Integrator nr II/2014 (127)

Transkrypt

Integrujemy przyszłość®
Biuletyn Informacyjny SOLIDEX®
Nr II/2014 (127)
Po kolejnej wiosennej akcji SOLIDEXu
„PORZĄDEK w SIECI”
czytaj str. 4
W numerze
między innymi:
WYDARZENIA:
Nowe szkolenia Cisco
w ofercie SOLIDEX
NOWOŚCI:
Nexus 9000 - rozwiązanie
dla nowych generacji data
center
TECHNOLOGIE:
Cisco Invicta - IOPS bez
granic
ROZWIĄZANIA:
F5 Vipron - platforma
rozwiązań Enterprise
ISSN 1233–4944
www.integrator.SOLIDEX.com.pl
Gold Certified Partner
Cisco Learning
Specialized Partner
Platinum Partner
Collaborative Certified
Support Provider
Platinum Partner
J-Partner Elite
Gold Partner
Elite Partner
Numer: II/2014 (127)
Szanowni Państwo,
Przedstawiamy Państwu kolejny numer naszego biuletynu informacyjnego INTEGRATOR. Nasz kwartalnik redagowany
przez Zespół SOLIDEX trafia nieprzerwanie od dwudziestu już lat do grupy kilku tysięcy profesjonalistów IT.
Zachęcamy do przeczytania artykułu na temat trzeciej edycji akcji SOLIDEX „Porządek w Sieci” („Po kolejnej wiosennej
akcji SOLIDEXu „PORZĄDEK w SIECI” – str. 4) oraz wspomnieniowej już relacji z cyklu wydarzeń inspirowanych
wejściem Polski do Unii Europejskiej („Droga do Europy – 10 lat temu” – str. 6 ).
Szczególnej uwadze polecamy artykuł poświęcony nowym kursom w programie autoryzowanych szkoleń Cisco („Nowe
szkolenia Cisco w ofercie SOLIDEX” – str. 8 ).
Bieżący numer INTEGRATORa prezentuje artykuły poświęcone nowościom z oferty partnerów technologicznych
SOLIDEX takich jak Cisco („Nexus 9000 – stworzony dla nowej generacji data center” – str. 11), Vmware („Vmware
– nowa oferta produktowa” – str. 15), Check Point (Check Point – nowy wymiar bezpieczeństwa – str. 23).
W dziale technologie publikujemy teksty dotyczące najbardziej ekologicznego przełącznika Cisco 2960-X („Cisco 2960-X:
najbardziej ekologiczny przełącznik – str. 27) oraz efektywnego zarządzania zmianami, które oferuje produkt firmy
Tufin („Tufin SecureChange – efektywne zarządzanie zmianami” – str. 32).
Pozostałe artykuły to opis rozwiązań firm Cisco („Cisco 4451-X: router z rodziny Cisco ISR” – str. 46) oraz F5 („F5
Vipron – platforma rozwiązań Enterprise” – str. 51).
Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się i tym razem z Państwa dużym zainteresowaniem.
Życzymy przyjemnej lektury i polecamy zawsze SOLIDne usługi naszych EXpertów.
Zespół SOLIDEX
Spis treści
WYDARZENIA
4
6
8
10
10
Po kolejnej wiosennej akcji SOLIDEXu „PORZĄDEK w SIECI”.
Historia Pisana Internetem – Droga do Europy – 10 lat temu.
Nowe szkolenia Cisco w ofercie SOLIDEX
Małopolska Chmura Edukacyjna
SOLIDEX wyróżniony tytułem Forti Lider 2014 w dwóch kategoriach
NOWOŚCI
11
15
23
Nexus 9000 – rozwiązanie dla nowych generacji data center.
VMware – nowa oferta produktowa.
CheckPoint – innowacyjny wymiar bezpieczeństwa.
TECHNOLOGIE
27
32
36
Cisco 2960–X: najbardziej ekologiczny przełącznik.
Tufin SecureChange – efektywne zarządzanie zmianami.
Cisco Invicta – IOPS bez granic.
ROZWIĄZANIA
43
46
51
Rozwiązywanie problemów WiFi Networks.
Cisco 4451-X: router z rodziny Cisco ISR.
F5 Vipron – platforma rozwiązań Enterprise.
WYDARZENIA
Po kolejnej wiosennej akcji
SOLIDEXu „PORZĄDEK w SIECI”.
Tegorocznej wiosny po raz trzeci mieliśmy przyjemność zaprosić naszych klientów
i sympatyków na kolejną z odsłon cyklicznych już spotkań pod nazwą „Porządek
w Sieci”. Miło nam, że akcja ta cieszy się nieustannie Państwa zainteresowaniem.
Wielu z uczestników doceniając profesjonalizm przygotowywanych sesji powraca
do nas z każdą następną edycją. Przybywa również nowych osób chcących
zaznajomić się z rozwiązaniami oferowanymi przez SOLIDEX.
Wiosenną edycję „Porządek w Sieci”
rozpoczęliśmy tradycyjnie od najdalej
położonego oddziału – w Gdańska
1 kwietnia 2014 roku. Następnego
dnia przenieśliśmy się z wykładami
do naszej siedziby w poznańskim
biurowcu Delta, by 3 kwietnia spotkać
się z Państwem we Wrocławiu. Poza
unikalną możliwością pozyskania
wiedzy z zakresu tematów prezentowanych na sesjach, mieli Państwo
również szansę na spotkanie i rozmowy
z naszymi specjalistami z poszczególnych oddziałów.
Po krótkiej przerwie, 8 kwietnia znów
mogliśmy dzielić się wiedzą, tym
razem z uczestnikami warszawskiego
seminarium. Finał wiosennej akcji
„Porządek w Sieci” zakończyliśmy
oczywiście z Tęczowym Biurowcu
w centrali w Krakowie.
To właśnie spotkania w Krakowie
i Warszawie cieszył się największą
frekwencją i zainteresowaniem.
4
w zarządzaniu bezpieczeństwem.
Szeroki zestaw funkcji, precyzja
w określaniu zagrożenia oraz jedyne
na rynku narzędzia administracyjne
to jedynie kilka z zalet tego produktu.
Patrząc całościowo JSA jest kompleksowym rozwiązaniem, z którym nasze
• Juniper JSA (SIEM) – wykr y- zasoby mogą się czuć bezpiecznie.
wa nie z ag r o ż e ń pr z y pomoc y
• Infoblox NetMRI – metody zarząkorelacji zdarzeń
Ewolucja i ciągłe zmiany zagrożeń dzania sieciami wielu dostawców
wymuszają szybką reakcję na obser- C zę ścią wspólną dla wszystkich
wowane zdarzenia. Iloś ć groma- sieci teleinformatycznych są usługi
dzonych zdarzeń i parametrów sieciowe. Proces transmisji informacji
identyfikujących stan sieci rośnie w takiej sieci jest mocno od nich
uzależniony. Te usługi to IPAM, DHCP
z dnia na dzień.
P o w d r o ż e n i u n i e z b ę d n y c h i DNS – usługi kluczowe, bez których
elementów bezpieczeństwa w infra- nie może istnieć sieć komputerowa
strukturze sieciowej każda organizacja a wysoka dostępność kluczowych
dowolnej wielkości, musi sprostać usług dla nich jest wręcz krytyczna.
wyzwaniu zarządzania całością Zarządzanie infrastrukturą sieciową
systemu. Prezentowana przez firmę złożoną z urządzeń sieciowych wielu
Juniper platforma Secure Analytics producentów nie musi być skomplit o zdec ydowanie nowa jako ś ć kowana. Przy pomocy platformy
Zakres przedstawionych w tej edycji
tematów, którymi chcieliśmy Państwa
zainteresować, to szeroko rozumiane
bezpieczeństwo i zarządzanie siecią.
Poszczególne prezentowane sesje
dotyczyły następujących rozwiązań:
Numer: II/2014 (127)
podat no ś c i w tych sys t emach .
Do niedawna sądzono, że systemy
opierające się o mechanizmy sygnaturowe stanowią jedyną skuteczną
ochronę. Później pojawiły się systemy
dynamicznej aktualizacji i odpytywania o reputację usług zlokalizowanych w szeroko rozumianej chmurze.
W dniu dzisiejszym takie podejście
jest w wielu aspektach skuteczne, ale
biorąc pod uwagę aktualny „rynek”
zagrożeń nie gwarantuje on ochrony
przed atakami 0-day. Jak wiele więc
mechanizmów bezpieczeństwa musi
zostać aktywowanych aby zapewnić
skutec zną ochronę przez takimi
atakami? Coraz częściej słyszymy
o technologii typu sandbox, która
ma stanowić rozwią zanie dużej
części współczesnych problemów.
Websense jako czołowy producent
bezpieczeństwa nie pozostaje niezauważony na tym polu. Wraz z nową
wersją swojej platformy TRITON
dodał kolejny element analizy.
• Cisco Prime – zarządzanie, monitoring oraz śledzenie zmian urządzeń
w sieci
Cisco Prime jest narzędziem, które
może w znaczącym stopniu uprościć
zar z ądzanie siec ią , zbudowaną
NetMRI w tym samym czasie można w oparciu o urządzenia Cisco. Możlizarządzać konfiguracjami urządzeń wości tego produktu obejmują między
wielu producentów, ich zgodnością innymi zarządzanie konfiguracjami
ze standardami firmowymi w infra- oraz oprogramowaniem urządzeń,
strukturze sieciowej. Dodatkowo monitorowanie historii zmian zarówno
integracja NetMRI z rozwiązaniami konfiguracji oraz wyposażenia sprzęInfoblox DDI powodują, że wiedza towego urządzeń, śledzenie użytkowna temat sieci jest jeszcze bardziej przej- ników/stacji końcowych, wizualizację
rzysta i dokładna.
topologii sieciowej jak i samych
urządzeń sieciowych. Wszystkie
• Websense Triton – bezpieczeństwo t e c z ynno ś c i mo ż na wykona ć
na styku z Internetem
za pomocą rozbudowanego i bardzo
Nieustający rozwój usług elektro- intuicyjnego interfejsu GUI, który staje
nicznych pociągnął za sobą falę się nieodzownym elementem pracy
z ag r o ż e ń , k t ór a wykor z ys t uje każdego administratora sieci.
Każdy z przedstawionych tematów
poszerzyliśmy tradycyjnie, o pokaz
„na żywo” omawianych rozwiązań.
Miło nam, że doceniają Państwo
w ła śnie t ak i sposób uzupe ł niania teoretycznych wykładów,
czego potwierdzenie znaleźliśmy
w poz ytywnych koment ar z ach
w ankietach wypełnianych przez
Pa ństwa po wsz yst k ich z akoń czonych sesjach.
Ze szczególną satysfakcją odnotowali ś my r ównie ż fak t , ż e 1 0 0
procent respondentów wypełniających ww. ankiety poleciłoby nasze
seminarium innym.
Serdecznie dziękujemy za zaufanie,
którym obdarzają nas Państwo oraz
za czas spędzony z nami na wiosennej
akcji „Porządek w Sieci”.
Mamy nadzieję, że zdobyta w czasie
spotkań wiedza zaowocuje w Państwa
pracy, a w razie jakichkolwiek pytań
czy chęci pogłębienia któregoś z prezentowanych tematów, prosimy o kontakt
z naszymi specjalistami, którzy z wielką
przyjemnością przybliżą ich zakres.
Gorąco zapraszamy do odwiedzenia
naszej strony http://www.porzadek.
solidex.com.pl, na której znajdują się
relacje z wszystkich przeprowadzonych
dotychczas akcji.
