxponder
2
Protokoły (Muxponder)
10GbE, OC-192/STM-64 (w przyszłości),
8G FC (w przyszłości), 10G FC (w
przyszłości)
3
Protokoły (Transponder)
100GbE
Linia – 100 G, OUT-4
4
Optyczne interfejsy
Klient –SFP+
Linia – Wbudowana
5
Zarządzanie
MIB – SNMP V2c private MIB
Zdalne zarządzanie - 10Mb Ethernet DCC
6
Wielkość modułu
1 RU
7
Temperatura Pracy
0°C do +50°C
8
Temperatura przechowywania
-20°C do +85°C
9
Diody LED
Status: HW ready, SW ready
Alarm: Port Down (Klient i Linia)
10
Odstęp międzykanałowy
50GHz
11
Zużycie energi
200W
12
Interfejs Liniowy
OSNR: 14dB
Tx power: -1 do +4dB
Rx power: -10 do 0dB ze wzmacniaczami
-18 dB bez wzmacniaczy
Dyspersja: 50,000ps/nm
Tabela 1. Specyfikacja techniczna
Opis
Sytsem 100G MICROSENS jest
unikalnym i bardzo elastycznym
roz wią z aniem, k t óre , w odróż nieniu od innych tego typu urządzeń
dostępnych na rynku, charakteryzuje
się bardzo kompaktową budową
(wysokość 1 RU). Przystosowany
do montażu w szafie technicznej, może
także pełnić rolę transpondera 100G
lub muxpondera 100G. Obudowa 1U
wyposażona jest we własną kartę
zarządzającą, system chłodzenia oraz
zasilacze.
W razie konieczności, kilka jednostek
może zostać ułożonych w jedno
logiczne urządzenie, co znacznie
upraszcza ich zarządzanie.
To c zy system 10 0G pe ł ni rolę
t ranspondera c z y muxpondera
zdeterminowane jest jedynie działającym na nim oprogramowaniem, nie
ma fizycznej różnicy w jego konfiguracji.
Poniewa ż urządzenie uż ywa tej
samej platformy sprzętowej dla
obydwu funkcji, jedno rozwiązanie
może zostać przekształcone w drugie
jedynie poprzez zmianę jego oprogramowania, co może w przyszłości
pozwolić na zastosowanie zgodnie
z nową koncepcją, bez ponoszenia
większych kosztów.
System MICROSENS 100G oferuje
bardzo elastyczne możliwości multiplexowania dzięki muxponderowi z 12
portami agregującymi (wersja wieloprotokołowa), podczas gdy inne tego
typu rozwiązania oferują 10 portów.
Wykorzystanie transportu w technologii mikroprocesorowej MICROSENS
SDH
SDH
STM-64
100G
λn
λn
λn 100G Transponder
IP
8G FC
10G
100G
8x1GbE
100G
Transponder
λ1
10GbE
10G TDM
10G TDM
8x1GbE
10G
λ1 100G
λ1
Pasywny
multiplexer DWDM
100G
Pasywny
multiplexer DWDM
Muxponder
8G FC
Muxponder
STM-64
10GbE
IP
Rys. 2. Transponder 100G i muxponder 100G – implementacja
31
rozwiązania
ze specjalnymi możliwościami multipleksowania powoduje, że muxponder
nie jest ogranic zony do agrego wania tylko usług 10G, jak to jest
w przypadku podobnych rozwiązań.
W przyszłości muxponder 100G będzie
także wspierał agregację 8G i 10G fiber
channel bezpośrednio w instancji
muxpondera.
Multipleksowanie niższych prędkości
wprost na muxponderze odbywałoby
się ze stratą dla całościowej przepustowości urządzenia, dlatego w port
muxpondera można wpiąć multiplekser 10G TDM pozwalający na ich
agregację.
Wieloprotokołowa karta 10G TDM
pozwala na agregację zmiksowanych
1GbE, 1/2/4G FC, STM-4/OC-12 oraz
STM-16/OC-48 wraz z ruchem koncentrowanym poprzez pozostałe 11 portów
w muxponderze 100G. Do portów
muxpondera 100G może być wpięty
jeden, ale równie dobrze dwanaście
takich modułów. Pozostałe karty
agregujące MICROSENS mogą zostać
użyte do multipleksowania usług
o niższych prędkościach w muxponder
10G TDM, który później jest multipleksowany w usługę 100G.
Zarządzanie
(Network Management Platform)
dającej możliwoś ć monitoringu,
Na podstawowym poziomie rozwią- konfigurac ji oraz administrac ji,
zanie 100G może być zarządzane przez której przejrzysty interfejs graficzny
SNMP lub przez standardowe interfejsy pozwala w prosty sposób zarządzać
zarządzania: wiersz poleceń i www. wszystkimi zarządzalnymi produktami
Dostęp do CLI odbywa się zdalnie firmy MICROSENS. Platforma bazuje
za pomocą protokołów SSH lub Telnet na liście urządzeń, która umożliwia
oraz lokalnie przez wbudowany port grupowanie komponentów sieciowych
RS-232.
w strukturę drzewa. Urządzenia mogą
Grafic zny inter fejs daje dost ęp być przypisane do jednej lub kilku
do pełnego monitoringu wydajności, grup, tym samym konfiguracja może
manipulacji stanem laserów (włączanie, być przeprowadzana jednocześnie
wyłączanie), zdalne i lokalne zapętlanie dla wielu urządzeń. NMP umożliwia
przydatne podczas lokalizowania również wizualizację sieci, poszczególne
uszkodzeń systemu czy też traktu urządzenia mogą być rozmieszczone
światłowodowego.
na mapie, łączone ze sobą, a ich
Dla interfejsów SFP+ wspierany parametry oraz aktualny status portów
jest DDM (ang. Digital Diagnostics i status połączeń - monitorowany.
Management), dzięki któremu system Zaprezentowane rozwiązanie jest
ma dostęp między innymi do informacji: jednym spośród szerokiej gamy
status linku, monitoring wysyłanej (TX) urządzeń dla transmisji optycznej firmy
oraz odbieranej (RX) mocy sygnału MICROSENS.
optycznego, temperatury oraz danych Więcej informacji na temat pozostałych
wkładki (model).
produktów tego producenta dostępnych
Na potrzeby zdalnego zarządzania jest na stronie internetowej firmy:
od strony linii wbudowany został http://www.microsens.com.
dziesięciomegabitowy kanał komunikacyjny DCC (ang. Data Communications Opracowano na podstawie materiałów
producenta.
Channel).
W.W.
Nie można także zapomnieć o wsparciu
Inżynier SOLIDEX
dla platformy zarządzającej NMP
Waszych organizacji
32
www.SOLIDEX.com.pl
Numer: IV/2012 (121)
Cisco Telepresence EndPoints, czyli
komunikacja bez granic
Obecnie biznes rozwija się w bardzo szybkim tempie, a dążenie do
ogólnokrajowego lub nawet globalnego zasięgu stało się standardem w każdej
chcącej się liczyć na rynku firmie czy organizacji. Kontakt między rozproszonymi,
często odległymi od siebie placówkami danego przedsiębiorstwa konieczny
jest praktycznie codziennie, co wymaga od pracowników częstych podróży
służbowych, a pracodawców naraża na duże koszty. Możliwy jest oczywiście
kontakt telefoniczny, jednak nie zapewnia on takich możliwości i wrażeń jak
spotkanie „twarzą w twarz”. Wraz ze wzrostem możliwości przesyłania coraz
to większej ilości danych przez sieć internetową, coraz szybsze urządzenia
aktywne sieci, doskonalsze algorytmy kompresji i protokoły przesyłania
danych, tworzył się rynek produktów, dzięki którym można przekazywać
w doskonałej jakości dźwięk, jak i obraz w czasie rzeczywistym.
Mowa oczywiście o urządzeniach
do wide ok onfe r e nc ji , k t ór yc h
możliwości są naprawdę ogromne;
pozwalają już nie tylko na samo
przekazywanie wizji i fonii za pośredn i c t w e m m i k r o f o nu , k a m e r y ,
głośników i ekranu, ale na swoistą
interakcję użytkowników między
sobą podczas konwersacji. Istnieje
mnóstwo darmowych programów,
dost ępnych dla u ż ytkowników
„domowych”, oferujących możliwość
wideokonferencji, jednak nie są one
w stanie zapewnić nawet zbliżonej
jakości i niezawodności, jak profesjonalne produkty.
