Integrator nr II/2014 (127)
Transkrypt
Integrator nr II/2014 (127)
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® Nr II/2014 (127) Po kolejnej wiosennej akcji SOLIDEXu „PORZĄDEK w SIECI” czytaj str. 4 W numerze między innymi: WYDARZENIA: Nowe szkolenia Cisco w ofercie SOLIDEX NOWOŚCI: Nexus 9000 - rozwiązanie dla nowych generacji data center TECHNOLOGIE: Cisco Invicta - IOPS bez granic ROZWIĄZANIA: F5 Vipron - platforma rozwiązań Enterprise ISSN 1233–4944 www.integrator.SOLIDEX.com.pl Gold Certified Partner Cisco Learning Specialized Partner Platinum Partner Collaborative Certified Support Provider Platinum Partner J-Partner Elite Gold Partner Elite Partner Numer: II/2014 (127) Szanowni Państwo, Przedstawiamy Państwu kolejny numer naszego biuletynu informacyjnego INTEGRATOR. Nasz kwartalnik redagowany przez Zespół SOLIDEX trafia nieprzerwanie od dwudziestu już lat do grupy kilku tysięcy profesjonalistów IT. Zachęcamy do przeczytania artykułu na temat trzeciej edycji akcji SOLIDEX „Porządek w Sieci” („Po kolejnej wiosennej akcji SOLIDEXu „PORZĄDEK w SIECI” – str. 4) oraz wspomnieniowej już relacji z cyklu wydarzeń inspirowanych wejściem Polski do Unii Europejskiej („Droga do Europy – 10 lat temu” – str. 6 ). Szczególnej uwadze polecamy artykuł poświęcony nowym kursom w programie autoryzowanych szkoleń Cisco („Nowe szkolenia Cisco w ofercie SOLIDEX” – str. 8 ). Bieżący numer INTEGRATORa prezentuje artykuły poświęcone nowościom z oferty partnerów technologicznych SOLIDEX takich jak Cisco („Nexus 9000 – stworzony dla nowej generacji data center” – str. 11), Vmware („Vmware – nowa oferta produktowa” – str. 15), Check Point (Check Point – nowy wymiar bezpieczeństwa – str. 23). W dziale technologie publikujemy teksty dotyczące najbardziej ekologicznego przełącznika Cisco 2960-X („Cisco 2960-X: najbardziej ekologiczny przełącznik – str. 27) oraz efektywnego zarządzania zmianami, które oferuje produkt firmy Tufin („Tufin SecureChange – efektywne zarządzanie zmianami” – str. 32). Pozostałe artykuły to opis rozwiązań firm Cisco („Cisco 4451-X: router z rodziny Cisco ISR” – str. 46) oraz F5 („F5 Vipron – platforma rozwiązań Enterprise” – str. 51). Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się i tym razem z Państwa dużym zainteresowaniem. Życzymy przyjemnej lektury i polecamy zawsze SOLIDne usługi naszych EXpertów. Zespół SOLIDEX Spis treści WYDARZENIA 4 6 8 10 10 Po kolejnej wiosennej akcji SOLIDEXu „PORZĄDEK w SIECI”. Historia Pisana Internetem – Droga do Europy – 10 lat temu. Nowe szkolenia Cisco w ofercie SOLIDEX Małopolska Chmura Edukacyjna SOLIDEX wyróżniony tytułem Forti Lider 2014 w dwóch kategoriach NOWOŚCI 11 15 23 Nexus 9000 – rozwiązanie dla nowych generacji data center. VMware – nowa oferta produktowa. CheckPoint – innowacyjny wymiar bezpieczeństwa. TECHNOLOGIE 27 32 36 Cisco 2960–X: najbardziej ekologiczny przełącznik. Tufin SecureChange – efektywne zarządzanie zmianami. Cisco Invicta – IOPS bez granic. ROZWIĄZANIA 43 46 51 Rozwiązywanie problemów WiFi Networks. Cisco 4451-X: router z rodziny Cisco ISR. F5 Vipron – platforma rozwiązań Enterprise. Biuletyn Informacyjny SOLIDEX® WYDARZENIA Po kolejnej wiosennej akcji SOLIDEXu „PORZĄDEK w SIECI”. Tegorocznej wiosny po raz trzeci mieliśmy przyjemność zaprosić naszych klientów i sympatyków na kolejną z odsłon cyklicznych już spotkań pod nazwą „Porządek w Sieci”. Miło nam, że akcja ta cieszy się nieustannie Państwa zainteresowaniem. Wielu z uczestników doceniając profesjonalizm przygotowywanych sesji powraca do nas z każdą następną edycją. Przybywa również nowych osób chcących zaznajomić się z rozwiązaniami oferowanymi przez SOLIDEX. Wiosenną edycję „Porządek w Sieci” rozpoczęliśmy tradycyjnie od najdalej położonego oddziału – w Gdańska 1 kwietnia 2014 roku. Następnego dnia przenieśliśmy się z wykładami do naszej siedziby w poznańskim biurowcu Delta, by 3 kwietnia spotkać się z Państwem we Wrocławiu. Poza unikalną możliwością pozyskania wiedzy z zakresu tematów prezentowanych na sesjach, mieli Państwo również szansę na spotkanie i rozmowy z naszymi specjalistami z poszczególnych oddziałów. Po krótkiej przerwie, 8 kwietnia znów mogliśmy dzielić się wiedzą, tym razem z uczestnikami warszawskiego seminarium. Finał wiosennej akcji „Porządek w Sieci” zakończyliśmy oczywiście z Tęczowym Biurowcu w centrali w Krakowie. To właśnie spotkania w Krakowie i Warszawie cieszył się największą frekwencją i zainteresowaniem. 4 w zarządzaniu bezpieczeństwem. Szeroki zestaw funkcji, precyzja w określaniu zagrożenia oraz jedyne na rynku narzędzia administracyjne to jedynie kilka z zalet tego produktu. Patrząc całościowo JSA jest kompleksowym rozwiązaniem, z którym nasze • Juniper JSA (SIEM) – wykr y- zasoby mogą się czuć bezpiecznie. wa nie z ag r o ż e ń pr z y pomoc y • Infoblox NetMRI – metody zarząkorelacji zdarzeń Ewolucja i ciągłe zmiany zagrożeń dzania sieciami wielu dostawców wymuszają szybką reakcję na obser- C zę ścią wspólną dla wszystkich wowane zdarzenia. Iloś ć groma- sieci teleinformatycznych są usługi dzonych zdarzeń i parametrów sieciowe. Proces transmisji informacji identyfikujących stan sieci rośnie w takiej sieci jest mocno od nich uzależniony. Te usługi to IPAM, DHCP z dnia na dzień. P o w d r o ż e n i u n i e z b ę d n y c h i DNS – usługi kluczowe, bez których elementów bezpieczeństwa w infra- nie może istnieć sieć komputerowa strukturze sieciowej każda organizacja a wysoka dostępność kluczowych dowolnej wielkości, musi sprostać usług dla nich jest wręcz krytyczna. wyzwaniu zarządzania całością Zarządzanie infrastrukturą sieciową systemu. Prezentowana przez firmę złożoną z urządzeń sieciowych wielu Juniper platforma Secure Analytics producentów nie musi być skomplit o zdec ydowanie nowa jako ś ć kowana. Przy pomocy platformy Zakres przedstawionych w tej edycji tematów, którymi chcieliśmy Państwa zainteresować, to szeroko rozumiane bezpieczeństwo i zarządzanie siecią. Poszczególne prezentowane sesje dotyczyły następujących rozwiązań: Integrujemy przyszłość® Numer: II/2014 (127) podat no ś c i w tych sys t emach . Do niedawna sądzono, że systemy opierające się o mechanizmy sygnaturowe stanowią jedyną skuteczną ochronę. Później pojawiły się systemy dynamicznej aktualizacji i odpytywania o reputację usług zlokalizowanych w szeroko rozumianej chmurze. W dniu dzisiejszym takie podejście jest w wielu aspektach skuteczne, ale biorąc pod uwagę aktualny „rynek” zagrożeń nie gwarantuje on ochrony przed atakami 0-day. Jak wiele więc mechanizmów bezpieczeństwa musi zostać aktywowanych aby zapewnić skutec zną ochronę przez takimi atakami? Coraz częściej słyszymy o technologii typu sandbox, która ma stanowić rozwią zanie dużej części współczesnych problemów. Websense jako czołowy producent bezpieczeństwa nie pozostaje niezauważony na tym polu. Wraz z nową wersją swojej platformy TRITON dodał kolejny element analizy. • Cisco Prime – zarządzanie, monitoring oraz śledzenie zmian urządzeń w sieci Cisco Prime jest narzędziem, które może w znaczącym stopniu uprościć zar z ądzanie siec ią , zbudowaną NetMRI w tym samym czasie można w oparciu o urządzenia Cisco. Możlizarządzać konfiguracjami urządzeń wości tego produktu obejmują między wielu producentów, ich zgodnością innymi zarządzanie konfiguracjami ze standardami firmowymi w infra- oraz oprogramowaniem urządzeń, strukturze sieciowej. Dodatkowo monitorowanie historii zmian zarówno integracja NetMRI z rozwiązaniami konfiguracji oraz wyposażenia sprzęInfoblox DDI powodują, że wiedza towego urządzeń, śledzenie użytkowna temat sieci jest jeszcze bardziej przej- ników/stacji końcowych, wizualizację rzysta i dokładna. topologii sieciowej jak i samych urządzeń sieciowych. Wszystkie • Websense Triton – bezpieczeństwo t e c z ynno ś c i mo ż na wykona ć na styku z Internetem za pomocą rozbudowanego i bardzo Nieustający rozwój usług elektro- intuicyjnego interfejsu GUI, który staje nicznych pociągnął za sobą falę się nieodzownym elementem pracy z ag r o ż e ń , k t ór a wykor z ys t uje każdego administratora sieci. Każdy z przedstawionych tematów poszerzyliśmy tradycyjnie, o pokaz „na żywo” omawianych rozwiązań. Miło nam, że doceniają Państwo w ła śnie t ak i sposób uzupe ł niania teoretycznych wykładów, czego potwierdzenie znaleźliśmy w poz ytywnych koment ar z ach w ankietach wypełnianych przez Pa ństwa po wsz yst k ich z akoń czonych sesjach. Ze szczególną satysfakcją odnotowali ś my r ównie ż fak t , ż e 1 0 0 procent respondentów wypełniających ww. ankiety poleciłoby nasze seminarium innym. Serdecznie dziękujemy za zaufanie, którym obdarzają nas Państwo oraz za czas spędzony z nami na wiosennej akcji „Porządek w Sieci”. Mamy nadzieję, że zdobyta w czasie spotkań wiedza zaowocuje w Państwa pracy, a w razie jakichkolwiek pytań czy chęci pogłębienia któregoś z prezentowanych tematów, prosimy o kontakt z naszymi specjalistami, którzy z wielką przyjemnością przybliżą ich zakres. Gorąco zapraszamy do odwiedzenia naszej strony http://www.porzadek. solidex.com.pl, na której znajdują się relacje z wszystkich przeprowadzonych dotychczas akcji. Pomimo zbliżających się wakacji, intensyfikujemy nasze wysiłki nad kolejną edycją spotkań, by zakres tematyczny seminarium był dla Państwa interesujący. Już dziś zachęcamy do rezerwacji Państwa czasu, byśmy mogli razem spotkać się na jesiennej odsłonie „Porządek w Sieci 2014”. Biuletyn Informacyjny SOLIDEX® 5 WYDARZENIA – HISTORIA PISANA INTERNETEM Droga do Europy – 10 lat temu. Minęło 10 lat od chwili, kiedy SOLIDEX wraz ze swoimi Klientami celebrował wejście Polski do Unii Europejskiej cyklem wydarzeń pod wspólnym hasłem "Sztuka Integracji czyli Powrót do Europy w siedmiu odsłonach, w tanecznym rytmie, z Krakowa przez Warszawę...”. Wtedy to mieliśmy przyjemność organizować dla naszych Klientów i Partnerów symboliczną podróż integracyjną, której oprócz merytorycznych seminariów towarzyszył bogaty cykl imprez kulturalno-artystycznych. Na s ze s p otka n i a z a w a rte w siedmiu odsłonach, obejmowały również VII edycję konferencji pt. "Sztuka Bezpiecz nej Integracji”. Uczestnictwo w podróży gwarantowała rejestracja w serwisie otwartym n a potrzeby akcji oraz uzyskanie tzw. "Paszportu do Europy”. To od naszych Podróżnych z a l eż a ło n a k t ó r y m " p r z y s t a n k u” w s i ą d ą do naszego pociągu do Europy i na którym z niego wysiądą. Wracając pa mięcią do tamtych wydarzeń zachęcamy do zapoznania się z poniższym artykułem, który przeniesie nas w czasie i pozwoli odczuć atmosferę tamtych dni. Integracyjna podróż SOLIDEXu rozpoczęła się 6 marca 2004 roku cyklem spotkań artystycznych w Krakowie, które zapoczątkowały 6 gościom w aktywnym zaangażowaniu się w merytoryczne wydarzenia. W czasie VII edycji konferencji "Sztuka Bezpiecznej Integracji”, zatytułowanej "Komfort w Sieci” omawiane i demonstrow a ne były metody budowy i ad mi nistrowania systemów teleinformatycznych, tak aby działały w sposób maksymalnie wydajny, bezpieczny i niezawodny. Po solidnej dawce edukacji na uczestników podróży czekał wieczór pełen relaksu, muzyki, humoru i tańca. W Piwnicy Krzysztofory farsa wystąpili: Art Color Ballet, Marriotta Kabaret pod Wydrwigroszem, i Foota "Bez seksu proszę” Ireneusz Krosny oraz Zbigniew oraz opera Rossiniego "Cyrulik Wodecki. Sewilski” w Teatrze Słowac- Po m arcowych spotka niach kiego. Atmosfera rozrywki nie w Krakowie kolejne eta py przeszkodziła zaproszonym podróży odbyły się w Warszawie. Integrujemy przyszłość® Numer: II/2014 (127) W podziemiach Pałacu Kultury i Nauki (w klubie Qvo Vadis) 1 kwietnia 2004 miała miejsce specjalna Odsłona VII konferencji – jej Epilog. W czasie Epilogu starano się odpowiedzieć na tytułowe pytanie: – dokąd zmierza "komfort” sieci i Internetu. Program obejmował dwie sesje "Komfort i bezpieczeństwo systemów sieciowych” oraz "Mobilność użytkownika w konwergentej sieci”. Do udziału w konferencji zostali zaproszeni główni partnerzy SOLIDEXu: Cisco, NAI, C h e c k Poi n t, No k i a, Decru, Hitachi Data Systems oraz Veritas. Konferencja przybliżyła uczestnikom zagadnienia związane z bezpieczeństwem sieci i Internetu i metody podwyższenia komfortu użytkow ników i administratorów. Kolejna odsłona symbolicz nej podróży miała m i ej s c e 2 k w i e t n i a w Teatrze Roma, gdzie byliśmy świadkami niecodzien nego wydarzenia – kociego balu na musicalu "Koty”. Żywiołowy taniec, wspaniała muzyka, cudowna gra świateł, a także spora dawka humoru i zaskakujących efektów sprawiły, że musical "Koty” w s po mi n a ny jest przez uczestników do dziś. Ostatni etap podróży odbył się w maju, już w Unii E u rop ejs ki ej. Ws zy s cy s p ot k a l i s ię w D n i u Zwycięstwa w Warszawie, która oficjalnie stała się stolicą kraju członkowskiego Wspólnoty. SOLIDEX świętował to wydarzenie pod hasłem "Po kabaretach będzie Perfect” z udziałem czołowych gwiazd polskiej sceny muzycznej i kabaretowej. Gośćmi specjalnymi i m p rezy byli, m.i n.: Maria n Op a nia, Krzysztof Daukszewicz, Grupa Taneczna VOLT, Ani Mru Mru, zespół Patrycji Markowskiej a także Grzegorz Markowski z zespołem Perfect. Na zakończenie imprezy wszyscy zebrani odśpiewali wspólnie "Chcemy być sobą” i "Niepokonani”. Naszą podróż zakończyliśmy siódmą odsłoną, której gościem specjalnym była Pani An na Dymna i jej Fundacja "MIMO WSZYSTKO”. Szczególny akcent podróży Biuletyn Informacyjny SOLIDEX® wiązał się z pomocą niepełnosprawnym poprzez zorganizowanie wsparcia finansowego dla Fundacji Pani Anny Dymnej. 7 WYDARZENIA Nowe szkolenia Cisco w ofercie SOLIDEX SOLIDEX poszerzył zakres oferowanych kursów Cisco z zakresu Security, Voice i Wireless. Zgodnie z informacjami, które zawarte zostały w ostatnim numerze naszego Integratora, 21 kwietnia 2014 roku Cisco zmieniło dotychczasowe szkolenia w ścieżce certyfikacyjnej Cisco CCNP Security na zupełnie nowe o zmienionym zakresie technologicznym i produktowym. W chwili obecnej, aby uzyskać tytuł CCNP Security, należy posiadać tytuł CCNA Security i zdać cztery egzaminy z nowej ścieżki, w skład której wchodzą kursy: SENSS, SITCS, SISAS i SIMOS. Zakres wymienionych kursów omówiony zostanie poniżej. SENSS [300-206] Implementing Cisco Edge Network Security Solutions Kurs ten omawia zagrożenia występujące w warstwach sieciowych L2 i L3 oraz przedstawia modularne metody ich zabezpieczania za pomocą funkcjonalności dostępnych w systemie Cisco IOS na urządzeniach typu switch, router oraz firewall. Przedstawiona jest tutaj koncepcja budowy wielowarstwowego systemu zabezpieczeń w styku internetowym oraz sieci LAN z uwzględnieniem metodologii ochrony Control Plane, Data Plane oraz Management Plane. SITCS [300-207] Implementing Cisco Threat Control Solutions Tematyka kursu koncentruje się na omówieniu metod i stosowanych technik zapewniających wysoki poziom bezpieczeństwa przesyłanych danych i kontroli zawartości (analiza kontentu). Prezentowane są tutaj funkcjonalności dostępne na urządzeniach typu Next Generation (ASA CX, NGIPS) zapewniające bezpieczeństwo aplikacji oraz funkcjonalności gwarantujące bezpieczną komunikację dla ruchu internetowego oraz poczty elektronicznej (Internet Web Gateway oraz Email Web Gateway). SISAS [300-208] Implementing Cisco Secure Access Solution Kurs dostarcza uczestnikom niezbędnej wiedzy i umiejętności dotyczących 8 zarządzania tożsamością i wdrożenia bezpiecznych narzędzi kontroli dostępu do sieci. Koncentruje się na omówieniu funkc jonalno ś c i ac c ess - c ont rol w oparciu o produkt Cisco ISE. na obsługę IPv6. Szkolenie obejmuje zagadnienia dotyczące wirtualizacji (praca w trybie mixed-mode), czy też zapewnienia niezawodności (budowa klastra firewall). SIMOS SASAC [300-209] Implementing Cisco Secure Mobility Solutions Kurs koncentruje się na omówieniu funkcjonalności urządzeń typu router oraz firewall Cisco ASA, jako urządzeń pełniących rolę koncentratora połączeń V PN. Omawiane są tutaj szc zegółowo dostępne technologie VPN w kontekście połączeń typu Site-to-Site oraz Remote Access. Silny nacisk położony jest na zaawansowane metody uwierzytelnienia takie jak PKI, zewnętrzne serwery czy też SSO. Implementing Core Cisco ASA Security Najnowszy kurs z oferty Cisco. Tematyka kursu koncentruje się na omówieniu funkcjonalności urządzeń typu firewall Cisco ASA. Przedstawione są tutaj metody budowania zabezpieczeń sieci z wykorzystaniem wyżej wymienionych urządzeń oraz zarządzania nimi. Kurs skupia się na prezentacji możliwości urządzenia Cisco ASA i traktuje to urządzenie, jako typowy firewall. Oprócz wymienionych kursów, powiązanych bezpośrednio z certyfikacją CCNP Security, Cisco w ostatnim czasie poszerzyło swoją ofertę o dodatkowe kursy z zakresu bezpieczeństwa sieciowego, tzw. „kursy produktowe”. Są to: SASAA Implementing Advanced Cisco ASA Security Kurs koncentruje się na omówieniu funkc jonalno ś c i urz ądzeń typu Cisco ASA Next Generation Firewall (ASA5500-X). Krok po kroku prezentowane są czynności, które należy wykonać , aby zintegrować A SA z AD, uruchomić IPS software module, ASA C X, czy też zapewnić komunikację z usługą Cloud Web Security. Silny nacisk położony jest również Integrujemy przyszłość® SAEXS Cisco ASA Express Security Dwudniowy k ur s pr oduk t owy skupiając y się na firewall Cisco ASA. Omawiane są tutaj możliwości urządzenia pod kątem funkcjonalności firewall, koncentrator połączeń VPN oraz NGFW. Krok po kroku prezentowane są czynności, które należy wykonać, aby uruchomić firewall, kontrolować jego stan i wykorzystać jego możliwości w zakresie filtrowania ruchu w sieci i uruchomienia w/w funkcjonalności. SWISE Implementing and Configuring ISE for Wireless Engineers Kurs produktowy, skupiający się na integracji Cisco ISE z kontrolerem WiFi (WLC) oraz urządzeniem access Numer: II/2014 (127) point (AP). Omawiane są tutaj zagad- Zmianie uległa również ścieżka kursów nienia dotyczące integracji z AD, PKI, związanych z usługami collaboration Guest Access. voice i video. Na poziomie CCNA Voice przybyło szkolenie ICOMM, a CCNP Voice oprócz dotychczasowych kursów CIPT1 i CIPT2 zawiera teraz kurs CVOICE. i rozwiązań oferowanych przez firmę Cisco Systems. Tematyka omawiana to: projektowanie, instalacja, konfiguracja i monitorowanie rozwiązań WLAN (Wireless Local Area Network) w małych i średniej wielkości organizacjach. Szkolenie uwzględnia nowe Managing Advanced Cisco SSL VPN funkcjonalności, które pojawiły Kurs produktowy, skupiający się się w oprogramowaniu kontrolera na realizacji połączeń VPN remote w wersji 7.2, związane z trendem access w oparciu o technologię SSL [640-641] Introducing Cisco Voice „Bring Your Own Device”, takie jak: VPN. Krok po kroku prezentowane and Unif ie d C ommunic at ions FlexConnect, wsparcie dla 802.11u czy są czynności, które należy wykonać, Administration TrustSec. aby ur uchomić z aawansowaną Kur s opisuje elementy budowy funkcjonalność Clientless oraz Full systemu sieciowego do obsł ugi Network Mode Access w oparciu głosu w IP oraz telefonii IP, kompoo AnyConnect. Integracja z AD, ACS, nenty, architekturę i fukcjonalności. PKI oraz endpoint security (Host Scan, Wprowadza do zarządzania systemem Managing Cisco Wireless LANs Cisco Secure Desktop, Dynamic Access opartym na CUCM (Cisco Unified Szkolenie obejmuje zastosowanie Policy) to zagadnienia omawiane Communications Manager), CUCM aplikacji Cisco Prime Infrastructure 1.4 w ramach tego kursu. Express, Cisco Unity Connection oraz do zarządzania siecią bezprzewodową Cisco Unified Presence. opartą o sprzęt firmy Cisco Systems. Omawiane są aspekty związane z zarządzaniem konfiguracją, monitorowaniem, raportowaniem zdarzeń oraz Implementing Cisco Secure Access optymalizacją sieci bezprzewodowej. Control System [6 42 - 4 37] Implementing C isc o Kurs produktowy, skupiający się Unified Communications Voice over Opisane skrótowo i poglądowo na Cisco Access Control Server. Krok IP and QoS w tym artykule kursy są już dostępne po kroku prezentowane są czynności, Kurs opisuje działanie urządzenia w ośrodku szkoleniowym Solidex. które należy wykonać, aby uruchomić jakim jest Voice Gateway. Jest Więcej informacji na temat nowych ACS i wykorzystać jego możliwości to usługa na routerze Cisco mająca autoryzowanych szkoleń Cisco znajdą w zakresie zarządzania dostępem na celu obsługę systemu