Pomimo zbliżających się wakacji,
intensyfikujemy nasze wysiłki nad
kolejną edycją spotkań, by zakres
tematyczny seminarium był dla
Państwa interesujący.
Już dziś zachęcamy do rezerwacji
Państwa czasu, byśmy mogli razem
spotkać się na jesiennej odsłonie
„Porządek w Sieci 2014”.
5
WYDARZENIA – HISTORIA PISANA INTERNETEM
Droga do Europy – 10 lat temu.
Minęło 10 lat od chwili, kiedy SOLIDEX wraz ze swoimi Klientami celebrował wejście Polski do Unii
Europejskiej cyklem wydarzeń pod wspólnym hasłem "Sztuka Integracji czyli Powrót do Europy
w siedmiu odsłonach, w tanecznym rytmie, z Krakowa przez Warszawę...”. Wtedy to mieliśmy
przyjemność organizować dla naszych Klientów i Partnerów symboliczną podróż integracyjną, której
oprócz merytorycznych seminariów towarzyszył
bogaty cykl imprez kulturalno-artystycznych.
Na s ze s p otka n i a z a w a rte
w siedmiu odsłonach, obejmowały
również VII edycję konferencji
pt. "Sztuka Bezpiecz nej
Integracji”. Uczestnictwo
w podróży gwarantowała
rejestracja w serwisie
otwartym n a potrzeby
akcji oraz uzyskanie tzw.
"Paszportu do Europy”.
To od naszych Podróżnych
z a l eż a ło n a k t ó r y m
" p r z y s t a n k u” w s i ą d ą
do naszego pociągu do Europy
i na którym z niego wysiądą.
Wracając
pa mięcią
do tamtych wydarzeń zachęcamy
do zapoznania się z poniższym
artykułem, który przeniesie
nas w czasie i pozwoli odczuć
atmosferę tamtych dni.
Integracyjna podróż SOLIDEXu
rozpoczęła się 6 marca 2004 roku
cyklem spotkań artystycznych
w Krakowie, które zapoczątkowały
6
gościom w aktywnym zaangażowaniu się w merytoryczne
wydarzenia. W czasie VII
edycji konferencji "Sztuka
Bezpiecznej Integracji”,
zatytułowanej "Komfort
w Sieci” omawiane i demonstrow a ne były metody
budowy i ad mi nistrowania systemów teleinformatycznych, tak aby
działały w sposób maksymalnie wydajny, bezpieczny
i niezawodny. Po solidnej
dawce edukacji na uczestników podróży czekał wieczór
pełen relaksu, muzyki, humoru
i tańca. W Piwnicy Krzysztofory
farsa wystąpili: Art Color Ballet,
Marriotta Kabaret pod Wydrwigroszem,
i Foota "Bez seksu proszę” Ireneusz Krosny oraz Zbigniew
oraz opera Rossiniego "Cyrulik Wodecki.
Sewilski” w Teatrze Słowac- Po m arcowych spotka niach
kiego. Atmosfera rozrywki nie w Krakowie kolejne eta py
przeszkodziła zaproszonym podróży odbyły się w Warszawie.
Numer: II/2014 (127)
W podziemiach Pałacu Kultury
i Nauki (w klubie Qvo Vadis)
1 kwietnia 2004 miała miejsce
specjalna Odsłona VII konferencji – jej Epilog. W czasie
Epilogu starano się odpowiedzieć na tytułowe pytanie: –
dokąd zmierza "komfort” sieci
i Internetu. Program obejmował
dwie sesje "Komfort i bezpieczeństwo systemów sieciowych”
oraz "Mobilność użytkownika
w konwergentej sieci”.
Do udziału w konferencji zostali zaproszeni główni partnerzy
SOLIDEXu: Cisco, NAI,
C h e c k Poi n t, No k i a,
Decru, Hitachi Data
Systems oraz Veritas.
Konferencja przybliżyła
uczestnikom zagadnienia
związane z bezpieczeństwem sieci i Internetu
i metody podwyższenia
komfortu użytkow ników
i administratorów.
Kolejna odsłona symbolicz nej podróży miała
m i ej s c e 2 k w i e t n i a
w Teatrze Roma, gdzie
byliśmy świadkami niecodzien nego wydarzenia –
kociego balu na musicalu "Koty”.
Żywiołowy taniec, wspaniała
muzyka, cudowna gra świateł,
a także spora dawka humoru
i zaskakujących efektów
sprawiły, że musical "Koty”
w s po mi n a ny jest przez
uczestników do dziś.
Ostatni etap podróży odbył
się w maju, już w Unii
E u rop ejs ki ej. Ws zy s cy
s p ot k a l i s ię w D n i u
Zwycięstwa w Warszawie,
która oficjalnie stała się
stolicą kraju członkowskiego Wspólnoty. SOLIDEX
świętował to wydarzenie
pod hasłem "Po kabaretach
będzie Perfect” z udziałem
czołowych gwiazd polskiej
sceny muzycznej i kabaretowej. Gośćmi specjalnymi
i m p rezy byli, m.i n.:
Maria n Op a nia, Krzysztof
Daukszewicz, Grupa Taneczna
VOLT, Ani Mru Mru, zespół
Patrycji Markowskiej a także
Grzegorz Markowski z zespołem
Perfect. Na zakończenie imprezy
wszyscy zebrani odśpiewali
wspólnie "Chcemy być sobą”
i "Niepokonani”.
Naszą podróż zakończyliśmy
siódmą odsłoną, której gościem
specjalnym była Pani An na
Dymna i jej Fundacja "MIMO
WSZYSTKO”. Szczególny akcent
podróży
wiązał się z pomocą niepełnosprawnym poprzez zorganizowanie wsparcia finansowego
dla Fundacji Pani Anny Dymnej.
7
WYDARZENIA
Nowe szkolenia Cisco w ofercie SOLIDEX
SOLIDEX poszerzył zakres oferowanych kursów Cisco z zakresu Security, Voice i Wireless. Zgodnie z informacjami,
które zawarte zostały w ostatnim numerze naszego Integratora, 21 kwietnia 2014 roku Cisco zmieniło dotychczasowe
szkolenia w ścieżce certyfikacyjnej Cisco CCNP Security na zupełnie nowe o zmienionym zakresie technologicznym
i produktowym. W chwili obecnej, aby uzyskać tytuł CCNP Security, należy posiadać tytuł CCNA Security i zdać
cztery egzaminy z nowej ścieżki, w skład której wchodzą kursy: SENSS, SITCS, SISAS i SIMOS. Zakres wymienionych
kursów omówiony zostanie poniżej.
SENSS
[300-206] Implementing Cisco Edge
Network Security Solutions
Kurs ten omawia zagrożenia występujące w warstwach sieciowych L2 i L3
oraz przedstawia modularne metody ich
zabezpieczania za pomocą funkcjonalności dostępnych w systemie Cisco IOS
na urządzeniach typu switch, router
oraz firewall. Przedstawiona jest tutaj
koncepcja budowy wielowarstwowego
systemu zabezpieczeń w styku internetowym oraz sieci LAN z uwzględnieniem metodologii ochrony Control
Plane, Data Plane oraz Management
Plane.
SITCS
[300-207] Implementing Cisco Threat
Control Solutions
Tematyka kursu koncentruje się
na omówieniu metod i stosowanych
technik zapewniających wysoki poziom
bezpieczeństwa przesyłanych danych
i kontroli zawartości (analiza kontentu).
Prezentowane są tutaj funkcjonalności
dostępne na urządzeniach typu Next
Generation (ASA CX, NGIPS) zapewniające bezpieczeństwo aplikacji
oraz funkcjonalności gwarantujące
bezpieczną komunikację dla ruchu internetowego oraz poczty elektronicznej
(Internet Web Gateway oraz Email Web
Gateway).
SISAS
[300-208] Implementing Cisco Secure
Access Solution
Kurs dostarcza uczestnikom niezbędnej
wiedzy i umiejętności dotyczących
8
zarządzania tożsamością i wdrożenia
bezpiecznych narzędzi kontroli dostępu
do sieci. Koncentruje się na omówieniu
funkc jonalno ś c i ac c ess - c ont rol
w oparciu o produkt Cisco ISE.
na obsługę IPv6. Szkolenie obejmuje
zagadnienia dotyczące wirtualizacji
(praca w trybie mixed-mode), czy też
zapewnienia niezawodności (budowa
klastra firewall).
SIMOS
SASAC
[300-209] Implementing Cisco Secure
Mobility Solutions
Kurs koncentruje się na omówieniu
funkcjonalności urządzeń typu router
oraz firewall Cisco ASA, jako urządzeń
pełniących rolę koncentratora połączeń
V PN. Omawiane są tutaj szc zegółowo dostępne technologie VPN
w kontekście połączeń typu Site-to-Site oraz Remote Access. Silny nacisk
położony jest na zaawansowane
metody uwierzytelnienia takie jak PKI,
zewnętrzne serwery czy też SSO.
Implementing Core Cisco ASA Security
Najnowszy kurs z oferty Cisco. Tematyka
kursu koncentruje się na omówieniu
funkcjonalności urządzeń typu firewall
Cisco ASA. Przedstawione są tutaj
metody budowania zabezpieczeń
sieci z wykorzystaniem wyżej wymienionych urządzeń oraz zarządzania nimi.
Kurs skupia się na prezentacji możliwości urządzenia Cisco ASA i traktuje
to urządzenie, jako typowy firewall.
Oprócz wymienionych kursów, powiązanych bezpośrednio z certyfikacją
CCNP Security, Cisco w ostatnim czasie
poszerzyło swoją ofertę o dodatkowe
kursy z zakresu bezpieczeństwa
sieciowego, tzw. „kursy produktowe”.
Są to:
SASAA
Implementing Advanced Cisco ASA
Security
Kurs koncentruje się na omówieniu
funkc jonalno ś c i urz ądzeń typu
Cisco ASA Next Generation Firewall
(ASA5500-X). Krok po kroku prezentowane są czynności, które należy
wykonać , aby zintegrować A SA
z AD, uruchomić IPS software module,
ASA C X, czy też zapewnić komunikację z usługą Cloud Web Security.
Silny nacisk położony jest również
SAEXS
Cisco ASA Express Security
Dwudniowy k ur s pr oduk t owy
skupiając y się na firewall
Cisco ASA. Omawiane są tutaj możliwości urządzenia pod kątem funkcjonalności firewall, koncentrator połączeń
VPN oraz NGFW. Krok po kroku prezentowane są czynności, które należy
wykonać, aby uruchomić firewall,
kontrolować jego stan i wykorzystać
jego możliwości w zakresie filtrowania ruchu w sieci i uruchomienia
w/w funkcjonalności.
SWISE
Implementing and Configuring ISE for
Wireless Engineers
Kurs produktowy, skupiający się
na integracji Cisco ISE z kontrolerem
WiFi (WLC) oraz urządzeniem access
Numer: II/2014 (127)
point (AP). Omawiane są tutaj zagad- Zmianie uległa również ścieżka kursów
nienia dotyczące integracji z AD, PKI, związanych z usługami collaboration
Guest Access.
voice i video. Na poziomie CCNA Voice
przybyło szkolenie ICOMM, a CCNP
Voice oprócz dotychczasowych kursów
CIPT1 i CIPT2 zawiera teraz kurs CVOICE.
i rozwiązań oferowanych przez firmę
Cisco Systems. Tematyka omawiana
to: projektowanie, instalacja, konfiguracja i monitorowanie rozwiązań
WLAN (Wireless Local Area Network)
w małych i średniej wielkości organizacjach. Szkolenie uwzględnia nowe
Managing Advanced Cisco SSL VPN
funkcjonalności, które pojawiły
Kurs produktowy, skupiający się
się w oprogramowaniu kontrolera
na realizacji połączeń VPN remote
w wersji 7.2, związane z trendem
access w oparciu o technologię SSL [640-641] Introducing Cisco Voice „Bring Your Own Device”, takie jak:
VPN. Krok po kroku prezentowane and Unif ie d C ommunic at ions FlexConnect, wsparcie dla 802.11u czy
są czynności, które należy wykonać, Administration
TrustSec.
aby ur uchomić z aawansowaną Kur s opisuje elementy budowy
funkcjonalność Clientless oraz Full systemu sieciowego do obsł ugi
Network Mode Access w oparciu głosu w IP oraz telefonii IP, kompoo AnyConnect. Integracja z AD, ACS, nenty, architekturę i fukcjonalności.