Potrzeba rynku tworzy
technologie
popularne technologie, pozwalające
na przetwarzanie w chmurze, przy
zachowaniu wysokiego standardu
W 2010 roku Cisco kupiło norweską bezpieczeństwa przesyłanych danych.
firmę Tandberg, a wraz z nią całą techno- Proponowany jest również specjalilogię i kilkunastoletnie doświadczenie styczny sprzęt dla specyficznych
w tej gałęzi rozwiązań sieciowych. odbiorców jak wojsko (rys. 9), czy
Dzięki temu rozszerzyło znacząco branża medyczna. Największą zaletą
swoją ofertę, proponując szeroką rozwiązań Telepresence jest fakt,
gamę produktów od rozwiązań progra- że wszystkie zawierają się w grupie
mowych, bazujących na tradycyjnych produktów Unified Communications,
stacjach roboczych czy laptopach, co pozwala na ujednolicenie infrapo kompletne zestawy zawierające struktury z telefonią IP oraz centralne
sprzęt, oprogramowanie, a nawet całą konfigurowanie i zarządzanie posianiezbędną infrastrukturę sieciową.
danymi zasobami.
Obecnie są to również coraz bardziej Takie produkty jak Cisco Telepresence
33
rozwiązania
SX20 QuickSet
Seria EX (EX60/EX90)
Seria MX (MX200/
MX300)
Zewnętrzny (brak w wyposażeniu) format natywny obrazu
16:9
Zintegrowany 21,5” (16:9)
(EX60) Zintegrowany 24”
(16:10) (EX90)
Zintegrowany 42” (16:9)
(MX200) Zintegrowany 55”
(16:9) (MX300)
Kamera
PrecisionHD Camera 1080p
zoom 4x
zoom 12x
PrecisionHD design
zoom 4x
Głośniki
Zewnętrzny (brak
w wyposażeniu)
Zintegrowane
Zintegrowane
Mikrofon
Biurkowy
Zintegrowany
Biurkowy
Wejścia audio
- 2x 4-pinowe minijack
- 1x minijack - line in (stereo)
- 1x HDMI audio in z kamery
Wyjścia audio
- 1x minijack for line out
(stereo)
- 1x HDMI
(stereo)
(stereo)
Wejścia wideo
- 1x HDMI
- 1x DVI-I (cyfrowe
i analogowe)
- 1x HDMI (tylko EX90),
- 1x DVI-I (cyfrowe
i analogowe)
- 1x DVI-I
Wyjścia wideo
- 2 x HDMI
- bluetooth
- bluetooth
- 1x Ethernet LAN (RJ-45)
10/100/1000 Mbit
10/100/1000 Mbit
- 1x Ethernet do PC (RJ-45)
10/100/1000 Mbit
- 2x Ethernet (RJ-45)
wbudowany switch
10/100/1000 Mbit
Ekran
Interfejsy sieciowe
Tabela 1. Podstawowe dane techniczne systemów Cisco Telepresence
spośród oferowanych produktów.
Pomimo róż nic w budowie
i różnych docelowych środowisk pracyproduktów Telepresence, mają one
dużo wspólnych cech i funkcjonalności. Sercem każdego z urządzeń
jest odpowiednio dobrany sprzętowy
kodek, który zajmuje się przetwarzaniem strumienia audio-wideo oraz
jego dalszym przesyłaniem przez sieć
Ethernet. Wszystkie produkty mają
intuicyjny interfejs graficzny, oparty
na autor skim oprogramowaniu
Cisco Telepresence System Software,
stworzonym specjalnie do serii
Telepresence.
K o d o w a nie s t r u mie nia au d io
we wszystkich proponowanych
urządzeniach odbywa się za pomocą
Różne potrzeby, różne
jednego ze standardów: G.711, G.722,
G . 7 2 2 . 1 , or a z MP EG 4 A AC - L D
rozwiązania
z prędkością 64 kbps (dla serii TX9000
Każda organizacja ma na swój sposób oraz MX nawet do 128 kbps). Kolejną
unikalną strukturę, dlatego też, w zależ- wspólną c echą jest moż liwo ś ć
ności od jej potrzeb, można wybrać przesyłania dodatkowej zawartości,
najbardziej optymalne rozwiązanie na przykład prezentacji, filmów lub
są w stanie zaoszczędzić czas pracowników i pieniądze pracodawców,
umożliwiają bowiem kontakt między
ludźmi w sposób zbliżony do tradycyjnego spotkania, a co najważniejsze
uczestnicy mogą prowadzić konwersację nie wychodząc z biura, nawet gdy
dzieli ich kilka stref czasowych.
Ponieważ, ze względu na mnogość
proponowanych rozwiązań, ciężko
byłoby pr zedst awić wsz yst k ie
produkty, niniejszy artykuł skupia się
na prezentacji urządzeń końcowych,
opisując tylko niek tóre modele
i ich wybrane parametry techniczne.
Szczegółowe specyfikacje techniczne
serii Cisco Telepresence dostępne
są na stronie producenta.
34
zdjęć z laptopa czy tabletu podłączanego bezpośrednio do kodeka.
Możliwe jest to dzięki obsłudze przesyłania dwóch strumieni jednocześnie
(Dual Stream). Porównanie podstawowych funkcjonalności i parametrów
technicznych zawarto w Tabeli 1 oraz
Tabeli 2.
Oprócz opisywanej tutaj całej serii
profesjonalnych produktów, podstawowym jest oczywiście wideotelefon
Rys. 1. Cisco E20
Numer: IV/2012 (121)
Seria TX1300
Seria TX9000
Ekran
Zintegrowany LCD 47" (16:9) (TX1300)
Zintegrowany LCD 65" (16:9) (TX1310)
Zintegrowany LCD 3x65" panoramiczny
(3x16:9) + 42" (16:9) dla dodatkowej
zawartości
Kamera
Zintegrowany klaster 3 kamer wysokiej
rozdzielczości (do 1080p)
Zintegrowany klaster 3 kamer wysokiej
rozdzielczości (do 1080p)
Głośniki
Zintegrowane
Zintegrowane, umieszczone na tylnej ścianie
ekranów
Mikrofon
Biurkowy
Zintegrowane biurkowe, dla każdego
uczestnika
Wejścia audio
- HDMI
- HDMI
Wyjścia audio
- HDMI
- HDMI
Wejścia wideo
- HDMI
- HDMI
Wyjścia wideo
- HDMI
- HDMI
10/100/1000 Mbit
- 4x Ethernet (RJ-45) wbudowany switch
w tym 2 gniazda z PoE+ (IEEE 802.3af)
- 1x Ethernet LAN (RJ-45) 10/100/1000 Mbit
- 4x Ethernet (RJ-45) wbudowany switch
w tym 2 gniazda z PoE+ (IEEE 802.3af)
Interfejsy sieciowe
Tabela 2. Podstawowe dane techniczne systemów Cisco Telepresence
(np.: E 20 – rys. 1), który swoją
konstrukcją i funkcjonalnością zbliżony
jest do zwykłego telefonu IP, posiada
jednak kamerę, za pomocą której
możemy przekazywać dodatkowo
obraz. Jednak ze względu na to,
że produkt jest już długo na rynku
nie będzie szerzej opisany w tym
opracowaniu.
Najbardziej rozbudowanymi i zarazem
posiadającymi największe możliwości
systemami są TX9000 oraz TX9200.
To już nie tylko urządzenia same
w sobie, to kompleksowe rozwiązanie zawierające całe wyposażenie
sali konferencyjnej. Model TX9000
przeznaczony jest z założenia do prowadzenia konwersacji przez 6 osób
jednocześnie, natomiast TX9200 dla
18 osób jednocześnie (rys. 2), w dwóch
rzędach specjalnie wyprofilowanych
biurek. Zarówno pierwszy, jak i drugi
zestaw składa się przede wszystkim
z trzech potę żnych 65 calowych
ekranów LCD, połączonych w taki
sposób, aby dać efekt widoku panoramicznego, dodatkowo zapewniając
optymalny kąt widzenia dla każdego
z uczestników konferencji. W górnej
części środkowego ekranu zainstalowano zestaw 3 zintegrowanych
kamer wysokiej rozdzielczości (klaster
kamer). Zapewniają one doskonały
kontakt wzrokowy między rozmawiającymi, a jednocześnie wykorzystują
doskonale ogromną powierzchnię
ekranów odwzorowując bardzo
wiernie nagrywane środowisko.