telefo- Państwo na naszej stronie internedo sieci (integracja z AD, PKI, metody nicznego w firmie oraz umożliwiająca towej http://www.solidex.com.pl/ EAP i 802.1X) i kontrolą nad urządze- podłączenie do sieci operatora (PSTN). oferta/autoryzowane-szkolenia-cisco. niami sieciowymi (uwierzytelnienie, Por uszane s ą tematy zwią zane Serdecznie zapraszamy zainteresoautoryzacja, bilingowanie aktywności). z kodek ami, planem r out ing u , wanych do korzystania z usług naszych w yk o r z y s t a niu z a s o b ó w D S P, SOLIDnych Expertów. tworzenie transkoderów i bridge’y konferencyjnych. Konfigurowana jest usługa CUCM Express (wsparcie Implementing and Configuring Cisco obsługi telefonów IP poprzez system Identity Services Engine IOS na routerze) oraz usługi QOS Szkolenie ma na celu zaznajomienie w sieci IP (klasyfikacja, znakowanie, uczestników z Cisco Identity Services kolejkowanie, AutoQOS). Engine (ISE) w wersji 1.1, systemem Dodatkowo Solidex poszerzył swoją zarządzania kontrolą dostępu do sieci ofer t ę t ak ż e o kur sy zwią z ane oraz zasobów sieciowych. W ramach ze specjalizacją CCNP Wireless: szkolenia uczestnicy poznają możli- CUWN I WMNGI. wości oferowane przez Cisco ISE. Szeroki zestaw ćwiczeń pozwoli opanować właściwy dobór dostępnych mechanizmów na etapie projektowym, konfiguracji oraz poznać dobre praktyki Cisco Unified Wireless Networking wdrożeniowe na etapie implementacji Jest to średniozaawansowany kurs i zarządzania tym produktem. z technologii bezprzewodowych SASSL ICOMM WMNGI ACS CVOICE SISE CUWN Biuletyn Informacyjny SOLIDEX® 9 WYDARZENIA Małopolska Chmura Edukacyjna W dniu 31.03.2014 r. Solidex S.A. podpisał z Akademią Górniczo-Hutniczą w Krakowie umowę na dostarczenie platformy informatycznej, obejmującej urządzenia informatyczne wraz z oprogramowaniem, wykorzystującej technologię chmury obliczeniowej dla realizacji usług komunikacyjnych, oraz stanowiącej bazę do budowy systemów merytorycznych i treści edukacyjnych w ramach projektu „Małopolska Chmura Edukacyjna” (MChE). Projekt „Małopolska Chmura Edukacyjna” to innowacyjna platforma informacyjno-komunikacyjna, która umożliwia prowadzenie interak- t y w nych z aj ę ć , pr z e t w ar z an i e materiałów dydaktyczno-edukacyjnych, prowadzenie wspólnych projektów przez uczelnie i szkoły ponadgimnazjalne. Wdrożenie modelu MChE obejmie szkoły średnie z województwa małopolskiego oraz wiodące uczelnie wyższe. W skład realizacji projektu wchodzi budowa systemu informatycznego, czyli zaopatrzenie szkół i ośrodków akademickich w dostęp do sieci b e zprze wo dow ych, mobi lnych pracowni zaopatrzonych w urządzenia wideokonferencyjne oraz systemy do współpracy zdalnej. Głównym celem projektu MChE jest podwyższenie poziomu nauczania, budowanie w uczniach zainteresowania nowoczesną technologią, oraz zaciekawienie małopolskiej młodzieży przyszłymi kierunkami kształcenia. Realizacja projektu MChE wykreuje innowacyjne środowisko wsparcia procesów edukacyjnych te chnolog iami ICT b azując ych na modelu chmurowym oraz wysokiej jakości komunikacji multimedialnej. Wi ę c e j i n for ma c j i o proj ekc i e znajdą Państwo na stronie www.e-chmura.malopolska.pl SOLIDEX wyróżniony tytułem Forti Lider 2014 w dwóch kategoriach Miło nam poinformować, że SOLIDEX został uhonorowany przez firmę Fortinet nagrodami Forti Lider 2014 w dwóch kategoriach: za największy wzrost sprzedaży Fortinet w roku 2013 oraz za najbardziej kompleksowy i innowacyjny projekt 2013. Szczególnie drugie wyróżnienie jest dla nas istotne, gdyż potwierdza wysoki poziom kompetencji inżynierskich utrzymywanych przez SOLIDEX. Komponentami wyróżnionego projektu były między innymi: •klaster urządzeń UTM Fortigate, •system uwierzytelniania użytkowników w wersji wirtualnej FortiAuthenticator-VM, 10 •system zbierania i analizy logów w wersji wirtualnej FortiAnalyzer-VM, •oprogramowanie do ochrony stacji roboczych FortiClient, •sieć bezprzewodowa FortiAP zarządzana centralnie. Firma Fortinet jest jednym z liderów rozwiązań systemów bezpieczeństwa dostępnych na rynku. SOLIDE X wspó ł pr ac uje z f ir mą F or t inet od 2007 roku, natomiast od 2008 roku nieprzerwanie posiada tytuł Fortinet Gold Partner. Integrujemy przyszłość® Numer: II/2014 (127) Nexus 9000 – rozwiązanie dla nowych generacji data center. Pod koniec roku 2013 firma Cisco wprowadziła na rynek całkowicie nowy system architektoniczny stworzony specjalnie dla centrów przetwarzania danych, a także coraz bardziej popularnych systemów chmurowych, którego głównym zadaniem jest koncentracja na spełnieniu wymagań i zwiększeniu efektywności działających w nim aplikacji. C isco Applic ation C entr ic Infrastr uc ture ( AC I), bo t aką nazwę nosi powstała architektura oferuje mo ż liwo ś ć p e ł nego moni t or o wania i zintegrowanego zarządzania zarówno fizyc znymi jak i wir tualnymi zasobami IT, uwzględniając pr zy tym wymagania st awiane przez działanie bieżących aplikacji. Na architekturę ACI składają się: A PIC ( A pplic ation Polic y Infrastructure Controller), przełączniki Nexus 9000 oraz rozbudowany system operacyjny NX-OS. Architektura ACI została opar ta na otwartych platformach oraz oprogramowaniu open source, co jak pokazuje rynek znacznie zwiększyło możliwości wykorzystania jej przez firmy współpracujące z Cisco. W tzw. ekosystem dla partnerów wpisały się dotychczas takie firmy jak: BMC, CA Technologies, Citrix, EMC, Embrane, Emulex, F5, IBM, Microsoft, NetApp, OpsCode, Panduit , Puppet L abs, NIK SUN, Red Hat , SAP, Splunk, Symantec, VCE i VMware. fizycznej sprzętu. APIC został zaprojektowany dla wielo-środowiskowego oraz wielo-użytkownikowego modelu Architektura ACI sieci, w którym użytkownicy mają możliwoś ć posiadania poufnego Sercem architektury jest kontroler i szyfrowanego dostępu do obiektów, APIC – Application Policy Infra- a te z kolei posiadają unikalny zestaw structure Controller, który został atrybutów RBAC (Role-Based Access zautomatyzowany na fizycznym Controll) READ oraz WRITE. W zarząsprzęcie. Jego zadaniem jest stworzenie dzaniu obiektami ACI wykorzystuje modelu logic znego dost ępnych także lokalną i zewnętrzną kontrolę aplikacji oraz sieci, w którym zarzą- dostępu opartą na protokole AAA. d z anie odbywa si ę w opar c iu Cisco znacznie rozbudowało funkcję o polityki. Sama koncepcja powstania m o n i t o r u j ą c ą , w p r o w a d z a j ą c nowoczesnej architektury sięga profili moż liwo ś ć podglądu działania serwerowych Cisco UCS Managera każdej aplikacji z osobna. Wynik i miała być jej rozszerzoną wersją. pracy aplikacji opiera się na: zbadaniu Profil sieciowy w ACI w pełni opisuje infrastruktury, ocenie działania, po ł ąc zenie wielorakich kompo - w y s t ę p u j ą c y c h o p ó ź n i e n i a c h nentów aplikacji definiując przy tym w działaniu, metrykach i statystykach wymagania dla każdej z nich. ACI oraz statusie wykorzystania zasobów. likwiduje także zależności sprzętowe W przypadku braku wolnych zasobów oraz udost ępnia swego rodzaju aplikacja ma możliwość migracji mobilność pomiędzy sieciami poprzez w miejsce, gdzie zasoby te są dostępne. pełne rozdzielenie aplikacji od warstwy Application Centric Infrastructure Biuletyn Informacyjny SOLIDEX® 11 NOWOŚCI Rys. 1. Rodzina przełączników Nexus 9000 ofer uje elastyc zną architek tur ę wdrażania fizycznych i wirtualnych usług w warstwach sieci L4 – L7, zapewniając przy tym separację pomiędzy warstwami aplikacji, a politykami komunikacji. ACI oferuje t ak że wsparcie dla obecnie używanych modeli usługowych. zaprojektowane firmowe układy ASIC, przełączniki oferują najlepszy w swojej klasie stosunek ceny do wydajności oraz najwyższą gęstość portów typu non-blocking o przepustowości 1/10 Gb/s lub 10/40 Gb/s. Cisco zapewnia również, że gdy w przyszłości zajdzie potrzeba, będzie można wykorzystać interfejsy 100 Gb/s. W skład rodziny Przełączniki Nexus serii Nexus 9000 wchodzą urządzenia 9000 wykorzystujące najnowsze osiągnięcia technologic zne: architek tur ę Nowe modele przełączników Nexus modularną (pierwsze na rynku tego 9000 są podstawowym elementem typu prze łąc zniki zapewniające umożliwiającym działanie archi- o c hr on ę inwe s t yc ji ) , sys t e my tektury ACI. Wykorzystując zarówno zasilania i chłodzenia o szczególnie dostępne na rynku standardowe wysokiej efektywności energetycznej układy scalone jak i specjalnie oraz uproszczoną konstrukcję, która Rys. 2. Nexus 9508 w ośmioslotowej ramie 12 Integrujemy przyszłość® pozwoliła na dwukrotne zwiększenie średniego czasu bezawaryjnej pracy urządzeń (MTBF). Na nową rodzinę przełączników Nexus 9000 składają się: seria przełączników modularnych – Nexus 9500 oraz produkowane jako Top-of-Rack (ToR) – Nexus 9300. Nexus 9508 Flagowym produktem modułowej serii 9500 jest Nexus 9508. Ośmioslotowa rama pozwala na umieszczenie 8 kart liniowych. Dwa nadrzędne moduły, które umieszczone są pod modułami liniowymi zapewniają redundancję 1:1. Kolejno niżej znajduje Numer: II/2014 (127) N9K-X9564PX N9K-X9564TX N9K-X9636PQ 48 - - 1/10 Gb standard T - 48 - 40 Gb QSFP 4 4 36 Maksymalna liczba portów 1 Gb 48 48 - Maksymalna liczba portów 10 Gb 64 64 144 Maksymalna liczba portów 40 Gb 4 4 36 Minimalna liczba modułów fabrycznych potrzebnych do działania pełnego systemu 3 3 6 1/10 Gb SFP/SFP+ Tabela 1. Właściwości kart dla serii Nexus 9500 się osiem slotów dla zasilaczy zdolnych do dostarczenia 3kW zasilania. Jednak 9500 do pełnej funkcjonalności wymaga tylko dwóch. Dodatkowe 2 zasilacze mogą być użyte do redundancji 2+1 lub 2+2. Następne cztery sloty powstały z myślą o przyszłej migracji do obsługi połączeń 100Gb, a także następnej generacji ASIC. Dla rodziny 9500 jak dotąd, Cisco wydało dwa rodzaje kart liniowych: •Model: N9K-X9564PX to 48 portowa karta z interfejsami 1/10Gb SFP/ SFP+ oraz czterema portami 40Gb QSFP (16x10Gb). •Model: N9K-X 956 4T X to kar ta 48 portowa z interfejsami 1/10Gb-T or a z c z t er ema por t ami 4 0 Gb QSFP (16x10Gb). W przyszłości Cisco planuje tak że wyprodukowanie karty: N9K-X9636PQ, która zostanie wyposażona w 36 portów 40Gb QSFP. Opisując serię 95 00 nie moż na p o m in ą ć z a ł o ż e ń in ż yn i e r ó w dotyczących efektywności energetyc znej nowych prze ł ąc zników. Innowacyjna architektura została zaprojektowana tak aby przełączniki posiadał y ekstremalnie wysoką wydajność i spełniały założenia ekologicznych systemów. Jednym z kluczowych rozwiązań konstrukcyjnych serii 9500 jest ułożenie kart, które umożliwiają niezakłócony przep ł yw powietrza od przodu do tyłu, przyczyniając się w ten sposób do podniesienia mocy i wydajności chłodzenia. W przeliczeniu zużycia energii na port Nexus 9500 zużywa 3 , 5 W/ 1 0 GbE or a z 1 4 W/ 4 0 GbE , co czyni serię Nexus 9500 najbardziej energooszczędną serią przełączników modularnych na rynku Data Center. W serii Nexus 9500 możemy wyróżnić jeszcze dwie architektury: Nexus 9504 oraz 9516, które są odpowiednio mniejszym i większym rozwiązaniem serii 9508. Nexus 9300 Jak zostało wcześniej wspomniane rodzina Nexus 9000 posiada także serię switchy typu ToR. Nexus 9396PX, na który składa się 48 portów 1/10Gb SPF+ i 12 portów 40Gb w standardzie QSFP+ w rozmiarze 2U oraz Nexus 93128TX w rozmiarze 3U, składający się z 96 portów 1/10Gb T i 8 portów 40Gb QSFP+ to dwa dostępne w tej serii urządzenia. Porty 40Gb dostępne są z poziomu modułu uplinkowego. W rozwiązaniach serii 9300 możemy również wymienić możliwość zamontowania redundantnego zasilania oraz chłodzenia. Podobnie jak w serii 9500 zaprojektowany został także specjalny system przepływu powietrza (przódtył), co przyczyniło się do podniesienia sprawności energetycznej urządzenia. Rodzina Nexus 9000 została zaprojektowana od podstaw tak, aby miała możliwość integracji z wcześniejszymi architekturami. Obydwie platformy Biuletyn Informacyjny SOLIDEX® Rys. 3. Nexus 9396PX Rys. 4. Nexus 93128TX 13 NOWOŚCI 9500 oraz 9300 wspierają enkapsulacje oraz dekapsulacje protokołu VXLAN na poziomie sprzętowym. NX-OS Przełączniki z rodziny Nexus 9000 wykorzystują system operacyjny NX-OS, który zaprojektowany został specjalnie dla urządzeń pracujących w Data Center. Charakteryzuje się on wysoką odpornością na błędy oraz bezawaryjnym działaniem. NX- OS umoż liwia równie ż modularne i niezależne zarządzanie poszczególnymi procesami, które w dowolnym czasie mogą być uruchamiane lub restartowane nie zakłócając przy tym pracy całego systemu oraz co najważniejsze – transmisji danych. Najważniejsze korzyści z wdrożenia architektury Cisco ACI Jak można przeczytać na stronie producenta, Cisco zapewnia o wielu korzyściach jakie płyną z wdrożenia i posiadania nowoczesnej architektury. Są to między innymi: •75% oszczędności TCO w porównaniu do rozwiązań stosujących wirtualizację sieci opartą tylko na oprogramowaniu. Cisco ACI pozwala na wykorzystanie istniejącej infrastruktury okablowania a jednocześnie 15% redukcję kosztów zasilania i chłodzenia dzięki zastosowaniu najbardziej efektywnych na rynku, modułowych przełączników dla centrów danych. •Skrócenie czasu wdrażania aplikacji do minut i zwiększenie elastyczności biznesu dzięki możliwościom scentralizowanego zarządzania systemem, tworzenia profili aplikacji, automatyzacji usług sieciowych działających w warstwach L4-L7 oraz wykorzystania otwartych bibliotek API. •C e n t r a l i z a c j a z a r z ą d z a n i a politykami upraszczająca obsługę systemu i zwiększająca możliwości pracowników IT przez likwidację barier i uwolnienie potencjału wynikającego z możliwości ścisłej współpracy zespołów IT zajmujących się aplikacjami, siecią, bezpieczeństwem, wirtualizacją, serwerami i pamięciami masowymi. •Ochrona inwestycji dzięki wykorzystaniu otwartych standardów, protokołów i bibliotek API oraz już istniejącej infrastruktury sieciowej, usługowej (wraz z systemami bezpieczeństwa), serwerów fizycznych i wirtualnych oraz pamięci masowych. Podsumowanie Nowobudowane, ale także rozbudowywane i unowocześniane centra przetwarzania danych oraz systemy chmurowe wymagają ciągle nowych i pr z ys z ło ś c iowych r oz wią z a ń . Nowoczesna architektura ACI, profesjonalne usługi, otwarty ekosystem dla partnerów umożliwiający zwiększenie wydajności aplikacji i elastyczności systemów biznesowych wdrażanych u klientów zapoczątkowują, jak zapowiada Cisco, transformację współczesnych systemów IT. Opracowano na podstawie oficjalnych materiałów Cisco M.K. Inżynier SOLIDEX Waszych organizacji www.SOLIDEX.com.pl 14 Integrujemy przyszłość® Numer: II/2014 (127) VMware – nowa oferta produktowa. Wirtualizacja umożliwia efektywniejsze wykorzystanie istniejących zasobów sprzętowych środowiska informatycznego. Wzrost zapotrzebowania z jednej strony na prosty w zarządzaniu i bezpieczny system z punktu widzenia administratora, z drugiej zaś konfigurowalne i łatwo dostępne stacje robocze od strony użytkownika doprowadził do wzrostu zainteresowania wirtualizacją. Dzisiaj oprogramowanie wirtualizacyjne to już nie tylko hypervizory, ale także oprogramowanie do zarządzania całymi farmami środowisk wirtualnych oraz orkiestratry umożliwiające w sposób niezauważalny dla użytkownika końcowego na aktualizację i migrację jego systemu. Niekwestionowanym liderem na rynku wirtualizacji od lat jest niezmiennie VMware. Obecnie w swoim portfolio produktów posiada prawie 50 produktów, od Fusion, pozwalającego na MacOSX uruchomić system Windows, przez wirtualizatory sieci oraz SAN, środowiska backup i disaster recovery, po pełne pakiety oprogramowania, pozwalające na zarządzanie całymi rozwiązaniami chmurowymi, łączącymi tak wirtualne jak i fizyczne środowiska. Co to jest wirtualizacja? umożliwienia jednoczesnego urucha- operacyjnego. Aplikacje wykorzystują miania wielu systemów operacyjnych. API w celu komunikacji z systemem Jedną z pierwszych szeroko stosooperacyjnym. Emulatory API wprowawanych technik wirtualizacji była Emulacja dzają do głównego systemu operawirtualizacja pamięci operacyjnej cyjnego otoczenie API pochodzące w superkomputerach czy serwerach, E m u l a c j a A P I ( A p p l i c a t i o n z innego systemu, niezbędne dla ale także w komputerach osobistych Programming Interface, np. POSIX, czy emulowanej aplikacji. Najbardziej i systemach wbudowanych. Inną Windows API), wykorzystuje sposób znanym przykładem jest Wine (Wine techniką wirtualizacji jest wirtuali- działania aplikacji jako rozdzielnych is not emulator) – implementacja zacja sprzętu komputerowego w celu procesów w stosunku do systemu WinAPI dla systemu Unix/X11. Biuletyn Informacyjny SOLIDEX® 15 NOWOŚCI Emulacja pełna Emulacja podzespołów komputera (C P U , R A M , HDD, e t c . ) wr a z z systemem operacyjnym pozwala na uruchamianie aplikacji pochod z ą c yc h z niekomp at ybilnego systemu, w stosunku do wykorzystywanego (np. PC/Mac). Zapewnia dużą przenośność przy spadku wydajności. Praktycznie ka ż da operac ja na wir tualnym systemie operac yjnym jest emulowana. Emulator wykonuje w pętli wszystko to, co robiłby rzeczywisty procesor maszyny emulowanej, co prowadzi do spadku wydajności pracy komputera. Wirtualizacja właściwa Rys. 1. Zrzut ekranu z windowsem uruchomionym na vmware fusion pod mac os x Pozwala jednocześnie uruchomić wiele OS na tej samej platformie sprzętowej przy maksymalnej wydajności. Jest połączeniem zalet emulacji pełnej oraz emulacji API. Opiera się na ur uchamianiu w maszynie wir tualnej systemu operacyjnego rezygnując z uniwersalności emulowania wielu architektur komputerów. Ograniczenie się wyłącznie do wykorzystywanej platformy sprzętowej umożliwia wykonywanie pewnej liczby procesów systemu emulowanego bezpośrednio na zasobach sprzętowych komputera. Gdy operacje takie nie dadzą się bezpośrednio wykonać wirtualizator emuluje je. Wirtualizator uruchamia system operacyjny tak, aby mógł koegzystować z systemem głównym i osiągać maksymalną zgodność oraz wydajność. Teoretycznie wirtualizator powinien wykonywać bez emulacji wszystkie operacje w trybie nieuprzywilejowanym. W praktyce jednak dana architektura na przykład x86 musiałaby zostać specjalnie do tego celu zaprojektowana. produktów. Aby zrobić to w sposób przejrzysty należy podzielić produkty wedle ich zastosowań i możliwości. Osobiste stacje robocze, czyli wirtualizatory na poziomie systemu operacyjnego. •VMware Workstation Wir tualizator na poziomie systemu operacyjnego, działający na komputerach architektury x86 i x64 pozwala użytkownikom tworzyć maszyny wir tualne na maszynie fizycznej i używać je jednocześnie oraz wraz z fizycznym urządzeniem. Każda maszyna wirtualna może uruchomić swój własny system operacyjny typu Microsoft Windows, Linux, BSD, i MS-DOS. Obsługiwane jest mostkowanie fizycznych kart sieciowych i przydzielanie dysków oraz urządzeń USB do maszyny wirtualnej. Ponadto można symulować napędy dyskowe poprzez zamontowanie obrazu ISO do wirtualnego napędu optycznego oraz tworzenie wirtualnych dysków t wa r dyc h ja k o plik ów . vmdk . Produkty VMware Fir ma VMware jest bardzo aktywna na wielu polach wirtualizacji: od rozwiązań użytkownika po data center i całe sieci. W związku z mnogością rozwiązań oferowanych obecnie przez VMware, artykuł ten ma na celu przybliżenie portfolia jej 16 Rys. 2. Zrzut ekranu z windowsem xm uruchomionym na vmware pod win 7 Integrujemy przyszłość® Numer: II/2014 (127) Workstation może zapisać migawkowo stan maszyny wirtualnej w dowolnej chwili, by następnie przywrócić maszynę wirtualną do zapisanego stanu. Możliwe jest także opisanie kilku maszyn wir tualnych jako grupy, która może być następnie włączona, wyłączona, zawieszona lub wznowiona jako pojedynczy obiekt, co jest szczególnie przydatne w środowiskach testowych. Maszyny wirtualne mogą być przenoszone miedzy komputerami ponieważ nie wymagają sterowników do fizycznych komponentów. VMware Workstation uruchamia OS w wirtualnym środowisku sprzętowym tak, że system emulowany wykonuje operacje bezpośrednio na możliwie największej ilości zasobów sprzętowych, w szczególności procesorze. •VMware Player Bezpłatny i oficjalnie niewspierany pakiet oprogramowania wirtualizacyjnego dostępny do osobistego, niekomercyjnego użytku. Wykorzystuje ten sam rdzeń wirtualizacji co bogatszy Workstation. •VMware Player Plus Płatna wersja Player’a, nieco uboższa od Workstation. Posiada zaawansowane funkcje ale na przykład nie umożliwia tworzenia maszyn