PKI oraz endpoint security (Host Scan, Wprowadza do zarządzania systemem Managing Cisco Wireless LANs
Cisco Secure Desktop, Dynamic Access opartym na CUCM (Cisco Unified Szkolenie obejmuje zastosowanie
Policy) to zagadnienia omawiane Communications Manager), CUCM aplikacji Cisco Prime Infrastructure 1.4
w ramach tego kursu.
Express, Cisco Unity Connection oraz do zarządzania siecią bezprzewodową
Cisco Unified Presence.
opartą o sprzęt firmy Cisco Systems.
Omawiane są aspekty związane
z zarządzaniem konfiguracją, monitorowaniem, raportowaniem zdarzeń oraz
Implementing Cisco Secure Access
optymalizacją sieci bezprzewodowej.
Control System
[6 42 - 4 37] Implementing C isc o
Kurs produktowy, skupiający się Unified Communications Voice over Opisane skrótowo i poglądowo
na Cisco Access Control Server. Krok IP and QoS
w tym artykule kursy są już dostępne
po kroku prezentowane są czynności, Kurs opisuje działanie urządzenia w ośrodku szkoleniowym Solidex.
które należy wykonać, aby uruchomić jakim jest Voice Gateway. Jest Więcej informacji na temat nowych
ACS i wykorzystać jego możliwości to usługa na routerze Cisco mająca autoryzowanych szkoleń Cisco znajdą
w zakresie zarządzania dostępem na celu obsługę systemu telefo- Państwo na naszej stronie internedo sieci (integracja z AD, PKI, metody nicznego w firmie oraz umożliwiająca towej http://www.solidex.com.pl/
EAP i 802.1X) i kontrolą nad urządze- podłączenie do sieci operatora (PSTN). oferta/autoryzowane-szkolenia-cisco.
niami sieciowymi (uwierzytelnienie, Por uszane s ą tematy zwią zane Serdecznie zapraszamy zainteresoautoryzacja, bilingowanie aktywności). z kodek ami, planem r out ing u , wanych do korzystania z usług naszych
w yk o r z y s t a niu z a s o b ó w D S P, SOLIDnych Expertów.
tworzenie transkoderów i bridge’y
konferencyjnych. Konfigurowana
jest usługa CUCM Express (wsparcie
Implementing and Configuring Cisco obsługi telefonów IP poprzez system
Identity Services Engine
IOS na routerze) oraz usługi QOS
Szkolenie ma na celu zaznajomienie w sieci IP (klasyfikacja, znakowanie,
uczestników z Cisco Identity Services kolejkowanie, AutoQOS).
Engine (ISE) w wersji 1.1, systemem Dodatkowo Solidex poszerzył swoją
zarządzania kontrolą dostępu do sieci ofer t ę t ak ż e o kur sy zwią z ane
oraz zasobów sieciowych. W ramach ze specjalizacją CCNP Wireless:
szkolenia uczestnicy poznają możli- CUWN I WMNGI.
wości oferowane przez Cisco ISE. Szeroki
zestaw ćwiczeń pozwoli opanować
właściwy dobór dostępnych mechanizmów na etapie projektowym, konfiguracji oraz poznać dobre praktyki Cisco Unified Wireless Networking
wdrożeniowe na etapie implementacji Jest to średniozaawansowany kurs
i zarządzania tym produktem.
z technologii bezprzewodowych
SASSL
ICOMM
WMNGI
ACS
CVOICE
SISE
CUWN
9
WYDARZENIA
Małopolska Chmura Edukacyjna
W dniu 31.03.2014 r. Solidex S.A.
podpisał z Akademią Górniczo-Hutniczą w Krakowie umowę na
dostarczenie platformy informatycznej, obejmującej urządzenia
informatyczne wraz z oprogramowaniem, wykorzystującej technologię
chmury obliczeniowej dla realizacji
usług komunikacyjnych, oraz stanowiącej bazę do budowy systemów
merytorycznych i treści edukacyjnych
w ramach projektu „Małopolska
Chmura Edukacyjna” (MChE).
Projekt „Małopolska Chmura Edukacyjna” to innowacyjna platforma
informacyjno-komunikacyjna, która
umożliwia prowadzenie interak-
t y w nych z aj ę ć , pr z e t w ar z an i e
materiałów dydaktyczno-edukacyjnych, prowadzenie wspólnych
projektów przez uczelnie i szkoły
ponadgimnazjalne.
Wdrożenie modelu MChE obejmie
szkoły średnie z województwa małopolskiego oraz wiodące uczelnie wyższe.
W skład realizacji projektu wchodzi
budowa systemu informatycznego,
czyli zaopatrzenie szkół i ośrodków
akademickich w dostęp do sieci
b e zprze wo dow ych, mobi lnych
pracowni zaopatrzonych w urządzenia
wideokonferencyjne oraz systemy
do współpracy zdalnej.
Głównym celem projektu MChE jest
podwyższenie poziomu nauczania,
budowanie w uczniach zainteresowania nowoczesną technologią,
oraz zaciekawienie małopolskiej
młodzieży przyszłymi kierunkami
kształcenia. Realizacja projektu MChE
wykreuje innowacyjne środowisko
wsparcia procesów edukacyjnych
te chnolog iami ICT b azując ych
na modelu chmurowym oraz wysokiej
jakości komunikacji multimedialnej.
Wi ę c e j i n for ma c j i o proj ekc i e
znajdą Państwo na stronie
www.e-chmura.malopolska.pl
SOLIDEX wyróżniony tytułem Forti Lider 2014 w dwóch kategoriach
Miło nam poinformować, że SOLIDEX
został uhonorowany przez firmę
Fortinet nagrodami Forti Lider 2014
w dwóch kategoriach: za największy
wzrost sprzedaży Fortinet w roku
2013 oraz za najbardziej kompleksowy
i innowacyjny projekt 2013. Szczególnie
drugie wyróżnienie jest dla nas istotne,
gdyż potwierdza wysoki poziom kompetencji inżynierskich utrzymywanych
przez SOLIDEX.
Komponentami wyróżnionego projektu były między innymi:
•klaster urządzeń UTM Fortigate,
•system uwierzytelniania użytkowników w wersji wirtualnej FortiAuthenticator-VM,
10
•system zbierania i analizy logów
w wersji wirtualnej FortiAnalyzer-VM,
•oprogramowanie do ochrony stacji
roboczych FortiClient,
•sieć bezprzewodowa FortiAP zarządzana centralnie.
Firma Fortinet jest jednym z liderów
rozwiązań systemów bezpieczeństwa
dostępnych na rynku. SOLIDE X
wspó ł pr ac uje z f ir mą F or t inet
od 2007 roku, natomiast od 2008
roku nieprzerwanie posiada tytuł
Fortinet Gold Partner.
Numer: II/2014 (127)
Nexus 9000 – rozwiązanie dla
nowych generacji data center.
Pod koniec roku 2013 firma Cisco wprowadziła na rynek całkowicie nowy system
architektoniczny stworzony specjalnie dla centrów przetwarzania danych,
a także coraz bardziej popularnych systemów chmurowych, którego głównym
zadaniem jest koncentracja na spełnieniu wymagań i zwiększeniu efektywności
działających w nim aplikacji.
C isco Applic ation C entr ic Infrastr uc ture ( AC I), bo t aką nazwę
nosi powstała architektura oferuje
mo ż liwo ś ć p e ł nego moni t or o wania i zintegrowanego zarządzania
zarówno fizyc znymi jak i wir tualnymi zasobami IT, uwzględniając
pr zy tym wymagania st awiane
przez działanie bieżących aplikacji.
Na architekturę ACI składają się:
A PIC ( A pplic ation Polic y Infrastructure Controller), przełączniki
Nexus 9000 oraz rozbudowany
system operacyjny NX-OS.
Architektura ACI została opar ta
na otwartych platformach oraz oprogramowaniu open source, co jak
pokazuje rynek znacznie zwiększyło
możliwości wykorzystania jej przez
firmy współpracujące z Cisco. W tzw.
ekosystem dla partnerów wpisały się
dotychczas takie firmy jak: BMC, CA
Technologies, Citrix, EMC, Embrane,
Emulex, F5, IBM, Microsoft, NetApp,
OpsCode, Panduit , Puppet L abs,
NIK SUN, Red Hat , SAP, Splunk,
Symantec, VCE i VMware.
fizycznej sprzętu. APIC został zaprojektowany dla wielo-środowiskowego
oraz wielo-użytkownikowego modelu
Architektura ACI
sieci, w którym użytkownicy mają
możliwoś ć posiadania poufnego
Sercem architektury jest kontroler i szyfrowanego dostępu do obiektów,
APIC – Application Policy Infra- a te z kolei posiadają unikalny zestaw
structure Controller, który został atrybutów RBAC (Role-Based Access
zautomatyzowany na fizycznym Controll) READ oraz WRITE. W zarząsprzęcie. Jego zadaniem jest stworzenie dzaniu obiektami ACI wykorzystuje
modelu logic znego dost ępnych także lokalną i zewnętrzną kontrolę
aplikacji oraz sieci, w którym zarzą- dostępu opartą na protokole AAA.
d z anie odbywa si ę w opar c iu Cisco znacznie rozbudowało funkcję
o polityki. Sama koncepcja powstania m o n i t o r u j ą c ą , w p r o w a d z a j ą c
nowoczesnej architektury sięga profili moż liwo ś ć podglądu działania
serwerowych Cisco UCS Managera każdej aplikacji z osobna. Wynik
i miała być jej rozszerzoną wersją. pracy aplikacji opiera się na: zbadaniu
Profil sieciowy w ACI w pełni opisuje infrastruktury, ocenie działania,
po ł ąc zenie wielorakich kompo - w y s t ę p u j ą c y c h o p ó ź n i e n i a c h
nentów aplikacji definiując przy tym w działaniu, metrykach i statystykach
wymagania dla każdej z nich. ACI oraz statusie wykorzystania zasobów.
likwiduje także zależności sprzętowe W przypadku braku wolnych zasobów
oraz udost ępnia swego rodzaju aplikacja ma możliwość migracji
mobilność pomiędzy sieciami poprzez w miejsce, gdzie zasoby te są dostępne.
pełne rozdzielenie aplikacji od warstwy Application Centric Infrastructure
11
NOWOŚCI
Rys. 1. Rodzina przełączników Nexus 9000
ofer uje elastyc zną architek tur ę
wdrażania fizycznych i wirtualnych
usług w warstwach sieci L4 – L7, zapewniając przy tym separację pomiędzy
warstwami aplikacji, a politykami
komunikacji. ACI oferuje t ak że
wsparcie dla obecnie używanych
modeli usługowych.
zaprojektowane firmowe układy ASIC,
przełączniki oferują najlepszy w swojej
klasie stosunek ceny do wydajności
oraz najwyższą gęstość portów typu
non-blocking o przepustowości 1/10
Gb/s lub 10/40 Gb/s. Cisco zapewnia
również, że gdy w przyszłości zajdzie
potrzeba, będzie można wykorzystać
interfejsy 100 Gb/s. W skład rodziny
Przełączniki Nexus serii
Nexus 9000 wchodzą urządzenia
9000
wykorzystujące najnowsze osiągnięcia
technologic zne: architek tur ę
Nowe modele przełączników Nexus modularną (pierwsze na rynku tego
9000 są podstawowym elementem typu prze łąc zniki zapewniające
umożliwiającym działanie archi- o c hr on ę inwe s t yc ji ) , sys t e my
tektury ACI. Wykorzystując zarówno zasilania i chłodzenia o szczególnie
dostępne na rynku standardowe wysokiej efektywności energetycznej
układy scalone jak i specjalnie oraz uproszczoną konstrukcję, która
Rys. 2. Nexus 9508 w ośmioslotowej ramie
12
pozwoliła na dwukrotne zwiększenie
średniego czasu bezawaryjnej pracy
urządzeń (MTBF).