Rys. 2. Cisco Telepresence TX9200
Rys. 3. Cisco Telepresence Touch12
Do zestawu dołączony jest również
42 calowy ekran umieszczony centralnie
poniżej ekranów głównych, służący
do wyświetlania dodatkowej zawartości, np. prezentacji, prezentacji wideo
czy zdjęć. Dostępny jest 12 calowy
ekran dotykowy (rys. 3), który dzięki
intuicyjnemu interfejsowi zapewnia
bardzo łatwy i szybki dostęp do zawartości dodatkowej, a także umożliwia
sterowanie podstawowymi parametrami zestawu wideokonferencyjnego
tj.: głośnością, sterowaniem kamerami
czy parametrami wyświetlania.
Seria T X 9000 jest wyposa żona
w umieszczone za ekranami głośniki,
zapewniające bardzo czysty dźwięk
sprawiający wrażenie przebywania
rozmówców w jednym pomieszczeniu.
Specjalne zintegrowane biurkowe
mikrofony umieszczone przy każdym
ze stanowisk zapewniają doskonałe
zbieranie dźwięku od bezpośredniego
35
rozwiązania
SX20 QuickSet
Seria EX (EX60/EX90)
Seria MX (MX200/
MX300)
Kodowanie
strumienia danych
- H.323/SIP do 6 Mbps punkt
do punktu
do punktu
do punktu
Kodowanie wideo
- H.263
- H.263+
- H.264
- H.239 (H.323) dual stream BFCP (SIP) dual stream
- H.239 (H.323)
- BFCP (SIP)
- Obsługiwana rozdzielczość
do 720p30 również w trybie
dual stream
Szyfrowanie
przesyłanych
danych
H.323/SIP punkt do punktu
- H.235 v3 oraz AES
- Automatyczne generowanie
i wymiana kluczy szyfrowania
- Wsparcie szyfrowania
w trybie Dual Stream
- H.323/SIP punkt do punktu
- H.235 v3 oraz AES
- H.323/SIP punkt do punktu
- H.235 v3 oraz AES
Dostęp
do urządzenia
- zarządzanie poprzez HTTPS
i SSH
i SSH
i SSH
- hasło administracyjne IP
- hasło na konto administratora - hasło na konto administratora - hasło na konto administratora
- możliwość zablokowania
wybranych usług IP
wybranych usług IP
wybranych usług IP
Obsługa firewall
- Wsparcie dla Cisco
TelePresence VCS Expressway
technology
- H.460.18, H.460.19 firewall
traversal
technology
- H.460.18, H.460.19 firewall
traversal
technology
- H.460.18, H.460.19 firewall
traversal
Funkcjonalności IP
- DNS, DHCP, synchronizacja
z NTP
- 802.1p QoS, autentykacja
802.1x, 802.1Q Virtual LAN
- autowykrywanie
gatekeeper'a
z NTP
- autowykrywanie
gatekeeper'a
z NTP
- autowykrywanie
gatekeeper'a
Dodatkowe
szczególne
funkcjonalności
- Autoadaptacja do prędkości
łącza wraz z kontrolą
przepływu
- synchronizacja dźwięku
z obrazem
- H.245 DTMF poprzez H.323,
wybieranie URI
- ClearPath
- Wsparcie dla technologii
Multisite (tylko EX90)
- Technologia Cisco
TelePresence Multiway
- redukcja echa
- automatyczna kontrola
wzmocnienia mikrofonu
- automatyczna redukcja
szumów
- Technologia Cisco
TelePresence Multiway
- redukcja echa
- automatyczna kontrola
wzmocnienia mikrofonu
- automatyczna redukcja
szumów
Obsługa Dual
Stream
- H.239 (H.323) dual stream
- BFCP (SIP) dual stream
- Obsługiwane rozdzielczości
do 1080p
do 1080p (EX90)
do 720p (EX60)
H.239 (H.323) dual stream
do 1080p (EX90)
do 720p (EX60)
Tabela 3. Podstawowe funkcjonalności, obsługiwane standardy i protokoły
rozmówcy, niwelując jednocześnie
efekt echa i zabezpieczając przed
powstawaniem zakłóceń z sieci
bezprzewodowych i komórkowych.
Dostarczane do zestawu meble mają
nowoczesny wygląd i ergonomiczny
kształt (dostępne w dwóch wersjach
36
kolorystycznych). Dodatkowo przy
każdym stanowisku dostępne jest
gniazdo zasilania i LAN, co pozwala
na wygodne podłączenie posiadanych
przez uczestników urządzeń osobistych. Kolejnym elementem zestawu
jest specjalny ekran ze zintegrowanym
oświetleniem LED, który eliminuje
powstałe refleksy świetlne i cienie
spowodowane nierównomiernym
oświetleniem pomieszczenia. Dzięki
temu rozwią zaniu obraz przekazywany do zdalnej lokalizacji jest
zawsze ostry i wyraźny.
Numer: IV/2012 (121)
Seria TX1300
Seria TX9000
SIP, H.264, TIP, BFCP
SIP, H.264, TIP, BFCP
- H.261
- H.263
- H.263+
- H.264
- H.261
- H.263
- H.263+
- H.264
Szyfrowanie przesyłanych
danych
Pełne szyfrowanie danych i sygnalizacji
punkt do punktu
H.323/SIP punkt do punktu
- H.235 v3 oraz AES
- Automatyczne generowanie i wymiana
kluczy szyfrowania
- Wsparcie szyfrowania w trybie Dual
Stream
Dostęp do urządzenia
- zarządzanie poprzez HTTPS i SSH
- hasło na konto administratora
- możliwość zablokowania wybranych
usług IP
- zarządzanie poprzez HTTPS i SSH
- hasło na konto administratora
- możliwość zablokowania wybranych
usług IP
Obsługa firewall
- Wsparcie dla Cisco TelePresence VCS
Expressway technology
- H.460.18, H.460.19 firewall traversal
- Wsparcie dla Cisco TelePresence VCS
Expressway technology
- H.460.18, H.460.19 firewall traversal
Funkcjonalności IP
- DNS, DHCP, synchronizacja z NTP
- 802.1p QoS, autentykacja 802.1x, 802.1Q
Virtual LAN
- DNS, DHCP, synchronizacja z NTP
- 802.1p QoS, autentykacja 802.1x, 802.1Q
Virtual LAN
Dodatkowe szczególne
funkcjonalności
- Cisco Dynamic Echo Cancellation
- System przywracania utraconych ramek
Wideo
- Cisco Dynamic Echo Cancellation
- Dźwięk przestrzenny
- System przywracania utraconych ramek
Wideo
Obsługa Dual Stream
- Obsługiwane rozdzielczości do 1080p
- Obsługiwane rozdzielczości do 1080p
Kodowanie strumienia danych
Kodowanie wideo
Tabela 4. Podstawowe funkcjonalności, obsługiwane standardy i protokoły
Seria TX1300 jest produktem bardzo nagrywanego środowiska.
podobnym do TX9000, co prawda nie Podstawową wadą rozwiązań serii
zawiera kompletnych stanowisk pracy TX1300 i TX9000 jest brak możli(biurka), jednak możliwości samego wości prowadzenia konwersacji
kodeka są zbliżone. Seria TX1300 składa z kilkoma różnymi lokalizacjami
się z jednego ekranu LCD, dostępnego jednocześnie. Aby móc skorzystać z tej
w dwóch wersjach 65 cali (TX1310) funkcji niezbędnym jest doposażenie
oraz 47 cali ( TX1300), dodatkowo urządzeń w jeden z dostępnych Cisco
zastosowano taki sam klaster 3 kamer. Telepresence Multipoint Switch. Jest
Ze względu na dużo mniejsze gabaryty to spowodowane złożonością obu
zestaw przeznac zony jest
do mniejszych niż w przypadku
TX9000 pomieszczeń, dlatego
też dostępny jest w dwóch
war iant ach mocowania –
możemy powiesić go na ścianie
lub wybrać wersję stojącą
na podłodze. Do serii TX1300
również dostępny jest 12 calowy
ekran dotykowy, do łatwego
zarządzania urządzeniem oraz
w/w ekran ze zintegrowanym
oświetleniem LCD, poprawiającym parametry świetlne Rys. 4. Cisco Telepresence SX20 Quickset
konstrukcji i dbałością producenta o jak
najniższą utylizację łącza klienta.