zabezpiec zanych has łem, może je natomiast uruchamiać. •VMware Fusion Hypervisor dedykowany dla komputerów z systemem OS X z procesorami Intela. Powala na uruchomienie systemów operacyjnych takich jak Microsoft Windows, Linux, NetWare lub Solaris na wirtualnych maszynach wraz z systemem operacyjnym hosta, Mac OS X za pomocą kombinacji parawirtualizacji, sprzętowej wirtualizacji i dynamicznej rekompilacji. Oparty jest głównie i współdzielący funkcje z VMware Workstation. •Fusion Professional Rozbudowana wer sja V Mwar e Fusion. Może tworzyć maszyny wirtualne z ograniczonym dostępem wymagają c yc h has ł a , twor z yć masz yny wir tualne o t er minie ważności, pracować w trybie single V M, twor z yć po ł ąc zone k lony maszyn. Ma także funkcje VMware Player Plus oraz jest zoptymalizowana dla wyświetlaczy Retina. Rys. 3. Hypervisor ESX pozwala na uruchamianie maszyn wirtualnych na serwerze wirtualizując dla nich warstwę sprzętową Wirtualna serwerownia czyli wirtualizator na poziomie „gołej blachy” („bare metal”) •VMware vSphere Hypervisor, czyli VMware ESXi Zastąpił on ESX , czyli darmowy hypervisor instalowany na maszynie zamiast systemu operac yjnego. Można go zainstalować na dysku USB w odróżnieniu od ESX, który wymagał lokalnego dysku do instalac ji. Wir tualizuje ser wer y aby skonsolidować aplikacje na mniejszej ilości sprzętu prowadząc do jego większej utylizacji. Wbudowane narzędzia do zarządzania umożliwiają twor zenie i dost arc zanie maszyn wirtualnych w prosty i szybki sposób. Alokowanie zasobów pamięci masowej poza rzeczywistą pojemność urządzenia także zwiększa wydajność użycia jego zasobów . Usprawnione sterowniki zapewniają optymalną wydajność ESXi dzięki współpracy z producentami podzespołów. Biuletyn Informacyjny SOLIDEX® •VMware vCenter Converter Konwertuje systemy z lokalnych i zdalnyc h ma s z yn f iz yc z nyc h na maszyny wir tualne VMware. Jednoczesne konwersje umożliwiają implementacje wirtualizacji na szeroką skalę. Scentralizowana konsola zarządzająca pozwala na kolejkowanie i monitorowanie wielu jednoczesnych konwersji, zarówno lokalnych jak i zdalnych maszyn fizycznych. Wirtualizacja stacji roboczych oraz aplikacji, czyli cienkie klienty Ł atwe i bezpieczne dostarczanie desktopów, aplikacji i usług internetowych dla użytkowników końcowych w wir tualnych centrach danych, na maszynach wir tualnych oraz fizycznych urządzeniach. •Horizon (z View) Dostarcza wirtualne i zdalne desktopy i aplikacje za pośrednictwem jednej platformy i daje użytkownikom 17 NOWOŚCI końcowym dostęp do systemów Windows oraz zasobów internetowych z jednolitego obszaru roboczego. Centralne zarządzanie obrazami dla urządzeń fizycznych, wirtualnych oraz BYOD. Konsoliduje kontrolę, dostawę i ochronę zasobów obliczeniowych użytkowników. Analizuje, automatyzuje i orkiestruje chmurę. Dynamic znie przydziela zasoby w pamięci wirtualnej, moc obliczeniową oraz wirtualne sieci w prosty i ekonomiczny sposób zarządza oraz dostarcza usługi pulpitu w razie zaistniałego zapotrzebowania. •Horizon DaaS (Data as a Service) Zbudowany na usłudze hybrydowej chmury, upraszc za dostarc zanie desktopów i aplikacji Windows jako usługi w chmurze do dowolnego urządzeniaw dowolnym miejscu. •Mirage Zarządza obrazami dla komputerów fizycznych, wirtualnych desktopów i BYOD. Wprowadza dynamiczny p o d z ia ł na war s t w ę o dbior c y końcowego oraz warstwę aplikacji. Efek tywnie zarz ądzając komputerami lub wirtualnymi pulpitami Horizon, jako zestawem warstw logicznych należnych do administratorów lub użytkowników końcowych. Pozwala to na aktualizację warstwy administrowanej, jednocześnie pozostawiając nienaruszone pliki i ustawienia użytkownika końcowego. Umożliwia łatwe wdrażanie aplikacji lub pakietów VMware ThinApp dla wszystkich użytkowników końcowych. Automatyzuje tworzenie kopii zapasowych i odzyskiwania systemu. Przechowuje pe ł ne z r z ut y s t ac ji r oboc z yc h i przechowuje je w centrum danych, co umożliwia szybkie odzyskanie plików użytkowników. Pozwala pobierać użytkownikom aktualizacje aplikacji z serwera Mirage. Upraszcza masowe wdrożenia systemów operacyjnych. Pozwala użytkownikom BYOD (Bring Your Own Device) wykorzystywać lokalne zasoby online i offline. •Workspace Zunifikowane środowisko dla aplikacji i desktopów dające użytkownikom prosty sposób dostępu do zasobów przez dowolne urządzenie poprzez umożliwienie centralnego dostarc zenia oraz zabezpiec zenie tych możliwości od strony infrastruktury. Skoncentrowany na użytkowniku model zarządzania umożliwia IT wydajne zarządzanie zróżnicowanym i ewoluującym zestawem aplikacji włączając SaaS, ThinApp oraz nawet zwirtualizowane aplikacje Citrixa z jednego punktu kontroli. •Socialcast by VMware Aplikacja społecznościowa dedykowana dla biznesu. Usprawnia współpracę pozwalając na szybki dostęp do informacji oraz kooperację. Dodaje funkcje społeczne do aplikacji biznesowych osób korzystających z nich na co dzień. Pozwala łatwo połączyć się z ludźmi, ułatwia dostęp do zasobów. Zachowuje dyskusje zorganizowane w jednym bezpiecznym miejscu. •VMware ThinApp Bezagentowy wirtualizator aplikacji, przyspiesza wdrażanie i upraszcza migrację. Podczas przejścia z Windows XP do Windows 7 umożliwia migrację starszych aplikacji internetowych, które opierają się na Internet Explorer 6, przez wirtualizację IE6 wraz z aplikacją. Eliminuje konflikty aplikacji izolując je od siebie i od OS hosta poprzez umieszczenie ich w jednym pliku wykonywalnym , k t ór y mo ż na łatwo wdrożyć w wielu punktach ko ń c owyc h . Umo ż liwia wielu aplikacjom oraz sandboxowanym danym konfiguracyjnym użytkownika wspólne i bezpieczne rezydowanie na wspólnym serwerze. Wdrażanie pakietów ThinApp na „zablokowanym” komputerze pozwala użytkownikom uruchamiać aplikacje bez utraty bezpieczeństwa i bez zmian konfiguracji maszyny roboczej. Oferuje wdrażanie, utrzymywanie i aktualizowanie zwirtualizowanych aplikacji na pamięci USB dla ekstremalnej przenośności rozwiązań. •VMwar e vC enter Operations Manager for Horizon System monitorowania i zarządzania, zapewniający kompleksowy wgląd, pozwalający optymalizować wydajność infrastruktury wirtualnych pulpitów. Wirtualizacja Centrów Danych oraz wirtualne chmury obliczeniowe Rys. 4. VMware Horizon (z View) dostarcza cieknie klienty, przechowując maszyny wirtualne w centrum danych 18 Integrujemy przyszłość® •vSphere Platforma wirtualizacji serwerów. Poz wala wir tualizować z asoby serwerów architektury x86 i agregować je w logiczne pole dla alokacji obc ią żeń . Optymalizuje us ł ugi sieciowe dla środowiska wirtualnego i dostarcza uproszczone zarządzanie. Redukuje złożone systemy storagowe, dost arc z a najbardziej wydajną Numer: II/2014 (127) Rys. 5. Platforma wirtualizacji sieci i bezpieczeństwa dla softwarowego data center utylizację zasobów w infrastrukturze chmurowej oraz zwiększa bezpieczeństwo aplikacji. Maksymalizuje czas dostępu do aplikacji minimalizując zapotrzebowanie na przerwy konserwacyjne serwerów i storage. Dzięki automatyzacji operacji pozwala zaoszczędzić czas na zarządzanie systemem. •vSphere with Operations Management Rozwiązania monitorujące wydajność oraz pojemność systemu dla VMware vSphere. •vSphere Data Protection Advanced Backup i recovery dla VMware vSphere. Uproszczone licencjonowanie per procesor zmniejsza koszty licencjonowania całego systemu. Pozwala na backup systemów wirtualnych oraz fizycznych poprzez użycie agentów dostarczających regularny, granularny backup i recovery. •Compliance Checker for vSphere Darmowy kontroler zgodności dla vSphere. Sprawdza zgodność infrastruktury informatycznej z zalecanymi standardami i najlepszymi praktykami aby pomóc zapewnić, że jest ono bezpieczne. W odróżnieniu od innych dar mowych narzę dzi na r ynku, kontroler zgodności VMware vSphere to w pełni funkcjonalny produkt, który zawiera szczegółowe kontrole zgodności z podnoszącymi bezpiec zeństwo wytyc znymi VMware vSphere. Na przykład umożliwia drukowanie raportów zgodności oraz uruchomienie kontrolę zgodności na wielu serwerów ESX i ESXi na raz. Sporządzanie sprawozdań dotyczących zgodności vSphere – raporty podsumowujące mogą być wykorzystywane w trakcie badania w celu wykazania zgodności z wytycznymi. Ze względu na dynamiczny charakter środowiska VMware, ważne jest aby wykryć problemy zanim środowisko stanie się niepewne. Za pomocą tego narzędzia można uruchamiać testy często i łatwo. •VMware vCloud Suite Pozwala zbudować i uruchomić prywatną chmurę opartą o vSphere. Pozwala na zwiększenie wykorzystania zasobów i produktywności pracowników poprzez zintegrowanie zwirtualizowanych usług informatycznych z wysoce zautomatyzowanym zarządzaniem operacjami. Zwiększa zyski w wydajności i oszczędności kapitału oraz kosztów operacyjnych. Pozwala na wdrażanie usług infrastrukturalnych z pełną kontrolą nad krytycznymi politykami finansowymi i technologicznymi. Poziomy alokacji zasobów są automatycznie dopasowane do zapotrzebowań i stale zmieniających się wymagań obciążenia pracą by zwiększyć komfort pracy użytkownika końcowego. Dostarcza optymalne sterowanie, dostępność Biuletyn Informacyjny SOLIDEX® i bezpieczeństwo dla każdej aplikacji przez połączenie zautomatyzowanej ciągłości działania z bezpieczeństwem wirtualizacji i zgodności z vCloud Suite, która zapewnia wysoki uptime aplikacji oraz kontrolę nad dostępem i kosztami usług informatycznych. •NSX Platforma wirtualizacji sieci i bezpieczeństwa dla softwarowego data center. Wprowadza wirtualizację do siec i usprawniając operac je i zmniejszając koszty. Skraca czas na skonfigurowanie i zabezpieczenie złożonych topologii sieci z tygodni do minut. Redukuje OPEX i CAPEX. Dzięki automatyzac ji eliminuje ręczne konfigurowanie i upraszcza wymagania hardwarowe sieci. Działa na ka żdym hyper visorze wir tualizacyjnym, każdym urządzeniu sieciowym i integruje się z każdą platformą do zarządzania chmurą. Podobnie do maszyny wirtualnej, wirtualna sieć jest w pełni funkcjonalną zamkniętą w pliku, udostępnia niezależną topologię bądź wykorzystuje fizyczne urządzenia. Dostarcza nowoczesny model bezpieczeństwa: profile są przydzielone i realizowane przez wirtualne porty i mogą być przemieszczane wraz z maszynami wirtualnymi. Jest używany przez wielu z wiodących dostawców usług oraz centra danych na świecie. •Virtual SAN Prosta sieć SAN dostarczana przez hypervisor. Wprowadza wysoce wydajną przestrzeń storagową zoptymalizowaną dla środowisk wirtualnych. Jest prosta, wydajna i redukuje koszty posiadania urządzeń i rozwiązania. Używa polityk dla zdefiniowania w jaki sposób storage jest udostępniany i zarządzany. Automatyzuje wiele zadań storagowych i bezszwowo integruje się z platformą vSphere. Obniża TCO o 50% dzięki granularnemu skalowaniu w górę i dół (scale-up i scale-out) środowiska, by dostarczyć elastyczną rozbudowę eliminując niewyko rzystywanie zasobów. Dostarcza w prawdzie cechowanie read/write po stronie serwera, używając serwerowego flash, optymalizując ścieżki wejścia/wyjścia by dostarczyć lepszą wydajność niż wirtualny appliance czy fizyczne urządzenie. 19 NOWOŚCI •vCenter Site Recovery Manager System przywracania poawaryjnego oferujący zautomatyzowane zarządzanie i bezkolizyjne testowanie zwirtualizowanych aplikacji. Pozwala na zaoszczędzenie 50% kosztów, jak również na proste zarządzanie w sposób scentralizowny poprzez VMware vCenter Server. Zwiększa automatyzac ję popr zez ur uchamianie bezzakłóceniowych testów awaryjnych, co pozwala przewidzieć czas przywrócenia środowiska po awarii. Chroni zwirtualizowane aplikacje poprzez szeroki wybór rozwiązań replikacji macierzowych oraz VMware vSphere Replication, które jest częścią platformy vSphere. Zarządzanie Centrami Danych oraz Chmurami Obliczeniowymi. •vCenter Server Scentralizowana platforma do zarządzania środowiskami VMware vSphere. Dostarc za i automatyzuje infrastrukturę wirtualną. Szybko i łatwo wdraża vCenter Server używając profile hosta lub Linuxowy wirtualny appliance. Pozwala administrować całą infrastrukturą vSphere z jednego miejsca. Alokuje i optymalizuje zasoby dla maksymalnej wydajności. •vCenter Operations Management Suite Automatyzuje zarządzanie operacjami używając opatentowanej analizy oraz zintegrowanego podejścia do zarządzania wydajnością, pojemnością oraz konfiguracją środowiska. Pozwala proaktywnie unikać problemów z wydajnością oraz uzyskać głęboki wgląd w stan, ewentualne zagrożenia oraz wydajność infrastruktury. •vCenter Log Insight Dostarcza zautomatyzowane zarządzanie logami poprzez agregację, analizowanie i przeszukiwanie, dostarcza operacyjną inteligencję oraz przejrzystość w dynamicznym środowisku chmury hybrydowej. W odróżnieniu od wyspecjalizowanych rozwiązań dostępnych dla największych firm opartych o linię poleceń, wydajne z a r z ą d z a n i e l o g a m i V Mw a r e jest dostępne dla każdego, łatwe do wdrożenia i oparte o intuicyjne GUI. •vCenter Operations Manager Opr og r amowanie p oz walają c e 20 Rys. 6. Scentralizowana platforma do zarządzania środowiskami VMware vSphere na kompleksowy wgląd w wydajność, pojemność i sprawność infrastruktury. Automatyzuje zarządzanie, pozwala na kontrolę zależności, wydajności, pojemno ś c i i z apot r zebowania systemów zarządzanych, zwirtualizowanych oraz fizycznych. •vCenter Configuration Manager Automatyzuje konfigurację i zarządzanie w fizycznym, zwirtualizowanym oraz chmurowym środowisku, zbiera dane konfiguracji, śledzenie zmian oraz ocenę zgodności operacyjnej i bezpieczeństwa dzięki integracji z vSphere. Jest wsparciem zarządzania konfiguracją wirtualnych i fizycznych serwerów i infrastruktury VMware oraz wielu systemów operacyjnych. •vCenter Hyperic Dawniej VMware vFabric Hyperic jest składnikiem VMware vCenter Operations Management Suite. Monitoruje systemy operacyjne, oprogramowanie warstwy pośredniej i aplikacji działających w fizycznych, wirtualnych i chmurowych środowiskach. •vCenter Server Heartbeat Chroni infrastrukturę wir tualną od przestojów zwią zanych Integrujemy przyszłość® z problemami aplikacji, konfiguracji, systemu operacyjnego, sieci oraz sprzętu, by zapewnić wysoką dostępność. Pozwala na monitorowanie i ochronę VMware vCenter Server z jednego miejsca przez prosty w użyciu interfejs sieciowy. Chroni przed błędami aplikacji i operatora, systemu operacyjnego czy awarią sprzętu. Dostarcza disaster recovery dla vCenter Server w L AN i WAN, udstępnia wtyczki VMware vSphere Update Manager. •vCenter Orchestrator Pomaga zautomatyzować dostarczanie usług i integruje VMware vCloud Suite z resztą systemów zarządzania w chmurze. Szybko buduje workflow i z większą elastycznością udostępnia servery dostarczając skalowalną wydajność oraz kontrolę wersji. Umożliwia uruchamianie workflowów bezpośrednio z klienta vSphere lub przez wiele mechanizmów. Chroni zawartość używając zaawansowanych standardów bezpieczeństwa. •vCloud Director Udostępnia softwarowe usługi data center jako wirtualne data center, Numer: II/2014 (127) dostarcza wirtualną moc obliczeniową, sieć, storage i security. Umożliwia udost ępnianie kompletnych, gotowych do działania infrastruktur bez obaw o fizyczną konfigurację sprzętu. Umożliwia skryptowy dostęp do używania zasobów w chmurze, takich jak vApp upload/download, zarządzanie katalogami i innych operacji przy uż yciu otwar tego, opartego na REST API. Umożliwia regulowane politykami podejście, k t óre dost arc z a definiowane softwarowo użycie zasobówaby można automatycznie wymuszać prekonfigurowane polityki. •vCloud Automation Center Automatyzuje zarządzanie i dostarczanie usług aplikacji poprzez usprawnienie infrastr uk tur y, nar z ę dzi i procesów. Udostępnia VMware Cloud Applications Marketplace, zapewniające gotowe do użycia rozwiązania partnerów VMware. •IT Business Management Suite Zapewnia przejrzystość i kontrolę nad kosztami i jakością usług IT pozwala CIO (Chief Information Officer) dopasować infrastrukturę do biznesu w celu przyspieszenia transformacji. Pozwala na przedstawienie wartości nowej inwestycji dla przyspieszenia biznesu. Dostarcza dane do zrozumienia ROI i TCO dla złożonych rozwiązań jak konsolidacja datacenter, optymalizacja storage, udostępnianie mocy obliczeniowej dla użytkowników końcowych czy usługi chmury hybrydowej. nowe aplikacje w tradycyjnych architekturach 3 poziomu ( Java). Pozwala ewoluować od tradycyjnych do aplikacji nowej generacji (Spring, Ruby on Rails) i PaaS na Pivotal CF/Cloud Foundry. Platforma aplikacji oraz danych Podnosi wydajność wirtualnej infrastruktury, co jest idealne do rozwijania i wdrażania nowoczesnych aplik ac ji . Poz w a la s k or z y s t a ć z „lek k ich” rozwią z a ń , k t óre pozwalają na większą konsolidację i lepsze wykorzystanie zasobów. Pivotal i VMware współpracują aby dostarczać dobrze zarządzane, szybkie i bezpieczne infrastruktury aplikacji i danych dla środowisk VMware w chmurach prywatnych, publicznych oraz hybrydowych. •Pivotal Cloud Foundry Platforma PaaS (Platform as a service, P latfor ma jako us ł uga) nowej generacji na chmurze prywatnej z wiodącymi usługami aplikacji i danych. Umożliwia konfiguro wanie, sterowanie, monitorowanie i aktualizację dedykowanej platformy w chmurze. •Pivotal GemFire Dawniej VMware vFabric GemFire, teraz w portfolio Pivotal. Rozproszoną platformą do zarządzania danymi dedykowana do wielu zróżnicowanych sytuacji zarządzania danymi, szczególnie przydatna dla vCloud Hybrid Service, (IaaS dużych, wrażliwych na opóźnienia, Infrastructure as a Service – krytycznych systemów transakcyjnych. Infrastruktura jako Usługa) •Pivotal SQLFire Dawniej VMware vFabric SQLFire, jest Zbudowana na VMware vSphere teraz częścią portfolio Pivotal. Rozproszybko i płynnie rozszerza centrum szona pamięciowa baza danych SQL. danych w chmur ze z a pomoc ą W kategorii baz danych NewSQL , posiadanych narzę dzi. Pozwala SQLFire zapewnia dynamiczną skalon a w d r o ż e n ie c h mu r y hyb r y - walność i wysoką wydajność dla dowej w przeciągu godzin z nieza- nowoczesnych aplikacji przetwarzawodnymi, bezpiecznymi usługami jących duże ilości danych. oraz całkowit ą kompatybilnoś ć •Pivotal RabbitMQ z c e n t r u m da ny c h . R oz s z e r z a Dawniej VMware vFabric RabbitMQ, centrum danych o systemy kopii jest teraz częścią portfolio Pivotal. zapasowych producentów trzecich. To wydajne, wysoce skalowalne Pozwala na bezpieczne wdrażanie i łatwe w instalacji oprogramowanie rozwiązań poprzez oddzielenie środo- kolejkujące, które sprawiaże obsługa wiska wdrożenia od produkcyjnego. ruchu wiadomości jest praktycznie Umożliwia wdrożenie cyklu upgradów bez wysił kowa . Jest pr zeno ś ny istniejących witrualnych desktopów. na głównych systemach operacyjnych Pozwala budować i obsł ugiwać i platformach programistycznych. Biuletyn Informacyjny SOLIDEX® W pr ze c iwie ń s t wie do innyc h produktów obsługi wiadomości, jest oparty o protokół, co umożliwia połączenie się z szeroką gamą innych składników oprogramowania, co czyni go idealnym rozwiązaniem komunikacyjnym dla chmury. •Pivotal tc Server Dawniej VMware vFabric tc Server, jest teraz częścią portfolio Pivotal. Z apewnia użytkownikom korporacyjnym pożądany lekki serwer w połączeniu z kontrolą operacyjną, zaawansowaną diagnostyką i możliwością krytycznego wsparcia jakiego potrzebuje przemysł. •Pivotal Web Server Dawniej VMware vFabric Web Server, jest teraz częścią portfolio Pivotal. Zwiększa wydajność serwerów sieci, skalowalnoś ć i bezpiec zeństwo przy jednoczesnej redukcji czasu wdrażania i złożoności. •vFabric Postgres Relacyjna baza danych, zoptymalizowana dla VMware vSphere i środowiska vFabric, zwiększa wydajność wirtualizacji dla dużej ilości danych. •vFabric Suite Lekki, skalowalny, zintegrowany pakiet aplikacji warstwy pośredniej dla niest andardowych aplikacji intensywnych danych, c zy na odosobnionym rozwiązaniu czy to w chmurze. Zoptymalizowany dla otwartego Spring Framework, który jest używany przez więcej niż 50% programistów Java na całym świecie, vFabric idealnie nadaje się do wirtualnej infrastruktury VMware vSphere, infrastruktury fizycznej i Amazon EC2, zapewnia wyraźną drogę do chmury dla aplikacji niestandardowych. •vFabric Elastic Memory for Java Przeznaczony dla klientów korzystających ze zwir tualizowanych aplikacji Java na VMware vSphere. Koncentruje się przede wszystkim na zarządzaniu pamięcią i analizie wydajności, EM4J pozwala uzyskać największą efektywność i wydajność ze zwirtualizowanych aplikacji Java. Znacznie upraszcza typowe konfiguracje i zadania zarządzania. Pozwala aby hypervisor w sposób przejrzysty odzyskiwał pamięć bezpośrednio od stosunkowo bezczynnych maszyn wirtualnych Java (JVM), udostępniając ją tam, gdzie jest najbardziej potrzebna w wirtualnej infrastrukturze. 