Integrator Nr IV/2010 (113)
Transkrypt
Integrator Nr IV/2010 (113)
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® Nr IV/2010 (113) W numerze między innymi: NOWOŚCI: ASA 5585-X - nowa zapora dla rosnącego ruchu w sieci Cisco X-Series -maXymalne możliwości TECHNOLOGIE: Alternatywa kompleksowej ochrony - McAfee Firewall Enterprise Korporacyjna ochrona przed szkodliwą interakcją z Internetem ROZWIĄZANIA: Wesołych Świąt oraz Szczęśliwego Nowego Roku życzy wszystkim czytelnikom Zespół SOLIDEX. EX-tra Switche www.integrator.SOLIDEX.com.pl firmy Juniper Networks ISSN 1233-4944 PLATINUM CHANNELCONNECT PARTNER Numer: IV/2010 (113) Szanowni Czytelnicy! Mamy przyjemność wraz z najserdeczniejszymi życzeniami świątecznymi serdecznie podziękować naszym Czytelnikom, tak Klientom, jak Partnerom za kolejny rok owocnej współpracy! Wszyscy zapewne odczuliśmy trudy pracy w sytuacji światowego kryzysu, które zmieniły kierunki działania z silnie rozwojowych jak na przełomie wieków na głównie optymalizacyjne i utrzymaniowe. Dalsze doskonalenie infrastruktury i systemów jej utrzymania zapewne będzie również przedmiotem Państwa uwagi w kolejnym roku. Zachęcamy zatem do lektury kolejnych wydań INTEGRATORA ONLINE i jego wersji drukowanej, publikowanej co kwartał. Zapraszamy również do skorzystania ze sprawdzonych już przez dwie dekady profesjonalnych usług naszych SOLIDnych EXpertów® również w kolejnej dekadzie naszej działalności, a szczególnie w nadchodzącym Nowym Roku 2011! Wszelkiej pomyślności na Nowy Rok w imieniu Zespołu SOLIDEX i własnym życzy Zbigniew Skotniczny Prezes Zarządu SOLIDEX Spis treści Wydarzenia 4 4 5 5 6 Seminarium z cyklu SOLIDny EXpert radzi: „Nowości w świecie routingu i switchingu” już się odbyło SOLIDEX po raz trzynasty z rzędu... SOLIDEX Złotym Partnertem Cisco Expo 2010 SOLIDEX ponownie uzyskał tytuł Cisco Customer Satisfaction Excellence WebService uruchomił i wspiera nową odsłonę Portalu marek Purmo i Radson www.purmo.com NOWOŚCI 8 11 ASA 5585-X - nowa zapora dla rosnącego ruchu w sieci Cisco X-Series -maXymalne możliwości TECHNOLOGIE 14 19 Alternatywa kompleksowej ochrony - McAfee Firewall Enterprise Korporacyjna ochrona przed szkodliwą interakcją z Internetem ROZWIĄZANIA 22 EX-tra Switche firmy Juniper Networks Biuletyn Informacyjny SOLIDEX® 3 WYDARZENIA Seminarium z cyklu SOLIDny EXpert radzi: „Bezpieczna przestrzeń IT” już się odbyło 18 października br. w sali konferencyjnej Centrum Kompetencyjno-Szkoleniowego SOLIDEX w Warszawie odbyło się kolejne z cyklu bezpłatnych Seminariów SOLIDEX zatytułowane: „Bezpieczna przestrzeń IT”. Podczas seminarium nasi SOLIDni EXperci zaprezentowali wykłady teoretyczne pt.: • Trendy w bezpieczeństwie • Koncepcja zintegrowanych rozwiązań bezpieczeństwa IT. Zarządzanie coraz bardziej złożonym środowiskiem • Firewall warstwy 7. Rozbudowa bezpieczeństwa o warstwę aplikacji • Ochrona aplikacji webowych - Web Application Firewall Tematyka tego spotkania obejmowała zagadnienia związane z bezpieczeństwem w sieci. Serdecznie dziękujemy wszystkim uczestnikom za przybycie oraz aktywny udział w seminarium. Mamy nadzieję, że poruszone przez nas tematy spotkały się z Państwa zainteresowaniem i pomogły pogłębić wiedzę z danego zakresu. SOLIDEX po raz trzynasty z rzędu... 4 We wrześniu 2010 roku SOLIDEX po raz kolejny przeszedł pomyślnie proces recertyfikacji, zachowując status Złotego Partnera Cisco Systems (Cisco Gold Certified Partner) na kolejne 12 miesięcy. z poziomem zadowolenia Klientów (Badanie Satysfakcji Klientów CISCO PAL). Dzięki temu oraz pomyślnemu audytowi ubiegłorocznemu, w tym roku Cisco odstąpiło od audytu. Firma sprostała wszystkim stawianym wymaganiom, dotyczącym wykwalifikowanego personelu, zakresu wsparcia technicznego (kadry tak techniczne, jak i handlowe potwierdziły swe kompetencje w licznych egzaminach), posiadanych specjalizacji oraz kryteriów związanych Firma Solidex S.A. posiada status Złotego Partnera Cisco w Polsce od 1998 roku, jest uprawniona do prowadzenia projektów, składania ofert, doradztwa, wdrożeń i świadczenia usług serwisowych w zakresie instalacji sieciowych opartych na sprzęcie i oprogramowaniu Cisco Systems. Integrujemy przyszłość® Posiadany przez firmę SOLIDEX S.A. status partnerski uprawnia w szczególności do: • Sprzedaży, projektowania i uruchamiania systemów opartych na technologiach Cisco • Sprzedaży, instalacji oraz świadczenia serwisu dla oprogramowania zarządzającego Cisco Numer: IV/2010 (113) SOLIDEX Złotym Partnertem Cisco Expo 2010 28-29 października 2010 w Hotelu Mazurkas w Ożarowie Mazowieckiem odbyła się dziewiąta edycja konferencji Cisco Expo. SOLIDEX wziął w niej udział jako Złoty Partner. Tematyka konferencji dotyczyła infrastruktury IT oraz świadczonych w oparciu o nią usług. W tym roku, w porównaniu do poprzednich edycji Cisco Expo, firma Cisco położyła większy nacisk na tematykę biznesową, prezentując najnowsze wdrożenia oraz przykłady zastosowania technologii w biznesie. W trakcie sesji biznesowych omówione zostały rozwiązania przeznaczone dla sektora publicznego, sektora dużych przedsiębiorstw i rynku operatorów telekomunikacyjnych. SOLIDEX jako Partner Złoty konferencji zaprezentował interesujące wykłady teoretyczne: • Cisco DMS - jako sposób na komunikację w organizacji • Tandberg - człowiek może być daleko, a jednak blisko • Organizacja migracji sieci WAN Serdecznie dziękujemy wszystkim obecnym za zainteresowanie prezentowanymi przez nas wykładami. Mamy nadzieję, że przygotowane przez nas prezentacje spotkały się z Państwa zainteresowaniem, a nasi specjaliści odpowiedzieli na nurtujące Państwa pytania. Gościem specjalnym tegorocznego Cisco Expo był Pan Profesor Leszek Balcerowicz, który na sesji plenarnej wygłosi wykład pt. „Innowacja, a rozwój gospodarki”. SOLIDEX ponownie uzyskał tytuł Cisco Customer Satisfaction Excellence SOLIDEX został wyróżniony tytułem Cisco Customer Satisfaction Excellence za I półrocze 2010 roku. Tytuł ten jest przyznawany firmom, oferującym rozwiązania Cisco, które wykazują wysoki poziom satysfakcji klienta. SOLIDEX otrzymał go po raz kolejny. Badania przeprowadzane są w oparciu o kwestionariusze ankiet, które zawierają szereg szczegółowych pytań na temat oferowanych produktów, działań wspierających sprzedaż oraz poziomu usług serwisowych. SOLIDEX od lat niezmiennie podtrzymuje tytuł Cisco Customer Satisfaction Excellence, który potwierdza wysoką jakość świadczonych usług począwszy od sprzedaży, poprzez wdrażanie i utrzymywanie produktów firmy Cisco. Przedsiębiorstwa posiadające status Cisco Customer Satisfaction Excellence zostają wyróżnione na stronach Cisco w narzędziu (Cisco Partner Locator), dzięki widniejących przy ich nazwach złotych gwiazdkach. Biuletyn Informacyjny SOLIDEX® 5 WYDARZENIA WebService uruchomił i wspiera nową odsłonę Portalu marek Purmo i Radson www.purmo.com Już po raz trzeci w historii jesteśmy odpowiedzialni za kompleksowe wykonanie i wdrożenie międzynarodowego Portalu dla marek Purmo i Radson w 22 wersjach językowych. Nowa odsłona Portalu przygotowanego dla międzynarodowej firmy Rettig ICC Group (największego światowego producenta grzejników) związana jest z jednoczesnym startem nowej, wizerunkowej kampanii promocyjnej Low Temperature Radaitors. W związku z tym obecny serwis został przeprojektowany w zgodzie z wszystkimi wytycznymi tak, aby stanowił spójny element wraz z innymi elementami nowej polityki wizerunkowej firmy i jej produktów. badań „web usability” przeprowadzonych przez doświadczonych w tym zakresie ekspertów WebService. Szczegółowe badania na określonej próbie użytkowników profesjonalnych oraz końcowych i późniejsze wnioski w tym zakresie pozwoliły na wdrożenie zmian polepszających jakość, funkcjonalność oraz ergonomię Portalu. Nowa odsłona została zaprojektowana tak, aby zapewnić jeszcze większą funkcjonalność interfejsu poprzez dodanie alternatywnych funkcjonalności filtrowania treści do standardowej struktury hierarchii poruszania się po serwisie. Istotna modernizacja miała miejsce w bazowym zaprojektowaniu nowego interfejsu graficznego z uwzględnieniem najlepszych praktyk w zakresie SEO. Przebudowa serwisu wraz z odświeżeniem wizualnym uwzględnia również efekty 6 Integrujemy przyszłość® Przy okazji warto