Najbardziej uniwersalną platformą serii
Telepresence jest SX20 Quickset (rys. 4).
W podstawowej wersji, w pudełku
znajdziemy stację kodeka z jedną
z dwóch kamer wysokiej rozdzielczości, mikrofon biurkowy oraz pilota.
Obydwie kamery mogą pracować
w rozdzielczości 1080p, przekazując
do 6 0 klatek na sekundę .
Optyka umożliwia skorzystanie
odpowiednio z 4 i 12-krotnego
zoomu optycznego, obydwie
k amer y mają mo ż liwo ś ć
obracania się w dwóch płaszczyznach. W pełni funkcjonalną
platformę wideokonferencyjną,
otrzymujemy podłączając
kodeka do dowolnego monitora
lub telewizora oraz odpowiednio
skonfigurowanego ł ąc z a .
Oczywiście, jeżeli w środowisku
pracy jest już skonfigurowany
37
rozwiązania
jednocześnie, bez wykorzystania zewnętrznego mostka
wide ok onfe r e nc yjne go .
Pozostałe funkcjonalności
są zbliżone. Z alet ą tego
rozwiązania są jego gabaryty
oraz w stosunku do zwykłych
wideotelefonów większa
przekątna ekranu, co poprawia
jakość odbieranego przekazu.
Zestaw kompletnego rozwiązania osobistego dostępny jest
w dwóch wariantach: EX90
(24” monitor LCD) oraz EX60
(21,5” monitor LCD). Dźwięk
Rys. 5. Cisco Telepresence SX20 Quickset
realizowany jest poprzez zintegrowane głośniki i mikrofon.
C isco Unified C ommunic ations Opcjonalnie dla większej wygody
Manager, to urządzenie może pobrać możemy zamówić 8 calowy dotykowy
konfigurację automatycznie z serwera ekran do sterowania podstawowymi
i poprzez niego być również zarządzane. Opcjonalnie możemy zamówić
stelaż umożliwiający montaż kodeka
na ścianie (rys. 5). Dźwięk przekazywany jest za pomocą głośników
zewnętrznych telewizora/monitora
LCD.
Kolejnym ciekawym produktem
jest seria EX, oferująca dwa modele
EX90 i EX60. Są to zintegrowane
z ekranem kodeki, które zajmują
niewiele miejsca, dzięki czemu można
je umieścić na biurku i cieszyć się
osobistym zestawem wideo-konferencyjnym (rys. 6). Modele różnią się
wielkością przekątnej monitora oraz
nieznacznie jego parametrami wyświetlania. Podstawową różnicą między
modelami EX90 i EX60 jest fakt, iż ten Rys. 7. Cisco Telepresence MX300
drugi nie obsługuje trybu Multisite,
czyli rozmowę możemy prowadzić funkcjami (rys. 6) – rozwiązanie znane
tylko z jedną lokalizacją zdalną już z serii TX9000 i TX1300.
Seria MX jest
to z kolei produkt zbliżony
parametrami
i gabarytami
do zest awu
SX20, zawiera
jednak komplet
niezb ę dnych
do pracy urządzeń. Dostępne
wersje ekranów
LCD: 42 calowy
(MX200) oraz
55 calowy
(MX300 - rys.
7). Obraz przeRys. 6. Cisco Telepresence EX90 i Touch8
kazywany jest
38
za pomocą znanej już z serii SX20 kamery
wysokiej rozdzielczości Cisco Telepresence PrecisionHD Camera 1080p x4.
Dźwięk realizowany jest poprzez zintegrowane z ekranem głośniki i mikrofon
biurkowy (w przypadku MX300 –
2 mikrofony). Zestawy przeznaczone
są do małych i średnich sal konferencyjnych. Również do serii MX możliwe jest
podłączenie 8 calowego dotykowego
ekranu ułatwiającego komunikację
z urządzeniem. Przewaga serii MX nad
zestawem uniwersalnym SX20 jest taka,
że otrzymujemy bardzo dobrze dobrany,
zintegrowany zestaw, który pozwala
na maksymalne wykorzystanie możliwości urządzenia (odpowiednie
głośniki i ekran LCD).
To co wyróż nia serie E X i M X ,
to możliwość dodania nowej osoby
do trwającej już wideokonferencji.
Technologia nosi nazwę Cisco Telepresence Multiway, wymaga jednak
zastosowania jednego z mostków
konferencyjnych serii MCU oraz
serwera Cisco VCS. Są to również
produkty linii Telepresence, przeznaczone do bardziej zaawansowanych,
wymagających bardzo dużej wydajności i skalowalności systemów.
Bezpieczeństwo i obsługa
sieci
Każdy z zestawów Cisco Telepresence zapewnia moż liwo ś ć
zabezpieczenia zarówno dostępu
do samego urządzenia, jak i przesyłanych danych, wspierając kilka
standardów szyfrowania oraz funkcje
Numer: IV/2012 (121)
Rys. 8. Cisco Telepresence VX Tactical
niezbędne do przekazywania danych
przez firewalle. Obsługiwanych jest
także kilka ułatwiających zarządzanie
i konfigurację usług sieci ethernet,
np.: DHCP, QoS. Obsługa znanych
standardów pomaga w prawidłowym
umieszc zeniu urz ądzeń w sieci,
ułatwia ich konfigurację i zarządzanie.
Wszystkie urządzenia serii Telepresence są oczywiście kompatybilne
między sobą, co pozwala zestawić sesję
między dowolnymi „końcówkami”.
Ważniejsze parametry zestawiono
w Tabeli 3 oraz Tabeli 4.
Podsumowanie
W zależności od potrzeb można dobrać
optymalne środowisko od podstaw
lub zintegrować je z istniejącą infrastrukturą – to ogromna zaleta dla
dużych organizacji posiadających
już rozwiązanie telefonii IP opartej
na Cisco. Możliwe jest zbudowanie
systemu uniwersalnego lub wybranie
kompleksowego rozwiązania zawierającego wszystkie niezbędne elementy.
Jedynymi ograniczeniami są rozmiary
sali konferencyjnej i oczywiście ilość
możliwych do przeznaczenia środków
finansowych, produkty te bowiem
nadal nie należą do rozwiązań najtańszych. Zważywszy jednak na fakt,
że częste, dalekie podróże wią żą
się z dużo wyższymi kosztami, jest
to inwestycja na przyszłość, która
w dużej organizacji może się bardzo
szybko zwrócić.
materiałów producenta:
www.cisco.com.
T.K.
Inżynier SOLIDEX
C isc o Telepresenc e jest bardzo
ciekawym rozwiązaniem problemu
współpracy na duże odległości.
Autoryzowane
szkolenia Cisco
w SOLIDEX!
Zapraszamy:
Kraków, ul. J. Lea 124
Warszawa Złote Tarasy, ul. Złota 59
szczegóły na str. 51
39
rozwiązania
Przełącznik wirtualny Nexus 1000V
Coraz większa ilość usług jest uruchamiana na serwerach wirtualnych.
Środowiska wirtualne zyskują coraz większą popularność i stają się coraz
bardziej rozbudowane, przez co stawiane im wymagania stale rosną. Jednym
z bardzo ważnych aspektów tego zagadnienia jest kontrola nad ruchem
sieciowym.Firma Cisco stworzyła rozwiązanie dające możliwości porównywalne
z przełącznikami fizycznymi. Przełącznik wirtualny Nexus 1000V został
opracowany w odpowiedzi na rosnące potrzeby dotyczące sterowania ruchem
w sieciach wirtualnych. Jest to zaawansowane narzędzie dające ogromne
możliwości i ułatwiające codzienne zadaniaadministracyjne.