21 NOWOŚCI VMware Compliance Checker for Payment Card Industry (Kontroler zgodności dla przemysłu kart płatniczych) y, może uterach Mac OS, indows Android. odbiega nikatora dstawia ntaktów o status podstay pulpit owanie , takich wizualna w i lista y, jeśli liwości ównież niejącą d Cisco. ładową u przedstrony oft Lync ujednowością icznych, potkań. r fejsie ozmaite ozmieszący ich ą jeszcze owanej aplikacji, ogramie owania wartości. cjalnych M.G. OLIDEX SOLIDność w każdym działaniu... Firmy oferujące płatności kartami płatniczymi są w coraz większym stopniu kontrolowane, gdyż muszą przestrzegać PCI DSS (Payment Card Industry Data Security Standards – Standardy Bezpieczeństwa Informacji Przemysłu Kart Płatniczych). Grzywny i kary wzrosły dramatycznie dla systemów, które nie są zgodne z wytycznymi. Według VISA, 42% dużych i średnich sklepów w USA nie osiągnęło swoich terminów zrealizowania zgodności z PCI DSS. Organizacje nadal opierają się na ręcznych metodach oceny audytu PCI DSS, które wymagają znacznych zasobów IT od przygotowania do wykonania. Rę c zne sprawdzanie systemów pod kątem wymogów PCI DSS jest procesem czasochłonnym i podatnym na błędy. Rozwiązaniem jest Kontroler zgodności VMware. Jest to darmowe na r z ę d z ie do s t a r c z aj ą c e t e s t y zgodności czasu rzeczywistego dla wielu serwerów Microsoft Windows pod kątem wymagań PCI DSS v1.2. Narzędzie zbiera dane tych serwerów oraz stacji roboczych i tworzy szczegó ł owe p o dsumowanie , k t ór e wymagania są spełniane, a które nie. Takie podsumowanie zgodności z PCI DSS v1.2 może być użyte do prowadzenia strategii naprawy i pomóc firmie przygotować się do kontroli. Ważne jest, aby chronić dane posiadacza karty nie tylko podczas prowadzonego audytu, ale przez cały czas. Kontroler Zgodności z PCI DSS v1.2 upraszcza wykrywanie problemów, które mają wpływ na stan zabezpieczeń systemu. Dodatkowe informacje o omawianych produktach można znaleźć na stronie producenta: vmware.com/products Opracowano na podstawie oficjalnych materiałów producenta. P.C. Inżynier SOLIDEX 22 Biuletyn Informacyjny SOLIDEX® Integrujemy przyszłość® 33 Numer: II/2014 (127) CheckPoint – innowacyjny wymiar bezpieczeństwa. W kwietniu bieżącego roku portfolio firmy Check Point rozbudowało się o kilka nowych rozwiązań. Pierwszym z nich jest urządzenie z serii 41000, które uzupełnia rodzinę firewalli Check Point przeznaczonych do Data Center. Drugą zmianą jest rewolucja w kategorii produktów do zarządzania infrastrukturą Check Point, czyli Smart-1. Producent zdecydował się na wprowadzenie nowej serii urządzeń zastępując starą bardziej wydajną platformą sprzętową. Check Point 41000 Nowoczesne centra danych wymagają niezwykle wysokich wydajność oraz szybkiej transmisji danych. Dzieje się tak od momentu, kiedy ruch wewnętrzny oraz zewnętrzny rośnie w zastraszającym tempie. Ponadto w środowisku sieciowym klasy Data Center istnieje potrzeba zapewnienia większej łączności między pracującymi urządzeniami sieciowymi. Obecnie każde Data Center jest punktem zbiorc zym wszystkich poufnych danych, w k t ór ych posiadaniu znajduje się organizacja. Środowisko to, staje się zatem celem wielu ataków i prób włamań. Z tego powodu każde centrum danych wymaga dodatkowej warstwy zabezpieczenia przeciwko zaawansowanym zagrożeniom. Dotychczas w portfolio firmy Check Point znajdował się tylko jeden firewall o wydajności oraz możliwościach, które skalowalności rozwiązania, potrzeby są w stanie sprostać wymaganiom rynku wymusiły na producencie rozbudowanych Data Center, był wprowadzenie urządzenia pośredto model 61000. Posiadając do 12 niego mię dz y linią produk t ów kart liniowych określanych w nazew- przeznaczonych do zaawansowanych nictwie Check Point jako Security i rozległych środowisk sieciowych Gateway Module, potrafił zapewnić a największym z rodziny modelem przepustowość firewall’a na poziomie 61000. Odpowiedzią na wspomniane Datasheet: Check Point 41000bardzo and 61000 wysokiej Security Systemspotrzeby jest Check Point z serii 41000. 400 Gbps. Pomimo 5 41000 and 61000 1 1 Security Gateway Modules (SGM) 2 Security Switch Modules (SSM) 2 5 Fans 2 5 3 3 Chassis Management Modules (CMM) 4 Power Supplies 1 3 4 4 41000 (2 SSM Configuration) 61000 (2 SSM Configuration) Rys. 1. Opis budowy urządzeń klasy Data Center. As mission-critical networks evolve, their security is pushed to perform at higher levels. Optimized for the Check Point Software Blade Architecture, these two platforms improve security, protect business continuity and reduce operational costs in complex, mission-critical security environments such as data centers, Managed Service Providers and telecommunication companies. Biuletyn Informacyjny SOLIDEX® 61000 SECURITY SYSTEM The Check Point 61000 Security System is the industry's fastest security system that can achieve up to 400 Gbps of throughput in a single firewall instance. Even more, the ability to support 210 million concurrent connections and 3 million sessions per second brings unparalleled performance to multi-transaction environments. 23 NOWOŚCI eck Point 61000 Security System ECIFICATIONS W przeciwieństwie do większości produktów znajdujących się w portfolio tego producenta urządzenie 41000 jest skonstruowane w oparciu o architekturę Chassis. Podejście do realizacji wysokiej skalowalności zostało zaczerpnięte od większego z rodziny modelu 61000. Zarówno jeden jak i drugi wyposaża się w odpowiednią ilość blade’ów sprzętowych. Dzięki temu klienci mogą skalować wydajność nmental Conditions swojego systemu bezpieczeństwa o 131°F / –5° to 55°Cze swoimi potrzebami. zgodnie % (non-condensing) SSM160 8 x 10GBase-F SFP+ ports 2 x 40GBase-F QSFP ports—can be split to 8 x 10GBase-F 100 Gbps throughput Management interface ports: - 2 x 10GBase-F SFP+ - 2 x 1000Base-F SFP+ Rys. 2. Security Switch Module 160. Wyposażenie 41000 ns to 158°F / –40° to 70°C SGM2 20T oraz SGM260. Model całości rozwiązania zapewniając 61000 może zostać wyposażony większą wydajność dla funkcjonal6 10 0 0. Oba rozwią zania mogą w każdą z wymienionych kart, jednak ności przełączania oraz routingu. zostać wyposażone w dwa rodzaje nowy Accessories z serii 41000 jest kompa- Urządzenie z serii 41000 może zostać UV blade’ów sprzętowych. Pierwszym tybilny jedynie z wersją SGM260. wyposażone w maksymalnie dwa Management Module (CMM) CC part 15 z nich jest t ak zwany S ec ur ity Check Chassis Point 41000 standardowo elementy SSM160. Charakterystyka 2 per chassis GM220T designed for NEBS level 3(SGM). and ETSIZastosocompatibilitywyposa żony jest w jeden blade SSM160 znajduje się na rysunku 2. Gateway Module Manage and monitor rozbudowy the chassis Jak zatem prezentuje się wydajność wanie dodatkowych SGM zapewnia tego typu z możliwością ements and all modules; SGM and SSM Check Point 41000 na tle 61000? większą liczbę oraz gęstość portów, łącznie do czterech kart SGM260. 100-240VAC Fully redundant komponentem, w który Analizując zestawienie z tabeli 2 łatwo co w konsekwencji znacznie poprawia Drugim Hz klasy paramet r y wydajno ś c iowe dla urządzenia Cooling FansData Center mogą zauważyć, że parametry CP41000 ply Rating: 1200W @ 110V, 1600W @ 220V oraz IPS. zostać wyposażone jest Security są na ogół około trzy krotnie mniejsze funkcjonalności firewall 6 per chassis Producent w swoim portfolio posiada Switch Module (SSM). Zwiększa od Check Point z serii 61000. Jest ements trzy karty typu SGM, są to: SGM220, on iloś ć interfejsów sieciowych to łatwo uargumentować ilością 60 VDC, four feeds per module, Power Supplies kart SGM obsadzonych w każdym 50 Amp per feed Redundant hot-swappable z urządzeń podczas wykonywania ion Maximum testów wydajności. Były to 4 karty 2SGM220T x DC SGM220 SGM260 w przypadku 41000 oraz aż 12 kart 5 x AC Pamięć RAM 12 GB 24 GB 64 GB w Check Point 61000. mance Transceivers Security Power 1660 1660 3200 Oczywiście na urządzeniu Check Point wer QSFP: 40GBase-F QSFP splitter to 4x10GBase-F SFP (SSM160) można każdy Przepustowość 18 Gbps 18 Gbps 40 Gbps 41000 zaimplementować rewall Throughput QSFP: QSFP (SSM160) blade dostępny na rozwiąIlość połączeń na sekundę 150 tys. 15040GBase-F tys. 300 short tys. range software zania klasy Security Gateway. Dla tego S in Default Profile SFP+:10GBase-F SFP+ short range and long range (SSM160) modelu producent przygotował pewne S in Recommended Profile XFP: 10GBase-F XFP short range and long range (SSM60) Tabela 1. Parametry kart typu SGM. paczki funkcjonalne zawierające różne oncurrent connections SFP: 1000Base-F SFP short range and long range (SSM60, SSM160) moduły zgodne z celem przeznaczenia nnections per second Zaliczają się do nich: RJ45 SFP (SSM60,urządzenia. SSM160) 41000 SFP: 1000Base-T61000 •Next Generation Firewall, Module (SSM) 2 per chassis Memory (for SGM)15U Rozmiar 6U •Next Generation Threat Prevention, Przepustowość firewall 80 Gbps 12 GB upgrade option •Next Generation S ec ure Web 400 Gbps 1 15RU with additional 1RU Power supply expansion P (laboratorium) Gateway, •Next Generation Data Protection. ut Przepustowość VPN 40 Gbps 2 Designed for NEBS level 3 Zastosowanie w swoim Data Center 110 Gbps face ports: AES-128 rozwią zania Check Point 41000 (laboratorium) XFP zapewnia kompleksową ochronę Przepustowość IPS 44 Gbps 130 Gbps SFP przeciwko najbardziej zaawansoPołączenia na sekundę 1,1 mln 3 mln wanym zagrożeniom zachowując Ilość równoczesnych sesji 80 mln 210 mln nie z wyk le wys ok ą wydajno ś ć oraz niezawodność. Nowy firewall Ilość Virtual Systems 250 250 wprowadzony przez Check Point Ilość zasilaczy AC 3 5 idealnie wpasowuje się do portfolio producenta tworząc Check Point 41000 Tabela 2. Zestawienie parametrów wydajnościowych Check Point 41000 i 61000. rozwiązaniem efektywnym kosztowo. Na rysunku 1 przedstawiono opis % (non-condensing) budowy ur z ą d z e ń 4 1 0 0 0 or a z 24 Integrujemy przyszłość® ©2012 Check Point Software Technologies Ltd. All rights reserved. Numer: II/2014 (127) Po skonfigurowaniu odpowiednich widoków nowe narzędzia pozwalają na ich optymaliz ac ję . Dotyc z y to w głównej mierze zmian kosmetycznych, takich jak dodawanie róż nego rodz aju pomoc nych widget’ów czy zmiana typu wykresu na taki, który jest dla użytkowników przystępniejszy w analizie. Spersonalizowane raporty Ne x t G e n e r a t io n S m a r t E v e n t wprowadza pewną elastycznoś ć w o p r a c o w y w a n iu w ł a s n y c h raportów. Funkcjonalność ta zapewnia możliwość tworzenia raportów zawieRys. 5. Przykładowy raport wygenerowany w NG SmartEvent rających konkretną porcję informacji zarówno dla departamentu bezpieNext Generation SmartEvent na monitorowanie działań systemów, czeństwa znajdującego się wewnątrz które są najważniejsze i najbardziej organizacji jak i dla zewnętrznych Drugą z nowości, którą przygotował krytyczne z punktu widzenia zacho- audytorów. Stworzenie oficjalnego Check Point jest usprawnienie mecha- wania ciągłości pracy przedsię - dokumentu zawierającego infornizmów związanych z zarządzaniem biorstwa. Dzięki SmartEvent praca macje o aktywności użytkowników, infrastrukturą Check Point . Jest z wielkim zbiorem danych staje się najczęściej spotykanych zagrożeniach, to odpowiedź producenta na nabie- niezwykle łatwa i przyjemna, gdyż najczęstszych celach czy źródłach rające coraz większego znaczenia między innymi dostęp do polityk ataku wykonuje się jedynie w kilku pojęcie Big Data. Definicja tego bezpieczeństwa stowarzyszonych kliknięciach. W celu ułatwienia pracy terminu odnosi się do ogromnych z pewnym istotnym naruszeniem z narzędziem i prezentacji odpozbiorów danych, których analiza jest dostępny zaledwie po jednym wiedniej porcji danych SmartEvent jest niezwykle trudna i złożona, ale k lik nię c iu odpowiedniej ikony. wyposażony został w wyszukiwarkę jednocześnie prowadzi do zdobycia Dodatkowo możliwość tworzenia tekstową, która pozwala na znalezienie nowych na pierwszy rzut oka niezau- sp er s onali z owanyc h r ap or t ów interesujących nas danych w morzu ważalnych informacji. pozwala administratorom otrzy- zebranych informacji. Dzisiejsze środowiska siec iowe mywać w szybkim c zasie inforto nie tylko infrastruktura LAN oraz macji o istotnych z punktu widzenia Informacje dostępne od zaraz urządzenia odpowiedzialne za bezpie- bezpieczeństwa zdarzeniach. Nowa czeństwo. Pod tym pojęciem obecnie generacja narzędzie Smar tEvent Check Point w nowym wydaniu znajdują się równie ż wszystkie p o z w a l a p r z e d s i ę b i o r s t w o m Smar tEvent zmienia koncepc ję urządzenia mobilne podłąc zone na monitorowanie jedynie tego dostępu do danych zawartych w tym do naszej sieci oraz stacje końcowe, co jest dla nich istotne, wprowa- module. Next Generation SmartEvent które wspólnie generują potężny dzając jednocześnie oszczędność wystawia swoim użytkownikom wolumen danych ka żdego dnia. czasu i pomagając w ustawieniu i administratorom osobny portal C a ł e mnós two logów, zdar ze ń odpowiednich priorytetów reakcji dostępny z poziomu przeglądarki. oraz incydentów bezpieczeństwa na pojawiające się naruszenia oraz Dzięki temu każda upoważniona uzyskanych z tych urządzeń wymaga incydenty bezpieczeństwa. do pracy z systemem zarządzania osoba bardzo zaawansowanych narzędzi może teraz mieć podgląd aktualnego do codziennego monitorowania pracy Konfigurowalny podgląd stanu poziomu zabezpieczeń w sieci sieci. Wraz z tą ewolucją zarządzanie nie tylko z komputera, ale również incydentami bezpieczeństwa staje się Każda z organizacji wymaga wglądu z urządzeń mobilnych czy tabletów. nie lada wyzwaniem. w inne informacje w zależności R o z w i ą z a n i e m o f e r o w a n y m od zaimplementowanego systemu Nowa platforma przez producent a w tej mater ii zabezpieczeń typowych dla siebie jest Next Generation SmartEvent. zdarzeń oraz architektury sieciowej. Wraz z wprowadzeniem małej rewolucji Zapewnia on konfigurowalny wgląd Ne x t G e n e r a t io n S m a r t E v e n t w podejściu do korelacji zdarzeń Check w aktywność sieci w czasie rzeczy- pozwala użytkownikom na konstru- Point poszedł o krok dalej wprowawistym . Funkc jonalno ś ć konfi- owanie konfigurowalnych widoków dzając nową platformę sprzętową dla gurowalnych widoków pozwala i raportów zawierających jedynie urządzeń z serii Smart-1. Dzięki temu a d m i n i s t r a t o r o m o r g a n i z a c j i istotne dla danej organizacji informacje. wydajność w przetwarzaniu ogromnej Biuletyn Informacyjny SOLIDEX® 25 NOWOŚCI Smart-1 Appliances 205 Installed Software Blades Managed Gateways 210 225 3050 3150 SmartEvent, SmartReporter, Logging and Status 5 10 25 50 150+ 1 x 1 TB 1 x 2 TB 2 x 2 TB 4 x 2 TB Up to 12 x 2 TB (default 6 x 2 TB) Fiber Channel SAN Card - - Optional Optional Optional Out-of-band Management (LOM) - - 1xGBE Port 1xGBE Port 1xGBE Port 280 480 950 3000 7500 Stirage (HDD) Event Logs/Sec GB of Logs/Day 3.5 6.5 13 40 100 Maximum Users 900 1600 3000 10000 25000 Tabela 3. Dane katalogowe nowej serii Smart-1. porcji danych nie jest już ograniczeniem a praca z systemem zarządzania staje się szybsza i przyjemniejsza oszczędzając czas a także wysiłek administratorów oraz inżynierów bezpieczeństwa. Dane techniczne nowej platformy zostały zestawione w tabeli 2. Jak widać z zaprezentowanych danych urządzenia wyposażone są w bardziej pojemne dyski twarde oraz potrafią obsłużyć większą ilość zdarzeń niż te z poprzedniej serii. Główne korzyści Jakie są zatem główne korzyści z zastosowania SmartEvent nowej generacji? Można je podzielić na kilka kategorii. Pierwszą z nich jest zaawansowana możliwość podglądu, dzięki której administrator ma całościowy podgląd pracy oraz aktywności wszystkich zaimplementowanych Software Blade. Zaletą jest też przejrzystość prezentowanych danych i łatwość dostępu do tych najbardziej interesujących. Pod tym punktem kryje się funkcjonalność mapy, która wskazuje adresy źródłowe i docelowe konkretnego zdarzenia oraz funkcjonalność o nazwie „Top Statistics”, która na podstawie zanalizowanych informacji przedstawia najczęściej wykorzystywane reguły korelacji, najczęściejaktywne polityki bezpiec zeństwa, c zy najc zę ściej pojawiających się w logach użytkowników domenowych. 26 Drugą z kategorii z pewnością są możliwości analizy zdarzeń realizowane przez SmartEvent. W tym miejscu skut ec z nie dz ia ł a z aimplemen towany silnik do korelacji informacji pochodzących z logów wyposażony w zestaw predefiniowanych reguł. Dodat kowym pot ę ż nym nar z ę dziem jest możliwość opracowywania własnych reguł, dzięki czemu SmartEvent może zostać dostosowany do pracy z dowolnym środowiskiem sieciowym. Znacznym ułatwieniem jest posiadanie w systemie informacji o tożsamościach. Umożliwia to pracę nie z adresami IP ale z konkretnymi u ż y t k ownik a mi dome nowymi kryjącymi się pod tą adresacją. Kolejną z korzyści jest rozbudowa systemu o źródła danych. Obecnie oprócz pełnego wsparcia dla produktów C heck Point istnieje możliwoś ć integracji SmartEvent z rozwiązaniami innych producentów rozwiązań bezpieczeństwa i nie tylko (wsparcie dla Microsoft Windows). Check Point zdecydował się na wyposażenie swojego systemu w zestaw formatów logów obsługiwanych przez produkty z portfolio konkurencji. Gdyby jednak któryś z elementów znajdujący się w naszej infrastrukturze bezpieczeństwa nie był wspierany przez Check Point SmartEvent to dzięki udostępnionemu przez producenta narzędziu można opracować własny parser do takich logów. Integrujemy przyszłość® Podsumowanie Firma Check Point wprowadzając do swojego portfolio nowe produkty daje jasny sygnał, że znajduje się w dobrej kondycji. Jednocześnie umacniając się na pozycji światowego lidera w dziedzinie systemów bezpieczeństwa. Producent wzbogacił swoją ofertę w kategorii rozwiązań przeznaczonych do Data Center uzupełniając lukę w swoim asortymencie. Nowa platforma sprzętowa Smart-1 zdecydowanie wprowadzi nową jakość do zarządzania bezpieczeństwem w infrastrukturze Check Point powodując, że wydajność nie będzie już ograniczeniem. Ostatnią nowością jest rozbudowa funkcjonalności modułu SmartEvent. Dzięki wprowadzonym poprawkom narzędzie to nabiera cech produktów klasy SIEM (Security Information and Event Management), co w konsekwencji czyni środowiska sieciowe bardziej bezpiecznymi. M.M. Inżynier SOLIDEX Numer: II/2014 (127) Cisco 2960–X: najbardziej ekologiczny przełącznik. Oszczędność energii elektrycznej staje się obecnie jednym z najważniejszych zadań przed jakimi stają nowoczesne przedsiębiorstwa oraz korporacje. Coraz więcej użytkowników systemów IT zaczyna zwracać uwagę na zużycie energii elektrycznej przez poszczególne urządzenia, co w przypadku nawet niewielkich sieci teleinformatycznych może przełożyć się bezpośrednio na duże oszczędności finansowe w firmie. Rys. 1. Gama przełączników 2960-X Wprowadzenie W o dp owie d z i na p ows t aj ą c e wyzwania jesienią 2013 roku firma C isco wypuściła na r ynek serię przełączników 2960-X ogłaszając j e n a jb a r d z i e j e k o l o g i c z n y m i urz ądzeniami dost ępowymi na świecie. Wprowadzając pr ze ł ą c z nik C at alys t 2 9 6 0 -X – 24TD-L w tryb hibernacji możemy obniżyć zużycie energii elektrycznej z 33,1 watów do 6,6 wata, co oznacza, że w unikalny sposób przełącznik Biuletyn Informacyjny SOLIDEX® ten potrafi zaoszc zędzić do 82 % energii elektrycznej. Inne modele z serii 2 96 0 -X równie znac z ąco obniżają zużycie energii wykorzystując do tego tryb hibernacji Cisco EnergyWiseTM oraz funkcję Energy Efficient Ethernet (EEE). 