Na nową rodzinę przełączników Nexus
9000 składają się: seria przełączników modularnych – Nexus 9500
oraz produkowane jako Top-of-Rack
(ToR) – Nexus 9300.
Nexus 9508
Flagowym produktem modułowej
serii 9500 jest Nexus 9508. Ośmioslotowa rama pozwala na umieszczenie
8 kart liniowych. Dwa nadrzędne
moduły, które umieszczone są pod
modułami liniowymi zapewniają
redundancję 1:1. Kolejno niżej znajduje
Numer: II/2014 (127)
N9K-X9564PX
N9K-X9564TX
N9K-X9636PQ
48
-
-
1/10 Gb standard T
-
48
-
40 Gb QSFP
4
4
36
Maksymalna liczba
portów 1 Gb
48
48
-
Maksymalna liczba
portów 10 Gb
64
64
144
Maksymalna liczba
portów 40 Gb
4
4
36
Minimalna liczba modułów
fabrycznych potrzebnych
do działania pełnego systemu
3
3
6
1/10 Gb SFP/SFP+
Tabela 1. Właściwości kart dla serii Nexus 9500
się osiem slotów dla zasilaczy zdolnych
do dostarczenia 3kW zasilania. Jednak
9500 do pełnej funkcjonalności
wymaga tylko dwóch. Dodatkowe
2 zasilacze mogą być użyte do redundancji 2+1 lub 2+2. Następne cztery
sloty powstały z myślą o przyszłej
migracji do obsługi połączeń 100Gb,
a także następnej generacji ASIC. Dla
rodziny 9500 jak dotąd, Cisco wydało
dwa rodzaje kart liniowych:
•Model: N9K-X9564PX to 48 portowa
karta z interfejsami 1/10Gb SFP/
SFP+ oraz czterema portami 40Gb
QSFP (16x10Gb).
•Model: N9K-X 956 4T X to kar ta
48 portowa z interfejsami 1/10Gb-T
or a z c z t er ema por t ami 4 0 Gb
QSFP (16x10Gb). W przyszłości
Cisco planuje tak że wyprodukowanie karty: N9K-X9636PQ, która
zostanie wyposażona w 36 portów
40Gb QSFP.
Opisując serię 95 00 nie moż na
p o m in ą ć z a ł o ż e ń in ż yn i e r ó w
dotyczących efektywności energetyc znej nowych prze ł ąc zników.
Innowacyjna architektura została
zaprojektowana tak aby przełączniki
posiadał y ekstremalnie wysoką
wydajność i spełniały założenia
ekologicznych systemów. Jednym
z kluczowych rozwiązań konstrukcyjnych serii 9500 jest ułożenie kart,
które umożliwiają niezakłócony
przep ł yw powietrza od przodu
do tyłu, przyczyniając się w ten sposób
do podniesienia mocy i wydajności
chłodzenia. W przeliczeniu zużycia
energii na port Nexus 9500 zużywa
3 , 5 W/ 1 0 GbE or a z 1 4 W/ 4 0 GbE ,
co czyni serię Nexus 9500 najbardziej
energooszczędną serią przełączników
modularnych na rynku Data Center.
W serii Nexus 9500 możemy wyróżnić
jeszcze dwie architektury: Nexus
9504 oraz 9516, które są odpowiednio
mniejszym i większym rozwiązaniem
serii 9508.
Nexus 9300
Jak zostało wcześniej wspomniane
rodzina Nexus 9000 posiada także
serię switchy typu ToR. Nexus 9396PX,
na który składa się 48 portów 1/10Gb
SPF+ i 12 portów 40Gb w standardzie
QSFP+ w rozmiarze 2U oraz Nexus
93128TX w rozmiarze 3U, składający
się z 96 portów 1/10Gb T i 8 portów
40Gb QSFP+ to dwa dostępne w tej
serii urządzenia. Porty 40Gb dostępne
są z poziomu modułu uplinkowego.
W rozwiązaniach serii 9300 możemy
również wymienić możliwość zamontowania redundantnego zasilania oraz
chłodzenia. Podobnie jak w serii 9500
zaprojektowany został także specjalny
system przepływu powietrza (przódtył), co przyczyniło się do podniesienia
sprawności energetycznej urządzenia.
Rodzina Nexus 9000 została zaprojektowana od podstaw tak, aby miała
możliwość integracji z wcześniejszymi
architekturami. Obydwie platformy
Rys. 3. Nexus 9396PX
Rys. 4. Nexus 93128TX
13
NOWOŚCI
9500 oraz 9300 wspierają enkapsulacje
oraz dekapsulacje protokołu VXLAN
na poziomie sprzętowym.
NX-OS
Przełączniki z rodziny Nexus 9000
wykorzystują system operacyjny
NX-OS, który zaprojektowany został
specjalnie dla urządzeń pracujących
w Data Center. Charakteryzuje się
on wysoką odpornością na błędy
oraz bezawaryjnym działaniem.
NX- OS umoż liwia równie ż
modularne i niezależne zarządzanie
poszczególnymi procesami, które
w dowolnym czasie mogą być uruchamiane lub restartowane nie zakłócając
przy tym pracy całego systemu oraz
co najważniejsze – transmisji danych.
Najważniejsze korzyści
z wdrożenia architektury
Cisco ACI
Jak można przeczytać na stronie
producenta, Cisco zapewnia o wielu
korzyściach jakie płyną z wdrożenia
i posiadania nowoczesnej architektury.
Są to między innymi:
•75% oszczędności TCO w porównaniu do rozwiązań stosujących
wirtualizację sieci opartą tylko
na oprogramowaniu. Cisco ACI
pozwala na wykorzystanie istniejącej infrastruktury okablowania
a jednocześnie 15% redukcję kosztów
zasilania i chłodzenia dzięki zastosowaniu najbardziej efektywnych
na rynku, modułowych przełączników dla centrów danych.
•Skrócenie czasu wdrażania aplikacji
do minut i zwiększenie elastyczności
biznesu dzięki możliwościom scentralizowanego zarządzania systemem,
tworzenia profili aplikacji, automatyzacji usług sieciowych działających
w warstwach L4-L7 oraz wykorzystania otwartych bibliotek API.
•C e n t r a l i z a c j a z a r z ą d z a n i a
politykami upraszczająca obsługę
systemu i zwiększająca możliwości
pracowników IT przez likwidację
barier i uwolnienie potencjału
wynikającego z możliwości ścisłej
współpracy zespołów IT zajmujących
się aplikacjami, siecią, bezpieczeństwem, wirtualizacją, serwerami
i pamięciami masowymi.
•Ochrona inwestycji dzięki wykorzystaniu otwartych standardów,
protokołów i bibliotek API oraz już
istniejącej infrastruktury sieciowej,
usługowej (wraz z systemami bezpieczeństwa), serwerów fizycznych
i wirtualnych oraz pamięci masowych.
Podsumowanie
Nowobudowane, ale także rozbudowywane i unowocześniane centra
przetwarzania danych oraz systemy
chmurowe wymagają ciągle nowych
i pr z ys z ło ś c iowych r oz wią z a ń .
Nowoczesna architektura ACI, profesjonalne usługi, otwarty ekosystem dla
partnerów umożliwiający zwiększenie
wydajności aplikacji i elastyczności
systemów biznesowych wdrażanych
u klientów zapoczątkowują, jak
zapowiada Cisco, transformację współczesnych systemów IT.
Opracowano na podstawie oficjalnych
materiałów Cisco
M.K.
Inżynier SOLIDEX
Waszych organizacji
www.SOLIDEX.com.pl
14
Numer: II/2014 (127)
VMware – nowa oferta produktowa.
Wirtualizacja umożliwia efektywniejsze wykorzystanie istniejących zasobów
sprzętowych
środowiska
informatycznego.
Wzrost
zapotrzebowania
z jednej strony na prosty w zarządzaniu i bezpieczny system z punktu widzenia
administratora, z drugiej zaś konfigurowalne i łatwo dostępne stacje robocze
od strony użytkownika doprowadził do wzrostu zainteresowania wirtualizacją.
Dzisiaj oprogramowanie wirtualizacyjne to już nie tylko hypervizory, ale także
oprogramowanie do zarządzania całymi farmami środowisk wirtualnych
oraz orkiestratry umożliwiające w sposób niezauważalny dla użytkownika
końcowego na aktualizację i migrację jego systemu. Niekwestionowanym
liderem na rynku wirtualizacji od lat jest niezmiennie VMware. Obecnie w swoim
portfolio produktów posiada prawie 50 produktów, od Fusion, pozwalającego
na MacOSX uruchomić system Windows, przez wirtualizatory sieci oraz SAN,
środowiska backup i disaster recovery, po pełne pakiety oprogramowania,
pozwalające na zarządzanie całymi rozwiązaniami chmurowymi, łączącymi tak
wirtualne jak i fizyczne środowiska.
Co to jest wirtualizacja?
umożliwienia jednoczesnego urucha- operacyjnego. Aplikacje wykorzystują
miania wielu systemów operacyjnych. API w celu komunikacji z systemem
Jedną z pierwszych szeroko stosooperacyjnym. Emulatory API wprowawanych technik wirtualizacji była Emulacja
dzają do głównego systemu operawirtualizacja pamięci operacyjnej
cyjnego otoczenie API pochodzące
w superkomputerach czy serwerach, E m u l a c j a A P I ( A p p l i c a t i o n z innego systemu, niezbędne dla
ale także w komputerach osobistych Programming Interface, np. POSIX, czy emulowanej aplikacji. Najbardziej
i systemach wbudowanych. Inną Windows API), wykorzystuje sposób znanym przykładem jest Wine (Wine
techniką wirtualizacji jest wirtuali- działania aplikacji jako rozdzielnych is not emulator) – implementacja
zacja sprzętu komputerowego w celu procesów w stosunku do systemu WinAPI dla systemu Unix/X11.
15
NOWOŚCI
Emulacja pełna
Emulacja podzespołów komputera
(C P U , R A M , HDD, e t c . ) wr a z
z systemem operacyjnym pozwala
na uruchamianie aplikacji pochod z ą c yc h z niekomp at ybilnego
systemu, w stosunku do wykorzystywanego (np. PC/Mac).
Zapewnia dużą przenośność przy
spadku wydajności. Praktycznie
ka ż da operac ja na wir tualnym
systemie operac yjnym jest
emulowana. Emulator wykonuje
w pętli wszystko to, co robiłby rzeczywisty procesor maszyny emulowanej,
co prowadzi do spadku wydajności
pracy komputera.
Wirtualizacja właściwa
Rys. 1. Zrzut ekranu z windowsem uruchomionym na vmware fusion pod mac os x
Pozwala jednocześnie uruchomić
wiele OS na tej samej platformie
sprzętowej przy maksymalnej wydajności. Jest połączeniem zalet emulacji
pełnej oraz emulacji API.