Przełączanie ruchu w środowisku wirtualnym VMware
W początkowym okresie życia infrastr uk tur y wir tualnej wyst arc za
kor z yst anie z wbudowanych
prze łąc zników vSwitch. Jednak
w rozrastającym się środowisku takie
podejście może okazać się niewystarczająco bezpieczne, jak również mało
elastyczne i niewydajne w zarządzaniu.
Jednym z największych problemów
związanych z topologią sieci z wykorzystaniem wbudowanych przełączników
vSwitch (rysunek 1) jest utrzymanie
spójności konfiguracji przełączników
wirtualnych. Taka topologia będzie
40
Rys. 1. Topologia sieci z wykorzystaniem wbudowanych przełączników vSwitch
Numer: IV/2012 (121)
działać niezawodnie, jeśli konfi- do szeregu zaawansowanych funkcji Virtual Supervisor Module
guracja wszystkich przełączników jakie posiada przełącznik Nexus 1000V.
vSwitch będzie jednakowa. ŚrodoV SM jest modułem sterującym.
wiska produkcyjne są dużo większe Architektura przełącznika
Jest on odpowiedzialny za konfiniż te przedstawione na rysunku nr 1, Nexus 1000V
gurację całego przełącznika. Działa
co wymaga kontroli nad konfiguracją
pod kontrolą systemu operacyjnego
złożoną z kilkudziesięciu przełącz- Architektura przełącznika Nexus 1000V NX-OS znanego z innych produktów
ników. Może się wówczas okazać, jest rozproszona i składa się z dwóch Cisco. Jeden moduł VSM kontroluje
że w przypadku niespójnej konfiguracji przekonamy się o błędzie dopiero
w czasie awarii, kiedy maszyna
wir tualna zostanie uruchomiona
na innym hypervisorze i nie otrzyma
dostępu do sieci.
Kolejnym problemem dla tej topologii
jest kontrola nad ruchem w wirtualnej
części sieci. W przypadku sieci opartej
w całości o przełączniki fizyczne,
administratorzy sieci są odpowiedzialni za jej konfigurację i działanie.
Sieć wirtualna oparta o wbudowane
przełączniki vSwitch, jak również
o dystrybuowane przełączniki vDS
uniemożliwia kontrolę nad tą częścią
sieci. Administrator sieci dodaje
odpowiednie VL AN-y do połączeń
typu trunk do klastra VMware,
natomiast wirtualną część sieci konfiRys. 3. Architektura przełącznika Nexus 1000V
guruje administrator środowiska
VMware. W praktyce administratorzy
sieci mogą kontrolować ruch jedynie
na poziomie połączeń trunk. Nie mają
oni jednak żadnej możliwości kontroli podstawowych komponentów:
wiele modułów VEM, tworząc jedno
logic zne urządzenie modularne.
ruchu między maszynami wirtualnymi, •Virtual Supervisor Module (VSM),
bo taki ruch nie musi przechodzić przez •Virtual Ethernet Module (VEM).
Zamiast fizycznych kart liniowych,
przełączniki fizyczne.
jako moduły pracują
C z ę ś ć pr oblemów
w t ym wyp adk u
V E M - y . K onf ig u związanych z siecią
wirtualną rozwiązuje
racja przełącznika
pr ze ł ąc z nik vD S
jest automatycznie
propagowana
(vNe t wor k Dis t r i buted Switch).
do wszystkich
Firma Cisco postamodułów VEM.
nowiła rozbudować
U ż yc ie systemu
operacyjnego NX-OS
jego moż liwo ś c i
w Nexus 10 0 0V
i na podstawie architektury vDS stworzyła
zapewnia:
swoje własne
• Elastyczność
rozwiązanie.
i skalowalność. Port
profile (nowa funkcja
W topologii z wykorzystaniem przełącznika
systemu NX-OS) dają
Nexus 1000V (rysunek
możliwość konfiguracji kategorii portów
2) jeden przełącznik
obsługuje całe środo(zamiast pojedynwisko wir tualne .
czych portów). Dzięki
Z arz ądzanie siecią
temu rozwią zanie
wir tualną może
sprawdza się dobrze
pr z y du ż ej ilo ś c i
zost ać pr zeka zane
administratorom sieci
portów.
i otrzymujemy dostęp Rys. 2. Topologia sieci z wykorzystaniem przełącznika Nexus 1000V
41
rozwiązania
•Wysoką dostępność. Dwa redundantne moduły VSM pracujące
w trybie aktywny/pasywny synchronizują między sobą stan. Dzięki temu
w przypadku awarii urządzenia
aktywnego przełączenie następuje
natychmiastowo. Jest to rozwiązanie
znane z urządzeń fizycznych.
•Znany interfejs. Nexus 1000V może
być zarządzany przez Cisco CLI,
SNMP, XML API i CiscoWorks LMS.
Virtual Ethernet Module
Moduły VEM działają jako część jądra
systemu ESX lub ESXi. Zastępują one
funkcje przełącznika VMware Virtual
Switch. Do integracji z VMware
wykorzystują one vDS API, które
zostało zaprojektowane wspólnie
przez Cisco i VMware. Wysoki poziom
integracji zapewnia, że przełącznik
Nexus 1000V jest w pełni świadomy
wszelkich procesów wirtualizacyjnych
( VMotion, DR S , itp.). Moduł y
VEM są odpowiedzialne za przełączanie ruchu w 2 warstwie sieci oraz
za zaawansowane funkcje sieciowe:
•Agregacja portów.
•Quality of service (QoS).
•Bezpieczeństwo: Prywatne VLAN-y,
listy kontroli dostępu (ACL), port
security.
•Monitoring: NetFlow, Switch Port
Analyzer (SPAN) i Encapsulated
Remote SPAN (ERSPAN).
Funkcjonalności
ka Nexus 1000V
przełączni-
Polityki dostępu do sieci
Ze względu na dynamiczną naturę
sieci wirtualnej, przełącznik Nexus
1000V został wyposażony w port
profile, które pozwalają skonfigurować polityki dostępu do sieci dla
różnych klas maszyn wirtualnych.
Poszczególne wirtualne karty sieciowe
(vNIC) maszyn mogą zostać następnie
przypisane do odpowiednich profili.
Typowy przykład klasy określonej
przez port profile to nr VLAN-u.
Mobilność właściwości
sieciowych i bezpieczeństwa
maszyn wirtualnych
Polityki dostępu do sieci i polityki
bezpieczeństwa podążają za maszyną
42
Rys. 4. Ścieżka dla strumienia danych z wykorzystaniem vPath
Funkcjonalność
Możliwości
Zapobiega
Przypisuje MAC adres do
portu
Spoofing adresów MAC
na poziomie maszyn
wirtualnych
IP source guard
Mapuje adres IP do adresu
MAC
Spoofing adresów IP
i adresów MAC
Dynamic ARP
inspection
Monitoruje i limituje
zapytania ARP maszyn
wirtualnych
ARP cache poisoning
DHCP snooping
•Zapobiega dotarciu
zapytania do
niezaufanego serwera
DHCP
•Limituje ilość zapytań
DHCP
•DHCP spoofing
•ataki DOS na usługi
DHCP
Port security
Tabela 1. Funkcjonalności bezpieczeństwa
wirtualną w przypadku jej migracji
na inny serwer, uśpienia, hibernacji czy restartu. Ponadto VSM
przenosi informacje na temat stanu
sieciowego maszyny, takie jak liczniki
na porcie. Działanie maszyn, które
są monitorowane przez NetFlow lub
ERSPAN pozostaje niezakłócone przez
VMotion. W przypadku zmiany konfiguracji port profil, wszystkie porty
wirtualne od niego zależne zostają
uaktualnione.
do firewalli. Dodatkowo jesteśmy
w stanie stworzyć łańcuch urządzeń,
przez które strumień danych musi
przejść, aby dotrzeć do celu. Daje
to możliwość drobiazgowej kontroli
ruchu.
Wbudowane funkcjonalności
bezpieczeństwa przełącznika
Nexus 1000V
Przełącznik Nexus 1000V posiada
funkcjonalności znane z urządzeń
fizycznych, takie jak port security, IP
Architektura Cisco vPath
source guard, dynamic ARP inspection
Wykor zystując vPath jeste śmy i DHCP snooping. Pozwalają one
w s t a n i e p r z e k i e r o w a ć r u c h zabezpiec zyć sieć wir tualną już
do urządzeń równoważących obcią- na poziomie warstwy 2.