27 TECHNOLOGIE Symbol Ruch – 100% Ruch – 0% (tryb EEE) Tryb Hibernacji Oszczędność Pobór mocy (AC-W) Pobór mocy (AC-W) Pobór mocy(W) C2960X-48FPD-L 66,7 50,8 26,0 61% C2960X-48LPD-L 62,0 45,7 23,1 63% C2960X-24PD-L 53,1 44,7 22,6 57% C2960X-48TD-L 47,8 32,9 8,7 82% C2960X-24TD-L 33,1 24,9 6,3 81% C2960XR-48FPD-I 62,5 46,7 23,7 62% C2960XR-48LPD-I 55,9 40,7 17,1 69% C2960XR-24PD-I 43,7 36,1 16,8 62% C2960XR-48TD-I 45,6 29,7 8,0 82% C2960XR-24TD-I 38,1 29,3 8,0 79% Tabela 1. Oszczędność zużycia energii elektrycznej w przełącznikach Catalyst Serii 2960-X w przypadku użycia trybu EEE oraz trybu hibernacji. W tabeli 1 przedstawiono procentową oszczędność energii dla różnych modeli przełączników serii 2960 – X porównując ich pracę przy 100% obciążeniu z trybem Energy Efficient Ethernet (EEE) oraz przy użyciu trybu hibernacji. Dlaczego Cisco wprowadza na rynek nowy produkt? Większość użytkowników przełączników serii 2960 – S/SF zastanawia się w jakim celu Cisco wprowadza następcę produktu, kiedy ten dotychczasowy na rynku sprawuje się znakomicie. Jest to jednak wynik ciągłych zmian zachodzących w sektorze IT. Cisco, tak jak każdy producent sprzętu IT chce utrzymać się na czele tych zmian odpowiadając tym samym na potrzeby transformacji rynku biznesowego. Inżynierowie IT spędzają obecnie około 80% swojego czasu na konfigurację oraz optymalizację urządzeń sieciowych. Model zarządzania Cisco Catalyst 2960-X dą ży do zapewnienia pomocy w zarządzaniu siecią poprzez uproszczenie metod administracyjnych. Również tematyka BYOD (Bring your own device) była w ciągu ostatnich dość często poruszana i której to dostawcy sprzętu poświęcili wiele czasu i uwagi. Bezpieczeństwo systemów IOS oraz Android stało się główną specjalizacją liderów w biznesie IT. Cisco Catalyst 2960-X zawiera w sobie wszystkie elementy, jakie zostały dotychczas wypracowane w tematyce BYOD, natomiast pod względem wydajności, gęstości 28 por tów i usług sieciowych jego parametry zostały dobrane gwarantując duży margines bezpieczeństwa. Oferując rozwiązania zastosowane w serii 2960-X Cisco stara się sprostać wymaganiom projektantów sieci, którzy chcą aby były one inteligentne i ekologiczne oraz bardziej zautomatyzowane. Cisco 2960-X zawiera w sobie funkcje OpenFlow, one PK, EnergyWise oraz inne inteligentne systemy, co czyni go potencjalnie „najinteligentniejszym” przełącznikiem dostępnym na rynku. Najbardziej ekologiczny Switch – Cisco 2960-X Aby pomieścić w sobie wszystkie powyższe funkcje nowy Catalyst 2 9 6 0 -X podwoił mo ż liwo ś c i platformy sprzętowej 2960-S. Oznacza to, że prze łąc zniki serii 2 96 0 -X posiadają przepustowość 80Gbps dla pojedynczego stosu (możliwość podłączenia do 8 przełączników w jeden stos). Wzrost pamięci bufora do 4MB oraz liczby kolejek do ośmiu znac znie rozszerzył moż liwoś ci świadczonych usług. Obudowa zawiera 24 lub 48 portów 10/100/1000 Mbps oraz 4x1GbE lub 2x10GbE portów uplinkowych. Switch ten zapewnia wsparcie PoE oraz PoE+ do mocy 740W bez konieczności instalowania dodatkowego źródła zasilania. A by z wię k s z y ć nie z awodno ś ć , przełączników serii 2960-X zostały wyposażone w podwójny procesor CPU oraz dwa wymienne zasilacze. Integrujemy przyszłość® Podobnie jak w przypadku serii 6500, przełączniki 2 960 -X zapewniają ochronę inwestycji dzięki kompatybilności wstecznej z serią 2960 – S/SF, a co za tym idzie urządzenia z obydwu serii mogą bez przeszkód pracować w jednym stosie. Powyższe rozszerzenia sprzętowe pozwoliły na dodanie nowych funkcjonalności przełączników, które definiują każdy ze switchów serii 2960 – X jako: prosty, bezpieczny oraz inteligentny. Prosty Przy ładowaniu systemu w przełącznikach serii 2960 – X konfiguracja jest pobierana z sieci bez jakiejkolwiek ingerencji operatora. Dodatkowo przełącznik posiada funkcję Cisco Auto Smartports, która wykrywa końcowych użytkowników podłączonych do portów 2960-X i zgodnie z zasadą Plug and Play dla urządzeń końcowych automatyzuje ich konfigurację. Przełącznik wyposażony został również w funkcję „Smart Call Home”, która umożliwia szybką diagnostykę oraz naprawę problemów sprzętowych i programowych telefonów IP. Bezpieczny Cisco 2960-X wyposażony został w funkcję „state-of-the-art”, która umoż liwia eliminac ję wp ł ywu zagrożeń zwiększając bezpieczeństwo technologii dostępu. Wykorzystuje on standard 802.1X w kontroli dostępu. D o dat kowo , p omag a w ł ą c z y ć Numer: II/2014 (127) Przycisk zmiany trybu Rys. 2. Catalyst 2960 – X (widok interfejsów) że seria 2960 – X jest najbardziej ekolo- EnergyWise lub też poprzez naciśnięcie giczną serią przełączników na świecie. przycisku zmiany trybu umieszczonego na obudowie urządzenia. Przycisk ten Innowacyjny tryb hibernacji pełni nadrzędną rolę wobec zadań zdefiniowanych w kalendarzu. Przełączniki serii 2960-X jeśli nie Na rysunku 3 przedstawiono zdjęcie Inteligentny są wykorzystywane mogą zostać płyty przełącznika, wykonanej kamerą włączone w tryb hibernacji. Pozwala termowizyjną, który pracuje w trybie Przełączniki Cisco Catalyst 2960-X to na zaoszczędzenie nawet do 82% pełnego zasilania. Na rysunku 4 przedposiadają funkcjonalnoś ć C isco energii w porównaniu z normalnym stawiono zdjęcie, tej samej płyty Ne t F low - L it e , k t ór a z apewnia trybem pracy. W trybie hibernacji przełącznika będącego w trybie hiberin ż ynierom lepsz ą widoc z no ś ć switch wyłącza: zasilanie procesora, nacji. Zauważyć można, że w trybie i kontrolę aplikacji w całej sieci układów scalonych (A SIC ) oraz hibernacji zasilane są tylko niezbędne firmowej. Dodatkowo wyposażone dołączonych urządzeń zasilanych elementy potrzebne do utrzymania są one w protokoły RIPv2, OSPF przez PoE. Dodatkowo wyłączane sys t emu . Nieis t ot ne elementy i EIGRP routing a także niezależny są wszystkie komponenty urządzeń, z punktu widzenia pracy przełącznika protokół multicast (PIM). Bazując które pracują w ścieżce przesyłu danych. są odłączone od zasilania. Efekt ten na Cisco Unified Access – producent Switch może zostać wprowadzony pozwala na zaoszczędzenie zużycia energii elektrycznej. oferuje jedną politykę i scentrali- w tryb hibernacji w dwojaki sposób: zowane zarządzanie. •za pomocą menadżera EnergyWise, Oprócz funkcji NetFlow Lite, obsługi takiego jak Joulex, Tryb EEE – Energy Efficient protokołów routingu i wysokiej •za pomoc ą komend w wierszu Ethernet programowalności, Cisco dodał poleceń. także elementy, takie jak: innowa- P rzywrócenie switcha do tr ybu Internet jest obecnie najczę ściej cyjny tryb hibernacji EnergyWise oraz normalnej pracy może odbyć się używanym interfejsem sieci na świecie, tryb Energy Efficient Ethernet (EEE). dzięki kalendarzowi zadań zdefi- w którym cały ruch przechodzi przez Wszystkie te elementy sprawiają, niowanemu za pomocą menadżera łącza internetowe. Jednak większość skalowanie i dynamiczną kontrolę dostępu opar tą na funkcji Cisco TrustSec. Zapewnia również ochronę przed kradzieżą oraz atakami przy użyciu protokołu IPv6. Rys. 3. Karta przełącznika w trybie normalnej pracy. Kolorem czerwonym zostały oznaczone wszystkie elementy, które są zasilane. Rys. 4. Karta przełącznika w trybie hibernacji. Kolorem zielonym oznaczono elementy, które są zasilane. Kolorem niebieskim oznaczono elementy, które nie są zasilane. Biuletyn Informacyjny SOLIDEX® 29 TECHNOLOGIE Interwał odświeżania Active Sleep Td Ts Refresh Wake Tr Tw Tq Active Rys. 5. Stany pracy protokołu EEE w przełączniku Cisco Catalyst 2960-X Tryb pracy ciągłej Active IDLE Dane IDLE Dane IDLE Dane Rys. 6. Przykład działania protokołu EEE dla profilu obciążenia typowego serwera, przy ciągłym zasilaniu portu Ethernetowego Quiet Quiet WAKE Sleep Tryb pracy ciągłej Refresh Dane/IDLE Mała moc Refresh Tryb pracy ciągłej Dane/IDLE Quiet Rys. 7. Przykład działania protokołu EEE dla profilu obciążenia typowego serwera, przy zoptymalizowanym zasilaniu portu Ethernetowego. połączeń w sieciach LAN spędza wiele czasu bezczynnie czekając na przesłanie pakietu danych. Bezczynność nie powoduje jednak mniejszego zużycia energii elektrycznej, a moc pobierana przez urządzenia jest na stałym poziomie. Szacuje się, że urządzenia sieciowe oraz interfejsy sieciowe stanowią ponad 10% całkowitego zużycia energii przez sektor IT, które wynosi kilkadziesiąt terawatogodzin rocznie1. Tryb oszczędzania energii EEE zapewnia mechanizm oraz standardy 1 30 potrzebne do redukcji zużycia energii elektrycznej bez zmniejszania funkcji życiowych interfejsów sieciowych. Podstawowym założeniem energooszczędnego mechanizmu jest to, że zużycie energii powinno odbywać się tylko i wyłącznie wtedy, kiedy przez interfejs przesyłane są dane. W przypadku bezczynności kiedy istnieje luka w strumieniu danych, z u ż yc ie p owinno b y ć z e r ow e lub na bardzo niskim poziomie. Odbywa się to za pomocą protokołu sygnalizacyjnego, k tór y potrafi stwierdzić, że w przesyłanym pakiecie jest przerwa, przez co zezwala interfejsowi na przejście w tryb bezczynności. Protokół ten stosowany jest również w celu przesłania informacji, że pakiet danych będzie wysyłany, a interfejs musi powrócić do trybu pracy po zdefiniowanym opóźnieniu. Na r y s u n k u 5 p r z e d s t aw io n o przykładowy stan pracy protokołu EEE w przełączniku Cisco Catalyst 2960-X. Protokół EEE wykorzystuje Roth, Goldstein & Kleinman, 2001, Energy Consumption by Office and Telecommunications Equipment in Commercial Buildings. Lanzisera, Nordman, Brown, 2010, Data Network Equipment Energy Use and Savings Potential in Buildings. Kawamoto, Koomey, Nordman, Brown, Piette, Ting, Meier, 2002, Electricity Used by Office Equipment and Network Equipment in the U.S. Integrujemy przyszłość® Numer: II/2014 (127) sygnał, k tór y jest modyfikac ją normalnego sygnału bezczynności przesyłanego pomiędzy pakietami danych. Sygnał ten definiowany jest jako „bieg jałowy” (low power idle – LPI). Nadajnik wysyła LPI w miejsce sygnału bezczynności w celu wskazania, że połączenie mo ż e pr zej ś ć w t r yb u ś pienia . Po wysłaniu sygnału LPI na określony czas ( Ts – time to sleep) nadajnik może całkowicie zatrzymać transmisję tak, że połączenie przechodzi w tryb spoczynku. Okresowo nadajnik wysyła pewne sygnały (refresh), aby połączenie nie pozostawało zbyt długo nieaktywne bez odświeżania. Gdy nadajnik chce przywrócić pełne połączenie, przesyła sygnał wybudzenia (wake). Po określonym czasie (Tw – time to wake) połączenie staje się aktywne, a dane mogą zostać przesłane. Protokół EEE musi być wspierany na obu końcach łącza. Na rysunku 6 przedstawiony został pr z yk ładowy profil obc ią ż enia typowego serwera podczas pracy ciągłej. W tym przypadku zarówno dane jak i puste pakiety danych zużywają podobną iloś ć energii. Na r ysunku 7 zauwa ż yć moż na natomiast ten sam profil obciążania serwera, który wykorzystuje funkcję EEE. Po wysłaniu ostatniego pakietu, połączenie przechodzi w stan uśpienia, co jakiś czas wysyłając pakiety odświeżenia, aż do momentu p o n ow n e go p r z e s y ł u da ny c h . W trakcie uśpienia pobierana jest znikoma moc z urządzenia. Wszystkie omówione elementy sprawiają, że seria 2960 – X jest najbardziej ekologiczną serią przełączników na świecie. Nowa jakość oszczędzania energii Porównując pak iet us ł ug jak ie dostępne są w nowej serii przełączników 2 9 6 0 – X , efek tywno ś ć e n e r ge t y c z n a s t a ł a s i ę j e d n ą z najbardziej imponujących cech, które wyróżniają je spośród innych switchów. Zużycie energii elektrycznej oparte jest na kontroli ruchu (EEE) oraz możliwości pracy w trybie hibernacji – EnergyWise Hibernation Mode. Rozważmy typowy dzień roboczy. O 8 .00 kiedy zac zyna się dzień prac y, swit ch 2 96 0 -X b ę dzie pracował w pełnym trybie pracy, ofer ują c 3 – 10 % os zc z ę dno ś c i ener g ii elek t r yc z nej w p or ów naniu z innymi prze ł ąc znikami, ze względu na wysoką sprawność zasilac za. W po ł udnie, w porze lunchu, kiedy ruch w sieci jest niski, o s z c z ę dno ś ć ener g ii wyp ł ywa z użycia funkcji EEE (Energy Efficient Ethernet). O godzinie 17.00, kiedy biura są zamykane, prze ł ąc znik wykorzystuje funkcję EnergyWise wprowadzając punkty końcowe w tryb oszczędzania energii, tym samym oszczędzając 30% energii elek tr yc znej. Od godziny 18 .00 do godziny 8.00 następnego dnia oraz w weekendy przełącznik może przejść w tryb hibernacji, zużywając Biuletyn Informacyjny SOLIDEX® tylko 6W w przeciwieństwie do 85W, które zużywane są kiedy przełącznik jest ak tywny. Depar tamenty IT mają zatem wiele możliwości, aby obniżyć zużycie energii elektrycznej w swoich placówkach. Podsumowanie Najnowszy przełącznik serii 2960-X podwaja możliwości sprzętowe jakie zostały dostarczone w modelu Catalyst 2960-S poprzez dodanie takich funkcji jak: widoczność i kontrola aplikacji, obsługa protokołów routingu, bezpieczeństwo, uproszczone operacje, a t ak ż e kor z y ś c i byc ia najbardziej ekologicznym przełącznikiem na świecie. Dodatkowym atutem jest zdolność współpracy serii 2960-X z serią 2960-S/SF, co zapewnia wieloletnią ochronę inwestycji. Wszystko to sprawia, że przełączniki 2960-X stają się najbardziej popularnymi swi t c ha mi na r ynk u . B a z uj ą c na takim sprzęcie kierownic two IT będzie mogło w przyszłości bez pr oblemu r oz wią z ać pr oblemy związane z rosnącymi wymaganiami dotyczącymi bezpiecznej obsługi systemu BYOD, 802.11ac, a przede wszystkim oszczędzać energię tam, gdzie dotychczas była ona bezproduktywnie tracona. Opracowano na podstawie oficjalnych materiałów Cisco. M.K. Inżynier SOLIDEX 31 TECHNOLOGIE Tufin SecureChange – efektywne zarządzanie zmianami. W numerze III biuletynu Integrator wydanym w 2012 roku znalazł się artykuł na temat Tufin SecureTrack, czyli lidera rozwiązań klasy Firewall Operation Management. Artykuł ten, jest kontynuacją analizy produktów firmy Tufin wchodzących w skład Tufin Orchestration Suite. Po lekturze tego artykułu czytelnicy dowiedzą się jak korzystając z narzędzi Tufin można ułatwić wykonywanie codziennych obowiązków i jak dzięki temu życie administratora bezpieczeństwa staje się przyjemniejsze. Tufin Orchestration Suite Zarządzanie zmianami należy do grupy procesów o wysokim stopniu skomplikowania pod względem organizacyjnym. Każda wprowadzana edycja w systemie teleinformatycznym jest krytyczna z punktu widzenia zachowania prawidłowego funkcjonowania biznesu. Podczas realizacji jakichkolwiek zmian korporacja nie może pozwolić sobie na żaden, nawet najmniejszy błąd, ponieważ może on doprowadzić do poważnej destabilizacji systemu. Firmy są wówczas narażone nie tylko straty finansowe ale również na wizerunkowe, gdyż w efekcie wprowadzonych „poprawek” mo ż e na s t ą pi ć nie do s t ę pno ś ć pewnych usług sieciowych, aplikacji, 32 a w konsekwencji niezadowolenie klientów lub pracowników. Aby czuć się pewnie podczas wdrażania zmian w architekturze bezpieczeństwa oraz podnieść skuteczność takiej procedury zaleca się by: •Wszelkie zmiany akceptowane były przez odpowiednie osoby (Dział Bezpieczeństwa oraz Dział IT). •Zaplanowane zmiany w konfiguracji polityk bezpieczeństwa pozostawały w zgodzie z regulacjami wewnątrz firmy. •Zaplanowane zmiany w konfiguracji polityk bezpieczeństwa pozostawały w zgodzie ze st andardami przemysłowymi. •Każda zmiana w polityce bezpieczeństwa była w pełni rejestrowana. Zapisane informacje na temat osób Integrujemy przyszłość® zaangażowanych w cały proces oraz wszystkie dane o wprowadzonych z mianach mog ą po ś wiadc z yć do ewentualnego audytu. •Każda zmiana była wdrożona zgodnie z wcześniej ustaloną koncepcją, która uwzględnia pełną analizę ryzyka. Rozwiązaniem, które umożliwia ur uchomienie procedur y zmian zgodnej ze wspomnianymi zaleceniami oraz które automatyzuje część tego procesu jest pakiet specjalistyc znych narzędzi Tufin Orchestration Suite. W jego skład wchodzi opisywany już we wcześniejszym wydaniu „Integratora” SecureTrack, SecureChange oraz znajdujący się w portfolio firmy Tufin od 2013 roku SecureApp. Dla przypomnienia SecureTrack jest dedykowanym zestawem Numer: II/2014 (127) funkcji, które wspomagają zarządzanie zmianami oraz oferują zbiór czynności, które mają na celu optymalizację konfiguracji sieci i systemów bezpieczeństwa. Drugi składnik, którego dotyczy niniejszy artykuł to Tufin SecureChange. Jest to uniwersalne rozwiązanie służące do pełnej obsługi i automatyzacji procesu zarządzania zmianami oraz wspomagania tak zwanego „przepływu pracy” (workflow). W systemie SecureChange workflow rozumiany jest jako wieloetapowy proces obsługi wniosków o wprowadzenie zmian w architekturze bezpieczeństwa. Obejmuje on wszystkie kroki takiego wniosku począwszy od jego złożenia, przez analizę, projektowanie, akceptację, aż do wprowadzenia zmiany i zamknięcia zgłoszenia. W ramach licencji SecureTrack dostępny jest podstawowy pakiet SecureChange Basic, który zawiera ten sam zestaw funkcji obarczony jednak ograniczeniami pod kątem edycji predefiniowanych procedur. są wszystkie skutki jej wprowadzenia. System mając dostęp do regulacji wewnątrz firmy może zaalarmować na przykład, gdy w wyniku planowanych zmian będzie miało miejsce otwarcie dostępu do usług użytkownikom lub podsieciom, które nie powinny móc z nich korzyst ać . Ostatnim elementem jest sprawdzenie poprawności nowej konfiguracji oraz weryfikacja poprawnej implementacji zmian na urządzeniach. Wszystkie te czynności są w pełni zautomatyzowane co eliminuje błędy wynikające z czynnika ludzkiego. Całościowo administratorzy posiadają pełną kontrolę nad procesem wprowadzania zmian, posiadają pełną dokumentację oraz oszczędzają swój czas. nie ma w pełnej wersji rozwiązania co daje administratorowi pe łen wachlarz funkcjonalności systemu. Jak zatem wygląda praca z Tufin SecureChange? Pierwszym krokiem jest zawsze złożenie wniosku o wprowadzenie zmian w systemie zabezpieczeń. Wniosek ten może dotyczyć między innymi przyznania odpowiednich uprawnień określonemu użytkownikowi czy też dodanie dostępu do nowej aplikacji. Jak byłoby to zrealizowane za pomocą ogólnie przyjętych metod? Zapotrzebowanie na wprowadzenie korekt do systemu zabezpieczeń wędrowa ł oby dr og ą ma ilow ą pr z e z określony czas, aż dotrze do osoby o odpowiednich kompetencjach, która go zatwierdzi. Wszystkie pozostałe Zarządzanie workflow elementy tego procesu odbywałyby się również w dość sporym chaosie, gdyż Rozpoczynając pracę z systemem osoby będące bezpośrednio zaangap o p i e r w s z y m z a l o g o w a n i u żowane (osoby decyzyjne, inżyniedysponujemy zestawem predefi- rowie bezpieczeństwa, administratorzy Jakie są zalety korzystania z SecureChange? Po zapoznaniu się z możliwościami systemu okazuje się, że korzyści jest całkiem sporo a sama struktura pracy z systemem jest prosta i intuicyjna. Jedną z głównych zalet jest centralna obsługa całego procesu zarządzania zmianami począwszy od samego odbioru wniosku o wprowadzenie zmian, akceptację planowanych zmian przez odpowiednie osoby decyzyjne, z ap r o je k t ow a nie i w d r o ż e nie wszystkich edycji, aż do precyzyjnego zarejestrowania całości procedury. Następną funkcjonalnością realizowaną w SecureChange jest projektowanie nowej polityki zabezpieczeń, która jest wynikiem napływających wniosków o wprowadzenie zmian. Sugestie budowane są przez system w oparciu o analizę treści wniosków o edycję w strukturze bezpieczeństwa oraz już istniejące polityki zaimplementowane na wszystkich systemach zabezpieczających infrastrukturę IT. Równocześnie podczas planowania zmian konfiguracji egzekwowana jest nowa polityka bezpieczeństwa. Na tym etapie nowa polityka jest wer yfikowana i wizualizowane Rys. 1. Architektura systemów Tufin. niowanych szablonów procedur wprowadzania zmian w sieci zabezpieczeń. Znajdują się one w zakładce Workflows. W wersji SecureChange Basic niestety nie ma możliwości edytowania procedur dostarczonych przez producenta „z pudełka” oraz opcja tworzenia własnych jest zabroniona. Tych niedogodności oczywiście Biuletyn Informacyjny SOLIDEX® firewalli) nie posiadaliby scentralizowanej obsługi całości procedury. Dodatkowo tak stworzony projekt trudno jest zweryfikować pod kątem analizy ryzyka, co również wprowadza pewne niedogodności. W pr zypadku zastosowania nar z ę d z ia Tuf in S e c ur e C hange procedura przebiega zdecydowanie 33 TECHNOLOGIE Rys. 2. Przykładowy workflow z Tufin SecureChange. sprawniej, wygodniej oraz oferowane są dodatkowe możliwości. Algorytm postępowania od wniosku do implementacji można zamknąć w zaledwie sześciu punktach: 1. Żądanie zmiany wprowadzone przez interfejs Web’owy udostępniony użytkownikom systemu Tufin. 2. Automatyczny przydział wniosku do odpowiedniej osoby, która tłumaczy wymagania na podłożu biz nesowym na realiz ac yjny język techniczny. 