Opiera się na ur uchamianiu
w maszynie wir tualnej systemu
operacyjnego rezygnując z uniwersalności emulowania wielu architektur komputerów. Ograniczenie
się wyłącznie do wykorzystywanej
platformy sprzętowej umożliwia
wykonywanie pewnej liczby procesów
systemu emulowanego bezpośrednio
na zasobach sprzętowych komputera.
Gdy operacje takie nie dadzą się
bezpośrednio wykonać wirtualizator
emuluje je. Wirtualizator uruchamia
system operacyjny tak, aby mógł
koegzystować z systemem głównym
i osiągać maksymalną zgodność oraz
wydajność. Teoretycznie wirtualizator
powinien wykonywać bez emulacji
wszystkie operacje w trybie nieuprzywilejowanym. W praktyce jednak
dana architektura na przykład x86
musiałaby zostać specjalnie do tego
celu zaprojektowana.
produktów. Aby zrobić to w sposób
przejrzysty należy podzielić produkty
wedle ich zastosowań i możliwości.
Osobiste stacje robocze, czyli
wirtualizatory na poziomie
systemu operacyjnego.
•VMware Workstation
Wir tualizator na poziomie
systemu operacyjnego, działający
na komputerach architektury x86
i x64 pozwala użytkownikom tworzyć
maszyny wir tualne na maszynie
fizycznej i używać je jednocześnie oraz
wraz z fizycznym urządzeniem. Każda
maszyna wirtualna może uruchomić
swój własny system operacyjny typu
Microsoft Windows, Linux, BSD,
i MS-DOS. Obsługiwane jest mostkowanie fizycznych kart sieciowych
i przydzielanie dysków oraz urządzeń
USB do maszyny wirtualnej. Ponadto
można symulować napędy dyskowe
poprzez zamontowanie obrazu ISO
do wirtualnego napędu optycznego
oraz tworzenie wirtualnych dysków
t wa r dyc h ja k o plik ów . vmdk .
Produkty VMware
Fir ma VMware jest bardzo
aktywna na wielu polach wirtualizacji: od rozwiązań użytkownika
po data center i całe sieci. W związku
z mnogością rozwiązań oferowanych
obecnie przez VMware, artykuł ten
ma na celu przybliżenie portfolia jej
16
Rys. 2. Zrzut ekranu z windowsem xm uruchomionym na vmware pod win 7
Numer: II/2014 (127)
Workstation może zapisać migawkowo
stan maszyny wirtualnej w dowolnej
chwili, by następnie przywrócić
maszynę wirtualną do zapisanego
stanu. Możliwe jest także opisanie
kilku maszyn wir tualnych jako
grupy, która może być następnie
włączona, wyłączona, zawieszona
lub wznowiona jako pojedynczy
obiekt, co jest szczególnie przydatne
w środowiskach testowych. Maszyny
wirtualne mogą być przenoszone
miedzy komputerami ponieważ nie
wymagają sterowników do fizycznych
komponentów. VMware Workstation
uruchamia OS w wirtualnym środowisku sprzętowym tak, że system
emulowany wykonuje operacje
bezpośrednio na możliwie największej
ilości zasobów sprzętowych, w szczególności procesorze.
•VMware Player
Bezpłatny i oficjalnie niewspierany
pakiet oprogramowania wirtualizacyjnego dostępny do osobistego, niekomercyjnego użytku. Wykorzystuje ten
sam rdzeń wirtualizacji co bogatszy
Workstation.
•VMware Player Plus
Płatna wersja Player’a, nieco uboższa
od Workstation. Posiada zaawansowane funkcje ale na przykład
nie umożliwia tworzenia maszyn
zabezpiec zanych has łem, może
je natomiast uruchamiać.
•VMware Fusion
Hypervisor dedykowany dla komputerów z systemem OS X z procesorami
Intela. Powala na uruchomienie
systemów operacyjnych takich jak
Microsoft Windows, Linux, NetWare
lub Solaris na wirtualnych maszynach
wraz z systemem operacyjnym hosta,
Mac OS X za pomocą kombinacji
parawirtualizacji, sprzętowej wirtualizacji i dynamicznej rekompilacji.
Oparty jest głównie i współdzielący
funkcje z VMware Workstation.
•Fusion Professional
Rozbudowana wer sja V Mwar e
Fusion. Może tworzyć maszyny
wirtualne z ograniczonym dostępem
wymagają c yc h has ł a , twor z yć
masz yny wir tualne o t er minie
ważności, pracować w trybie single
V M, twor z yć po ł ąc zone k lony
maszyn. Ma także funkcje VMware
Player Plus oraz jest zoptymalizowana dla wyświetlaczy Retina.
Rys. 3. Hypervisor ESX pozwala na uruchamianie maszyn wirtualnych na serwerze
wirtualizując dla nich warstwę sprzętową
Wirtualna serwerownia czyli
wirtualizator na poziomie
„gołej blachy” („bare metal”)
•VMware vSphere Hypervisor, czyli
VMware ESXi
Zastąpił on ESX , czyli darmowy
hypervisor instalowany na maszynie
zamiast systemu operac yjnego.
Można go zainstalować na dysku
USB w odróżnieniu od ESX, który
wymagał lokalnego dysku do instalac ji. Wir tualizuje ser wer y aby
skonsolidować aplikacje na mniejszej
ilości sprzętu prowadząc do jego
większej utylizacji. Wbudowane
narzędzia do zarządzania umożliwiają twor zenie i dost arc zanie
maszyn wirtualnych w prosty i szybki
sposób. Alokowanie zasobów pamięci
masowej poza rzeczywistą pojemność
urządzenia także zwiększa wydajność
użycia jego zasobów . Usprawnione
sterowniki zapewniają optymalną
wydajność ESXi dzięki współpracy
z producentami podzespołów.
•VMware vCenter Converter
Konwertuje systemy z lokalnych
i zdalnyc h ma s z yn f iz yc z nyc h
na maszyny wir tualne VMware.
Jednoczesne konwersje umożliwiają
implementacje wirtualizacji na szeroką
skalę. Scentralizowana konsola zarządzająca pozwala na kolejkowanie
i monitorowanie wielu jednoczesnych konwersji, zarówno lokalnych
jak i zdalnych maszyn fizycznych.
Wirtualizacja stacji
roboczych oraz aplikacji,
czyli cienkie klienty
Ł atwe i bezpieczne dostarczanie
desktopów, aplikacji i usług internetowych dla użytkowników końcowych
w wir tualnych centrach danych,
na maszynach wir tualnych oraz
fizycznych urządzeniach.
•Horizon (z View)
Dostarcza wirtualne i zdalne desktopy
i aplikacje za pośrednictwem jednej
platformy i daje użytkownikom
17
NOWOŚCI
końcowym dostęp do systemów
Windows oraz zasobów internetowych
z jednolitego obszaru roboczego.
Centralne zarządzanie obrazami dla
urządzeń fizycznych, wirtualnych
oraz BYOD. Konsoliduje kontrolę,
dostawę i ochronę zasobów obliczeniowych użytkowników. Analizuje,
automatyzuje i orkiestruje chmurę.
Dynamic znie przydziela zasoby
w pamięci wirtualnej, moc obliczeniową oraz wirtualne sieci w prosty
i ekonomiczny sposób zarządza oraz
dostarcza usługi pulpitu w razie zaistniałego zapotrzebowania.
•Horizon DaaS (Data as a Service)
Zbudowany na usłudze hybrydowej
chmury, upraszc za dostarc zanie
desktopów i aplikacji Windows jako
usługi w chmurze do dowolnego
urządzeniaw dowolnym miejscu.
•Mirage
Zarządza obrazami dla komputerów
fizycznych, wirtualnych desktopów
i BYOD. Wprowadza dynamiczny
p o d z ia ł na war s t w ę o dbior c y
końcowego oraz warstwę aplikacji.
Efek tywnie zarz ądzając komputerami lub wirtualnymi pulpitami
Horizon, jako zestawem warstw
logicznych należnych do administratorów lub użytkowników końcowych.
Pozwala to na aktualizację warstwy
administrowanej, jednocześnie pozostawiając nienaruszone pliki i ustawienia
użytkownika końcowego. Umożliwia
łatwe wdrażanie aplikacji lub pakietów
VMware ThinApp dla wszystkich
użytkowników końcowych. Automatyzuje tworzenie kopii zapasowych
i odzyskiwania systemu. Przechowuje
pe ł ne z r z ut y s t ac ji r oboc z yc h
i przechowuje je w centrum danych,
co umożliwia szybkie odzyskanie
plików użytkowników. Pozwala
pobierać użytkownikom aktualizacje
aplikacji z serwera Mirage. Upraszcza
masowe wdrożenia systemów operacyjnych. Pozwala użytkownikom BYOD
(Bring Your Own Device) wykorzystywać lokalne zasoby online i offline.
•Workspace
Zunifikowane środowisko dla aplikacji
i desktopów dające użytkownikom
prosty sposób dostępu do zasobów
przez dowolne urządzenie poprzez
umożliwienie centralnego dostarc zenia oraz zabezpiec zenie tych
możliwości od strony infrastruktury.
Skoncentrowany na użytkowniku
model zarządzania umożliwia IT
wydajne zarządzanie zróżnicowanym
i ewoluującym zestawem aplikacji
włączając SaaS, ThinApp oraz nawet
zwirtualizowane aplikacje Citrixa
z jednego punktu kontroli.
•Socialcast by VMware
Aplikacja społecznościowa dedykowana dla biznesu. Usprawnia
współpracę pozwalając na szybki
dostęp do informacji oraz kooperację.
Dodaje funkcje społeczne do aplikacji
biznesowych osób korzystających z nich
na co dzień. Pozwala łatwo połączyć się
z ludźmi, ułatwia dostęp do zasobów.
Zachowuje dyskusje zorganizowane
w jednym bezpiecznym miejscu.
•VMware ThinApp
Bezagentowy wirtualizator aplikacji,
przyspiesza wdrażanie i upraszcza
migrację. Podczas przejścia z Windows
XP do Windows 7 umożliwia migrację
starszych aplikacji internetowych,
które opierają się na Internet Explorer 6,
przez wirtualizację IE6 wraz z aplikacją.
Eliminuje konflikty aplikacji izolując
je od siebie i od OS hosta poprzez
umieszczenie ich w jednym pliku
wykonywalnym , k t ór y mo ż na
łatwo wdrożyć w wielu punktach
ko ń c owyc h . Umo ż liwia wielu
aplikacjom oraz sandboxowanym
danym konfiguracyjnym użytkownika
wspólne i bezpieczne rezydowanie
na wspólnym serwerze. Wdrażanie
pakietów ThinApp na „zablokowanym”
komputerze pozwala użytkownikom
uruchamiać aplikacje bez utraty
bezpieczeństwa i bez zmian konfiguracji maszyny roboczej. Oferuje
wdrażanie, utrzymywanie i aktualizowanie zwirtualizowanych aplikacji
na pamięci USB dla ekstremalnej
przenośności rozwiązań.
•VMwar e vC enter Operations
Manager for Horizon
System monitorowania i zarządzania,
zapewniający kompleksowy wgląd,
pozwalający optymalizować wydajność
infrastruktury wirtualnych pulpitów.
Wirtualizacja Centrów
Danych oraz wirtualne
chmury obliczeniowe
Rys. 4. VMware Horizon (z View) dostarcza cieknie klienty, przechowując maszyny
wirtualne w centrum danych
18
•vSphere
Platforma wirtualizacji serwerów.