przypomnieć, że dzięki owocnej współpracy z Grupą Rettig ICC, WebService wykonał w ciągu ostatnich lat także kilka wdrożeń dla innych marek należących do Grupy – w tym m. in. 5 wersji językowych portalu dla marki LVI oraz skandynawski portal szwedzkiej marki Thermopanel. Numer: IV/2010 (113) www.webservice.pl more than software... Biuletyn Informacyjny SOLIDEX® 7 NOWOŚCI ASA 5585-X - nowa zapora dla rosnącego ruchu w sieci Cisco powiększyło rodzinę zapór sieciowych ASA 5500 o nowe modele 5585-X, które są dedykowane do dużych firm, a nawet operatorów telekomunikacyjnych. Najnowsza seria nie zastąpi starszych modeli popularnych firewalli, a jedynie rozszerzy portfolio Cisco z dziedziny bezpieczeństwa. Cechy nowych modeli ASA: • Maks. wydajność firewall: 35 Gbps* • Maks. wydajność firewall + IPS: 10 Gbps* • Do 10 000 połączeń VPN* • 350 000 połączeń na sekundę* • Modularna budowa umożliwiająca dalszą rozbudowę • Funkcjonalność MGF (Multi Gigabit Fabric - umożliwiająca bezpośrednią komunikację między modułami bez udziału CPU) • Redundantne zasilacze z możliwością wymiany „na gorąco” *)Wydajność konkretnego modelu jest zależna od zastosowanych procesorów SSP • SSP – firewall/VPN Security Services Processor (umieszczony w dolnym gnieździe) • IPS SSP – IPS Security Services Processor (umieszczony w górnym gnieździe) W nowych modelach wyróżniamy po 4 różne procesory SSP i SSP IPS. Tabela nr 1 podsumowuje informacje o wydajnościach osiąganych przez ASA z poszczególnymi SSP (przy zainstalowanym oprogramowaniu w wersji 8.2.3 i oprogramowaniu IPS 7.1). IPS SSP posiada te same funkcjonalności co sondy Cisco IPS 4200 i może być wdro- Security Services Processor (SSP) Urządzenia ASA 5585-X mają 2 RU wysokości, w których mieszczą się dwa gniazda obsadzone procesorami: 8 Rys. 1. Cisco ASA 5585-X Integrujemy przyszłość® żone w trybie inline lub w trybie nasłuchiwania (promiscuous). IPS SSP posiadają obszerną bazę sygnatur. Ponadto w inspekcji ruchu pomaga analiza reputacyjna, dla której uaktualnienia odbywają się w czasie rzeczywistym. W przypadku nieznanych lub nietypowych i jednocześnie niebezpiecznych ataków ASA podobnie jak inne urządzenia IPS wykorzystuje analizę behawioralną. Pakiety analizowane przez firewall ASA trafiają najpierw do modułu SSP, a dopiero później do IPS SSP, w którym są badane przez filtry reputacyjne, po- Numer: IV/2010 (113) ASA 5585-X with SSP-10 ASA 5585-X with SSP-20 ASA 5585-X with SSP-40 ASA 5585-X with SSP-60 Maximum Firewall Throughput (max*) 4 Gbps 10 Gbps 20 Gbps 35 Gbps Maximum Firewall Throughput (multiprotocol) 2 Gbps 5 Gbps 10 Gbps 20 Gbps Maximum Firewall and IPS Throughput 2 Gbps (with IPS SSP-10) 3 Gbps (with IPS SSP-20) 5 Gbps (with IPS SSP-40) 10 Gbps (with IPS SSP-60) Maximum VPN Throughput (max**) 1 Gbps 2 Gbps 3 Gbps 5 Gbps Concurrent Sessions 750,000 1,000,000 Feature IPsec VPN Peers Premium AnyConnect VPN Peer License Levels*** 2,000,000 Up to 5,000 Up to 10,000 2, 10, 25, 50, 100, 250, 500, 750, 1000, 2500 and 5000 2, 10, 25, 50, 100, 250, 500, 750, 1000, 2500, 5000 and 10,000 Security Contexts *** Up to 50 Interfaces 8-port 10/100/1000, 2-port 10 Gigabit Ethemet (SFP+) 6-port 10/100/1000, 4-port 10 Gigabit Ethemet (SFP+) Maximum Interfaces 16-port 10/100/1000, 4-port 10 Gigabit Ethemet (SFP+) (requires IPS SSP-10) 12-port 10/100/1000, 8-port 10 Gigabit Ethemet (SFP+) (requires IPS SSP-40) 16-port 10/100/1000, 4-port 10 Gigabit Ethemet (SFP+) (requires IPS SSP-20) Virtual Interfaces (VLANs) 12-port 10/100/1000, 8-port 10 Gigabit Ethemet (SFP+) (requires IPS SSP-60) 250 Scalability VPN clustering and load balancing High Availability Active/Active**** and Active/Standby Redundant Power Supported, second power supply optional Supported Tab. 1. Porównanie wydajności dla poszczególnych SSP równywane z bazą sygnatur i poddawane analizie behawioralnej. Procesory SSP są wyposażone w następujące interfejsy: • Dla SSP-10 i SSP-20: 8 portów 10/100/1000BASE-T i 2 porty GE SFP/10 GE SFP+ (porty 10 GE wymagają licencji) • Dla SSP-40 i SSP-60: 6 portów 10/100/1000BASE-T i 4 porty GE SFP/10 GE SFP+ (porty 10 GE wymagają licencji) Zastosowanie zapory sieciowej ASA w centrach danych wydajność. Dlatego też Cisco proponuje, aby nowe modele wykorzystywać np. w centrach danych, które wymagają nie tylko niezawodnej ochrony ale również dużej wydajności. Poza wysoką wydajnością następujące cechy sprawiają, że nowa ASA pasuje do centrów danych: • Redundantne interfejsy • Tryb Active/Active • Tryb transparentny Firewalle ASA z nowymi procesorami SSP funkcjonalnie nie odbiegają od typowych zapór sieciowych, natomiast ich zaletą jest Zapory sieciowe ASA mogą działać w trybie Active/Active (gdzie obydwa urządzenia przepuszczają ruch) lub Ac- Należy pamiętać, że ASA nie wspiera innych kombinacji modułów niż: SSP10 i IPS SSP-10, SSP-20 i IPS SSP-20, SSP-40 i IPS SSP-40, SSP-60 i IPS SSP60 (nie można ich natomiast między sobą mieszać, przykładowo: SSP-10 i IPS SSP-40). Biuletyn Informacyjny SOLIDEX® 9 NOWOŚCI Feature ASA SSP-10 Multi Core Processors Maximum Memory ASA SSP-20 Yes Yes (Dual CPU) 6 GB 12 GB Maximum Storage Ports ASA SSP-40 ASA SSP-60 24 GB 2 GB eUSE 2 x SFP + 8 x 1GbE Cu 2 x 1GbE Cu Mgmt Crypto Chipset 4 x SFP + 6 x 1GbE Cu 2 x 1GbE Cu Mgmt Yes Tab. 2. Porównanie procesorów SSP tive/Standby (tylko jedno urządzenie przepuszcza ruch). W trybie Active/ Standby w przypadku awarii aktywnego urządzenia drugie przejmuje jego rolę. Podczas zmiany stanów zamianie ulegają również adresy MAC i IP. Aby która pojawiła się po raz pierwszy w ASA razem z oprogramowaniem w wersji 8.0. Dwa redundantne interfejsy działają podobnie jak tryb Active/Standby, czyli po awarii jednego drugie przejmuje jego rolę. Dzięki zastosowaniu redundantnych interfejsów nie ma po- Nowe modele zapór sieciowych ASA mogą sprawdzić się w tych miejscach sieci, które wymagają dużej wydajności. Nie wprowadzają rewolucyjnych zmian funkcjonalnych, natomiast skupiają się na prędkości, niezawodności i skalowalności. korzystać z trybu Active/Active należy skonfigurować na firewallach wirtualne jednostki „security contexts”. trzeby przełączania się na drugie urządzenie w przypadku awarii portu (a jedynie na inny interfejs, co upraszcza całą procedurę). Redundantne interfejsy, to funkcjonalność, Ponadto ASA5585-X wspiera dwa różne tryby firewalla: routed i transparent. W trybie routowanym ASA bierze udział w procesie routingu i jest widoczna jako kolejny przeskok dla protokołów routingu. Natomiast w trybie transparentnym ASA jest niewidoczna i nieuwzględniana podczas obliczania najkorzystniejszej trasy, a ponadto wewnętrzne i zewnętrzne porty należą do tej samej sieci (ale muszą być przydzielone do różnych VLAN-ów). W trybie transparentnym routery mogą ustalać sąsiedztwo z pominięciem firewalla. Protokoły takie jak HSRP, VRRP czy GLBP również „pomijają” zaporę sieciową w trybie transparent. Tryb ten pozwala ponadto na przepuszczanie ruchu różnego od IP (np. IPX). Podsumowanie Nowe modele zapór sieciowych ASA mogą sprawdzić się w tych miejscach sieci, które wymagają dużej wydajności. Nie wprowadzają rewolucyjnych zmian funkcjonalnych, natomiast skupiają się na prędkości, niezawodności i skalowalności. Obecnie w sprzedaży znalazły się już modele z procesorami SSP-20 i SSP60, a z początkiem roku 2011 w ofercie pojawią się SSP-10 i SSP-40. A.L. Rys. 2. Tryb transparentny 10 Integrujemy przyszłość® Numer: IV/2010 (113) Cisco X-Series - maXymalne możliwości W połowie 2010 roku Cisco Sytems wprowadziło do swojej oferty nową linię przełączników dostępowych. Do oferty produktowej dołączyły nowe urządzenia: Cisco Catalyst 3560 X-Series oraz Cisco Catalyst 3750 X-Series. Nowe urządzenia charakteryzują między innymi: • 24 lub 48 porty 10/100/1000BaseT Ethernet • Opcjonalny moduł z portami up-link • Dwa, modularne zasilacze i wentylatory • Wersja PoE udostępniająca 30W mocy na każdym z portów (wymaga odpowiednich zasilaczy) • Porty USB (typu AiB) – na potrzeby dostępu konsolowego oraz zewnętrznego nośnika (np. do przechowywania obrazów oprogramowania lub/i zapisywania konfiguracji) • MACSec – szyfrowanie połączeń downlink (802.1ae) w celu zapewnienia maksymalnego bezpieczeństwa. Rys. 1. Przełącznik Cisco Serii X 3750 Rys. 