3. Osoba odpowiedzialna oczekuje na zatwierdzenie. 4. Osoba decyzyjna wykonuje analizę ryzyka wprowadzonych zmian za pomocą dedykowanych narzędzi SecureChange i na podstawie wyników podejmuje odpowiednią a k c j ę : pr z e k a z uje wnio s e k do realizacji, odrzuca wniosek lub odpowiednio go modyfikuje. 5. Inżynier odpowiedzialny za wdrożenie zmian wybiera najlepszą metodę implementacji z punktu widzenia bieżącej polityki bezpieczeństwa posiłkując się specjalistycznymi narzędziami. 6. System wykonuje automatyczną wer yfikac ję wprowadzonych zmian i powiadamia o jej wyniku użytkownika. oraz wprowadzonych komentarzy. Na ws z ys t k ic h e t apac h o s oby odpowiedzialne powiadamiane są automatycznie drogą mailową o czekającym na nich zadaniu. Jak to wygląda w samym systemie? Zgodnie z wymaganiami wprowadzenia zmian w systemie zabezpieczeń uruchamia się odpowiednią do tego procedurę. Przykładowa procedura reprezentująca workflow dla przyznania dostępu została przedstawiona na rysunku 2. Pierwszym etapem takiego procesu jest Open Request. W tym punkcie rozpoczyna się otwieranie wniosku o wprowadzenie zmiany. Tut aj definiuje się formularz zgłoszeniowy żądanych poprawek oraz wszystkie parametry czasowe. Do tych celów służą odpowiednio zakładka Fields oraz parametr Expiration, który def iniuje c z as obowią z ywania zmiany oraz umożliwia informowanie określonych administratorów przed upływem jej ważności. Na tym etapie możliwe jest również dodanie uczestników, którzy zadanie to będą obsługiwać z odpowiednimi prawami wykonywania konkretnych poleceń. Podczas następnego kroku – Business A ppr ova l o dp owie dnie o s oby decyzyjne mają za zadanie zwery- na poszczególnych etapach. Dostępne t r yb y z o s t a ł y p r z e d s t aw io n e na rysunku 3. K rok trzeci, c zyli Automatically Identify Targets jest realizowany automatycznie przez system SecureChange. Na tym etapie rozwiązanie samodzielnie wyznacza urządzenia lub systemy, na których zmiany powinny być wprowadzone. Zwalnia to administratorów z wykonywania dodatkowej pracy oraz przedstawia cenną informację, na podstawie której mogą oszacować intensywność planowanych zmian. Etap czwarty to Technical Design. Na tym etapie inżynierowie dostają w swoje ręce dwa specjalistyczne narzędzia: Risk Analysis oraz Advisor. W sytuacji, gdy SecureChange jest zintegrowany z SecureTrack uruchomienie mechanizmu Risk Analysis sprawdza, czy wprowadzenie zmian pozostaje w zgodności z politykami bezpieczeństwa. Natomiast Advisor automatycznie generuje rekomendacje zmian konfiguracji na podstawie informacji o topologii sieciowej w SecureTrack . Podc zas tego et apu, gdy administrator wykona swoje zadanie pomimo że wprowadzona modyfikacja jest w sprzeczności z politykami zgodności firmy, sam SecureChange może powiadomić o takim zdarzeniu określone osoby w celu wyjaśnienia zaistniałej sytuacji. Następny punkt procesu Security Review może zostać pominięty w sytuacji, gdy wykonana w punkcie wcześniejszym analiza ryzyka nie wykazała żadnych sprzeczności z regulacjami bezpieczeństwa wewnątrz firmy ani nie spowodowała zwiększenia jakichkolwiek podatności. Jeżeli jednak w poprzednim kroku wykazano pewne naruszenie, to na tym etapie możliwe Rys. 3. Dostępne tryby przypisania uczestników do obsługi wniosku. jest przeprowadzenie szczegółowego audytu w celu sprawdzenia planoPodc z as c a łego pr oc e su k a ż da fikowanie poprawności wniosku wanych zmian pod kątem podatności z z aanga ż owanyc h os ób mo ż e oraz jego zaakceptowanie lub odrzu- lub możliwa jest modyfikacja zmian mieć dostęp do aktualnego statusu cenie. Co ważne, poprzez system w celu zniwelowania ewentualnych złożonego wniosku, wyników poszcze- S ec ureC hange moż na na wiele błędów wprowadzonych przez edycję gólnych operacji automatycznych sposobów przydzielić osoby do pracy polityk bezpieczeństwa. 34 Integrujemy przyszłość® Numer: II/2014 (127) Tufin Orchestration Suite R13-3 W pa ź d z ier nik u ze s z ł ego r ok u Tufin oficjalnie wydał nową wersję swojego pakietu narzędzi. Wersja R 1 3 - 3 w p r o w a d z a m o ż l iw o ś ć integracji produktów Tufin z urządzeniami sieciowymi większej gamy p r o du c e n t ów . G ł ów n e n a c i s k na zmiany i rozwój położone zostały na trzeci z komponentów systemu – SecureApp. Tutaj również pojawiło się wsparcie dla większej lic zby aplikacji. Oprócz tego, z poziomu SecureApp możliwe jest automatyczne wykrycie serwerów aplikacyjnych nie będących już w użytku. Zdecydowanie ułatwiono również pracę z SecureApp użytkownikom mniej zaawansowanym technicznie. Podsumowanie Rys. 4. Przykład konfiguracji SLA dla żądania zmian. Ostatni punkt to finalizacja całości procesu to wdrożenie planowanych zmian. Na samym końcu system SecureChange dokonuje weryfikacji prawidłowej implementacji zmian na każdym z urządzeń gdzie modyfikacja miała miejsce. Całość procedury kończy się prawidłowo przeprowadzonym wdrożeniem nowej reguły bezpieczeństwa w odpowiednim czasie. By czasem tym odpowiednio gospodarować i zarządzać , Tufin oddaje w ręce użytkowników SecureChange funkcję do konfiguracji SL A. Za pomocą tej funkcji można skonfigurować ilość dni, w którym żądanie zmian ma zostać przeprocesowane oraz jaki typ akcji podjąć w momencie, gdy praca nad wnioskiem zatrzymuje się na konkretnym etapie. Przykład możliwości konfiguracji znajduje się na rysunku 4. P ak ie t us ł ug ofer owany pr ze z f i r m ę Tu f i n j e s t n a r z ę d z i e m o bardzo dużym potencjale. Produkt z roku na rok dynamicznie rozwija się w celu osiągnięcia pełnej dojrzałości. Natomiast możliwość integracji z coraz większą liczbą producentów systemów bezpieczeństwa powoduje, że rozwiązania Tufin częściej znajdują zastosowanie. Wykorzystanie SecureChange oraz SecureTrack oferuje rzeczywiste zarządzanie bezpieczeństwem IT. Podział odpowiedzialności jest precyzyjnie wydzielony a cała procedura jest w pełni udokumentowana i zgodna z regulacjami (PCI, SOX, HIPA A). Mam nadzieje, że niniejszy artykuł uwidocznił zalety rozwiązania SecureChange i pokazał, że nie tylko zwiększa efektywność operacyjną ale pozwala administratorom bezpieczeństwa spać spokojniej. Opracowano na podstawie oficjalnych dokumentów producenta. M.M. Inżynier SOLIDEX Rys. 5. Stos pakietu Tufin Orchestration Suite R13-3. Biuletyn Informacyjny SOLIDEX® 35 TECHNOLOGIE Cisco Invicta – IOPS bez granic. „Co by się stało, gdybyś mógł zwiększyć wydajność najbardziej krytycznych aplikacji? Twoje transakcje mogłyby być zawierane niemal natychmiast, użytkownicy mogliby analizować dane i podejmować decyzje szybciej, niż do tej pory. A co, jeśli mógłbyś z łatwością dostosowywać twoją infrastrukturę do zmieniających się wymagań? Teraz możesz to zrobić. Przodująca pozycja Cisco w wysokoskalowalnych i wysokowydajnych rozwiązaniach opartych na układach półprzewodnikowych pozwala na zdecydowaną poprawę wydajności aplikacji w połączeniu ze znaczącym uproszczeniem infrastruktury Data Center”. Co to jest? Roz wią z anie Invic t a je s t linią wysokowydajnych mac ier zy Rys. 1. Przykładowy dysk SSD. 36 dyskowych opartych na pamięciach flash. Producent proponuje przede wszystkim półki o wysokości 2U, które łączyć można w elastyczne i skalowalne systemy agregujące pojemność i wydajność analogicznie do rozwiązań serwerowych w ramach UCS. (identyczne mocowanie oraz złącza transmisji danych i zasilania) nie lic ząc pewnych zabiegów, które musz ą być z aimplement owane w oprogramowaniu systemowym uwzględniającym pewną specyfikę działania tych urządzeń. Dyski SSD Podstawy pamięci flash Standardem przemysłowym stał się de facto format 2,5” i 3,5” dysków pó ł przewodnikowych t ak , żeby mo ż na by ł o wymienia ć t r ady cyjne dyski HDD w komputerach, serwerach i macierzach na dyski półprzewodnikowe bez żadnych zabiegów dostosowawc zych Pamięci typu flash są to nieulotne (zachowujące zapisane informacje bez potrzeby dostarczania zasilania) pamięci półprzewodnikowe oparte na gromadzeniu ładunku w izolowanym fragmencie półprzewodnika. Pole elektryczne wytwarzane przez zakumulowany ładunek zuba ż a Integrujemy przyszłość® Numer: II/2014 (127) kanał półprzewodnikowy przebiegając y obok bramki zamykając go (lub przymykając w przypadku komórek wielostanowych). Cechy charakterystyczne Idea pamięci flash oparta jest na znanej od dawna i szeroko wykorzystywanej idei pamięci EPROM. Odczyt komórki pamięci flash odbywa się przez pomiar prądu płynącego przez kanał pod wpływem przyłożonego napięcia do krańców kanału. Zapis odbywa się poprzez przyłożenie napięcia programującego do elektrody (kontrolnej, programującej) przylegającej ale nie podłączonej do bramki, co powoduje wstrzyknięcie do niej określonego ładunku. Wysoka stała dielektryczna dwutlenku krzemu pozwala na długotrwałe utrzymanie ładunku w bramce. na rok coraz większej ilości komórek pamięci na jednostce powierzchni a zmniejszenie przekrojów ścieżek i wartości prądów występujących w obwodach zmniejsza wydzielanie ciepła (w przeliczeniu na jednostkę pamięci). Czasy dostępu do pamięci (do odczytu) są bardzo krótkie i niezależne od położenia komórki w strukturze. W związku z tym, w tego typu pamięciach nie występuje zagadnienie defragmentacji jako czynnika spowalniającego dostęp do informacji. Wady Podstawową wadą pamięci flash jest ograniczona liczba cykli zapisu takich komórek spowodowana degradacją warstwy izolatora oddzielającego pływającą bramkę od pozostałej części infrastruktury półprzewodnika. Dodatkowo dostępna liczba cykli Pozwalają na przechowywanie jednego bitu informacji (kanał pod bramką jest włączony lub wyłączony). Zajmują stosunkowo najwięcej powierzchni struktury półprzewodnikowej w przeliczeniu na bit danych i z tego powodu są najmniej ekonomiczne w produkcji. Komórki TLC (Triple Level Cell) dla odmiany przechowywują trzy bity informacji co powoduje, że jest to konstrukcja o największej gęstości upakowania w przeliczeniu na jeden bit informacji, a zatem najtańsza. S ą jednoc ze ś nie najwolniejs ze w odczycie i zapisie ze względu na skomplikowanie i wielostopniowe obwody obsługujące takie komórki. Odczyt trzech bitów jednoc ze śnie wymaga zdekodowania ośmiu poziomów prądu w kanale, co narażone jest na błędy i zmianę par ame t r ów z ale ż ną od c z a su , temperatury i innych czynników zmieniających charakterystykę pracy komórek pamięci. Dlatego rozsądnym kompromisem jest komórka czterostanowa MLC (Multi Level Cell) przechowująca dwa bity informacji, a jej parametry pośrednie między rozwiązaniami SLC i TLC. Porównanie z dyskami HDD Najistotniejszym elementem odróżniającym pamięci półprzewodnikowe a flash w szczególności od pamięci HDD jest brak elementów ruchomych, którymi charakteryzują się dyski twarde. Istnienie wirujących talerzy Rys. 2. Budowa komórki pamięci flash. oraz napędu wprowadzającego talerze w ruch, a także głowicy ruchomej Podstawowe zalety zapisu uzależniona jest od techno- i jej napędu w postaci indukcyjnego logii w szczególności ilości stanów silnika liniowego powoduje stały Zaletą pamięci flash jest jej całko- logicznych zapamiętywanych w jednej i znac zący pobór prądu wydziewicie półprzewodnikowa natura. komórce (tabela 1). lanego w postaci ciepła, które należy Zarówno programowanie, jak odczyt Najdroższe rozwiązanie, komórki typu odprowadzić poza system. Co więcej, odbywa się na drodze całkowicie SLC (Single Level Cell) są najszybsze, rotacja talerzy przy ustalonej osi elektronicznej. Postępująca minia- najodpor niejsze na degradac ję obrotu powoduje minimalne wibracje turyzacja układów półprzewodni- izolatora a co za tym idzie wytrzymują wobec nieuniknionego minimalnego kowych pozwala na upakowanie z roku największą ilość cykli kasowania/zapisu. niewyważenia, które muszą być Stany Cykle kasowania Max tProg (µs) R (µs) Koszt SLC 2 100000 700 25 $$$ MLC 4 3000-10000 1200 50 $$ TLC 8 1000 2000 100 $ t Tabela 1. Porównanie parametrów komórek flash w różnych technologiach. Max tProg - maksymalny czas programowania, tR - czas przeniesienia jednej strony flash do rejestru danych. Biuletyn Informacyjny SOLIDEX® 37 TECHNOLOGIE to 7200 rpm (120 rps) i 5400 rpm (90 rps). Wartość siły odśrodkowej dział ając ej na ka żdy punk t talerzy wirujących jest określona wzorem: = F mv 2 = mϖ 2 r r Na minimaliz ac ję sił y odśrodkowej (a zatem na natężenie wytłumiane za pomocą elementów i częstotliwość drgań zespołu osi sprężystych, cieczy czy układów i talerzy wirujących) wpływa się tłumienia aktywnego. Każde takie głównie przez obniżanie prędkości rozwiązanie przenosi w mniejszym obrotowej (czynnik ω2 ) oraz przez lub większym stopniu wibracje, hałas zmniejszanie promienia r dysków i ciepło na obudowę dysku, które i użycie odpowiednio sztywnych są absorbowane przez chassis i systemy materiałów o niskiej gęstości (stopy chłodzące systemu, w którym dyski aluminium pokryte materiałem HDD są zainstalowane. ferromagnetycznym). Czynnikami spowalniającymi pracę •Poduszka powietrzna: ze względu HDD są: na szerokości ścieżek rzędu 10 μ m •Ruch głowicy nad powierzchnią głowica (o szerokości ok. 80% szerotalerzy wirujących: zmiana cylindra, kości ścieżki) musi się poruszać w jest zbiorem wszystkich ścieżek o tym stałej odległości od powierzchni samym adresie, nad którym znajduje dysku. Jest to kłopotliwe do realisię głowica na cylinder z danymi zacji i wrażliwe na wiele czynników do odczytu powoduje wykonanie z e w n ę t r z ny c h , ja k c i ś nie nie następujących czynności: rozpopowietr za (wewnątr z dysków częcie ruchu znad dotychczasowego panuje ciśnienie atmosferyczne), cylindra, ruch nad cylindrami, jego wilgotność i zanieczyszczenie zatrzymanie się i stabilizacja głowicy (stosowane są filtry zabezpieczające nad cylindrem docelowym. Dodatprzed przedostaniem się niekokowym czynnikiem opóźniającym rzystnych czynników do wnętrza moment gotowości odczytu danych nap ę du). W c elu s t abili z ac ji z nowego cylindra jest konieczność odległości głowicy od powierzchni zsynchronizowania się ze strukturą dysku wykorzystuje się zjawisko log ic z n ą ś c ie ż k i . W ykonanie podobne do aquaplaningu. Dyski wszystkich tych czynności trwa są wrażliwe na obniżenie ciśnienia określony czas zależny od odległości atmosfer yc znego, a ich MT BF przestrzennej między cylindrami, zauważalnie spada, gdy użytkowane mocy silnika liniowego napędzasą na dużych wysokościach n.p.m. jącego ramię głowicy oraz jego Ponieważ prędkość odczytu danych momentu bezwładności. Dlatego w dyskach HDD jest wprost proporcjoteż ramiona głowicy wytwarza nalna do prędkości obrotowej talerzy, się z ażurowych, przestrzennych czas wyszukiwania – odwrotnie elementów aluminiowych o dużej proporcjonalne do promienia dysku, wibracje – zależne od kwadratu sztywności i małej masie. • Prędkości obrotowe: największe prędkości obrotowej i masy dysku, spotykane w sprzęcie powszechnie konstrukcja dysków HDD opiera się dostępnym na rynku wynoszą na złożonej kombinacji układów 15 tys. obrotów na minutę (rpm) elek t r omechanic z nych, mag ne tzn. 250 obrotów na sekundę (rps). tycznych i elektronicznych, wrażliwa Innymi prędkościami spotykanymi jest na uszkodzenia mechaniczne w urz ądzeniach bud żetowych i związana jest ze spełnieniem wielu Rys. 3. Widok wnętrza profesjonalnego dysku HDD. 38 Integrujemy przyszłość® kompromisów nie pozwalających osiągnąć wysokich strumieni danych w realnych zastosowaniach. Specyfika pamięci flash Nieulotne pamięci półprzewodnikowe występujące w powszechnym użyciu są pamięciami typu NAND, które charakteryzują się sekwencyjnym dostępem do danych, dlatego też nie nadają się do emulowania pamięci operacyjnej komputerów – głównym ich zastosowaniem jest przechowywanie dużych ilości danych. Ze względu na konstrukcję pamięci typu NAND, możliwe jest bezpośrednie ustawienie i odczyt każdej komórki, ale kasowanie zawartości komórek może się odbywać wyłącznie poprzez kasowanie całego ich bloku (stąd nazwa flash ze względu na szybkie kasowanie całych zbiorów komórek). W połączeniu z ograniczoną ilością cykli zapisu/kasowania zawartości komórek, efektywne wykorzystanie pamięci flash jest krytycznie związane z odpowiednimi algorytmami wyboru sposobu zapisu i kasowania, statystycznie równomiernego rozłożenia tych operacji w całej przestrzeni pamięci oraz zaznaczania całych bloków komórek do późniejszego kasowania z przepisywaniem niezmienionych danych oraz danych zmodyfikowanych do innych obszarów pamięci. Konieczne jest również oznaczanie uszkodzonych bloków pamięci jako niezdatnych do użytku w sposób niewidzialny dla systemów zewnętrznych. Algorytmy te są realizowane przez wewnętrzne kontrolery dysków flash, w tym SSD i innych, a ich konstrukcja ma zdecydowany wpływ na osiągnięcie wysokich parametrów użytkowych tego typu pamięci. Ze względu na brak elementów r uc homyc h i d z ia ł anie opar t e wyłąc znie na układach elektronicznych, pamięci flash charakteryzują się bardzo krótkimi czasami dostępu (brak ruchomej głowicy), brakiem wrażliwości na fragmentację danych (każda komórka pamięci flash jest dostępna w jednakowym, bardzo niskim czasie, stąd algorytmy defragmentujące pliki na dysku są zbędne), odpornością na czynniki zewnętrzne i bezgłośnością (brak elementów ruchomych, w szczególności zespołów Numer: II/2014 (127) Workload Acceleration Data Reduction Appliance Silicon Node Appliance Silicon Node 1,9 1,5 1,5 1,2 IOPS 250k 200k 200k 165k Opóźnienia (µs) <100 <200 <100 <200 Wysokość (RU) 2 2 2 2 Max pojemność (TB) 24 24 64 (efektywnie) 64 (efektywnie) Pasmo (GB/s) Tabela 2. Wydajność półek w zależności od trybu pracy. wymagających względnie niewielkich ilości IOPS w stosunku do wymaganych wolumenów strumieni danych. W celu zapewnienia rozwiązań dla zarówno małych, jak i większych instalacji, Cisco proponuje dwa podstawowe modele wdrożenia pamięci SSD do infrastruktury obliczeniowej: •UCS Invicta C3124SA (appliance) – półka 2U zawierająca do 24 dysków 2,5” SATA SSD o łącznej pojemności Oferta Cisco od 3TB do 24TB. Wiele zalet pamięci flash, w szcze- •UCS Invicta Scaling System (ISS) – system modularny wysokości gólności szybkość, niski pobór mocy co najmniej 8U (4x2U) o pojemności i niska wra żliwoś ć na c zynniki rozpoczynającej się od 6TB, skalujący zewnętrzne powodują, że są one się do 720TB. Kompleks składa się pod wieloma względami idealnym z do 6 modułów Scaling System komponentem systemu pamięci Router (SSR) oraz do 30 Scaling masowych. Niewątpliwie istniejące, System Nodes (SSN). Wydajność ale odpowiednio zniwelowane wady systemu w pełnej konfiguracji Cisco nie wpływają w sposób zauważalny określiło jako: na wygodę ich użytkowania i jedynym −− do 4 MIOPS, w zasadzie istotnym czynnikiem −− do 40GB/s przepustowości, powodującym, że pamięci flash nie −− opóźnienie ok. 200 μ s. wyparły całkowicie z rynku dysków HDD jest ich wysoka cena w przeli- O b y dw a s y s t e my z a r z ą d z a n e czeniu na jednostkę pojemności są przez oprogramowanie UCS Director, w porównaniu z pamięciami magne- w sposób jednolity z systemami serwetycznymi. Dlatego też oferta Cisco nie rowymi UCS B i C. Obydwa rozwiąma na celu, przynajmniej w dającej zania oparte są na oprogramowaniu się określić perspektywie czasowej, systemowym Invicta OS oraz zapewzastąpić tradycyjnych rozwiązań niają blokowy dostęp do danych m a c i e r z o w y c h , n i e w ą t p l i w i e za pomocą interfejsów FC 8G oraz 10GE ekonomiczniejszych w eksploatacji iSCSI. Deklarowana jest możliwość i efektywniejszych w środowiskach replikacji asynchronicznej i replikacji wirujących) oraz niskim poborem energii (brak silników i oporów t oc zenia). B ardzo nisk ie c z asy dostępu pozwalają na osiągnięcie bardzo dużych wartości IOPS (Input/ Output Operations Per Second), parę rzędów wielkości większych od IOPS osiągalnych w rozwiązaniach z wirującymi talerzami. do systemów otwartych. Cisco nie zaleca stosowania półek appliance do systemów poza UCS, ale tego jednoznacznie nie wyklucza. Składnik systemu UCS Wydajności półki dyskowej, zarówno w wersji standalone (appliance), jak i w roli System Node przedstawione zostały w tabeli 2 (w dwóch opcjach wydajności/deduplikacji). Appliance Invicta C3124SA Jest to urządzenie pracujące autonomicznie, pozwalające na podłączenie do infrastruktury L AN/SAN środowiska Data Center i oferuje pojemności od 2TB do 24TB przy wyposażeniu dyskami S SD o pojemno ś c iach od 120GB do 960GB. Urządzenie pozwala na konfigurację pracy w trybie Performance lub Data Reduction. Cechami charakterystycznymi pracy w trybie Data Reduction są: •Funkc ja ak t ywna dla c a ł ego ur z ądzenia lub pojedync zego node’a podczas konfiguracji wstępnej. •Deduplikacja Inline: aktywna przez 100% czasu dla każdego zapisu. •Nie można jej zmienić lub wyłączyć. •Algorytm oparty o stały rozmiar bloku (4k). Rys. 4. Półka dyskowa C3124SA. Biuletyn Informacyjny SOLIDEX® 39 TECHNOLOGIE •Konfigurowany jest w c z asie zamawiania urządzenia. •Stopień deduplikacji może dochodzić do 10:1. ISS Tryb ISS jest zalecaną formą pracy półek dyskowych i dostosowaną do współpracy ze środowiskiem obliczeniowo-sieciowym UCS. W trybie tym ruch z półek dyskowych agregowany jest bezpośrednio na Silicon Routerach bądź zagregowany na Fabric Extenderach i przez nie trafia do Silicon Routerów. W obydwu przypadkach cały zespół ISS widzialny jest dla pozostałych elementów infrastruktury UCS jako skupiony zasób FC lub iSCSI. Może być on połączony bezpośrednio do Fabric Interconnecta UCS agregującego zasoby serwerowe UCS B i C lub za pośrednictwem sieci SAN. Zalecana przez Cisco topologia ISS prezentowana jest na rysunkach 5 i 6. SSN – System (silicon) node Appliance (półka) pracujące w ramach ISS ma wydajność niemal równą wydajności w trybie pracy standlaone, narzut spowodowany jest przez SSR. Silicon Router Węzeł agregujący Urządzenia pamięci flash CPU, Pamięć & Invicta OS CPU, Pamięć & Invicta OS Matryca przełączająca Funkcje modułu Funkcje modułu •Interfejs do systemów zewnętrznych •Zarządzanie pamięcią flash •Zarządzanie woluminami •Mirroring •RAID •Striping •Deduplikacja •Replikacja •Snapshoty •Thin Provisioning •Raportowanie •Zabezpieczenie danych przed utratą •Grupowanie węzłów zasilania Tabela 3. Cechy modułów w zależności od usytuowania w ISS. SSR – System (silicon) router z tym w chwili obecnej ilość urządzeń wchodzących w skład rozwiązania Są to odpowiednio zmodyfikowane jest niewielka i nieskomplikowana, p ó ł k i a p p l i a n c e p o z b a w i o n e co można traktować jako zaletę. większości zasobów dyskowych SSD, Półki appliance można zamawiać a ich rola sprowadza się do agrego- w czterech wersjach określanych przez wania i logicznej organizacji pracy pojemność zainstalowanych dysków SSD (24 dyski x 120, 240, 480, 960 GB) zespołu półek dyskowych. Role modułów w ramach ISS zesta- •UC SW-C 3124A-3T: UC S Invicta C3124SA 3 TB Appliance – K9 wiono w tabeli 3. •UC SW-C3124A-6T: UC S Invicta C3124SA 6 TB Appliance – K9 Zamawianie •UCSW-C3124A-12T: UCS Invicta C3124SA 12 TB Appliance – K9 Sys t em Invic t a je s t nowo ś c ią w por t folio C is c o, w z wią z k u •UCSW-C3124A-24T: UCS Invicta Rys. 5. Topologia z wykorzystaniem pośredniczących modułów Switched Fabric (łącza infiniband). 