Poz wala wir tualizować z asoby
serwerów architektury x86 i agregować je w logiczne pole dla alokacji
obc ią żeń . Optymalizuje us ł ugi
sieciowe dla środowiska wirtualnego
i dostarcza uproszczone zarządzanie.
Redukuje złożone systemy storagowe,
dost arc z a najbardziej wydajną
Numer: II/2014 (127)
Rys. 5. Platforma wirtualizacji sieci i bezpieczeństwa dla softwarowego data center
utylizację zasobów w infrastrukturze
chmurowej oraz zwiększa bezpieczeństwo aplikacji. Maksymalizuje
czas dostępu do aplikacji minimalizując
zapotrzebowanie na przerwy konserwacyjne serwerów i storage. Dzięki
automatyzacji operacji pozwala zaoszczędzić czas na zarządzanie systemem.
•vSphere with Operations
Management
Rozwiązania monitorujące wydajność oraz pojemność systemu dla
VMware vSphere.
•vSphere Data Protection Advanced
Backup i recovery dla VMware
vSphere. Uproszczone licencjonowanie
per procesor zmniejsza koszty licencjonowania całego systemu. Pozwala
na backup systemów wirtualnych oraz
fizycznych poprzez użycie agentów
dostarczających regularny, granularny
backup i recovery.
•Compliance Checker for vSphere
Darmowy kontroler zgodności dla
vSphere. Sprawdza zgodność infrastruktury informatycznej z zalecanymi
standardami i najlepszymi praktykami
aby pomóc zapewnić, że jest ono
bezpieczne. W odróżnieniu od innych
dar mowych narzę dzi na r ynku,
kontroler zgodności VMware vSphere
to w pełni funkcjonalny produkt,
który zawiera szczegółowe kontrole
zgodności z podnoszącymi bezpiec zeństwo wytyc znymi VMware
vSphere. Na przykład umożliwia
drukowanie raportów zgodności oraz
uruchomienie kontrolę zgodności
na wielu serwerów ESX i ESXi na raz.
Sporządzanie sprawozdań dotyczących
zgodności vSphere – raporty podsumowujące mogą być wykorzystywane
w trakcie badania w celu wykazania
zgodności z wytycznymi. Ze względu
na dynamiczny charakter środowiska
VMware, ważne jest aby wykryć
problemy zanim środowisko stanie się
niepewne. Za pomocą tego narzędzia
można uruchamiać testy często i łatwo.
•VMware vCloud Suite
Pozwala zbudować i uruchomić
prywatną chmurę opartą o vSphere.
Pozwala na zwiększenie wykorzystania zasobów i produktywności
pracowników poprzez zintegrowanie
zwirtualizowanych usług informatycznych z wysoce zautomatyzowanym zarządzaniem operacjami.
Zwiększa zyski w wydajności i oszczędności kapitału oraz kosztów operacyjnych. Pozwala na wdrażanie usług
infrastrukturalnych z pełną kontrolą
nad krytycznymi politykami finansowymi i technologicznymi. Poziomy
alokacji zasobów są automatycznie
dopasowane do zapotrzebowań i stale
zmieniających się wymagań obciążenia pracą by zwiększyć komfort pracy
użytkownika końcowego. Dostarcza
optymalne sterowanie, dostępność
i bezpieczeństwo dla każdej aplikacji
przez połączenie zautomatyzowanej
ciągłości działania z bezpieczeństwem
wirtualizacji i zgodności z vCloud
Suite, która zapewnia wysoki uptime
aplikacji oraz kontrolę nad dostępem
i kosztami usług informatycznych.
•NSX
Platforma wirtualizacji sieci i bezpieczeństwa dla softwarowego data
center. Wprowadza wirtualizację
do siec i usprawniając operac je
i zmniejszając koszty. Skraca czas
na skonfigurowanie i zabezpieczenie
złożonych topologii sieci z tygodni
do minut. Redukuje OPEX i CAPEX.
Dzięki automatyzac ji eliminuje
ręczne konfigurowanie i upraszcza
wymagania hardwarowe sieci. Działa
na ka żdym hyper visorze wir tualizacyjnym, każdym urządzeniu
sieciowym i integruje się z każdą
platformą do zarządzania chmurą.
Podobnie do maszyny wirtualnej,
wirtualna sieć jest w pełni funkcjonalną zamkniętą w pliku, udostępnia
niezależną topologię bądź wykorzystuje fizyczne urządzenia. Dostarcza
nowoczesny model bezpieczeństwa:
profile są przydzielone i realizowane
przez wirtualne porty i mogą być
przemieszczane wraz z maszynami
wirtualnymi. Jest używany przez
wielu z wiodących dostawców usług
oraz centra danych na świecie.
•Virtual SAN
Prosta sieć SAN dostarczana przez
hypervisor. Wprowadza wysoce
wydajną przestrzeń storagową zoptymalizowaną dla środowisk wirtualnych. Jest prosta, wydajna i redukuje
koszty posiadania urządzeń i rozwiązania. Używa polityk dla zdefiniowania w jaki sposób storage jest
udostępniany i zarządzany. Automatyzuje wiele zadań storagowych
i bezszwowo integruje się z platformą
vSphere. Obniża TCO o 50% dzięki
granularnemu skalowaniu w górę
i dół (scale-up i scale-out) środowiska, by dostarczyć elastyczną
rozbudowę eliminując niewyko rzystywanie zasobów. Dostarcza
w prawdzie cechowanie read/write
po stronie serwera, używając serwerowego flash, optymalizując ścieżki
wejścia/wyjścia by dostarczyć lepszą
wydajność niż wirtualny appliance
czy fizyczne urządzenie.
19
NOWOŚCI
•vCenter Site Recovery Manager
System przywracania poawaryjnego
oferujący zautomatyzowane zarządzanie i bezkolizyjne testowanie
zwirtualizowanych aplikacji. Pozwala
na zaoszczędzenie 50% kosztów,
jak również na proste zarządzanie
w sposób scentralizowny poprzez
VMware vCenter Server. Zwiększa
automatyzac ję popr zez ur uchamianie bezzakłóceniowych testów
awaryjnych, co pozwala przewidzieć czas przywrócenia środowiska
po awarii. Chroni zwirtualizowane
aplikacje poprzez szeroki wybór
rozwiązań replikacji macierzowych
oraz VMware vSphere Replication,
które jest częścią platformy vSphere.
Zarządzanie Centrami
Danych oraz Chmurami
Obliczeniowymi.
•vCenter Server
Scentralizowana platforma do zarządzania środowiskami VMware vSphere.
Dostarc za i automatyzuje infrastrukturę wirtualną. Szybko i łatwo
wdraża vCenter Server używając
profile hosta lub Linuxowy wirtualny
appliance. Pozwala administrować
całą infrastrukturą vSphere z jednego
miejsca. Alokuje i optymalizuje zasoby
dla maksymalnej wydajności.
•vCenter Operations Management
Suite
Automatyzuje zarządzanie operacjami
używając opatentowanej analizy oraz
zintegrowanego podejścia do zarządzania wydajnością, pojemnością oraz
konfiguracją środowiska. Pozwala
proaktywnie unikać problemów
z wydajnością oraz uzyskać głęboki
wgląd w stan, ewentualne zagrożenia
oraz wydajność infrastruktury.
•vCenter Log Insight
Dostarcza zautomatyzowane zarządzanie logami poprzez agregację, analizowanie i przeszukiwanie, dostarcza
operacyjną inteligencję oraz przejrzystość w dynamicznym środowisku
chmury hybrydowej. W odróżnieniu
od wyspecjalizowanych rozwiązań
dostępnych dla największych firm
opartych o linię poleceń, wydajne
z a r z ą d z a n i e l o g a m i V Mw a r e
jest dostępne dla każdego, łatwe
do wdrożenia i oparte o intuicyjne GUI.
•vCenter Operations Manager
Opr og r amowanie p oz walają c e
20
Rys. 6. Scentralizowana platforma do zarządzania środowiskami VMware vSphere
na kompleksowy wgląd w wydajność,
pojemność i sprawność infrastruktury.
Automatyzuje zarządzanie, pozwala
na kontrolę zależności, wydajności,
pojemno ś c i i z apot r zebowania
systemów zarządzanych, zwirtualizowanych oraz fizycznych.
•vCenter Configuration Manager
Automatyzuje konfigurację i zarządzanie w fizycznym, zwirtualizowanym oraz chmurowym środowisku,
zbiera dane konfiguracji, śledzenie
zmian oraz ocenę zgodności operacyjnej i bezpieczeństwa dzięki integracji
z vSphere. Jest wsparciem zarządzania
konfiguracją wirtualnych i fizycznych
serwerów i infrastruktury VMware
oraz wielu systemów operacyjnych.
•vCenter Hyperic
Dawniej VMware vFabric Hyperic jest
składnikiem VMware vCenter Operations Management Suite. Monitoruje
systemy operacyjne, oprogramowanie
warstwy pośredniej i aplikacji działających w fizycznych, wirtualnych
i chmurowych środowiskach.
•vCenter Server Heartbeat
Chroni infrastrukturę wir tualną
od przestojów zwią zanych
z problemami aplikacji, konfiguracji, systemu operacyjnego, sieci
oraz sprzętu, by zapewnić wysoką
dostępność. Pozwala na monitorowanie i ochronę VMware vCenter
Server z jednego miejsca przez prosty
w użyciu interfejs sieciowy. Chroni
przed błędami aplikacji i operatora,
systemu operacyjnego czy awarią
sprzętu. Dostarcza disaster recovery
dla vCenter Server w L AN i WAN,
udstępnia wtyczki VMware vSphere
Update Manager.
•vCenter Orchestrator
Pomaga zautomatyzować dostarczanie usług i integruje VMware
vCloud Suite z resztą systemów zarządzania w chmurze. Szybko buduje
workflow i z większą elastycznością
udostępnia servery dostarczając skalowalną wydajność oraz kontrolę wersji.
Umożliwia uruchamianie workflowów
bezpośrednio z klienta vSphere lub
przez wiele mechanizmów. Chroni
zawartość używając zaawansowanych
standardów bezpieczeństwa.
•vCloud Director
Udostępnia softwarowe usługi data
center jako wirtualne data center,
Numer: II/2014 (127)
dostarcza wirtualną moc obliczeniową,
sieć, storage i security. Umożliwia
udost ępnianie kompletnych,
gotowych do działania infrastruktur
bez obaw o fizyczną konfigurację
sprzętu. Umożliwia skryptowy dostęp
do używania zasobów w chmurze,
takich jak vApp upload/download,
zarządzanie katalogami i innych
operacji przy uż yciu otwar tego,
opartego na REST API. Umożliwia
regulowane politykami podejście,
k t óre dost arc z a definiowane
softwarowo użycie zasobówaby
można automatycznie wymuszać
prekonfigurowane polityki.
•vCloud Automation Center
Automatyzuje zarządzanie i dostarczanie usług aplikacji poprzez usprawnienie infrastr uk tur y, nar z ę dzi
i procesów. Udostępnia VMware
Cloud Applications Marketplace,
zapewniające gotowe do użycia
rozwiązania partnerów VMware.
•IT Business Management Suite
Zapewnia przejrzystość i kontrolę nad
kosztami i jakością usług IT pozwala
CIO (Chief Information Officer)
dopasować infrastrukturę do biznesu
w celu przyspieszenia transformacji.
Pozwala na przedstawienie wartości
nowej inwestycji dla przyspieszenia
biznesu. Dostarcza dane do zrozumienia
ROI i TCO dla złożonych rozwiązań jak
konsolidacja datacenter, optymalizacja
storage, udostępnianie mocy obliczeniowej dla użytkowników końcowych
czy usługi chmury hybrydowej.
nowe aplikacje w tradycyjnych
architekturach 3 poziomu ( Java).