ż enie, akcelerat orów WA N lub
Numer: IV/2012 (121)
Nexus 1000V w praktyce
w skład klastra VMware. Przełącznik
Nexus 1000V od strony VMware
Po zainstalowaniu i wstępnej konfi- przedstawiono na rysunku nr 6,
guracji przełącznika możemy nim gdzie po prawej stronie przełącznika
zarządzać w podobny sposób jak zostały umieszczone port profile typu
urządzeniami fizycznymi. Możemy ethernet. W nich znajdują się fizyczne
sprawdzić ogólny stan przełącznika katy sieciowe serwerów ESXi, które
wydając polecenie show module.
przekazują ruch sieciowy do dalszej
Rys. 5. Wynik polecenia show module
Na rysunku nr 5 możemy zobaczyć,
że działają oba moduły VSM, przy
czym jeden z nich ma status ha-standby,
czyli jest gotowy do przejęcia funkcji
aktywnego supervisora. Widać również,
że posiadamy dwa moduły VEM.
Są to oczywiście hosty wchodzące
części sieci. Po lewej stronie znajdują się
port profile typu vethernet, z których
korzystają maszyny wirtualne. Profile
o nazwach Unused_Or_Quarantine
są tworzone automatycznie i nie
należy z nich korzystać. Konfiguracja
port profili została przedstawiona
na rysunku nr 7.
Najciekawszą opcją jest mac-pinning
dla port profili typu ethernet. Jest
to jeden ze sposobów agregacji
portów (fizycznych kart sieciowych
na s er wer ac h E S X i ). Mo ż emy
z niego skorzystać, jeśli przełączniki
fizyczne, do których jest podłączone
środowisko wirtualne nie obsługują
standardowych protokołów agregacji.
Przełącznik Nexus wykorzystuje dla
ruchu sieciowego wszystkie porty
i dba o to, aby pojedyncza maszyna
wirtualna korzystała zawsze z tego
samego portu, natomiast przełączniki
fizyczne nie są świadome agregacji.
Jedną z największych zalet przełącznika
Nexus 1000V są możliwości monitorowania sieci wirtualnej.
Możemy między innymi sprawdzić
status wszystkich interfejsów jak
równie ż wy świet lić st atystyk i
pojedynczych portów.
Na rysunku nr 9 widzimy szczegóły
portu wirtualnego, z którego korzysta
maszyna wirtualna o nazwie „test”.
Widać równie ż , że obecnie ten
port działa na module czwartym.
Numer modułu jest równoważny
z konkretnym hostem, wchodzącym
w skład klastra VMware. Korzystając
z polecenia show module (rysunek nr 5)
możemy zlokalizować fizyczny serwer,
na którym działa maszyna.
P r ze ł ąc znik Nexus 10 0 0V daje
ogromne możliwości administratorom sieci, pozwalając jednocześnie
administratorom środowiska wirtualnego na konfiguruję dostępu do sieci
w standardowy sposób. Na rysunku
Rys. 6. Widok przełącznika w vCenter
43
rozwiązania
Rys. 7. Konfiguracja port profil’i
nr 10 przedstawiono konfigurację karty
sieciowej dla maszyny wirtualnej.
Podsumowanie
Przełącznik Nexus 1000V pozwala na
zbudowanie bezpiecznej, wydajnej
i skalowalnej sieci wirtualnej. Środowiska wirtualne mają tendencje do
rozrastania się, dlatego warto rozważyć
wdrożenie przełącznika Nexus od razu
w trakcie budowy takiego środowiska,
nawet jeśli początkowo jest niewielkie.
Dzięki temu unikniemy problemów
związanych z migracją w późniejszym
okresie.
Ze względu na to, że jest to przełącznik
software’owy, jest on wygodny
w testowaniu. Ponadto po ściągnięciu
oprogramowania ze strony Cisco
i zainstalowaniu go w środowisku
wirtualnym otrzymujemy 60-cio
dniową licencję demo. Zachęcam do
testów.
Rys. 8. Wynik polecenia show interface brief
Rys. 9. Wynik polecenia show interface
J.R.
Inżynier SOLIDEX
Rys. 10. Konfiguracja maszyny wirtualnej
44
Numer: IV/2012 (121)
Cisco Unified Computing System
Express - następny krok w procesie
konsolidacji infrastruktury
informatycznej
Rozwój dzisiejszej infrastruktury informatycznej zmierza w kierunku centralizacji.
Organizacje wielooddziałowe dążą do jak największego uproszczenia
infrastruktury informatycznej swoich oddziałów terenowych. Są jednak
sytuacje, w których istnienie lokalnych serwerów jest pożądane dla efektywnej
pracy sieci oddziałowej. Odpowiedzią na problem związany z koniecznością
uproszczania infrastruktury oddziałowej i wymaganą dostępnością niektórych
usług na poziomie lokalnym jest platforma Cisco UCS Express.
Dzisiejsza sieć oddziałowa wymaga
c z a s a mi lok a lne j do s t ę pno ś c i
niektórych usług i aplikacji, które
można zaimplementować na dwa
sposoby. Możemy każdą aplikację
uruchomić na oddzielnym serwerze,
dzięki czemu otrzymujemy odizolowanie poszczególnych aplikacji
od siebie, co stanowi zaletę w kwestii
bezpieczeństwa i wydajności. Zasadniczą wadą tego rozwiązania jest jednak
konieczność utrzymywania nadmiarowego sprzętu. Drugim sposobem
jest uruchomienie wszystkich aplikacji
i usług na jednym serwerze. W takiej
sytuacji tracimy jednak możliwość
o di z olow a nia p o s z c z e gó lnyc h
usług od siebie. Zamiana serwerów
fizycznych na wirtualne i uruchomienie
ich w wirtualnym środowisku daje
możliwoś ć wykorzystania zalet
każdego z powyższych podejść, przy
jednoczesnym zredukowaniu kosztów.
Każdą aplikację możemy uruchomić
na oddzielnym wirtualnym serwerze,
a wszystkie wirtualne serwery mogą
być uruchomione na jednym fizycznym
urządzeniu.
Dodatkowym elementem ważnym
do rozważenia jest fizyczny serwer,
na którym chcielibyśmy postawić
wir tualne środowisko. Wykorzystanie do tego celu tradycyjnego
serwera wolnostojącego niesie ze sobą
pewne wady, takie jak np.: komplikacja infrastruktury informatycznej
spowodowana dodatkowym okablowaniem sieciowym i elektrycznym;
brak elastyc znej metody zwiększania wydajności serwera poprzez
rozbudowę zasobów sprzętowych.
Najlepszym rozwią zaniem było
by zatem wykorzystanie serwerów
typu blade. Tego typu urządzenia mogą
wykorzystywać wspólne zasilanie
i chłodzenie. Są łatwe w instalacji,
a poprzez dołożenie dodatkowego
serwera typu blade możemy w prosty
sposób zwiększyć wydajność systemu.
Dzisiejsza typowa sieć oddziałowa jest
ściśle podzielona na część sieciową
i część serwerową. Taka nieskonsolidowana infrastruktura wymaga
zapewnienia dodatkowych portów
na pr ze ł ąc znikach, pr zewodów
sieciowych i zasilających, przestrzeni
w serwerowni, często dodatkowych
45
rozwiązania
urządzeń. Ponadto dokonywanie
jakichkolwiek fizycznych przepięć
w okablowaniu wymaga osobistych
wizyt osoby technicznej w oddziale,
wielu instancji serwerów Microsoft
Windows Server i Linux na serwerach
typu blade zainstalowanych bezpośrednio w ruterach Cisco ISR G2.
Cisco i VMware dostarc zające
natywny hypervisor uruchamiany
na module Cisco SRE, umożliwiający
konsolidacje fizycznych serwerów
w sieci oddziałowej.
Pomimo, że infrastruktura sieci
zostanie skonsolidowana fizycznie
w jednym urządzeniu, zarządzanie
każdą z platform nadal pozostaje
oddzielne. Te same metody administracyjne wykorzystywane do zarządzania
siecią, serwerami i środowiskiem
wirtualnym w tradycyjnej infrastrukturze, mogą być również wykorzystane
w przypadku administracji systemem
Cisco UCS Express.