40 Silicon Node Rys. 6. Połączenia bezpośrednie z SSN do SSR. Integrujemy przyszłość® Numer: II/2014 (127) C3124SA 24 TB Appliance – K9 Zestawy ISS możliwe do zamówienia (w wersji „racked” i „un-racked”, poniżej podano wersję racked): •UCSW-SA1-6T-R: UCS Invicta 6TB Scaling System Racked – K9 •UCSW-SA1-12T-R: UCS Invicta 12TB Scaling System Racked – K9 •UCSW-SA1-24T-R: UCS Invicta 24TB Scaling System Racked – K9 •UCSW-SA1-48T-R: UCS Invicta 48TB Scaling System Racked – K9 Każdy zestaw obejmuje 2xSSR i 2xSSN. Rozbudowa zestawu możliwa jest poprzez zakup dodatkowych zestawów ISS i/lub półek appliance. Smartplay Cisco oferuje zestawy promocyjne UC S zawierające pe łen komplet urządzeń pozwalający na uruchomienie kompletnego środowiska zunifikowanych obliczeń i przechowywania danych. W skład zestawów Offer Promo Description Server Configuration Use Case / Positioning Enterprise Performance (6TB) UCS-SP7-B200P-6T 6TB UCS Invicta Appliance 2x UCS B200M3 UCS 5108 blade chassis 2x UCS 6248UP FI 6TB Dedup SW optional B200 M3 blades – each with 2 x E5-2680v2 and 1 x VIC 1240 mLOM, 256GB memory (16 x 16GB DIMMs, 1866 MHz); One UCS 5108 Chassis with two 2208 FEX; UCS 6248UP FI Use case: VDI – 100 persistent or 500 non-persistent users Databases – Entry level databases Add more blades for SAS and other analytics solutions 24TB UCS Invicta Appliance 4x UCS B200M3 UCS 5108 blade chassis 2x UCS 6248UP FI 24TB Dedup SW optional B200 M3 blades – each with 2 x E5-2680v2 and 1 x VIC 1240 mLOM, 256GB memory (16 x 16GB DIMMs, 1866 MHz); One UCS 5108 Chassis with two 2208 FEX; UCS 6248UP FI Use case: VDI – 200 persistent or 1000 non-persistent users Databases – Larger database SAS and other analytics solutions MSRP Standalone Enterprise Performance (24TB) UCS-SP7-B200P-24T ~$101,000 ~$167,000 Scalable Mission Critical with Scale (6TB) UCS-SP7-B200P-6TS Mission Critical with Scale (24TB) UCS-SP7-B200P-24TS 6TB UCS Invicta Scaling System 2x UCS B200M3 UCS 5108 blade chassis 2x UCS 6248UP FI 3 TB Dedup SW optional B200 M3 blades – each with 2 x E5-2680v2 and 1 x VIC 1240 mLOM, 256GB memory (16 x 16GB DIMMs, 1866 MHz); One UCS 5108 Chassis with two 2208 FEX; UCS 6248UP FI Use case: VDI – Environments starting at 200 persistent users and growing to 1000’s of desktops (with full redundancy) Databases – Large database with full redundancy SAS and other analytics solutions ~$171,000 24TB UCS Invicta Scaling System 4x UCS B200M3 UCS 5108 blade chassis 2x UCS 6248UP FI 12TB Dedup SW optional B200 M3 blades – each with 2 x E5-2680v2 and 1 x VIC 1240 mLOM, 256GB memory (16 x 16GB DIMMs, 1866 MHz); One UCS 5108 Chassis with two 2208 FEX; UCS 6248UP FI Use case: VDI – Environments starting at 400 persistent or 2000 non persistent users and growing to 1000’s of desktops (with full redundancy) Databases – Large database with full redundancy SAS or other analytics with full redundancy ~$268,000 Tabela 4. Oferta Spartplay na zestawy serwerowo–storagowe. Biuletyn Informacyjny SOLIDEX® 41 TECHNOLOGIE Rys. 7. Przykład ilustrujący porównanie zapotrzebowania na dyski w macierzy w zależności od ich technologii. promocyjnych wchodzą: serwery blade (UCS B) + chassis lub rack (UCS C), Fabric Interconnecty oraz półki Invicta. Zestawy te stanowią bardzo konkurencyjną cenowo alternatywę dla zamówień składanych osobno na poszc zególne elementy. Jest to najlepszy sposób na ekonomiczne uruchomienie uniwersalnego środowiska serwerowego nakierowanego na wirtualizację zasobów. Zastosowanie System Invicta został wprowadzony do oferty Cisco w celu dostarczenia bazie serwerowej wysokowydajnego (setki tysięcy IOPS) podsystemu pamięci masowej bez konieczności oferowania rozwią zań o bardzo du żej ilości fizyc znych dysków HDD. Dzięki niemu zdecydowany przyrost wydajności można zaobserwować we wszystkich rozwiązaniach o masywnej wirtualizacji. Systemy VDI Infrastruktura wirtualnych desktopów jest jedną ze szczególnie podatnych na zwiększenie wydajności dzięki wysokim parametrom IOPS. Silnie losowa charakterystyka dostępu takiej instalacji do zasobów pamięciowych stoi w sprzeczności z linearną charakterystyką odczytu danych na powierzchniach dysków rotujących. Osiągnięcie wymag a ne j wydajno ś c i IOP S w rozwiązaniach klasycznych wymaga masywnego zrównoleglenia dostępu do dysków HDD prowadząc do konieczności instalacji ich wielkich ilości. parametrów IOPS i opóźnień zdecydowanie polepsza komfort korzystania z usług, co może stać się elementem przewagi konkurencyjnej nad innymi rozwiązaniami. Bazy danych Sytuacja, w której instalacja bazy danych świadczy usługi wielu usługobiorcom (np. duży portal) jest również dobrym przykładem na możliwość zdecydowanej optymalizacji wydajnościowej ze względu podobnego do powyż sz ych pr z ypadków charakteru dostępu do danych. Poczta elektroniczna Podsumowanie Systemy poc z ty elek tronic znej są kolejnym przykładem na scentralizowane środowisko obliczeniowe, do którego może mieć dostęp bardzo duża ilość klientów, a operacje odczytu są mocno rozproszone. Podniesienie Cisco rozpoczęło ekspansję w kierunku dostarczania klientom w pełni zunifikowanego środowiska obliczeniowego z mocnym naciskiem na obsługę wielkoskalowej wirtualizacji. Być może wkrótce systemy typu Invicta na st ałe z agoszc z ą w c ent rach obliczeniowych opartych o sprzęt dostarczany przez czołowego producenta sprzętu zunifikowanej chmury obliczeniowej, jeśli nie w charakterze jedynego systemu typu storage, to w jego najbardziej newralgicznych wydajnościowo partiach. M.P Inżynier SOLIDEX Rys. 8. Ilustracja wykorzystania podsystemu SSD przez system masywnie zwirtualizowany. 42 Integrujemy przyszłość® Numer: II/2014 (127) Rozwiązywanie problemów WiFi Networks. Obecnie większość sieci bezprzewodowych jest oparta o model Cisco Unified Wireless Network z kontrolerem umiejscowionym w centralnym punkcie sieci LAN, do którego poprzez tunele CAPWAP koncentrowany jest cały ruch z sieci bezprzewodowych. Taki model sprawdzał się przez lata i nadal funkcjonuje w większości korporacji, które zaufały rozwiązaniom firmy Cisco. Nowe podejście do projektowania s ie c i b e z p r z e w o d o w y c h c z yli „Converged Access” lub też „New Mobility” spędza sen z oczu zarówno administratorom, którzy zastanawiają się czy warto inwestować w nowe rozwiązanie czy może jeszcze się wstrzymać, jak i integratorom, którzy do końca nie wiedzą jaki będzie odbiór końcowych użytkowników systemu i czy finalny efekt modernizacji będzie można uznać za sukces. Cisco „Converged Access” – to nowa konstrukcja opar ta o urządzenia z „Wireless Control Module” (WCM) oraz IOS XE na pokładzie. Podobnie jak w dotychc z as st osowanym modelu architektura systemu jest oparta o kontrolery sieci bezprzewodowej, punkty dostępowe oraz system zarządzający całością. Nie wszystkie kontrolery mogą jednak działać pod kontrolą IOS XE, a także nie wszystkie punkty dostępowe Rys. 1. Architektura Converged Access – sieć kampusowa. Biuletyn Informacyjny SOLIDEX® 43 ROZWIĄZANIA Kontroler / Przełącznik Element sieci converged access Mobility Controller Mobility Agent Mobility Oracle Cisco 2500 TAK TAK* NIE Cisco 5500 TAK TAK* TAK Cisco WiSM2 TAK TAK* TAK Cisco 5760 TAK TAK* TAK Cisco Catalyst 3650 TAK TAK NIE Cisco Catalyst 3850 TAK TAK NIE * tylko w połączeniu z funkcjonalnością MC. Tabela 1. Urządzenia zgodne z converged access mogą współpracować z przełącznikami z wbudowanymi kontrolerami sieci bezprzewodowej. Listę urządzeń wspierających Converged Access otwiera seria kontrolerów 2500, znajdziemy na niej również serię 5500 oraz moduł do Catalysta 6500 WiSM2, które w wersjach AirOS 7.3 i wzwyż można przekonfigurować w tryb „New Mobility” co spowoduje, że bę dą one mogł y pe ł nić rolę centralnej jednostki w nowej architekturze. Pełną listę funkcjonalności oraz IOS XE, wspierają przełączniki z serii c at alyst 3 6 5 0 oraz 3 8 5 0 a tak że kontroler 576 0, których właściwości szczegółowo zostały opisane w poprzednich wydaniach Integratora (nr III/2013, IV/2013 dostępne w wersji elektronicznej na www.integrator.solidex.com.pl). W połowie maja bież ącego roku lista wspieranych AP ograniczała się do serii 1040, 1140, 1260, 1600, 2600, 3500, 3600 i 3700, zapewne w niedługim czasie dołączy do nich nowa seria 2700. Pozostałe punkty d o s t ę p ow e m o g ą b y ć w pi ę t e do infrastruktury converged access po staremu czyli tunelem CAPWAP do centralnego kontrolera w trybie local lub flexconnect pod jednym warunkiem, że nie zmigrujemy się w 100% na kontrolery z IOS XE. Główną różnicą w stosunku do poprzedniego modelu CUWN jest rozdzielenie zadań jakie do tej pory spełniał centralny kontroler na trzy funkcje – dwie wymagane i jedną opcjonalną. Mobility agent (M A): zarządza punk t ami dost ę powymi ora z terminuje tunele CAPWAP z punktów dostępowych, a także buduje bazę danych klientów bezprzewodowych 44 zarówno tych lokalnych jak i pochodzących z gościnnego kontrolera kotwicy. Do głównych obowiązków należą także uwierzytelnianie 802.1x, proxy IGMP oraz proxy ARP dla lokalnych klientów. Mobility controller (MC): zapewnia r oz s z e r z e nie f u n k c ji m o b ili t y agenta i zarządza roamingiem stacji klienckich przemieszczających się z jednego kontrolera do drugiego. Z apewnia tak że funkcjonalnoś ć dostępu gościnnego poprzez zestawianie tunelu EoIP z gościnnym kontrolerem kotwicą w DMZ. Jest tak że centralnym punktem zarządzania usługami radiowymi takimi jak wykrywanie obcych punktów dostępowych, dynamiczne przydzielanie kanałów oraz mocy nadajników punktów dostępowych, wykrywanie dziur w pokryciu sygnałem radiowym oraz zarządzanie usługą w technologii Cisco CleanAir. Mobility kontroler kontroluje poddomeny mobilności. Wszystkie kontrolery MA w poddomenie zestawiają tunel C APWAP do kontrolera MC i raportują stan klientów lokalnych i tych przybyłych z innych kontrolerów. Mobility oracle (MO): to opcjonalna funkcja oprogramowania zapewniająca widoczność stacji klienckich pomię dz y kontrolerami MC w domenach mobilności. Zaletą jej wdrożenia w modelu konwergentym jest zmniejszenie ilości zdarzeń dla klientów, którzy przyłączają się lub przepinają w środowisku wielo-kontrolerowym (multi-MC ). Funkcję tę mogą spełniać tylko niektóre typy kontrolerów zazwyczaj pełniących również funkcję mobility kontrolerów np. 5508, WiSM2 lub 5760. Integrujemy przyszłość® Tym co również odróż nia nową konstrukcję od poprzednika jest niewą t pliwie g r upowanie r oli kontrolerów w hierarchię logiczną czyli podział domen na mniejsze poddomeny w obrębie, których funkcjonują grupy przełączników SPG. Mobility group: Cisco CUWN definiuje grupę mobilności jako logiczną grupę kontrolerów, które umożliwiają szybki roaming klientom sieci bezprzewodowej. Dodatkowo grupa mobilności zapewnia scentralizowane zarządzanie zasobami radiowymi RRM poprzez lidera, który jest wybierany podczas elekcji lub konfigurowany statycznie. Switch peer group: w podejściu konwergentnego dostępu definiuje grupę przełączników (SPG) jako logiczną grupę agentów mobilności w jednej poddomenie mobilności. Główną zaletą konfiguracji grup SPG jest zawężenie ruchu roamingowego do grupy przełączników w SPG. Gdy agent mobilności jest skonfigurowany w jednej SPG na kontrolerze mobilności oprogramowanie automatycznie zestawia pełną siatkę tuneli CAPWAP pomiędzy przełącznikami MA. Tunele te mogą być formowane zarówno gdy przełączniki pozostają w sąsiedztwie, w drugiej warstwie jak i trzeciej warstwie. Grupa SPG powinna zawierać przełączniki MA, w obrębie których użytkownicy sieci często przemieszczają się. Roaming wewnątrz grup SPG nie obcią ża kontrolera MC podczas gdy roaming pomiędzy grupami SPG wymaga aby ruch przeszedł przez kontroler MC. Potencjalnymi korzyściami architektury „Converged Access” są: •Z w i ę k s z e n i e s k a l o w a l ności wdrożeń systemów Numer: II/2014 (127) Rys. 2. Hierarchia logiczna domeny mobilnej – „Converged Access” bezprzewodowych, dzięki terminowaniu ruchu bezprzewodowego na pr ze ł ąc znikach 3 6 5 0/ 3 8 5 0 k a mpu s owyc h , z a mia s t pr z e puszc zaniu go przez jeden lub więcej centralnych kontrolerów stających się wąskim gardłem dla c iągle rosnąc ego r uchu bezprzewodowego. •Lepszy monitoring i widoczność tego co dzieje się w sieci bezprzewodowej, a co za tym idzie jednolita polityka QoS dla LAN i WLAN. Do wad tego rozwiązania można zaliczyć: •Rozproszoną kontrolę dostępu do sieci. •Bardziej złożoną konfigurac ję wynik ają c ą g ł ównie z ilo ś c i elementów systemu. •Trudniejszy troubleshooting oraz bardziej złożony roaming. Zatem spróbujmy przeanalizować w jaki sposób przeprowadzić migrację naszej infrastruktury tak aby finalnie otrzymać w pełni zgodną z modelem „Converged Access” architekturę jak na rysunku 1. Istotnym czynnikiem jest wielkość przedsięwzięcia i jeżeli z jakiegoś powodu nie jesteśmy w stanie zrobić takiej migracji w jeden wieczór czy 3. Pełny „Converged Access”. Po zmigrowaniu wszystkich punktów dostępowych na kontrolery MA pozostaje jedynie wymienić stary wysłużony już kontroler na drugi 5760, tak aby zapewnić redundancję kontrolerów MC. Od wersji IOS XE 3.3.0SE kontrolery Cisco CT5760 można spiąć w stos i podobnie jak w przypadku Catalyst 3850 uzyskać model wysoko niezawodny z tą różnicą, że maksymalna ilość w stosie to w przypadku 5760 dwie sztuki. Powyżej opisane rozwiązanie jest propozycją firmy Cisco na wcią ż rosnące zapotrzebowanie na wysoką wydajność sieci bezprzewodowej i mobilność pracowników. Coraz większa lista produktów wspierających model „Converged Access” oraz już ponad rok na rynku sprawia, ż e pr oduk t je s t c or a z bar d z iej dopasowany do potrzeb klienta, dopracowany i dojrzalszy a co za tym idzie warty polecenia i wdrożenia. weekend to cał y proces moż na podzielić na trzy etapy: Opracowano na podstawie oficjalnych materiałów producenta. 1. Tylko tryb lokalny/zcentralizowany. To s t adium pr zej ś c iowe z ak ł a dające, że do modelu wyjściowego dokładamy na przykład kontroler 5760 zapewniając sobie możliwość sterowania AP w trybie lokalnym lub zgodnie z nomenklaturą Converged Access w trybie scentralizowanym. Na tym etapie będzie trzeba podnieść wersję dotychczasowego kontrolera do minimum 7.5, tak aby zapewnić wsparcie dla nowej metody tunelowania. By umożliwić zarządzanie dla nowych elementów będziemy musieli również podnieść oprogramowanie Cisco Prime Infrastructure do wersji 2.1. W.W. Inżynier SOLIDEX 2. H y b r y d a t r y b u l o k a l n e g o i „Converged Access”. Sukcesywna inst alac ja nowych przełączników pracujących w trybie agentów mobilności i migrowanie kolejnych pię t er, budynków do „Converged Access”. Na tym etapie w dalszym ciągu mogą funkcjonować punkty dostępowe wpięte do starej infrastruktury i pracujące w trybie scentralizowanym kontrolowane przez stary jak i nowy kontroler. Biuletyn Informacyjny SOLIDEX® 45 ROZWIĄZANIA Cisco 4451-X: router z rodziny Cisco ISR. Rosnące potrzeby dużych oddziałów korporacyjnych, które obserwujemy na dzisiejszym rynku są wynikiem wzrostu liczby urządzeń w sieci, liczby użytkowników oraz rosnącej popularności różnorodnych usług i aplikacji związanych z transmisją wideo. Administratorzy sieci są zmuszeni do zachowania równowagi pomiędzy utrzymaniem obecnego stanu sieciowego a forsowaniem nowych strategicznych projektów informatycznych. Złożoność obecnej infrastruktury powoduje, że głównym aspektem uwagi stają się kwestie związane z wydajnością oraz bezpieczeństwem. Odpowiedzią na rosnące wymagania w placówkach jest nowy router Cisco 4451-X ze zintegrowanymi usługami (ISR – Integrated Services Routers). Cisco 4451-X Cisco 4 451-X uzupełnia portfolio r ou t e r ów o dd z ia ł ow yc h . Je s t to urządzenie, które można usytuować o klasę wyżej od popularnej serii ISR G2 3900. Tak jak inne routery oddziałowe opiera się na koncepcji integracji wielu usług na jednej platformie. Usługi te obejmują: zwiększone zdolności do routingu, przełączanie, Unified Collaboration, sieci bezprzewodowe, bezpieczeństwo, akcelerację WAN, optymalizacje aplikacji oraz kontrolę i widoczność aplikacji (AVC). Są to urządzenia pozwalające na uzyskanie dużej wydajności 46 Rys. 1. Cisco ISR 4451-X Integrujemy przyszłość® Numer: II/2014 (127) w stosunkowo małej obudowie (2RU) bez konieczności kosztownej modernizacji i rozbudowy. Domyślna przepustowość routera wynosi 1Gbps z możliwością rozszerzenia do 2Gbps. Cisco ISR 4451-X oferuje wielordzeniową architekturę z oprogramowaniem IOS XE, które dynamicznie dostosowuje się do zmieniających potrzeb środowiska. Oddzielenie płaszczyzny danych od płaszczyzny sterowania zapewnia możliwość dostarczania usług sieciowych przy zachowaniu dużej stabilności platformy i wysokiego poziomu wydajności w okresach dużego obciążenia sieci. Cisco 4451-X posiada cztery zintegrowane porty Ethernet 10/100/1000 dla sieci WAN lub LAN co może okazać się bardzo przydatne. Wszystkie cztery porty Ethernet 10/100/1000 obsługują łączność Small Form-Factor Pluggable (SFP). Istnieje również możliwość uruchomienia funkcji PoE (Power over Ethernet) na dwóch wybranych portach. Redundancja zasilania jest dostępna po zainstalowaniu opcjonalnego zasilacza, co pozwala na zmniejszenie przestojów oraz ochronę sieci przed awariami. Cisco 4451-X dostarczany jest z pamięcią 2GB pamięci DRAM dla płaszczyzny danych, z 4GB DRAM dla płaszczyzny sterowania oraz z 8GB pamięci flash. Konfiguracja pamięci dla