Pozwala ewoluować od tradycyjnych
do aplikacji nowej generacji (Spring,
Ruby on Rails) i PaaS na Pivotal
CF/Cloud Foundry.
Platforma aplikacji oraz
danych
Podnosi wydajność wirtualnej infrastruktury, co jest idealne do rozwijania i wdrażania nowoczesnych
aplik ac ji . Poz w a la s k or z y s t a ć
z „lek k ich” rozwią z a ń , k t óre
pozwalają na większą konsolidację
i lepsze wykorzystanie zasobów.
Pivotal i VMware współpracują
aby dostarczać dobrze zarządzane,
szybkie i bezpieczne infrastruktury
aplikacji i danych dla środowisk
VMware w chmurach prywatnych,
publicznych oraz hybrydowych.
•Pivotal Cloud Foundry
Platforma PaaS (Platform as a service,
P latfor ma jako us ł uga) nowej
generacji na chmurze prywatnej
z wiodącymi usługami aplikacji
i danych. Umożliwia konfiguro wanie, sterowanie, monitorowanie
i aktualizację dedykowanej platformy
w chmurze.
•Pivotal GemFire
Dawniej VMware vFabric GemFire,
teraz w portfolio Pivotal. Rozproszoną platformą do zarządzania
danymi dedykowana do wielu
zróżnicowanych sytuacji zarządzania
danymi, szczególnie przydatna dla
vCloud Hybrid Service, (IaaS dużych, wrażliwych na opóźnienia,
Infrastructure as a Service –
krytycznych systemów transakcyjnych.
Infrastruktura jako Usługa)
•Pivotal SQLFire
Dawniej VMware vFabric SQLFire, jest
Zbudowana na VMware vSphere teraz częścią portfolio Pivotal. Rozproszybko i płynnie rozszerza centrum szona pamięciowa baza danych SQL.
danych w chmur ze z a pomoc ą W kategorii baz danych NewSQL ,
posiadanych narzę dzi. Pozwala SQLFire zapewnia dynamiczną skalon a w d r o ż e n ie c h mu r y hyb r y - walność i wysoką wydajność dla
dowej w przeciągu godzin z nieza- nowoczesnych aplikacji przetwarzawodnymi, bezpiecznymi usługami jących duże ilości danych.
oraz całkowit ą kompatybilnoś ć •Pivotal RabbitMQ
z c e n t r u m da ny c h . R oz s z e r z a Dawniej VMware vFabric RabbitMQ,
centrum danych o systemy kopii jest teraz częścią portfolio Pivotal.
zapasowych producentów trzecich. To wydajne, wysoce skalowalne
Pozwala na bezpieczne wdrażanie i łatwe w instalacji oprogramowanie
rozwiązań poprzez oddzielenie środo- kolejkujące, które sprawiaże obsługa
wiska wdrożenia od produkcyjnego. ruchu wiadomości jest praktycznie
Umożliwia wdrożenie cyklu upgradów bez wysił kowa . Jest pr zeno ś ny
istniejących witrualnych desktopów. na głównych systemach operacyjnych
Pozwala budować i obsł ugiwać i platformach programistycznych.
W pr ze c iwie ń s t wie do innyc h
produktów obsługi wiadomości,
jest oparty o protokół, co umożliwia
połączenie się z szeroką gamą innych
składników oprogramowania, co czyni
go idealnym rozwiązaniem komunikacyjnym dla chmury.
•Pivotal tc Server
Dawniej VMware vFabric tc Server,
jest teraz częścią portfolio Pivotal.
Z apewnia użytkownikom korporacyjnym pożądany lekki serwer
w połączeniu z kontrolą operacyjną,
zaawansowaną diagnostyką i możliwością krytycznego wsparcia jakiego
potrzebuje przemysł.
•Pivotal Web Server
Dawniej VMware vFabric Web Server,
jest teraz częścią portfolio Pivotal.
Zwiększa wydajność serwerów sieci,
skalowalnoś ć i bezpiec zeństwo
przy jednoczesnej redukcji czasu
wdrażania i złożoności.
•vFabric Postgres
Relacyjna baza danych, zoptymalizowana dla VMware vSphere i środowiska vFabric, zwiększa wydajność
wirtualizacji dla dużej ilości danych.
•vFabric Suite
Lekki, skalowalny, zintegrowany
pakiet aplikacji warstwy pośredniej
dla niest andardowych aplikacji
intensywnych danych, c zy
na odosobnionym rozwiązaniu czy
to w chmurze. Zoptymalizowany dla
otwartego Spring Framework, który
jest używany przez więcej niż 50%
programistów Java na całym świecie,
vFabric idealnie nadaje się do wirtualnej infrastruktury VMware vSphere,
infrastruktury fizycznej i Amazon EC2,
zapewnia wyraźną drogę do chmury
dla aplikacji niestandardowych.
•vFabric Elastic Memory for Java
Przeznaczony dla klientów korzystających ze zwir tualizowanych
aplikacji Java na VMware vSphere.
Koncentruje się przede wszystkim
na zarządzaniu pamięcią i analizie
wydajności, EM4J pozwala uzyskać
największą efektywność i wydajność
ze zwirtualizowanych aplikacji Java.
Znacznie upraszcza typowe konfiguracje i zadania zarządzania. Pozwala
aby hypervisor w sposób przejrzysty
odzyskiwał pamięć bezpośrednio
od stosunkowo bezczynnych maszyn
wirtualnych Java (JVM), udostępniając ją tam, gdzie jest najbardziej
potrzebna w wirtualnej infrastrukturze.
21
NOWOŚCI
VMware Compliance Checker
for Payment Card Industry
(Kontroler zgodności dla
przemysłu kart płatniczych)
y, może
uterach
Mac OS,
indows
Android.
odbiega
nikatora
dstawia
ntaktów
o status
podstay pulpit
owanie
, takich
wizualna
w i lista
y, jeśli
liwości
ównież
niejącą
d Cisco.
ładową
u przedstrony
oft Lync
ujednowością
icznych,
potkań.
r fejsie
ozmaite
ozmieszący ich
ą jeszcze
owanej
aplikacji,
ogramie
owania
wartości.
cjalnych
M.G.
OLIDEX
SOLIDność
w każdym działaniu...
Firmy oferujące płatności kartami
płatniczymi są w coraz większym
stopniu kontrolowane, gdyż muszą
przestrzegać PCI DSS (Payment Card
Industry Data Security Standards –
Standardy Bezpieczeństwa Informacji Przemysłu Kart Płatniczych).
Grzywny i kary wzrosły dramatycznie
dla systemów, które nie są zgodne
z wytycznymi. Według VISA, 42%
dużych i średnich sklepów w USA nie
osiągnęło swoich terminów zrealizowania zgodności z PCI DSS. Organizacje nadal opierają się na ręcznych
metodach oceny audytu PCI DSS,
które wymagają znacznych zasobów
IT od przygotowania do wykonania.
Rę c zne sprawdzanie systemów
pod kątem wymogów PCI DSS jest
procesem czasochłonnym i podatnym
na błędy. Rozwiązaniem jest Kontroler
zgodności VMware. Jest to darmowe
na r z ę d z ie do s t a r c z aj ą c e t e s t y
zgodności czasu rzeczywistego dla
wielu serwerów Microsoft Windows
pod kątem wymagań PCI DSS v1.2.
Narzędzie zbiera dane tych serwerów
oraz stacji roboczych i tworzy szczegó ł owe p o dsumowanie , k t ór e
wymagania są spełniane, a które nie.
Takie podsumowanie zgodności z PCI
DSS v1.2 może być użyte do prowadzenia strategii naprawy i pomóc
firmie przygotować się do kontroli.
Ważne jest, aby chronić dane posiadacza karty nie tylko podczas prowadzonego audytu, ale przez cały czas.
Kontroler Zgodności z PCI DSS v1.2
upraszcza wykrywanie problemów,
które mają wpływ na stan zabezpieczeń systemu.
Dodatkowe informacje o omawianych
produktach można znaleźć na stronie
producenta: vmware.com/products
materiałów producenta.
P.C.
Inżynier SOLIDEX
22 Biuletyn Informacyjny SOLIDEX®
33
Numer: II/2014 (127)
CheckPoint – innowacyjny wymiar
bezpieczeństwa.
W kwietniu bieżącego roku portfolio firmy Check Point rozbudowało się o kilka
nowych rozwiązań. Pierwszym z nich jest urządzenie z serii 41000, które uzupełnia
rodzinę firewalli Check Point przeznaczonych do Data Center. Drugą zmianą jest
rewolucja w kategorii produktów do zarządzania infrastrukturą Check Point,
czyli Smart-1. Producent zdecydował się na wprowadzenie nowej serii urządzeń
zastępując starą bardziej wydajną platformą sprzętową.
Check Point 41000
Nowoczesne centra danych wymagają
niezwykle wysokich wydajność oraz
szybkiej transmisji danych. Dzieje
się tak od momentu, kiedy ruch
wewnętrzny oraz zewnętrzny rośnie
w zastraszającym tempie. Ponadto
w środowisku sieciowym klasy Data
Center istnieje potrzeba zapewnienia
większej łączności między pracującymi
urządzeniami sieciowymi. Obecnie
każde Data Center jest punktem
zbiorc zym wszystkich poufnych
danych, w k t ór ych posiadaniu
znajduje się organizacja. Środowisko
to, staje się zatem celem wielu ataków
i prób włamań. Z tego powodu każde
centrum danych wymaga dodatkowej
warstwy zabezpieczenia przeciwko
zaawansowanym zagrożeniom.
Dotychczas w portfolio firmy Check
Point znajdował się tylko jeden firewall
o wydajności oraz możliwościach, które skalowalności rozwiązania, potrzeby
są w stanie sprostać wymaganiom rynku wymusiły na producencie
rozbudowanych Data Center, był wprowadzenie urządzenia pośredto model 61000. Posiadając do 12 niego mię dz y linią produk t ów
kart liniowych określanych w nazew- przeznaczonych do zaawansowanych
nictwie Check Point jako Security i rozległych środowisk sieciowych
Gateway Module, potrafił zapewnić a największym z rodziny modelem
przepustowość firewall’a na poziomie 61000. Odpowiedzią na wspomniane
Datasheet:
Check
Point 41000bardzo
and 61000 wysokiej
Security Systemspotrzeby jest Check Point z serii 41000.
400
Gbps.
Pomimo
5
41000 and 61000
1
1 Security Gateway Modules (SGM)
2 Security Switch Modules (SSM)
2
5 Fans
2
5
3
3 Chassis Management Modules (CMM)
4 Power Supplies
1
3
4
4
41000 (2 SSM Configuration)
61000 (2 SSM Configuration)
Rys. 1. Opis budowy urządzeń klasy Data Center.
As mission-critical networks evolve, their security is pushed to
perform at higher levels. Optimized for the Check Point Software
Blade Architecture, these two platforms improve security, protect
business continuity and reduce operational costs in complex,
mission-critical security environments such as data centers,
Managed Service Providers and telecommunication companies.
61000 SECURITY SYSTEM
The Check Point 61000 Security System is the industry's fastest
security system that can achieve up to 400 Gbps of throughput in a
single firewall instance. Even more, the ability to support 210 million
concurrent connections and 3 million sessions per second brings
unparalleled performance to multi-transaction environments.