2. Przełącznik Cisco Serii X 3560 Seria 3750-X ponadto oferuje dwie dodatkowe funkcjonalności: • StackPower – rozdzielanie/współdzielenie zasilania pomiędzy przełączniki w ramach stosu • StackWise Plus – dedykowane połączenie w stos o przepustowości 64Gbps kach z linii E-Series. Oba nowe urządzenia działają w architekturze nonblocking, co w tym przypadku oznacza możliwość obsługi do 48 portów GigabitEthernet oraz do 2 portów 10GigabitEthernet z pełną prędkością. Moduły sieciowe uplink Przełączniki mogą zostać wyposażone w jeden z dwóch modułów sieciowych: Urządzenia 3560 i 3750 X-Series w dużym stopniu bazują na swoich odpowiedni- Biuletyn Informacyjny SOLIDEX® Rys. 3. Moduł sieciowy uplink 11 NOWOŚCI • 4 porty GigaEthernet-1GbE (wkładki SFP) lub • 2 porty 10GigaEthernet-10GbE (wkładki SFP+) – posiada 4 sloty liwe jest mieszanie zasilaczy AC oraz DC w ramach jednego przełącznika. Przełącznik może pracować z dowolnym z ww. zasilaczy. X-Series dostępna jest również wersja LAN Base. Poniżej tabelaryczne zestawienie/ porównanie funkcjonalności dostępnych w poszczególnych wersjach IOS. Moduł z portami 10GbE (SFP+) wspiera również wkładki SFP 1GbE. Moduł 10GbE może pracować w każdej z poniższych konfiguracji: Przełączniki Serii X jako pierwsze urządzenia o wielkości 1 RU na rynku pozwalają (w wersji Full PoE) na dostarczenie zasilania do 30W mocy na każdy port. Standard PoE+ mówi o udostępnianiu Parametry 10GbE SFP+ Ports GbE SFP Ports 2 0 1 2 0 4 Tab. 1. Konfiguracje modułu 10GbE Zasilanie oraz PoE/PoE+ Model W tabeli nr 4 przedstawione zostały podstawowe parametry urządzeń Cisco X-Series. Dostępna moc dla PoE Zasilacz 24 Port Data Switch C3KX-PWR-350WAC 48 Port Data Switch 24 Port PoE Switch C3KX-PWR-715WAC 48 Port PoE Switch brak 435W 48 Port Full PoE Switch C3KX-PWR-1100WAC Nowością w tej klasie urządzeń jest dostępność 800W dwóch redundantnych zasilaczy oraz wentyTab. 2. Dostepne zasilanie dla PoE latorów. Każdy przełącznik X-Series może być wyposażony w dwa zasilacze (w konfiguracji 25W na port. standardowej dostępny jest jeden). StackWise i StackPower Oprogramowanie Cisco IOS Oprócz powyższych zasilaczy dostępne są również zasilacze DC o mocy 440W Oprócz oprogramowania IOS w wersji IP StackWise Plus jest technologią Cisco poudostępniające moc dla PoE – 175W. Moż- Base oraz IP Services dla przełączników zwalającą na budowanie stosów z przeFunkcje LAN Base IP Base Layer 2+ Kompleksowe funkcjonalności Layer 2 Layer 3 Brak wsparcia dla routingu IP RIP, static and stub PIM, and EIGRP OSPF, EIGRP, BGP, IS-IS VRF-lite, WCCP, and PBR Zarządzanie Podstawowe usługi zarządzania MIB, IPSLA Responder, RSPAN Gold-Lite Smart Install Director EEM and IPSLA Initiator Wszystkie dostępne dla Cisco Catalyst 3000 Series funkcjonalności Layer 2, w tym protokoły redundancji, Cisco StackPower™ technology (Cisco Catalyst 3750-X) Bezpieczeństwo DHCP Snooping, IPSG, DAI, PACLs, Cisco Identity 4.0, NAC oraz funkcje 802.1x Router and VLAN ACLs, private VLAN, TrustSec SXP, and IEEE 802.1AE QoS Policing dla ruchu wejściowego, AutoQoS, DSCP mapowanie Wszystkie dostępne dla Cisco Catalyst 3000 Series funkcjonalności QoS, w tym per-VLAN policies Tab. 3. Porównanie funkcjonalności dostępowych w poszczególnych wersjach IOS 12 IP Services Integrujemy przyszłość® Numer: IV/2010 (113) Parametry podstawowe Switching Fabric 160 Gbps Pamięć DRAM 256 MB Pamięć Flash 128 MB Maksymalna ilość VLAN 1005 VLAN IDs 4000 Maksymalna ilość interfejsów (SVI) 1000 Nową technologią udostępnioną w 3750-X jest StackPower –Technologia Cisco umożliwia efektywniej wykorzystywać moc w stosie urządzeń. Reasumując, przełączniki X-Series charakteryzują się wysoką wydajnością, możliwością wybrania sprzętowo redundantnych konfiguracji (zasilacze oraz wentylatory), modularnością (opcjonalny moduł sieciowy uplink), wysoką efektywnością energetyczną. Właśnie, dlatego nowe przełączniki są uniwersalnym rozwiązaniem do budowy sieci dla bardzo szerokiej gamy odbiorców. Mają one zastosowanie przy budowie zarówno zwykłych sieci dostępowych LAN, jak i sieci dla rozwiązań Voice oper IP oraz Wireless. Rekomendowaną konfiguracją stosu StackPower są 4 przełączniki. Drugą dozwoloną konfiguracją jest zbudowanie Przygotowane na podstawie materiałów producenta. B.R. Parametry przełączania 24-portowe przełączniki 65,5 mpps 48-portowe przełączniki 101,2 mpps Tab. 4. Podstawowe parametry urządzeń X-Series łączników, dostępną tylko w modelu 3750. Za jej pomocą po połączeniu w stos kilku przełączników (do 9 przełączników w stosie) możemy traktować stos jako jeden logiczny przełącznik. StackWise Plus jest kompatybilna z poprzednią edycją rozwiązania StackWise, dzięki czemu w stosie można łączyć przełączniki 3750X, 3750G, 3750v2. Stos StackWise jest budowany w oparciu o specjalne kable. 3 stosów StackPower po 3 urządzenia każdy. Inne konfiguracje mogą w sposób nieoptymalny zapewniać redundancje oraz współdzielenie mocy w ramach stosu. Stos StackPower jest budowany w oparciu o specjalne kable. www.SOLIDEX.com.pl Biuletyn Informacyjny SOLIDEX® 13 TECHNOLOGIE Alternatywa kompleksowej ochrony - McAfee Firewall Enterprise Systemy zabezpieczeń z dnia na dzień przybierają bardziej złożone formy. Również metody ataków stają się coraz bardziej złożone, a zatem ochrona naszych systemów przed nimi wymusza na administratorach opanowanie nowych technik obrony. Czasy, w których firewall stanowił jedyną warstwę ochrony minęły bezpowrotnie. Rozbudowane, wielopoziomowe systemy, które mają analizować ruch w każdej warstwie modelu OSI goszczą już w wielu środowiskach. Historia jednak lubi się powtarzać. Firewalle wracają już nie jako podstawa ochrony, a kompleksowe narzędzie, które umożliwia analizę danych dostępną dla dedykowanych rozwiązań. Przekonajmy się, co w tym zakresie oferuje nam McAfee i Next Generation Firewall. Historia tego rozwiązania sięga roku 1984. W tym czasie grupa Secure Computing Technology Center rozpoczęła prace nad Security Operating System, który miał być wykorzystywany przez NSA. W ciągu kilku lat SCTC ewolu- Ostatnie 15 lat to proces doskonalenia i unowocześniania rozwiązań. W 2008 roku firmą Secure Computing zainteresował się McAfee. Doprowadziło to do połączenia rozwiązań McAfee proponuje bardzo ciekawe, kompleksowe rozwiązanie. Dostępność wielu modeli o zróżnicowanej wydajności skutkuje tym, że każda firma nawet najmniejsza może zainteresować się produktem Firewall Enterprise. owała z niewielkiej grupy specjalistów, stając się niezależną firmą. W 1995 roku weszła ona na giełdę, odnosząc wielki sukces i zyskując znacznie na wartości. 14 dwóch producentów, zajmujących się bezpieczeństwem, które uzupełniają się nawzajem, tworząc McAfee Firewall Enterprise, Next Generation Firewall. Integrujemy przyszłość® Przyjrzyjmy się bliżej komponentom systemu: •AppPrism jest elementem odpowiedzialnym za identyfikację ruchu. Rozpoznaje ponad 1000 aplikacji, które pogrupowane są w 31 kategorii. Firewall działa w trybie pełnego Proxy, również dla ruchu szyfrowanego. Konsekwencją tego jest pełna analiza protokołów opakowanych w SSL i inspekcja ich zawartości. McAfee cały czas rozwija bazę danych aplikacji, każda aktualizacja przynosi więc wzrost obsługiwanych aplikacji. Zaproponowane kategorie umożliwiają budowanie polityk, bazując na pewnym modelu biznesowym, a dostrajanie każdej reguły daje możliwość Numer: IV/2010 (113) Hardware Specs1 S1004 Form factor Mini 1U 410 510 Small 1U 1100 2100 Recommended users 100 300 600 Med-Large Enterprise 5U Large RAID 1 N/A Power supply 4-Gb Dual 8-Gb N/A 10 Gb interface option (max) N/A Enterprise RAID 5 Single Fiber interface option (max) 10/16-Gb 10/22-Gb 6 12 22/24-Gb 14/26-Gb N/A 12 12 6 SSL/HTTPS decrypting, filtering and re-encrypting Regulatory compliance Enterprise 2U 4150 Yes RAID Copper interfaces (base/max) 2150 Enterprise 1U Unlimited user licenses 2150 VXXX Yes FCC (U.S. only) Class B, ICES (Canada) Class B, CE Mark (EN 55022 Class B, EN550024, EN61000-3-2, EN61000-3-3), VCC (Japan) Class B, BSMI (Taiwan) Class A, C-Tick (Australia/ New Zealand) Class B, SABS (South Africa) Class B, MIC (Korea) Class B, UL 60950, CAN/CSA C22.2 No. 60950, IEC 601950 Performance1 Firewall performance 500 Mbps 1 Gbps 2 Gbps 6 Gbps Stateful inspection