Platforma Sieciowa
Rutery Cisco ISR są jednym z najczęściej używanych sieciowych urządzeń
w oddziałach terenowych. Posiadają
one możliwość zainstalowania dodatkowych modułów o różnorakich
funkcjonalnościach. W ruterach Cisco
ISR G2 pojawiła się możliwość instaloRys. 1. Komponenty systemu Cisco UCS Express
wania modułów Cisco SRE będących
serwerami typu blade. Otrzymujemy
co gener uje dodatkowe kosz ty. W skład UC S Express wchodz ą dzięki temu możliwość uruchomienia
w jednym urz ądzeniu zarówno
Umieszczenie wszystkich elementów poniższe trzy platformy:
sieciowych i serwerowych w jednym •Platforma sieciowa (Cisco ISR G2) platformy sieciowej, jak i serwerowej.
urządzaniu, zapewniającym integrację
– w postaci rutera ISR G2. Serwery Wewnętrzna matryca przełączająca
i wewnętrzną komunikację pomiędzy
i urządzenia sieciowe mogą być (Multigigabit Fabric – MGF) w ruterze
tymi poszczególnymi elementami,
umiejscowione w jednej obudowie zapewnia bezpośrednią komunikację
poz woliłoby usuną ć powyż sze
rutera ISR G2. Wewnętrzna matryca pomiędzy poszczególnymi kompoproblemy i obniżyć koszty utrzymania
przełączająca zapewnia bezpośrednią nent ami systemu bez potrzeby
infrastruktury oddziałowej.
komunikację pomiędzy poszcze- zestawiania dodatkowych połączeń
Wspomniane powyżej wymagania,
gólnymi komponentami systemu bez kablowych.
stawiane nowoczesnej infrastrukturze
potrzeby zestawiania dodatkowych Matryca MGF pozwala na podłączenie
wirtualnego środowiska i bezpośredni
informatycznej w sieci oddziałowej,
połączeń kablowych.
realizuje system Cisco UCS Express.
•P l a t f o r m a s e r w e r o w a t y p u dostęp wirtualnych serwerów do sieci
Cisco Unified Computing System
blade (Cisco Services-Ready Engine LAN. Komunikację tę możemy zrealiExpress (UCS Express) jest platformą
(SRE)) – serwer typu blade w postaci zować z wykorzystaniem modułów
konsolidującą w sobie najważniejsze
modułu Cisco SRE instalowany Cisco EtherSwitch EHWIC i Service
Modules , realiz ując t ransmisję
elementy infrastruktury informaw ruterze ISR G2.
tycznej, takie jak platforma sieciowa, •Platforma wirtualizacyjna (Cisco z pominięciem procesora rutera
serwerowa i platforma środowiska
Services-Ready Engine Virtualization i zwiększając wydajność systemu.
wirtualnego.
(SRE-V) ) – wspólne przedsięwzięcie Oprogramowanie IOS rutera zapewnia
Rozwiązanie to jest rozszerzeniem
architektury systemu Cisco Unified
Computing System, dzięki czemu
umożliwia obsługę nie tylko centrów
przetwarzania danych, ale tak że
oddziałów terenowych.
Cisco UCS Express jest rozwiązaniem
de dykowanym dla or ganiz ac ji
ze scentralizowaną infrastrukturą,
która posiada oddziały terenowe
wymag aj ą c e lok a lnyc h u s ł ug . Rys.2. Ruter Cisco 3945 obsadzony dwoma serwerami typu blade (Cisco SRE)
Platforma umożliwia uruchomienie
46
Numer: IV/2012 (121)
nam natomiast Inter-VL AN ruting
i pozostałe funkcjonalności warstwy
trzeciej dla środowiska wirtualnego.
Na rysunku nr 3 przedstawiono
możliwe metody wykorzystania
wewnętrznej matrycy przełączającej
MGF do obsługi ruchu.
Platforma serwera typu blade
W systemie C isco UC S Express
do pełnienia funkcji serwerów typu
blade dedykowane są moduły Cisco
Services-Ready Engine (SRE). Moduły
Cisco SRE posiadają swój procesor,
pamięć, przestrzeń dyskową oraz
interfejsy sieciowe. Moduły Cisco
SRE uruchomione w ruterze ISR G2,
działają z wykorzystaniem własnych
zasobów sprzętowych, niezależnie
od zasobów sprzętowych rutera. Dzięki
temu nie występuje sytuacja, w której
wyczerpane zasoby platformy serwerowej mogłyby zagrozić wydajnemu
działaniu samego rutera.
Router ISR G2 dostarcza modułowi
Cisco SRE zasilanie, chłodzenie i zintegrowany wewnętrzny przełącznik
w postaci wspomnianej wcześniej
matrycy MGF. Cisco SRE do rutera jest
podłączony dwoma wewnętrznymi
int er fejs ami Gigabit E t her ne t .
Jeden z interfejsów jest interfejsem
warstwy drugiej, który łączy Cisco
SRE blade z wewnętrzną matrycą
MGF i dedykowany jest dla ruchu
danych z serwerów wirtualnych. Drugi
interfejs jest interfejsem warstwy
trzeciej i dedykowany jest dla ruchu
zarządzającego. Dodatkowo moduł
Cisco SRE posiada trzeci, zewnętrzny
interfejs Gigabit Ethernet, który można
wykorzystać np. dla celów redundancji.
Rys. 3. Przykładowe metody wykorzystania wewnętrznej matrycy przełączającej
MGF do obsługi ruchu
Obecnie dostępne są cztery wersje
modułów Cisco SRE różniące się
między sobą zasobami sprzętowymi.
Dokładną specyfikację poszczególnych
modułów przedstawiono w osobnej
tabeli. Wszystkie moduły mają wymienialne (w łatwy sposób) dyski twarde.
Dodatkowo moduły typu SRE 900
Rys. 4. Moduł Cisco SRE pełniący funkcje serwera typu blade
i 910 wspierają RAID, dzięki zainstalowaniu dwóch dysków twardych.
Moduły Cisco SRE pełniące funkcje
ser wera posiadają wiele z alet .
Moduły te instalowane w obudowie
rutera nie zabierają dodatkowej
przestrzeni i zużywają dużo mniej
energii elektrycznej w porównaniu
z tradycyjnymi serwerami. Z uwagi,
iż komunikacja z modułami Cisco
SRE i ich zasilenie odbywa się poprzez
wewnętrzne zintegrowane interfejsy,
moduły te nie wymagają stosowania
żadnego sieciowego ani elektrycznego
ok ablowania . Tym s amym t e ż
do podłączenie tego typu serwerów
nie potrzebujemy portów przełącznika.
Ze względu na powyższe właściwości dużo łatwiejsza jest także sama
fizyczna instalacja modułów Cisco
SRE, która wymaga tylko wsunięcia
modułu do slotu rutera ISR. Całą
resztę prac związanych z zasileniem
modułu, zestawieniem połączenia
i uruchomieniem na module właściwej
47
rozwiązania
na odtworzenie serwera w stanie,
w jakim znajdował się w momencie
zapisywania. Środowisko wirtualne
gwarantuje także lepsze wykorzystanie zasobów sprzętowych, dzięki
moż liwo ś c i rozłożenia pamię c i
i mocy procesora na kilka instancji
serwerów. Konsolidacja środowiska
serwerów w jednym urządzeniu
zmniejsza zapotrzebowanie na energię
elektryczną, chłodzenie i fizyczną
przestrzeń w serwerowni. Duż ą
zaletą jest także fakt, że w środowisku
wirtualnym każdy wirtualny serwer
znajduje się w dedykowanym kontenerze odizolowanym od pozostałych
wirtualnych serwerów.
Rys. 5. Architektura modułu Cisco SRE na przykładzie Cisco SRE 910
platfor my adminis t r at or mo ż e
wykonać zdalnie.
W tabeli nr 1 przedstawiono specyfikację techniczną dostępnych modułów
Cisco SRE typu blade wraz z wykazem
wspieranych ruterów.
Parametr
odtworzenie systemów w przypadku
awarii. Duże znaczenia ma tutaj fakt,
że wirtualny serwer jest uniezależ- System operacyjny na maszyniony od platformy sprzętowej i może nie wirtualnej
być uruchomiony na różnym sprzęcie.