płaszczyzny sterowania uwzględnia dwie symetryczne podwójne karty (DIMM) w linii pamięci o pojemności 2GB w każdym z gniazd. Podczas rozbudowy pamięci do wyższych gęstości oba gniazda muszą być uzupełnione modułami DIMM o symetrycznym typie i gęstości. Platforma 4451-X dostarczana jest wraz z modularnym systemem operacyjnym IOS XE. Modułowość Cisco IOS XE daje wiele zalet w stosunku do klasycznego IOS takich jak: •Przenośność – obraz IOS XE może być stosowany na różnych platformach np. ASR1K, ISR 4451-X; •Uzupełnialność – moduły mogą być bezproblemowo uaktualnione niezależnie od reszty systemu; •Izolacja – błąd w jednym module nie musi wpływać na cały system. Drobne błędy mogą skutkować ponownym ur uchomieniem modułu, który nie okaże się szkodliwy dla systemu. Podobna usterka w klasycznym IOS mogłaby spowodować awarię całego systemu. A by ur uchomić zaawansowane funkc jonalno ś c i na ur z ądzeniu należy aktywować wybraną licencję za pomocą specjalnego klucza licencyjnego. Można wyróżnić nastę pujące typy licencji: •IP Base – wymagany dla wszystkich systemów, domyślny standardowy zestaw funkcji uruchamiany na routerze; •Application Experience (AX) – tradycyjne zaawansowane funkcje (MPLS, L 2 VPN, itp.) oraz AVC i licencja na wbudowanym WAAS; •Unified Communications – licencja umożliwia uruchomienie usług związanych z funkcjonalnościami voice, video oraz z dodatkowymi usługami multimedialnymi na platformie; •Security (SEC) – licencja umożliwiająca uruchomienie standardowych funkcji bezpieczeństwa (np. szyfrowanie VPN, zoned-based firewall) na platformie 4451-X; •Performance – licencja uwzględniająca funkcjonalności związane z wydajnością danych oraz wydajnością aplikacji uruchomianych na 4451-X. Umożliwia podwojenie przepustowości z 1Gbps do 2Gbps bez konieczności wymiany hardware’u; •High Security (HSEC ) – licencja Rys. 2. Model licencjonowania w Cisco 4451-X Biuletyn Informacyjny SOLIDEX® 47 ROZWIĄZANIA rozszerzająca funkcjonalność Security, bez tej opcji całkowity ruch kryptograficzny ograniczony jest do 160Mb oraz do 225 tuneli; Platforma Cisco ISR 4451-AX odznacza się następującymi cechami: • Model Pay-as-you-grow – model wdrażania usług sieciowych. ISR 4451-X posiada wszystkie usługi natywnie zintegrowane na platformie, które mogą być włączone za pomocą prostego klucza licenc yjnego . W pr ze c iwie ń s t wie do wielu zintegrowanych platform, gdzie wzrost ilości uruchomionych usług oznacza spadek wydajności, 4451 X oddziela procesy i uruchamia poszczególne usługi w oddzielnych kontenerach. Takie podejście powoduje brak obniżenia wydajności w przypadku zastosowania nowych usług na urządzeniu. Zyskuje się pewność, że żadna pojedyncza usługa nie obniży innych kluczowych funkcji na routerze; • Spójność – ISR 4451-X może być uruchomiony ze zintegrowanymi funkcjami optymalizacji aplikacji, takimi jak widoczność i kontrola aplikacji (AVC) czy optymalizacja WAN (WAAS). Pozwala to użytkownikom sieci LAN na szybki dostęp do aplikacji poprzez sieć WAN; •Optymalizacja aplikacji w czasie rzeczywistym – 4451-X umożliwia optymalizację wydajności usług w czasie rzeczywistym, takich jak VoIP czy video. Wspiera SIP, posiada zintegrowany kontroler graniczny (SBC) a także umożliwia zarządzanie jakością głosu; •Zintegrowane funkcje bezpieczeństwa – router pozwala na uruchomie nie t r adyc yjnyc h f unkc ji zabezpieczeń, takich jak: firewall, IPSec VPN czy Cloud Web Security; •Funkcja otwartej, programowalnej sieci – architektura Cisco Open Network Environment dostarcza bogaty zestaw interfejsów API z interfejsem programowania One PK (One Platform Kit). Pozwala to na szybsze stosowanie oraz konfigurowanie usług w całej sieci przedsiębiorstwa; Cisco ISR 4 451-X uzupełnia lukę pomiędzy routerami oddziałowymi ISR G2 a większą platformą jaką 48 Application visibility and control Intelligent WAN path selection WAN acceleration Router Cisco ISR-4451-X Secutity Other network services QoS Rys. 3. Funkcjonalności w Cisco 4451-X jest C isco A SR . Tabela 1 przed- wyróżnić następujące typy modułów: stawia porównanie podstawowych •PVDM4 (Packet Voice Digital Signal parametrów technicznych urządzeń Processor Module) – czwarta genez serii 3900 oraz 4451-X. racja modułów, obsługiwanych na platformie 4451-X. Dostarczają Moduły w Cisco 4451-X one takie możliwości multimedialne jak: duża gęstość połączeń Cisco 4 451-X jest to modułowa audio, transkodowanie, konfeplatforma, którą można doposażyć rencje, transrating, bezpieczne w kilka typów dodatkowych kart połączenia głosowe w CUCS (Cisco w zależności od potrzeb. Pozwala Unified Communications Soluto na modernizację oraz rozszerzenie tions). Moduły DSP (Digital Signal funkcjonalności routera bez konieczProcessor) są dostępne w czterech ności wymiany platformy. Można gęstościach: PVDM4-32, PVDM4-64, Rys. 4. Moduły NIM (Network Interface Module) Integrujemy przyszłość® Numer: II/2014 (127) 4451-X Form Factor 3945E 3945 3925 3 RU 3 RU 3 RU 4 GE (4 SFP) 4 GE (2 SFP) 4 GE (2 SFP) 3 GE (2 SFP) 3 GE (2 SFP) N/A 3 3 4 4 Interface Slots, Network Interface Modules 3 N/A N/A N/A N/A Service-module slots 2 4 2 4 2 Integrated services module (ISM) slots N/A 0 0 1 1 Packet-voice data-module (PVDM) slots 1 (ISC slot can host PVDM4) 3 3 4 4 2 2 2 2 2 8 GB/ 32 GB 256 MB/ 8 GB 256 MB/ 8 GB 256 MB/ 8 GB 256 MB/ 8 GB Data plane: 2 GB Control plane: 4 GB/16 GB 1 GB/ 4 GB* 1 GB/ 4 GB* 1 GB/ 4 GB* 1 GB/ 4 GB* - 98** 74 ** 98** 74 ** Stateful Firewall Yes Yes Yes Yes Yes Intrusion Prevention No Yes Yes Yes Yes Content Filtering No Yes Yes Yes Yes PVDM4 PVDM3 and PVDM2 PVDM3 and PVDM2 PVDM3 and PVDM2 PVDM3 and PVDM2 Up to 1500 Up to 1500 Up to 1350 Up to 1200 Up to 730 Planned Up to 450 Up to 400 Up to 350*** Up to 250*** Cisco Unity Express (network module [NM], service module [SM], or ISM) N/A 32 ports; 300 mailboxes 32 ports; 300 mailboxes 32 ports; 300 mailboxes 32 ports; 300 mailboxes Session Initiation Protocol (SIP) sessions 2500 2500 2000 1000 800 Up to 720 Up to 660 Up to 420 Up to 720 Up to 480 Planned Foreign exchange station (FXS): 108 Foreign exchange office (FXO): 60 BRI: 38 FXS: 60 FXO: 36 BRI: 22 FXS 112, FXO 64, BRI 40 FXS 64, FXO 40, BRI 24 Integrated WAN Ports Interface slots (enhanced high-speed WAN interface card [EHWIC]) USB Ports (v2.0) Default/maximum flash memory Default/maximum synchronous dynamic RAM (SDRAM) Modular LAN switchports Voice and Video DSP support Survivable Remote Site Telephony (SRST) Cisco Unified Communications Manager Express Digital Voice Support Maximum voice support for analog and Basic Rate Interface (BRI) 2 rack units (RU) 3 rack units (RU) 3925E Tabela 1. Porównanie Cisco 4451-X oraz serii 3900 Biuletyn Informacyjny SOLIDEX® 49 ROZWIĄZANIA Podsumowanie Platforma 4 451-X wypełnia lukę w portfolio routerów Cisco pomiędzy serią 3945 oraz ASR1K. Konwergentne urządzenia mogą w łatwy w sposób obs ł ugiwać r oz pr os zoną ar chi tekturę przedsiębiorstwa z rosnącym zapotrzebowaniem w poszczególnych oddziałach firmy. Dzięki relatywnie wysokiej wydajności 4451-X mogą maksymalizować integrację usług, zmniejszając jednocześnie całkowite nakłady inwestycyjne oraz koszty operacyjne. Cisco 4451-X to ciekawe rozwiązanie stanowiące odpowiedź na rosnące potrzeby dużych oddziałów, umożliwiające wdra żanie usł ug aplikacji w bardzo krótkim czasie, oferując przy tym natywną optymalizację WAN. Rys. 5. Moduł SM-X Layer 2/3 PVDM4-128 i PVDM4-256 (odpowiednio 32, 64, 128 oraz 256 kanałów). Można je podłączyć bezpośrednio do jednego slotu na płycie głównej lub na interfejsie sieciowym NIM, który obsługuje porty T1/E1. Ulepszona architektura DSP mieści nowy zoptymalizowany silnik przetwarzania pakietów dla aplikacji multimedialnych i jednocześnie wspiera TDM-IP (time-division multiplexing IP). Moduł PVDM4 podłączony na płycie głównej dostarcza usługi głosowe oparte na protokole IP, takie jak konferencje, optymalizacja mediów i transkodowanie. Moduł PVDM4 podłączony do karty NIM będzie wykorzystywany do łączności głosowej T1/E1. •NIM (Network Interface Module) – c zwar t a generac ja modułów sieciowych dedykowanych pod platformę 4451-X. Łączą w sobie funkcjonalności interfejsów WIC (WAN Interface Card), VIC (Voice Interface Card), PRI (Primary Rate Interface) oraz CE1T1. Moduły T1/ E1 są dostępne w wersjach 1, 2, 4 i 8 portowych. 4451-X można maksymalnie wyposażyć w 3 moduły NIM. Nie są wspierane na starszych platformach Cisco 2900 oraz 3900. •SM (Service Module) – moduły serwisowe, wśród których można 50 Opracowano na podstawie oficjalnych wyróżnić następujące rodzaje: −− T3/E3 – moduł posiada zakoń- materiałów producenta. czenia T3/E3. Pozwala na przełąŁ.H. czanie się pomiędzy aplikacje T3 Inżynier SOLIDEX i E3. Eliminuje potrzebę stosowania zewnętrznego urządzenia DSU (Data Service Unit). −− Cisco SM-X Layer2/3 – moduł p oz wa laj ą c y na int eg r ac j ę funkcji przełączania warstwy 2 i 3. Obsługuje te same zestawy funkcji co switch Cisco Catalyst 3560-X. Moduł posiada własny procesor, silnik prze łąc zania i pamięć flash, które działają niezależnie od zasobów routera. Pomaga to zapewnić maksymalną dostępność, wysoką wydajność, łatwość aktualizacji i rozbudowy. Dostarcza również zintegrowane opcje bezpieczeństwa, PoE+ oraz swój własny system operacyjny Cisco IOS z trzema typami licencji: LAN Base, IP Base, IP Services. Dostępne są karty 16, 32, oraz 48GbE. −− SM-X-6X1G Gigabit Ethernet – 6 portowy moduł rozszerzający ilość interfejsów SFP lub RJ-45, co pozwala na zwiększenie elastyczności urządzenia. Przyśpiesza dostęp do sieci WAN, inter-VLAN routing, dostęp do przełączników LAN oraz serwerów. Integrujemy przyszłość® Numer: II/2014 (127) F5 Vipron – platforma rozwiązań Enterprise. Rozwiązania VIPRION są prezentowane pod chwytliwym hasłem „On-Demand Application Delivery Controller” co można przetłumaczyć jako: „Kontroler Dostarczania Aplikacji na żądanie”. To sformułowanie doskonale opisuje największe zalety systemu czyli skalowalność, personalizację oraz wysoką wydajność. Platfor ma V IPR ION zost a ł a stwor zona z myślą o roz wią z aniach typu enterprise, szczególnie dla dużych oraz rozwijających się firm, potrzebujących najwyższej możliwej wydajności, skalowalno ś c i or a z b og at e go w mo ż li wo ś c i sys t emu . L oad balanc er działający w oparciu o platformę VIPRION może osiągnąć ogromną wydajność nawet w dużych i rozległych sieciach. W pełni obsadzone modułami blade chassis posiada ogromną przepustowość oraz możliwości. Natomiast w przypadku gdy dopiero planowany jest rozwój f ir my lub us ł ug , mo ż liwe je s t uruchomienie systemu w oparciu o platformę VIPRION z obsadzonym tylko jednym lub dwoma modułami blade (a w przyszłości ewentualna rozbudowa systemu). Skalowalność wp ł ywa na d z ia ł a nie innyc h , co jest szczególnie ważne w przypadku W przypadku rozwoju firmy znacznie modernizacji infrastruktury lub z wię k s z a się z apot r zebowanie e w e n t u a l n e j aw a r ii . M o du ł y na efektywne przetwarzanie ruchu blade, zestawy wentylatorów czy w warstwach 4 oraz 7, obsługi SSL zasilacze mogą być wymienione bez czy kompresji. Z pomocą przychodzi wyłączania urządzenia. firma F5 oferując platformę VIPRION. Platforma VIPRION oferuje także W przypadku zastosowania tej techno- wielowarstwową redundancję, przez logii możliwe jest również idealne co przerwa w działaniu systemu dopasowanie i spersonalizowanie na przełączenie między modułami została zminimalizowana. Urządzenia sprzętu do wymagań firmy. Ogromną zaletą systemu jest jego skalo- F5 oferują akcelerację sprzętową walność. W każdej chwili możliwe jest SSL, kompresję typu hardware oraz rozbudowanie urządzenia o nowe agregacja łącz OneConnect. VIPRION moduły bez zbędnych prac w serwe- posiada równie ż cer tyfikat dla rowni – wystarczy jedynie włożyć firewalli wydany przez ICSA. nowy moduł w wolne miejsce w chassis. Moduły blade przeznaczone dla F5 ScaleN – elastyczna systemów VIPRION są typu hot-swap- architektura pable, a więc mogą być wymienione bez wyłączania urządzenia czy przerw ScaleN jest unikalnym rozwiązaniem w dostarczaniu usług. proponującym bardzo ciekawe podejście Wymiana jednego elementu nie do problemu skalowalności. Łączy Biuletyn Informacyjny SOLIDEX® 51 ROZWIĄZANIA Model Wymiary (wys./szer./gł.) Zasilanie Maksymalna ilość modułów blade VIPRION 4800 70.6 cm x 44.2 cm x 54.0 cm 16U 1 – 4 zasilacze o mocy do 2600W 8 VIPRION 4480 30.9 cm x 44.2 cm x 53.3 cm 7U 1 – 4 zasilacze o mocy do 2200W 4 VIPRION 2400 17.5 cm x 44.8 cm x 53.8 cm 4U 1 – 2 zasilacze o mocy do 1400W 4 VIPRION 2200 8.6 cm x 44.0 cm x 62.2 cm 2U 1 – 2 zasilacze o mocy do 800W 2 Tabela 1. Zestawienie modeli VIPRION Model Wydajność hard-ware DDoS Protection Pamięć Pojemność dysku twardego Interfejsy sieciowe Przykładowa wydajność procesowania ruchu (M – milionów) Wirtualizacja (maksymalna liczba użytkowników vCMP VIPRION 4340N/4300 Blade 80 milionów SYN-Cookies / sekundę 96 GB (4340N) 48 GB (4300) HDD 600 GB Jeden port 10/100/1,000 Mbps (management) Osiem portów 1,000 Mbps/10Gigabit (SFP+) Dwa porty 40Gigabit (lub osiem portów 10Gigabit) fiber ports (QSFP+) 2M zapytań L7 na sekundę (B4340N) 2.5M zapytań L7 na sekundę (B4300) 1.1M zapytań L4 na sekundę (B4340N) 1.4M zapytań L4 na sekundę (B4300) 14M L4 HTTP zapy-tań na sekundę 24 in a 4480 chassis, 48 in a 4800 chassis (6 per blade) VIPRION 2250 Blade 60 milionów SYN cookies / sekundę 64 GB SSD 800 GB Jeden port 10/100/1,000 Mbps (management) Cztery porty 40Gigabit fiber ports (QSFP+) 2M L7 zapytań L7 na sekundę 1M zapytań L4 na sekundę 14M L4 HTTP zapytań na sekundę 80 (4 B2250 blades, 20 per blade) VIPRION 2150/2100 Blade 40 milionów SYN cookies / sekundę 32 GB (B2150) 16 GB (B2100) SSD 400 GB HDD 300 GB (10,000 RPM) Jeden port 10/100/1,000 Mbps (management) Osiem portów 1,000 Mbps/10Gbps SFP+ 1M zapytań L7 na sekundę 400 tys. zapytań L4 na se-kundę 7M L4 HTTP zapytań na sekundę 32 (4 B2150 blades, 8 per blade)16 (4 B2100 blades, 4 per blade) Tabela 2. Przykładowe zestawienie modułów blade dla VIPRION w sobie cechy wirtualizacji, skalowalności, systemu w chmurze oraz klastrowania. Funkcjonalności te mogą być używane jednocześnie, dzięki czemu możliwe jest uzyskanie skalowana „na żądanie” czyli skonfigurowanego w zależności od potrzeb firmy. Clustered Multiprocessing VIPRION oferuje skalowalność, przy użyciu modułów typu blade. Dzięki technologii Clustered Multiprocessing (CMP) zasoby fizyczne każdego modułu są odpowiednio rozdzielane, tak aby zapewnić maksymalną wydajność. CMP 52 odgrywa znaczącą rolę przy rozbudowie już istniejącego systemu. Na przykład jeżeli korzystamy z urządzenia VIPRION wyposażonego w jeden moduł blade po dołożeniu kolejnego, konfiguracja oraz firmware zostaną przeniesione na nowy moduł. Po pobraniu odpowiednich danych z działającego urządzenia ruch będzie obsługiwany również przez dodatkowy moduł. Platforma VIPRION oferuje możliwości wirtualizacji Kontrolera Dostarczania Aplikacji (ADC) dzięki unikalnej technologii Virtual Clustered Multiprocessing (vCMP) wprowadzonej przez firmę F5. vCMP umożliwia bardziej inteligentne Integrujemy przyszłość® procesowanie ruchu między urządzenia docelowe, zwłaszcza gdy ruch musi być procesowany niesymetrycznie (równoważenie obciążenia). VIPRION jest w stanie uruchomić wiele wirtualnych instancji BIG-IP, z których każda funkcjonuje w sposób niemal identyczny jak wersja fizyczna i posiada przydzielone jej, odpowiednie zasoby sprzętowe. Device Service Clustering (DSC ) umożliwia tworzenia klastra urządzeń VIPRION co znac ząco zwiększa możliwości systemu oraz niweluje c zas prze łąc zenia. Możliwe jest połączenie więcej niż dwóch urządzeń Numer: II/2014 (127) co praktycznie wyklucza możliwość przerwy w dostawach usług spowodowanej awarią fizyczną. Wszystkie wyżej wymienione funkcjonalności, a więc CMP, vCMP, wirtualizacja, klastrowanie oraz DSC, tworzą architekturę zwaną ScaleN. Zwiększone bezpieczeństwo oraz wydajność Dzięki urządzeniom VIPRION ataki typu DDoS mogą być blokowane i niwelowane już na poziomie hardware. Firma F5 zastosowała pamięć cache pakietów typu SYN, która w przypadku wykrycia ataku odciąża funkcjonowanie sieci. Dodatkowo platformę wyposażono w unikalne systemy Packet Velocity Acceleration (ePVA) oraz Field-Programmable Gate Array (FPGA), dzięki którym urządzenie jest w stanie obsłużyć nawet do 640 milionów cookies typu SYN na sekundę. Rozwiązanie ePVA zostało wyposażone w system SYN Check, który zapobiega do s t ę p owi nie c hc ia nyc h s e sji do serwerów oraz zasobów. SYN Check może być użyty dla każdego Virtual IP lub aplikacji osobno. Dodatkowo interfejsy fizyczne każdego modułu funkcjonują w trybie mesh, a więc każdy port każdego modułu może być wykorzystywane dla potrzeb dowolnej aplikacji. Dzięki systemowi SuperVIP, virtual IP może być obsługiwane przez różne, niezależne moduły blade. Łatwe i szybkie zarządzanie Rozwiązania F5 są wyposażone w ciekawe i wygodne rozwiązanie jakim jest moduł konfiguracyjny z wyświetlaczem LCD umiejscowiony na urządzeniu lub dostarczany w wersji peryferyjnej, umożliwiający podstawową konfigurację urządzenia, dzięki czemu podczas instalacji sprzętu w serwerowni najczęściej wymagana jest obecność inżyniera podstawowych technologii. Podsumowanie Platforma VIPRION oferuje bardzo proste zarządzanie całym urządzeniem (a więc wieloma modułami blade), ponieważ konfiguracja jest współdzielona. Jeden z modułów jest wyznaczany jako „primary” a wszystkie ustawienia, konfiguracja oraz firmware są publikowane na pozostałe nody. Także w przypadku zainstalowania nowego blade wymagane dane zostaną przeniesione. Platforma VIPRION działa bardzo efektywnie w przypadku high availability. Możliwe jest tworzenie wirtualnych klastrów co znacznie ułatwia z ar z ądz anie ur z ądzeniami ora z zapewnia ciągłość funkcjonowania systemu nawet w przypadku awarii. P.M. Inżynier SOLIDEX Autoryzowane szkolenia Cisco w SOLIDEX! Zapraszamy: Kraków, ul. J. Lea 124 Warszawa Złote Tarasy, ul. Złota 59 Biuletyn Informacyjny SOLIDEX® szczegóły na str. 8 53 Warsztaty Check Point Next – Generation Firewall R76 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową – Warsztaty Check Point Next – Generation Firewall R76. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami – IPS, Content Security, Integracja z ActiveDirectory – budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.SOLIDEX.com.pl/oferta/warsztaty Integrujemy przyszłość® Autoryzowane Szkolenia Cisco System Program SOLIDEX® ICND1 ICND2 CCNAX ROUTE SWITCH TSHOOT BGP MPLS QOS IINS SENSS SITCS SISAS SIMOS SASAA SASAC SWISE ACS SASSL SISE ICOMM CVOICE WMNGI CUWN CIPT1 CIPT2 CWLMS IP6FD IUWNE DESGN ARCH IPS SAEXS Interconnecting Cisco Network Devices Part 1 Interconnecting Cisco Network Devices Part 2 Interconnecting Cisco Networking Devices: Accelerated Implementing Cisco IP Routing Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks Configuring BGP on Cisco Routers Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Implementing Cisco Edge Network Security Solutions Implementing Cisco Threat Control Solutions Implementing Cisco Secure Access Solutions Implementing Cisco Secure Mobility Solutions Implementing Advanced Cisco ASA Security Implementing Core Cisco ASA Security Implementing Cisco Identity Services Engine for Wireless Engineers Implementing Cisco Secure Access Control System Managing Advanced Cisco SSL VPN Implementing and Configuring Cisco Identity Services Introducing Cisco Voice and Unified Communications Administration Implementing Cisco Voice Communications and QoS Managing Cisco Wireless LANs Cisco Unified Wireless Networking Implementing Cisco Unified Communications Manager Part 1 Implementing Cisco Unified Communications Manager Part 2 Implementing CiscoWorks LMS IPv6 Fundamentals, Design, and Deployment Implementing Cisco Unified Wireless Networking Essentials Designing for Cisco Internetwork Solutions Designing Cisco Network Service Architectures Implementing Cisco Intrusion Prevention System Cisco ASA Express Security Infolinia: 800 49 55 82 Kraków Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944. Nakład: 2500 egz. Redakcja: Zespół Komunikacji Marketingowej SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] www.integrator.SOLIDEX.com.pl