throughput 300 Mbps 750 Mbps 1.5 Gbps 3 Gbps Application filtering throughput 100 Mbps 600 Mbps 1.25 Gbps 2.5 Gbps Anti-virus 50 Mbps 115 Mbps 275 Mbps 500 Mbps 850 Mbps 1 Gbps IPSec VPN throughput 100 Mbps 200 Mbps 275 Mbps 300 Mbps 400 Mbps 700 Mbps 10 Gbps 6 Gbps 5 Gbps 3.5 Gbps 12 Gbps 6.5 Gbps 4 Gbps 5 Gbps Tab. 1. Zestawienie dostępnych platform sprzętowych szczegółowego dopasowania jej do naszych potrzeb. Rozumienie aplikacji daje jeszcze jedną cenną możliwość. Sterujemy już nie tylko dostępem do danej aplikacji, ale również jej funkcjami. Pewne zachowania mogą być przez nas ograniczane w taki sposób, aby użytkownik miał możli- wość korzystania z tych funkcji, które niezbędne są do wykonywanie jego obowiązków, a pozostałe pozostawały nieaktywne. Przykładem takiego zachowania może być sytuacja, w której umożliwiamy naszym użytkownikom korzystanie z IM, ale równocześnie blokujemy wysyłanie plików. •Application Layer Firewall funkcjonuje jako filtr ruchu pomiędzy strefami. Proxy aplikacyjne zapobiega bezpośredniej komunikacji pomiędzy klientem znajdującym się na zewnątrz, a aplikacją znajdującą się wewnątrz infrastruktury IT. Działa to oczywiście w obie strony Biuletyn Informacyjny SOLIDEX® 15 TECHNOLOGIE co McAfee nam oferuje. Produkty klasy UTM, NGF i środowiska, które składają się z wielu niezależnych rozwiązań, borykają się z problemami związanymi z zarządzaniem. Wprowadzanie nowych reguł na firewallu oraz polityk bezpieczeństwa w bardziej skomplikowanych sieciach nastręcza administratorom coraz więcej kłopotu. Odpowiadając na takie problemy, McAfee stworzył produkt, który w znacznym stopniu ma odciążyć IT z codziennej pracy, dając bezpośredni wgląd w zdarzenia w sieci, w odniesieniu do polityk bezpieczeństwa, jakie skonfigurowane są na urządzeniu. Rys. 1. SmartFilter i komunikacja wewnętrznych hostów ze światem zewnętrznych jest również monitorowana. •TrustedSource jest bazą danych reputacji. Zawiera zaindeksowane adresy stron URL, które podzielone są na kategorie. Kategorie tworzą zbiór stron, których zawartość jest zbliżona. McAfee używa wielu mechanizmów, które umożliwiają zbieranie i kategoryzowanie nowych stron. Wymienić tutaj można sztuczną inteligencję, sieci typu honeypot oraz wyszukiwarki linków. Wiele stron, ze względu na różnorodność treści, jaką ze sobą niosą, są przyporządkowywane do wielu zbiorów. W ponad stu krajach znajdują się sondy, które każdego dnia zbierają dane z całego świata i przekazują je do siedmiu centrów danych w celu analizy setek terabajtów danych. TrustedSource w czasie rzeczywistym analizuje zawartość oraz zachowanie stron WWW przydzielając im na tej podstawie punkty. Ilość punków świadczy o tym, jaki poziom bezpieczeństwa zostanie przypisany danej stronie. Aktualnie skategoryzowanych jest ponad 30 milionów stron internetowych. •SmartFilter jest mechanizmem zapewniającym filtrowanie adre- 16 sów URL w celu ochrony organizacji przed ryzykiem związanym z korzystaniem z sieci. Wykorzystuje on bazę TrustedSource, aby wykonać jedną z akcji, która przypisana jest do polityki zdefiniowanej przez administratora. Możliwe akcje, jakie możemy wykorzystać: Allow, Block, Coach, Time-based filtering, Volume quota support, Time quota support, Delay, Progressive lock-out, Authorized override. •Geo-Location stanowi uzupełnienie, które umożliwia tworzenie polityk bezpieczeństwa w odniesieniu do konkretnego państwa. Zarządzanie regułami firewalla, ich analiza oraz wpływ na ruch w sieci to tylko niektóre zalety tego produktu. Możemy dokonać korelacji zdarzeń w sieci w odniesieniu do zdefiniowanych przez nas reguł, jak również mamy pełny wgląd w to kto, co, oraz gdzie wysyłał. Kolejną zaletą opisywanego rozwiązania jest duża przejrzystość prezentowanych informacji. Wykres typu bubble chart w sposób bardzo klarowny reprezentuje ilość incydentów w naszej sieci, w odniesieniu do czasu i charakteru danego zdarzenia. Co otrzymuje klient? McAfee oferuje użytkownikowi cały wachlarz urządzeń skierowanych McAfee Profiler do każdego segmentu rynku. Ze szczeFirewall Enterprise to nie wszystko, gółami można się zapoznać w tabeli 1. Wydajność najmocniejszego sprzętu wynosi 12Gb/s, co powinno zaspokoić najbardziej wymagających. Jednak myśląc o rynku large enterprise, McAfee przygotował swoje rozwiązanie opierając się o platformę firmy Crossbeam serii X. Dzięki budowie typu blade, wydajność może być skalowana w bardzo dużym zakresie. Przy obsadzeniu Rys. 2. McAfee Profiler wszystkich „miejsc”, zyskujemy wydaj- Integrujemy przyszłość® Numer: IV/2010 (113) ność na poziomie 40Gb/s. Informacje dodatkowe znajdują się w tabeli 2. Więcej szczegółów na temat rozwiązań crossbeam w połączeniu z produktem Firewall Enterprise można znaleźć pod adresem: www.mcafee.com/us/partners/ g l o b a l _ s t r a t e g ic _ a l l i a nc e s / crossbeam_firewall.html. Decydując się na zainwestowanie w rozwiązanie McAfee, klient oprócz firewalla, dodatkowo otrzymuje wirtualną maszynę McAfee Profiler (za dopłatą może to być hardware). Uzupełnienie całego systemu stanowi McAfee Reporter. Rozwiązanie SEM (Security Event Management), które agreguje informacje pochodzące ze wszystkich firewalli w celu stworzenia kompletnego odwzorowania zdarzeń w sieci. X60 Platform X80-S Modular McAfee Firewall Performance 5 to 20 Gbps Backplane Performance Up to 80 Gbps 5 to 40 Gbps Up to 150 Gbps McAfee Application Support Firewall Enterprise V 8.1 Application Blade Supported APm-9600 (12-Core) 5Gbps Application Performance per blade Redundancy Single Box and Dual Box (Self-Healing) Network Support Full Switching & Routing with modular 1G and 10G interfaces Tab. 2. Crossbeam X-Series Podsumowanie McAfee proponuje bardzo ciekawe, kompleksowe rozwiązanie. Dostępność wielu modeli o zróżnicowanej wydajności skutkuje tym, że każda firma nawet najmniejsza może zainteresować się produktem Firewall Enterprise. Firmy posiadające kilka firewalli z pewnością docenią możliwości jakie niesie ze sobą Profiler. Łatwość zarządzania i wprowadzania zmian w złożonym środowisku doceni każdy administrator. T.P. Waszych organizacji www.SOLIDEX.com.pl Biuletyn Informacyjny SOLIDEX® 17 Integrujemy przyszłość® www.SOLIDEX.com.pl Numer: IV/2010 (113) Korporacyjna ochrona przed szkodliwą interakcją z Internetem Wraz ze wzrostem i rozwojem sieci komputerowych rośnie liczba aplikacji webowych, w których podstawową rolę odgrywa treść generowana przez użytkowników, tzw. Web 2.0. Obecny trend w serwisach internetowych kładzie nacisk na interakcję z użytkownikiem. Podejście to może stworzyć możliwości do zamieszczania w sieci treści szkodliwych dla nieświadomych użytkowników. McAfee Web Gateway (dawniej WebWasher) oferuje użytkownikom możliwości jakie daje Web 2.0 z jednoczesnym zachowaniem kontroli nad bezpieczeństwem sieci korporacyjnej. McAfee Web Gateway zapewnia kompleksową ochronę sieci przed zagrożeniami pochodzącymi z aplikacji webowych. Web Gateway chroni przed wirusami, złośliwym oprogramowaniem, niepoprawną treścią, utratą danych i powiązanymi problemami. Główne funkcjonalności Web Gateway to: • Skanowanie Anti-Malware oraz Anti-Virus • Skaner SSL • Web Filtering • AAA Proxy • Secure Cache • Wsparcie dla DLP (Data Leakage Prevention) • Kompleksowe raportowanie Skanowanie Anti-Malware Web Gateway wykorzystuje proaktywną analizę treści, aby odfiltrować z ruchu WWW obiekty aktywne, takie jak: skrypty, aplety czy makra. Poprzez skanowanie oraz analizę behawioralną tych obiektów, moduł Anti-Malware potrafi oddzielić ruch pożądany od elementów, które mogą stanowić zagrożenie lub stanowią celowy atak. Mechanizm ten działa w połączeniu z silnikiem antywirusowym bazującym na sygnaturach, który blokuje znane zagrożenia na podstawie zaimplementowanych szczepionek. Anti-Malware umożliwia efektywną eliminację szkodliwego kodu zanim trafi on do korporacyjnej sieci wewnętrznej, niezależnie od tego czy na dane zagrożenie powstała szczepionka czy też nie. Podejście takie chroni systemy operacyjne, przeglądarki WWW oraz aplikacje przed uruchomieniem złośliwego kodu. Anti-Malware Rys. 1. Schemat działania McAfee Web Gateway Biuletyn Informacyjny SOLIDEX® 19 TECHNOLOGIE potrafi aktywnie przeskanować między innymi obiekty takie jak: • ActiveX • Pliki .exe oraz .dll • Aplety oraz aplikacje JAVA • JavaScript (także umieszczone w HTML lub PDF) oraz Visual Basic Script • Makra w dokumentach MS Office Skaner SSL Rys. 3. Ekran funkcjonalności Web Filter Coraz częściej do atakowania sieci jest wykorzystywany protokół SSL (HTTPS) jako tzw. „tylna furtka”. Web Gateway działa jako serwer Proxy dla ruchu SSL. Mechanizmy skanera SSL „przechwytują” żądanie połączenia SSL i ustanawiają połączenie SSL pomiędzy Web Gatewayem, a serwerem w sieci Internet. Sprawdzany jest certyfikat serwera i jeśli znajduje się on na „białej liście” weryfikacja certyfikatu oraz inspekcja zawartości może być pomi- URL podzielone kategorie. Do katalogowania stron oraz określania ich reputacji McAfee Web Gateway wykorzystuje bazę TrustedSource. Zawiera ona ponad 30 milionów adresów IP, HTTP oraz HTTPS URL. Podzielone są one na 96 kategorii z możliwością definicji dodatkowych 500 kategorii przez użytkownika. Umożliwia to sprawne określenie treści jaką dana strona zawiera. Dla ruchu WWW, który spełni warunki przypisania do danej ka- tegorii, administrator może określić jedną z niżej podanych akcji i polityk: • Zezwól • Blokuj • Ostrzeż • Dostęp w odpowiednich godzinach • Dostęp o określonym czasie trwania • Dostęp o określonym wolumenie ruchu Rys. 2. Działanie skanera SSL nięta. Mechanizmy skanera SSL są przedstawione na schemacie poniżej. 1.Zestawienie szyfrowanego połączenia Klient - HTTPS Proxy 2.Zestawienie szyfrowanego połączenia HTTPS Proxy – Web Server 3. Weryfikacja certyfikatu 4.Web Server przesyła zaszyfrowaną zawartość do HTTPS Proxy 5. HTTPS Proxy odszyfrowuje oraz przeprowadza skanowanie zawartości 6. Ponownie zaszyfrowana zawartość jest przesyłana do Klienta Rys. 5. Przykładowy ekran raportów Web Filtering Wszystkie żądania otwarcia nowej strony WWW są sprawdzane względem obowiązującej polityki obejmującej adresy 20 Rys. 4. Możliwości wdrożenia Web Gateway jako serwera proxy Integrujemy przyszłość® Numer: IV/2010 (113) Model WW500E WW1100E Obudowa Procesor Pamięć RAM Interfejsy WG-5500 1 RU 2 RU 1x Single Core 1x Dual Core 1x Quad Core 2x Quad Core 2 GB 2 GB 6 GB 12 GB 2x 10/100/1000 RAID Dysk twardy WG-5000 4x 10/100/1000 - RAID 1 160 GB SATA Zasilacz 2x 160 GB SATA Pojedynczy RAID 10 2x 300 GB SAS 6x 300 GB SAS Redundantny Tab. 1. Modele Web Gateway Rys. 6. Kwadrat Gartnera ze stycznia 2010 AAA Proxy nr 1 specyfikacja modeli Web Gateway. Web Gateway może być wdrożony w sieci korporacyjnej jako serwer Proxy z pełnym wsparciem dla AAA (Authentication Authorization Accounting). Umożliwia on komunikację z różnymi urządzeniami w sieci poprzez zaimplementowaną obsługę protokołów WCCP (Web Cache Communication Protocol), IFP (Internet Filtering Protocol) czy ICAP (Internet Content Adaptation Protocol). Poniżej przedstawione są możliwości wdrożenia Web Gateway jako serwera proxy. Podsumowanie Kompleksowe raportowanie Web Gateway posiada możliwości bardzo szczegółowego raportowania zdarzeń oraz incydentów, które miały miejsce w sieci. Moduł Web Reporter przekazuje informacje na temat wykorzystania sieci w korporacji, zgodności z regulacjami, izolowania problemów oraz niepoprawnej aktywności w sieci. Web Gateway Appliance McAfee Web Gateway jest sprzedawany w postaci appliance, czyli zintegrowanego serwera i oprogramowania. Rozwiązanie to jest skalowalne od 1000 do 25000 użytkowników w sieci wewnętrznej. W tabeli Niewłaściwe korzystanie z sieci WWW może narazić na niebezpieczeństwo całą organizację oraz jej cenne zasoby. McAfee Web Gateway jest ciekawym rozwiązaniem, które zapewnia zintegrowane i kompleksowe bezpieczeństwo wewnętrznej sieci. Poprzez proaktywne skanowanie treści WWW w połączeniu z analizą bazy reputacji i zaawansowanymi silnikami antywirusowymi, Web Gateway jest w stanie zapewnić najwyższy stopień ochrony przed zagrożeniami pochodzącymi z sieci WWW. kurencji (np. skanowanie Anti-Malware, szczegółowe raporty czy filtrowanie ruchu na podstawie bazy reputacji), mogą być dużą zachętą dla potencjalnych klientów. M.M. Skaner SSL jest w efektywny sposób uzupełniają mechanizmy bezpieczeństwa, umożliwiając wykrywanie zagrożeń nawet w zaszyfrowanych kanałach SSL. Moduł AAA Proxy może stanowić podstawę lub dopełnienie istniejących już serwerów proxy w firmie. McAfee jest liderem na rynku w rozwiązaniach bram bezpieczeństwa dla ruchu WWW. Dowodem tego jest powyższy diagram Gartnera ze stycznia 2010 roku. Według niego McAfee posiada silną pozycję na rynku w dostarczaniu rozwiązań typu Secure Web Gateway. Wyjątkowe funkcjonalności w porównaniu do kon- Biuletyn Informacyjny SOLIDEX® 21 ROZWIĄZANIA EX-tra Switche firmy Juniper Networks Powszechnie wiadomo, że jednym z najważniejszych urządzeń wykorzystywanych w sieciach LAN (od małych domowych po wielkie sieci uczelniane kampusy) są switche (przełączniki). Przez kilka ostatnich lat przełączniki ewaluowały nie tylko pod względem wydajnościowym, ale także funkcjonalnym. Większość dostępnych raportów wskazuje firmę Cisco Systems jako wiodącego producenta tych urządzeń głównie w segmencie Enterprise. Niniejszy artykuł poświęcony jest rozwiązaniom proponowanym przez firmę Juniper Networks, zawarte w nim informacje mają przybliżyć przełączniki, które obecnie firma Juniper Networks posiada w swoim portfolio. Przełączniki serii EX stanowią pełną gamę urządzeń sieciowych począwszy od najprostszych (niemodularnych), pozycjonowanych jako urządzenia pracujące w drugiej warstwie modelu OSI, a skończywszy na wielofunkcyjnych (modularnych) wspierających w pełni mechanizmy warstwy trzeciej modelu OSI. Silną stroną wszystkich rozwiązań sieciowych firmy Juniper Networks (w szczególności R&S) jest modularny i bardzo wydajny system operacyjny JunOS. Cała rodzina przełączników EX składa się z następujących modeli: 22 EX2200 Przełączniki EX2200 to idealne rozwiązanie na potrzeby stworzenia warstwy dostępowej. EX2200 to typowy przełącznik działający w drugiej warstwie modelu OSI, lecz także wspierający podstawowe mechanizmy warstwy trzeciej, jak protokół RIP czy statyczne trasy routingu. Do wyboru mamy 4 modele. •EX2200-24T 24 x 10/100/1000BASE-T i 4 x SFP GbE Uplink •EX2200-24P 24 x 10/100/1000BASE-T (PoE) i 4 x SFP GbE Uplink Integrujemy przyszłość® •EX2200-48T 48 x 10/100/1000BASE-T i 4 x SFP GbE Uplink •EX2200-48P 48 x 10/100/1000BASE-T (PoE) i 4 x SFP GbE Uplink EX2200 to urządzenie o wysokości 1U i wydajności rzędu 56 Gbps dla modeli 24 portowych i 104 Gbps dla modeli 48 portowych. Mechanizmy przełączania ramek Ethernet (pełną wydajnością wire Speed w trybie Store-and-Forward) są w stanie osiągnąć wydajność na poziomie 42 Mpps (24 portowe) i 77,5 Mpps (48 portowe). Wszystkie modele EX2200 są wyposażone w specjalistyczne układy scalone (ASIC) Numer: IV/2010 (113) authentication bypass access, dynamic ACL based on RADIUS attributes, VoIP VLAN) • Obsługa do 1500 list dostępu realizowane sprzętowo • ACL L2-L4 Rys. 1. EX2200 dedykowane dla modułu przełączającego (PFE), dzięki czemu są w stanie osiągnąć powyższe wydajności nawet przy wysokim obciążeniu ruchem. Przełączniki wyposażone w porty „PoE” posiadają łączny budżet mocy 405 W co umożliwia zasilanie urzvdzeń w standardzie 802.3af Class 3 (15,4 W na port) oraz w standardzie 802.3at PoE+ (30 W na port) . System zasilania stanowią wewnętrzne zasilacze 100W dla urządzeń „nie-PoE” oraz 550W dla urządzeń „PoE”. Port USB zapewnia w łatwy sposób wgranie lub uruchomienie nowego systemu operacyjnego JunOS. Parametry: QoS • QoS warstwy 2 OSI • QoS warstwy 3 OSI • Sprzętowe wsparcie dla 8 kolejek per port • 802.1p, DSCP/IP (markowanie) • Klasyfikacja na podstawie: interfejsu, MAC adresu, znacznika Ethertype, 802.1p, VLAN, IP adresu, numeru portu TCP/UDP • Przypisywanie polityki dla ruchu wejściowego: 1 rate 2 color Urządzenia obsługują moduły światłowodowe typu SFP (moduł typu LC), konektory światłowodowe gigabitowe umożliwiające łączenie multimodów (SX) i singlemodów (LX, LH/LZ). Poniżej kilka parametrów technicznych rodziny EX2200. Parametry: L2 • Obsługa maksymalnie 8000 adresów MAC • Obsługa ramek jumbo (9216 bytes) • Obsługa 1024 VLANów • Obsługa Voice VLANów • Przypisywanie VLANów na podstawie portu i adresu MAC • Obsługa RVI (Routed VLAN interface) Parametry: Bezpieczeństwo • Limitowanie ilości obsługiwanych adresów MAC • Port Security • DAI • Proxy ARP • DHCP snooping • IP source guard • Pełne wsparcie dla 802.1X (port-based, multipli supplicant, VLAN assignment, Rys. 2. EX2500 EX2500 Przełącznik EX2500 to propozycja wysokowydajnego urządzenia stosowanego najczęściej w centrach danych (architektura Top Of the Rack). Jednostka o wysokości 1U wyposażona jest w redundantny system wewnętrznych zasilaczy oraz wiatraków zapewniających wysoką nieza- wodność. Ciekawym rozwiązaniem chłodzenia jest system umożliwiający przelot powietrza (chłodzenie) na dwa sposoby: „tył - przód” i „przód - tył”. Wśród przełączników EX2500 dostępne są dwa modele: •EX2500-24F-BF 24 x 10GbE (SPF+) – Back-to-Front •EX2500-24F-FB 24 x 10GbE (SPF+) – Front-to-Back Oprócz elementów niezawodności na poziomie sprzętowym EX2500 stanowi idealną propozycję dla wymagających centrów danych „wrażliwych” na zbyt duże opóźnienia w transmisji. EX2500 jest w stanie osiągnąć wydajność rzędu 480Gb (FulDuplex) przy zachowaniu minimalnego czasu opóźnienia (około 700 nanosekund). Poniżej kilka parametrów technicznych rodziny EX2500. Parametry: L2 • Obsługa 1024 VLANów (Zakres VLAN ID: 4096) • Obsługa VLAN tagging (IEEE 802.1q) • Przypisywanie VLANów na podstawie portu • Obsługa Private VLAN Edg • Obsługa LACP (IEEE 802.3ad) • Wsparcie dla STP, MSTP, RSPT, PVRST+ Parametry: Zarządzanie i Usługi • Obsługa RADIUSa i TACACS+ • Zarządzanie typu Out-of-Band (dedykowany port Serial i 10/100/1000Base-T) • SSHv2 Rys. 3. Sposób chłodzenia przełączników EX2500 Biuletyn Informacyjny SOLIDEX® 23 ROZWIĄZANIA • SNMPv1/2c/3 • RMON • NTP • Sensor temperatury Parametry: QoS • Wsparcie sprzętowe dla 8 kolejek per port • IEEE 802.1p (priorytetyzacja kolejek) • Markowanie DSCP na podstawie parametru PHB (per-hop behavior) Urządzenia obsługują moduły światłowodowe typu SFP+konektory światłowodowe umożliwiające łączenie linków światłowodowych do 10km (styk LC, 1310nm, singlemode, LR), do 300metrów (styk LC, 850nm, 50µm, MM, SR) do 33metrów (styk LC, 850nm, 62.5µm, MM, SR). Dodatkowo istnieje możliwość podłączenia EX2500 bezpośrednio do serwerów za pomocą specjalnych kabli (Twinax) – 1m, 3m, 5m i 7m. EX3200 Przedstawiając platformę EX3200 skupiamy się nadal na warstwie dostępowej, lecz w przeciwieństwie do EX2200 to już w pełni przełącznik L2 i L3 z portami 10Gb (Uplink). Szukając kolejnych różnic na pewno trzeba by wskazać panel LCD, Rys. 5. Przykładowe zastosowanie przełączników EX3200 w systemie UAC silne wsparcie dla wszelakich mechanizmów bezpieczeństwa: • Pełna integracja z systemem Juniper Unifide Access Control (UAC) --802.1X dostęp z poziomu portu --Wymuszanie polityk dostępu L2-L4 --Autentykacja użytkownika lokalnie lub poprzez zewnętrzną bazę użytkowników • Wymuszanie polityk QoS na portach • „Port security” --DHCP snooping --DAI --Ograniczenie adresów MAC (Man-in-the-middle, DoS) Ciekawą funkcjonalnością zaimplementowaną w EX3200 są profile konfigurowane per port. Mamy tutaj do wykorzystania do sześciu prekonfigurowalnych profili – default, 24 Rodzina EX3200 składa się z następujących modeli: •EX3200-24T 24 x 10/100/1000Base-T (8xPoE) + 4 x 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) •EX3200-24P 24 x 10/100/1000Base-T (24xPoE) + 4 x 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) •EX3200-48T 48 x 10/100/1000Base-T (8xPoE) + 4 x 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) •EX3200-48P 48 x 10/100/1000Base-T (48xPoE) + 4 x 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) EX3200 to także platforma 1U, która posiada wydajność rzędu 88Gbps (24P/24T), 136Gbps (48T/48P) . Przepustowość dla przetwarzanego ruchu L2 osiąga wydajność 65Mpps (24T/24P) i 101Mpps (48T/48P) oczywiście wire speed. Poniżej kilka parametrów technicznych dla rodziny EX3200. Rys. 4. EX3200 który daje możliwość diagnozowania podstawowych parametrów urządzenia bez konieczności terminowania się przez konsolę. Dla tej linii przełączników Juniper zaimplementował oprócz modułu PFE moduł Routing Engine (RE), dobrze znany z routerów, odpowiadający za poprawne działanie Control Plane (obsługa routingu L3). Mocną stroną tej platformy jest także urządzenia (np.: PC) podłączone do sieci Ethernet i przypisywać je do odpowiednich VLANów. desktop, desktop plus IP phone, WLAN Access point, routed uplink i L2 uplink. Każdy profil tworzy grupę portów (fizycznych), dla których skonfigurowano odpowiednie polityki bezpieczeństwa lub QoS. Modele EX3200 w łatwy sposób integrują się w sieci LAN dzięki protokołowi LLDP-MED potrafią automatycznie wykrywać Integrujemy przyszłość® Parametry: L2 • Obsługa maksymalnie 24000 adresów MAC • Obsługa ramek JUMBO (9216 bytes) • Obsługa 4096 VLANów • Obsługa Voice VLANów • Przypisywanie VLANów na podstawie portu i adresu MAC • GVRP Numer: IV/2010 (113) • Obsługa RVI (Routed VLAN interface) • Obsługa VLAN tagging (IEEE 802.1q) • Wsparcie dla STP, MSTP, RSPT • Wsparcie dla 802.1X (dostęp na poziomie portu) • Obsługa 253 instancji VST Parametry: L3 (IPv4) • Obsługa maksymalnie 16000 wpisów ARP • Sprzętowe wsparcie dla maksymalnie 16000 wpisów tras routingu (dla unicast IPv4) • Sprzętowe wsparcie dla maksymalnie 8000 wpisów tras routingu (dla multicast IPv4) • Obsługa dynamicznych protokołów routingu (RIPv1/v2, IS-IS, OSPF, BGP) • Obsługa statycznego routingu • Wsparcie dla protokołu VRRP • Wsparcie dla IGMPv1/v2/v3 • Wsparcie dla mechanizmu IGMP snooping • Obsługa PIM-SM Parametry: L3 (IPv6) • Sprzętowe wsparcie dla maksymalnie 4000 wpisów tras routingu (dla unicast IPv6) • Sprzętowe wsparcie dla maksymalnie 2000 wpisów tras routingu (dla multicast IPv6) • Obsługa dynamicznych protokołów routingu (RIPng, OSPFv3) Parametry: Bezpieczeństwo • Limitowanie ilości obsługiwanych adresów MAC • Port Security • DAI • Proxy ARP • DHCP snooping • IP source guard • Captive Portal • Pełne wsparcie dla 802.1X (port-based, multipli supplicant, VLAN assignment, authentication bypass access, dynamic ACL based on RADIUS attributes, VoIP VLAN, EAP – MD5, TLS, TTLS, PEAP)) • Obsługa do 7000 list dostępu realizowane sprzętowo • Wsparcie dla list dostępu na podstawie parametru port (PACL) • Wsparcie dla list dostępu na podstawie VLAN port (VACL) • Wsparcie dla list dostępu na podstawie parametru routingu (RACL) • ACL L2-L4 • Możliwość edytowania list dostępu • Autentykacja stacji na podstawie adresu 1GbE dla multimodów (SX) oraz singlemodów (LX i LH/ZX), konektory światłowodowe XFP do obsługi portów 10GbE dla multimodów (SR) oraz singlemodów (LR, ER i ZR), konektory typu dual-mode SFP+ do obsługi portów 1GbE oraz 10GbE dla multimodów (SR, USR i LRM) oraz singlemodów (LR, ER). Wszystkie konektory mają złączkę typu LC. Rozwiązania firmy Juniper Networks w dziedzinie „switchingu” stanowią ciekawą propozycję dla małych jak i dużych firm (szczególnie z rynku Enterprise). MAC (RADIUS) • Zabezpieczenie Control Plane przed atakami typu Dos Parametry: QoS • QoS warstwy 2 OSI • QoS warstwy 3 OSI • Sprzętowe wsparcie dla 8 kolejek per port • 802.1p, DSCP/IP (markowanie) • Klasyfikacja na podstawie: interfejsu, adresu MAC, znacznika Ethertype, 802.1p, VLAN, IP adresu, numeru portu TCP/UDP EX4200 Platformy EX4200 to urządzenia z przeznaczeniem do zastosowania w większych sieciach LAN jako przełączniki agregacyjno-szkieletowe. Posiadają pełne wsparcie dla funkcjonalności warstwy drugiej i trzeciej modelu OSI. Podobnie jak EX3200 są wyposażone w redundantne systemy zasilania o wydajności odpowiednio 320W, 600W i 960W (AC), a także 190W (DC) oraz chłodzenia (możliwość wymiany „na gorąco”). Warto zaznaczyć, Rys. 6. EX4200 • Przypisywanie polityki dla ruchu wejściowego: 1 rate 2 color • Metody planowania (egress) – Strict Priority (SP), Shaped Deficit Weighted Round-Robin (SDWRR) EX3200 są w stanie obsługiwać moduły światłowodowe typu SFP/XFP/SFP, konektory światłowodowe SFP do obsługi portów iż EX4200 jest wyposażony w system redundantnego chłodzenia (3 x wiatraki). Identycznie jak EX3200, EX4200 jest wyposażony w przedni panel LCD ułatwiający diagnostykę podstawowych parametrów urządzenia. Jedną z najważniejszych cech charakterystycznych dla tej platformy jest możliwość stworzenia wirtualnego przełącznika. Technologia wirtualnego Biuletyn