Dodatkowo stan wirtualnego serwera W systemie Cisco UC S Express,
można zapisać do pliku, który pozwali na maszynie wirtualnej możemy
Cisco SRE 700 i SRE 710
Cisco SRE 900 i SRE 910
Intel Core 2, 1.86GHz (single core)
Intel Core 2
Pamięć RAM
4 GB
4 GB lub 8 GB
Dysk twardy
Jeden dysk 500GB SATA
Dwa dyski 500GB SATA
-
Non-RAID, RAID 0, RAID 1( Software
RAID controller in Cisco SRE-V)
3 porty Gigabit Ethernet
3 porty Gigabit Ethernet
Procesor
RAID
Interfejsy sieciowe
I/O
Wspierane modele
ruterów ISR
Jeden zewnętrzny port USB
Jeden zewnętrzny port USB
Cisco 2911, 2921, 2951, 3925, 3925E, 3945,
3945E
Cisco 2911, 2921, 2951, 3925, 3925E, 3945,
3945E
Tabela 1. Specyfikacja modułów Cisco SRE
Platforma wirtualizacyjna
Cisco wspólnie z VMware stworzyło
platformę Cisco SRE Virtualization
(SRE-V ). Jest to VMware vSphere
Hypervisor (ESXi) zoptymalizowany
do wykorzystania z modułami Cisco
SRE. Cisco SRE-V jest natywnym
hyp e r vi s o r e m u r u c h o mia nym
bezpośrednio na module Cisco SRE.
Hypervisor dostarc za wir tualne
s e r we r y , na k t ór yc h mo ż e my
ur uchomić konk r et ne sys t emy
operacyjne wraz z potrzebnymi nam
aplikacjami.
Wirtualizacja środowiska pozwala
nam na uruchomienie serwerów
wirtualnych znacznie szybciej niż
ich fizycznych odpowiedników. Tym
samym, tak że dużo szybsze jest
48
Rys. 6. Architektura środowiska Cisco
SRE-V
zainstalować dowolny system operacyjny. Cisco UCS Express posiada
wsparcie dla systemów Microsoft
Windows Server 2003 i 2008. Cisco
UCS Express został poddany procesowi
certyfikacji Microsoft. Moduł Cisco
SRE przeszedł pozytywnie testy
Microsoft Windows Hardware Quality
Lab ( WHQL) i uzyskał certyfikat
kompatybilności z Microsoft Windows
Server 2003 i 2008 . Natomiast
platforma Cisco SRE-V przeszła
pozytywnie testy Microsoft Server
Virtualization Validation Program
(SV VP) i także dostała certyfikat
gwarantujący poprawne działanie
systemów Microsoft Windows Server
2003 i 2008 na tej platformie.
Opróc z wsparc ia dla ser werów
Mic r os of t , V Mwar e vSpher e
Numer: IV/2012 (121)
Rys. 7. System zarządzający Cisco IMC Express
Platforma
Cisco ISR G2
Narzędzie do zarządzania platformą
CLI, CiscoWorks LAN Management Solution (LMS) , Cisco Configuration Professional
Cisco SRE blade
Cisco IMC Express
Cisco SRE-V
VMware vSphere Client i vCenter Server
Tabela 2. Narzędzia do zarządzania systemem Cisco UCS Express
Hypervisor (ESXi) wspiera wiele
innych systemów operacyjnych w tym
większość dystrybucji Linuxa (między
innymi Red Hat Enterprise Linux,
Novell SUSE Linux Enterprise Server
i Oracle Linux).
Zarządzanie
Do zarządzania modułami Cisco SRE,
zainstalowanymi w ruterze ISR G2,
dedykowany jest system Cisco IMC
Express. Cisco IMC Express pozwala
na instalacje hypervisora na modułach
Cisco SRE, konfiguracje interfejsów,
monitorowanie pracy modułów Cisco
SRE i zarządzanie ich zasilaniem. Cisco
IMC Express jest osadzony w ruterze
ISR G2, działa na dedykowanych
zasobach sprzętowych, niezależnie
od oprogramowania IOS rutera.
Cisco IMC Express oferuje zarządzanie poprzez konsolę graficzną
lub linie komend. Konsola graficzna
jest identyczna z konsolą Cisco IMC
wykorzystywaną w standardowym
środowisku UCS. Dzięki temu istnieje
pe ł na spójno ś ć w z ar z ądz aniu
serwerami typu blade w Centrali
i w oddziale.
Cisco UCS Express oferuje separacje
zar z ądzania poszc zególnymi
element a mi plat for my . Mimo
że system konsoliduje środowisko
sieciowe, wirtualne i serwerowe
w jednym fizycznym urządzeniu,
zarządzanie tymi środowiskami
pozostawiono oddzielne. Dzięki temu
administratorom sieci możemy nadać
uprawnienia do zarządzania tylko
ruterem, a administratorom serwerów
dać uprawnienia do zarządzania tylko
samymi serwerami. Do zarządzania
poszczególnymi elementami systemu
możemy wykorzystać dedykowane
odrębne narzędzia zgodnie z informacjami zawartymi w tabeli nr 2.
generuje mniejsze koszty operacyjne
(TCO) w porównaniu z tradycyjnym
środowiskiem infrastruktury informatycznej. Pozwala skonsolidować
do jednego urządzenia najistotniejsze
elementy infrastruktury informatycznej. Cisco UCS Express daje przy
tym administratorom możliwość
pełnej zdalnej kontroli nad infrastrukturą IT w oddziale terenowym,
bez konieczności osobistych wizyt.
Niewątpliwie nowe rozwiązanie Cisco
wytycza nowy kierunek w podejściu
do projek towania nowoc zesnej
infrastruk tur y I T w oddziałach
terenowych. Daje możliwość wprowadzenia do małych sieci oddziałowych
nowoczesnych rozwiązań, które
były do tej pory stosowane tylko
w centralach przedsiębiorstw.
Podsumowanie
Wykorzystanie Cisco UCS Express
daje organizacji posiadającej serwery
w oddziałach terenowych liczne
korzyści. System Cisco UCS Express
M.Z.
Inżynier SOLIDEX
49
Nowość w ofercie
Warsztaty Check Point Next - Generation Firewall R75
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową - Warsztaty Check Point Next - Generation Firewall R75.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN
S2S oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami - IPS,

Content Security,
 Integracja z ActiveDirectory
- budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.solidex.com.pl/oferta/warsztaty
50
Program SOLIDEX
Autoryzowane
Szkolenia
Cisco
Systems
®
ICND1
Interconnecting Cisco Network Devices Part 1
ICND2
Interconnecting Cisco Network Devices Part 2
CCNAX
Interconnecting Cisco Networking Devices: Accelerated NOWOŚĆ!
ROUTE
Implementing Cisco IP Routing
SWITCH
TSHOOT
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
BGP
MPLS
QOS
IINS
SECURE
FIREWALL
VPN
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Securing Networks with Cisco Routers and Switches v1.0
Deploying Cisco ASA Firewall Features
Deploying Cisco ASA VPN Solutions
CIPT P1
Implementing Cisco Unified Communications Manager Part 1 v8.0
CIPT P2
Implementing Cisco Unified Communications Manager Part 2 v8.0
CWLMS
Implementing CiscoWorks LMS
IP6FD
IPv6 Fundamentals, Design, and Deployment
IUWNE
Implementing Cisco Unified Wireless Networking Essentials
DESGN
Designing for Cisco Internetwork Solutions NOWOŚĆ!
ARCH
Designing Cisco Network Service Architectures NOWOŚĆ!
Infolinia: 800 49 55 82
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX
Złote Tarasy - Lumen, ul. Złota 59
Kraków
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944. Nakład: 2500 egz.
Redakcja:
Zespół Komunikacji Marketingowej SOLIDEX S.A.
ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
www.integrator.SOLIDEX.com.pl

Integrator Nr IV/2012 (121)

Transkrypt

Podobne dokumenty

Szkolenia

Integrator Nr I/2012 (118)

Integrator nr III/2014 (128)

Integrator Nr III/2013 (124)

W numerze między innymi: - Integrator

WAF (Web Application Firewall)

Integrator Review 3/2008

Integrator Nr I/2014 (126)

Integrator Review Wydanie Jubileuszowe