Informacyjny SOLIDEX® 25 ROZWIĄZANIA Poniżej przedstawiono kilka parametrów technicznych dla rodziny EX4200: Rys. 7. Koncepcja zastosowania technologii Virtual Chassis •EX4200-24T 24 x 10/100/1000Base-T (8xPoE) + 4 x 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) •EX4200-24P 24 x 10/100/1000Base-T (24xPoE) + 4 x 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) Wirtualna jednostka EX4200 może być stworzona maksymalnie z 10 przełącz- •EX4200-48T 48 x 10/100/1000Base-T (8xPoE) + 4 x ników EX4200,która będzie wyposażo1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) na w 480 portów 10/100/1000Base-T lub 240 portów 100/1000Base-X plus •EX4200-48P 48 x 10/100/1000Base-T (48xPoE) + 4 x 40 portów 1GbE lub 20 portów 10GbE 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) typu uplink. W ramach wirtualnej jednostki można mieszać różne mo- •EX4200-24F 24 x 10/100/1000Base-X (SFP) + 4 x dele EX4200. Wydajność wirtualnej 1GbE (SFP) lub 2 x 10 GbE (XFP/SFP+) jednostki wynosi 128Gbps per system (współdzielony backplane). Niewątpli- •EX4200-24T-DC (190W DC) 24 x 10/100/1000Base-T + 4 x 1GbE wie wielką zaletą tej technologii jest (SFP) lub 2 x 10 GbE (XFP/SFP+) współdzielenie zasobów obliczeniowych pomiędzy członkami wirtualnej •EX4200-48T-DC (190W DC) 48 x 10/100/1000Base-T + 4 x 1GbE jednostki. Dodatkowo zarządzanie (SFP) lub 2 x 10 GbE (XFP/SFP+) sprowadza się do jednego adresu IP per • EX420024F-DC (190W DC) 24 x 10/100/1000 Base-X (SFP) + 4 x 1GbE (SFP) lub 2 x 10 GbE (XFP/ SFP+) przełącznika (Virtual Chassis) to połączenie przełączników EX4200 w jeden „stos” za pomocą dedykowanego portu lub jednego z portu „uplinkowego”. EX4200 to platforma 1Uo wydajności rzędu 88Gbps (24P/24T/24F), 136Gbps (48T/48P). Wydajność zagregowanych (Virtuall Chassis) przełączników szacuje się na 216Gbps (24P/24T/24F) i 264Gbps (48T/48P). Przepustowość dla przetwarzanego ruchu L2 osiąga wydajność 65Mpps (24T/24P/24F) i 101Mpps (48T/48P) oczywiście wire speed. Rys. 8. Przykładowy mechanizm niezawodności Virtual Chassis GRES system. Zaimplementowany mechanizm GRES (Graceful Routing Engine Switchover) oraz redundantny moduł RE zapewnia wysoką niezawodność całej jednostce. Rodzina EX4200 składa się z następujących modeli: 26 Integrujemy przyszłość® Parametr: L2 • Obsługa maksymalnie 24000 adresów MAC • Obsługa ramek JUMBO (9216 bytes) • Obsługa 4096 VLANów • Obsługa Voice VLANów • Przypisywanie VLANów na podstawie portu i adresu MAC • GVRP • Obsługa RVI (Routed VLAN interface) • Obsługa VLAN tagging (IEEE 802.1q) • Wsparcie dla STP, MSTP, RSPT • Wsparcie dla 802.1X (dostęp na poziomie portu) • Obsługa 253 instancji VST • Wsparcie dla standardu IEEE 802.3ad, IEEE 802.3ah, IEEE 802.1p, IEEE 802.3x Parametr: L3 (IPv4) • Obsługa maksymalnie 16000 wpisów ARP • Sprzętowe wsparcie dla maksymalnie 16000 wpisów tras routingu (dla unicast IPv4) • Sprzętowe wsparcie dla maksymalnie 8000 wpisów tras routingu (dla multicast IPv4) • Obsługa dynamicznych protokołów routingu (RIPv1/v2, IS-IS, OSPF, BGP) • Obsługa statycznego routingu • Wsparcie dla protokołu VRRP • Wsparcie dla IGMPv1/v2/v3 • Wsparcie dla mechanizmu IGMP snooping • Obsługa PIM-SM Parametry: L3 (IPv6) • Sprzętowe wsparcie dla maksymalnie 4000 wpisów tras routingu (dla unicast IPv6) • Sprzętowe wsparcie dla maksymalnie 2000 wpisów tras routingu (dla multicast IPv6) • Obsługa dynamicznych protokołów routingu (RIPng, OSPFv3, BGP4+, PIM, MLD, MLDv2) Parametry: Bezpieczeństwo • Limitowanie ilości obsługiwanych adresów MAC • Port Security • DAI • Proxy ARP Numer: IV/2010 (113) • DHCP snooping • IP source guard • Captive Portal • Pełne wsparcie dla 802.1X (port-based, multipli supplicant, VLAN assignment, authentication bypass access, dynamic ACL based on RADIUS attributes, VoIP VLAN, EAP – MD5, TLS, TTLS, PEAP) • Obsługa do 7000 list dostępu realizowane sprzętowo • Wsparcie dla list dostępu na podstawie parametru port (PACL) • Wsparcie dla list dostępu na podstawie VLAN port (VACL) • Wsparcie dla list dostępu na podstawie parametru routingu (RACL) • ACL L2-L4 • Możliwość edytowania list dostępu • Autentykacja na podstawie MAC adresu (RADIUS) • Zabezpieczenie Control Plane przed atakami typu Dos Parametry: QoS • QoS warstwy 2 OSI • QoS warstwy 3 OSI • Sprzętowe wsparcie dla 8 kolejek • 802.1p, DSCP/IP (markowanie) • Klasyfikacja na podstawie: interfejsu, adresu MAC, znacznika Ethertype, 802.1p, VLAN, IP adresu, numeru portu TCP/UDP • Przypisywanie polityki dla ruchu wejściowego: 1 rate 2 color • Metody planowania (egress) – Strict Priority (SP), Shaped Deficit Weighted Round-Robin (SDWRR) EX4200 są w stanie obsługiwać moduły światłowodowe typu SFP/XFP/SFP+. Konektory światłowodowe SFP służą do obsługi portów 1GbE dla multimodów (SX) oraz singlemodów (LX i LH/ZX). Konektory światłowodowe XFP służą do obsługi portów 10GbE dla multimodów (SR) oraz singlemodów (LR, ER i ZR). Konektory typu dual-mode SFP+ służą do obsługi portów 1GbE oraz 10GbE dla multimodów (SR, USR i LRM) oraz singlemodów (LR, ER). Wszystkie konektory mają złączkę typu LC. EX4500 Ta z pozoru niewielka platforma (jedyne 2U) chowa w sobie ogromny potencjał wydajnościowy. EX4500 pozycjonowany jest jako urządzenie agregujące, a w niewielkich sieciach jako węzeł centralny. Rys. 9. EX4500 Znajdzie zastosowanie w Centrach Danych oraz sieciach kampusowych. Na pierwszy rzut oka widać zastosowanie „standardowego” monitora LCD na przednim panelu, natomiast otwory świadczą o tym, że przepływ powietrza odbywa się przez urządzenie na zasadzie „przód-tył” jak i „tył-przód”. Do tego EX4500 jest wyposażony w redundantny system zasilaczy (wymienianych na gorąco) oraz redundantny system chłodzenia (wiatraków). Jeśli chodzi o znaki szczególne to na pewno trzeba wspomnieć o 40 „stałych” portach pracujących w standardzie 1GbE (SFP) jak i 10GbE (SFP+) plus 8 portów (2 x 4) pracujących w standardzie 10GbE (SFP+) jako porty UPLINK. Do zarządzania EX4500 posłuży port 10/100/1000Base-T. Tak gęsto „upakowane” porty 10GbE umożliwiają osiągnąć pełną wydajność na poziomie 960Gbps (full duplex) oraz przepustowość rzędu 714Mpps. EX4500 jest w stanie obsłużyć ruch rzędu 14,88Mpps na każdym z 48 portów niezależnie od wielkości pakietu. Jego specjalna konstrukcja umożliwia energooszczędne działanie (mniej niż 8W na port nie zależnie od obciążenia). Posiada pełne wsparcie dla protokołów warstwy drugiej jak i trzeciej modelu OSI. Podobnie jak EX2500 oferuje dwa różne podejścia chłodzenia: „tył - przód” i „przód - tył”. Dodatkowym atutem jest wsparcie dla standardu Data Center Bridge (DCE) oraz Converged Enhanced Ethernet (CEE) co umożliwia działanie technologii Fiber Chanell over Ethernet (FCoE). Wyżej wymienione cechy sprawiają, iż EX4500 jest idealnym rozwiązaniem do Centrów Danych wykorzystujących 10GbE jako dostęp lub też agregację. EX4500 bez problemu znajdzie zastosowanie w „sieciach kampusowych”, gdzie wymagana jest wysoka wydajność na poziomie warstwy drugiej jak i trzeciej modelu OSI. Pełne wsparcie dla OSPF oraz RIP, a także zaawansowany QoS podnosi wartość przełącznika EX4500. Rys. 10. Przykładowe zastosowanie technologii Virtual Chassis w „sieciach kampusowych” Biuletyn Informacyjny SOLIDEX® 27 ROZWIĄZANIA Rodzina EX4500 składa się z następujących modeli: •EX4500-40F-FB-C 40 x 1GbE/10GbE (SFP/SFP+) + dwa moduły na porty UPLINK system przepływu powietrza „przód-tył” •EX4500-40F-BF-C 40 x 1GbE/10GbE (SFP/SFP+) + dwa moduły na porty UPLINK system przepływu powietrza „tył-przód” Parametr\Platforma Wysokość (RU) Ilość modułów I/O Wydajność „bakcplane” Przepustowość Wydajność kart liniowych Gęstość portów per system Chassis System zasilania System „chłodzenia” Wydajność „matrycy” Moduł „rutujący” (SRE) Mechanizmy zapewniające wysoką dostępność Oba modele można doposażyć w zasilacze EX4500-PWR1-AC-FB (1200W z systemem umożliwiającym przepływ powietrza „przód-tył”) oraz EX4500-PWR1-AC-BF (1200W z systemem umożliwiającym przepływ powietrza „tył-przód”). Opcjonalnie do wykorzystania pozostaje jeszcze moduł UPLINK wyposażony w 4 porty 10GbE. W tabeli przedstawiono kilka parametrów technicznych dla rodziny EX4500: EX8208 EX8216 14U 21U 8 16 6,2 Tbps (full duplex) 12,4 Tbps (full duplex) 120Mpps (per karta liniowa), 960Mpps (per system) 120Mpps (per karta liniowa), 1.92 Bpps (per system) EX8200-48T: 96Gbps; EX8200-48F: 96Gbps; EX8200-8XS: 160Gbps 1152 x 1GbE; 960 x 10GbE 1536 x 1GbE; 1280 x 10GbE Dedykowana: data, control i management plane 10000W (max) - 6 współdzielonych zasilaczy (Hot-Swappable) 15000W (max) - 6 współdzielonych zasilaczy (Hot-Swappable) Redundantne (wymienialne) wiatraki, przelot powietrza („z boku na bok”) 320Gbps (full duplex) per slot; redundancja 2+1 (moduł SRE oraz karty SF) 320Gbps (full duplex) per slot; osiem aktywnych matryc dla zachowania redundancji N+1 redundancja 1+1; Master i Backup SRE; 2 x GB RAM i 2 x GB FlashMemo redundancja 1+1; Master i Backup RE; 2 x GB RAM i 4 x GB FlashMemo Control plane oraz Forwarding plane odseparowane od siebie (logicznie); Wsparcie dla mechanizmu GRES; Właściwości warstwy 2 (niektóre) Wsparcie dla ramek typu Jumbo (9216 bajtów); 4096 VLAN; wsparcie dla protokołu GVRP; wsparcie dla IEEE 802.3ad, 802.1d, 802.1w, 802.1s; wsparcie dla VSTP oraz RTG Właściwości warstwy 3 (niektóre) Statyczny routing, wsparcie dla RIPv1/v2 oraz OSPFv1/v2; wsparcie dla protokołu VRRP; wsparcie dla Wirtualnych tras routingu; wsparcie dla BGP, IS-IS oraz IPv6 (licencja Advanced Feature) Filtry bezpieczeństwa (firewall) QoS Zarządzanie Listy dostępu (ACL) na poziomie warstwy L2-L4 dla ruchu „wchodzącego” i „wychodzącego”; wsparcie dla PACL, VACL, RACL; zabezpieczenie przed atakami typu DoS 2000 policery per system; 8 kolejek per port dla ruchu wchodzącego; Wsparcie dla mechanizmu WRED, SDWRR; „wieloparametrowy” klasyfikator (L2-L4) CLI; Junos Script; NSM; SNMPv1/v2/v3; RADIUS; TACACS+; Tab. 1. Porównanie platform EX8208 i EX8216 28 Parametr: L2 • Obsługa maksymalnie 24000 adresów MAC • Obsługa ramek JUMBO (9216 bytes) • Obsługa 4096 VLANów • Obsługa Voice VLANów • Przypisywanie VLANów na podstawie portu i adresu MAC • GVRP • Obsługa RVI (Routed VLAN interface) • Obsługa VLAN tagging (IEEE 802.1q) • Wsparcie dla STP, MSTP, RSPT Integrujemy przyszłość® Numer: IV/2010 (113) • Wsparcie dla 802.1X (dostęp na poziomie portu) • Obsługa VSTP • Wsparcie dla standardu IEEE 802.3ad, IEEE 802.3ah, IEEE 802.1p, IEEE 802.3x Parametr: L3 (IPv4) • Obsługa maksymalnie 16000 wpisów ARP • Sprzętowe wsparcie dla maksymalnie 8000 wpisów tras routingu (dla unicast IPv4) • Sprzętowe wsparcie dla maksymalnie 4000 wpisów tras routingu (dla multicast IPv4) • Obsługa dynamicznych protokołów routingu (RIPv1/v2, OSPF) • Obsługa statycznego routingu • Wsparcie dla protokołu VRRP oraz BFD • Wsparcie dla IGMPv1/v2/v3 • Wsparcie dla MSDP • Wsparcie dla mechanizmu IGMP snooping • Obsługa PIM-SM oraz PIM-SSM Parametr: QoS • QoS warstwy 2 OSI • QoS warstwy 3 OSI • Sprzętowe wsparcie dla 8 kolejek • 802.1p, DSCP/IP (markowanie) • Klasyfikacja L2-L4 na podstawie: interfejsu, adresu MAC , znacznika Ethertype, 802.1p, VLAN, IP adresu, numeru portu TCP/UDP • Przypisywanie polityki dla ruchu wejściowego: 1 rate 2 color • Przypisywanie polityki („wygładzanie” ruchu) wyjściowego: per-kolejka, per-port • Metody planowania (egress) – Strict Priority (SP), Shaped Deficit Weighted Round-Robin (SDWRR) EX4500 są w stanie obsługiwać moduły światłowodowe typu SFP/SFP+,konektory światłowodowe SFP do obsługi portów 1GbE dla singlemodów (LX) oraz konektor dla połączeń „miedzianych” 1000Base-T, konektory światłowodowe SFP+ do obsługi portów 10GbE dla multimodów (SR, USR), singlemodów (LR) oraz konektor dla połączeń „miedzianych” 10GbE (direct-attached). Wszystkie konektory mają złączkę typu LC. EX8200 Platforma EX8200, najbardziej wydajna jednostka EX z całej serii. to modularne przełączniki dostępne w dwóch modelach EX8208 (ośmio-slotowe) i EX8216 (szesnasto-slotowe). Urządzenia pozycjonowane jako węzły szkieletowe lub agregacyjne w Centrach Danych jak i dużych sieciach LAN. Obie platformy zostały porównane w tabeli nr 1. Rodzina EX8200 składa się z następujących modeli: •EX8208-BASE-AC „podstawowa jednostka” (8 slotów, pasywny backplane, 1 x FAN Tray, 1 x RE, 1 x SF, 2 x 2000W-AC) --EX8208-SRE320 (dodatkowy moduł Switch i Routing, redundantny) --EX8216-FAN-S (dodatkowy wiatrak) --EX8216-REDUND-AC (redundantny system 8216) --EX8216-REDUND-AC2 (redundantny system 8216 2kW) Do każdej podstawowej jednostki możliwe jest doposażenie kart liniowych: • EX8200-48T (48 x 10/100/1000Base-T, RJ45) • EX8200-48F (48 x 100FX/1000Base-X, SFP) • EX8200-8XS (8 x 10GbE, SFP+) Licencjonowanie Platformy EX3200, EX4200 oraz EX8200 to urządzenia domyślnie wyposażone w zaawansowane funkcjonalności L2 oraz podstawowe funkcjonalności L3. Istnieje możliwość Ciekawie rozwijająca się platforma EX, a w szczególności modele EX2500, EX4500 lub EX8200 w niedługim czasie mogą stać się flagowym produktem firmy Juniper Networks. W sposób znaczący powiększyło się portfolio rozwiązań Juniper Networks i możemy być pewni, że już niedługo ten potentat na pewno nas pozytywnie zaskoczy kolejnymi nowinkami technologicznymi. --EX8208-SF320-S (dodatkowa matryca „doposażenia” przełączników w zaawansowane funkcjonalności za poprzełączająca) --EX8208-CHAS-S (dodatkowe chassis mocą licencji typu Advanced Feature (AFL). Licencje te umożliwiają wykoz backplane) rzystanie funkcjonalności takich jak --EX8208-FAN-S (dodatkowy wiatrak) --EX8208-REDUND-AC (redundantny BGP, IS-IS, MPLS czy IPv6. system 8208) •EX8216-BASE-AC „podstawowa jednostka” (16 slotów, pasywny midplane, 2 x FAN Tray, 1 x RE, 8 x SF, 2 x 3000W-AC --EX8216-SRE320 (dodatkowy moduł Switch i Routing, redundantny) --EX8216-SF320-S (dodatkowa matryca przełączająca) --EX8216-CHAS-S (dodatkowe Rys. 11. Platforma EX8208 i EX8216 chassis z backplane) Biuletyn Informacyjny SOLIDEX® 29 ROZWIĄZANIA Podsumowanie Rozwiązania firmy Juniper Networks w dziedzinie „switchingu” stanowią ciekawą propozycję dla małych jak i dużych firm (szczególnie z rynku Enterprise). Wysoko wydajne i funkcjonalne platformy na pewno mogą konkurować z rozwiązaniami firm trzecich. Prawie wszystkie przełączniki (oprócz EX2500) wyposażone są w system operacyjny JunOS, który wśród fachowców szczyci się wysoką stabilnością i wydajnością. Ciekawie rozwijająca się platforma EX, a w szczególności modele EX2500, EX4500 lub EX8200 w niedługim czasie mogą stać się flagowym produktem firmy Juniper Networks. W sposób znaczący powiększyło się portfolio rozwiązań Juniper Networks i możemy być pewni, że już niedługo ten potentat na pewno nas pozytywnie zaskoczy kolejnymi nowinkami technologicznymi. J.Ś. Sztuka bezpiecznej integracji www.SOLIDEX.com.pl 30 Integrujemy przyszłość® Program SOLIDEX Autoryzowane szkolenia Cisco Systems ICND1 Interconnecting Cisco Network Devices Part 1 ICND2 Interconnecting Cisco Network Devices Part 2 IINS Implementing Cisco IOS Network Security SWITCH Implementing Cisco IP Switched Networks TSHOOT ROUTE Troubleshooting and Maintaining Cisco IP Networks Implementing Cisco IP Routing BGP MPLS Implementing Cisco MPLS SNRS Securing Networks with Cisco Routers and Switches v3.0 SNAF Securing Networks with Cisco ASA Fundamentals SNAA Securing Networks with Cisco ASA Advanced CWLMS Implementing CiscoWorks LMS CIPT P1 CIPT P2 UCM Infolinia: 0800 49 55 82 Kraków Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX, Złote Tarasy - Lumen, ul. Złota 59 Integrujemy przyszłość® www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zachęcamy wszystkich dotychczasowych czytelników naszego kwartalnika i tych którzy zechcą się do nich przyłączyć o podjęcie prenumeraty. Na łamach naszego magazynu prezentujemy najciekawsze artykuły które ukazały się w ostatnich wydaniach INTEGRATORA ONLINE. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje sie na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświecony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233-4944. Nakład: 2500 egz. Redakcja: Zespół Komunikacji Marketingowej SOLIDEX S.A. ul. Lea 124, 30-133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e-mail: [email protected] www.integrator.SOLIDEX.com.pl
Podobne dokumenty
Integrator Nr III/2013 (124)
większych sieci z wieloma lokalizacjami funkcjonuje jako „Collector”. NT-1400 posiada port konsolowy DB-9 (9600/8n1, Xon/Xoff), cztery interfejsy sieciowe 10/100/1000 Base-T Ethernet oraz jeden int...
Bardziej szczegółowo