23
NOWOŚCI
eck Point 61000
Security System
ECIFICATIONS
W przeciwieństwie do większości
produktów znajdujących się w portfolio
tego producenta urządzenie 41000
jest skonstruowane w oparciu o architekturę Chassis. Podejście do realizacji wysokiej skalowalności zostało
zaczerpnięte od większego z rodziny
modelu 61000. Zarówno jeden jak
i drugi wyposaża się w odpowiednią
ilość blade’ów sprzętowych. Dzięki
temu klienci mogą skalować wydajność
nmental Conditions
swojego systemu bezpieczeństwa
o 131°F / –5°
to 55°Cze swoimi potrzebami.
zgodnie
% (non-condensing)
SSM160
8 x 10GBase-F SFP+ ports
2 x 40GBase-F QSFP ports—can be split to 8 x 10GBase-F
100 Gbps throughput
Management interface ports:
- 2 x 10GBase-F SFP+
- 2 x 1000Base-F SFP+
Rys. 2. Security Switch Module 160.
Wyposażenie 41000
ns
to 158°F / –40° to 70°C
SGM2 20T oraz SGM260. Model całości rozwiązania zapewniając
61000 może zostać wyposażony większą wydajność dla funkcjonal6 10 0 0. Oba rozwią zania mogą w każdą z wymienionych kart, jednak ności przełączania oraz routingu.
zostać wyposażone w dwa rodzaje nowy Accessories
z serii 41000 jest kompa- Urządzenie z serii 41000 może zostać
UV
blade’ów sprzętowych. Pierwszym tybilny jedynie z wersją SGM260. wyposażone w maksymalnie dwa
Management Module (CMM)
CC part 15 z nich jest t ak zwany S ec ur ity Check Chassis
Point 41000
standardowo elementy SSM160. Charakterystyka
2 per chassis
GM220T designed
for NEBS
level 3(SGM).
and ETSIZastosocompatibilitywyposa żony jest w jeden blade SSM160 znajduje się na rysunku 2.
Gateway
Module
Manage
and monitor rozbudowy
the chassis
Jak zatem prezentuje się wydajność
wanie dodatkowych SGM zapewnia tego typu
z możliwością
ements
and all modules; SGM and SSM
Check Point 41000 na tle 61000?
większą liczbę oraz gęstość portów, łącznie do czterech kart SGM260.
100-240VAC
Fully
redundant
komponentem,
w który Analizując zestawienie z tabeli 2 łatwo
co w konsekwencji znacznie poprawia Drugim
Hz
klasy
paramet r y wydajno ś c iowe dla urządzenia
Cooling
FansData Center mogą zauważyć, że parametry CP41000
ply Rating: 1200W
@ 110V, 1600W
@ 220V oraz IPS. zostać wyposażone jest Security są na ogół około trzy krotnie mniejsze
funkcjonalności
firewall
6 per chassis
Producent w swoim portfolio posiada Switch Module (SSM). Zwiększa od Check Point z serii 61000. Jest
ements
trzy karty typu SGM, są to: SGM220, on iloś ć interfejsów sieciowych to łatwo uargumentować ilością
60 VDC, four feeds per module,
Power Supplies
kart SGM obsadzonych w każdym
50 Amp per feed
Redundant hot-swappable
z urządzeń podczas wykonywania
ion Maximum
testów wydajności. Były to 4 karty
2SGM220T
x DC
SGM220
SGM260
w
przypadku 41000 oraz aż 12 kart
5
x
AC
Pamięć RAM
12 GB
24 GB
64 GB
w
Check
Point 61000.
mance
Transceivers
Security Power
1660
1660
3200
Oczywiście na urządzeniu Check Point
wer
QSFP:
40GBase-F QSFP
splitter to 4x10GBase-F
SFP (SSM160) można każdy
Przepustowość
18 Gbps
18 Gbps
40 Gbps
41000 zaimplementować
rewall Throughput
QSFP:
QSFP
(SSM160) blade dostępny na rozwiąIlość połączeń na sekundę
150 tys.
15040GBase-F
tys.
300 short
tys. range software
zania
klasy
Security
Gateway. Dla tego
S in Default Profile
SFP+:10GBase-F SFP+ short range and long
range
(SSM160)
modelu
producent
przygotował
pewne
S in Recommended
Profile
XFP: 10GBase-F XFP short range and long range (SSM60)
Tabela 1.
Parametry kart typu SGM.
paczki funkcjonalne zawierające różne
oncurrent connections
SFP: 1000Base-F SFP short range and
long range
(SSM60,
SSM160)
moduły
zgodne
z celem
przeznaczenia
nnections per second
Zaliczają się do nich:
RJ45 SFP (SSM60,urządzenia.
SSM160)
41000 SFP: 1000Base-T61000
•Next Generation Firewall,
Module (SSM)
2 per chassis
Memory (for SGM)15U
Rozmiar
6U
•Next Generation Threat Prevention,
Przepustowość firewall
80 Gbps 12 GB upgrade option
•Next Generation S ec ure Web
400 Gbps
1
15RU with additional 1RU Power supply expansion
P
(laboratorium)
Gateway,
•Next Generation Data Protection.
ut
Przepustowość VPN
40 Gbps 2 Designed for NEBS level 3
Zastosowanie w swoim Data Center
110 Gbps
face ports: AES-128
rozwią zania Check Point 41000
(laboratorium)
XFP
zapewnia
kompleksową ochronę
Przepustowość IPS
44 Gbps
130 Gbps
SFP
przeciwko najbardziej zaawansoPołączenia na sekundę
1,1 mln
3 mln
wanym zagrożeniom zachowując
Ilość równoczesnych sesji
80 mln
210 mln
nie z wyk le wys ok ą wydajno ś ć
oraz niezawodność. Nowy firewall
Ilość Virtual Systems
250
250
wprowadzony przez Check Point
Ilość zasilaczy AC
3
5
idealnie wpasowuje się do portfolio
producenta tworząc Check Point 41000
Tabela 2. Zestawienie parametrów wydajnościowych Check Point 41000 i 61000.
rozwiązaniem efektywnym kosztowo.
Na rysunku 1 przedstawiono opis
% (non-condensing)
budowy ur z ą d z e ń 4 1 0 0 0 or a z
24
©2012 Check Point Software Technologies Ltd. All rights reserved.
Numer: II/2014 (127)
Po skonfigurowaniu odpowiednich
widoków nowe narzędzia pozwalają
na ich optymaliz ac ję . Dotyc z y
to w głównej mierze zmian kosmetycznych, takich jak dodawanie
róż nego rodz aju pomoc nych
widget’ów czy zmiana typu wykresu
na taki, który jest dla użytkowników
przystępniejszy w analizie.
Spersonalizowane raporty
Ne x t G e n e r a t io n S m a r t E v e n t
wprowadza pewną elastycznoś ć
w o p r a c o w y w a n iu w ł a s n y c h
raportów. Funkcjonalność ta zapewnia
możliwość tworzenia raportów zawieRys. 5. Przykładowy raport wygenerowany w NG SmartEvent
rających konkretną porcję informacji
zarówno dla departamentu bezpieNext Generation SmartEvent na monitorowanie działań systemów, czeństwa znajdującego się wewnątrz
które są najważniejsze i najbardziej organizacji jak i dla zewnętrznych
Drugą z nowości, którą przygotował krytyczne z punktu widzenia zacho- audytorów. Stworzenie oficjalnego
Check Point jest usprawnienie mecha- wania ciągłości pracy przedsię - dokumentu zawierającego infornizmów związanych z zarządzaniem biorstwa. Dzięki SmartEvent praca macje o aktywności użytkowników,
infrastrukturą Check Point . Jest z wielkim zbiorem danych staje się najczęściej spotykanych zagrożeniach,
to odpowiedź producenta na nabie- niezwykle łatwa i przyjemna, gdyż najczęstszych celach czy źródłach
rające coraz większego znaczenia między innymi dostęp do polityk ataku wykonuje się jedynie w kilku
pojęcie Big Data. Definicja tego bezpieczeństwa stowarzyszonych kliknięciach. W celu ułatwienia pracy
terminu odnosi się do ogromnych z pewnym istotnym naruszeniem z narzędziem i prezentacji odpozbiorów danych, których analiza jest dostępny zaledwie po jednym wiedniej porcji danych SmartEvent
jest niezwykle trudna i złożona, ale k lik nię c iu odpowiedniej ikony. wyposażony został w wyszukiwarkę
jednocześnie prowadzi do zdobycia Dodatkowo możliwość tworzenia tekstową, która pozwala na znalezienie
nowych na pierwszy rzut oka niezau- sp er s onali z owanyc h r ap or t ów interesujących nas danych w morzu
ważalnych informacji.
pozwala administratorom otrzy- zebranych informacji.
Dzisiejsze środowiska siec iowe mywać w szybkim c zasie inforto nie tylko infrastruktura LAN oraz macji o istotnych z punktu widzenia Informacje dostępne od zaraz
urządzenia odpowiedzialne za bezpie- bezpieczeństwa zdarzeniach. Nowa
czeństwo. Pod tym pojęciem obecnie generacja narzędzie Smar tEvent Check Point w nowym wydaniu
znajdują się równie ż wszystkie p o z w a l a p r z e d s i ę b i o r s t w o m Smar tEvent zmienia koncepc ję
urządzenia mobilne podłąc zone na monitorowanie jedynie tego dostępu do danych zawartych w tym
do naszej sieci oraz stacje końcowe, co jest dla nich istotne, wprowa- module. Next Generation SmartEvent
które wspólnie generują potężny dzając jednocześnie oszczędność wystawia swoim użytkownikom
wolumen danych ka żdego dnia. czasu i pomagając w ustawieniu i administratorom osobny portal
C a ł e mnós two logów, zdar ze ń odpowiednich priorytetów reakcji dostępny z poziomu przeglądarki.
oraz incydentów bezpieczeństwa na pojawiające się naruszenia oraz Dzięki temu każda upoważniona
uzyskanych z tych urządzeń wymaga incydenty bezpieczeństwa.
do pracy z systemem zarządzania osoba
bardzo zaawansowanych narzędzi
może teraz mieć podgląd aktualnego
do codziennego monitorowania pracy Konfigurowalny podgląd
stanu poziomu zabezpieczeń w sieci
sieci. Wraz z tą ewolucją zarządzanie
nie tylko z komputera, ale również
incydentami bezpieczeństwa staje się Każda z organizacji wymaga wglądu z urządzeń mobilnych czy tabletów.
nie lada wyzwaniem.
w inne informacje w zależności
R o z w i ą z a n i e m o f e r o w a n y m od zaimplementowanego systemu Nowa platforma
przez producent a w tej mater ii zabezpieczeń typowych dla siebie
jest Next Generation SmartEvent. zdarzeń oraz architektury sieciowej. Wraz z wprowadzeniem małej rewolucji
Zapewnia on konfigurowalny wgląd Ne x t G e n e r a t io n S m a r t E v e n t w podejściu do korelacji zdarzeń Check
w aktywność sieci w czasie rzeczy- pozwala użytkownikom na konstru- Point poszedł o krok dalej wprowawistym . Funkc jonalno ś ć konfi- owanie konfigurowalnych widoków dzając nową platformę sprzętową dla
gurowalnych widoków pozwala i raportów zawierających jedynie urządzeń z serii Smart-1. Dzięki temu
a d m i n i s t r a t o r o m o r g a n i z a c j i istotne dla danej organizacji informacje. wydajność w przetwarzaniu ogromnej
25
NOWOŚCI
Smart-1 Appliances
205
Installed Software Blades
Managed Gateways
210
225
3050
3150
SmartEvent, SmartReporter, Logging and Status
5
10
25
50
150+
1 x 1 TB
1 x 2 TB
2 x 2 TB
4 x 2 TB
Up to 12 x 2 TB
(default 6 x 2 TB)
Fiber Channel SAN Card
-
-
Optional
Optional
Optional
Out-of-band
Management (LOM)
-
-
1xGBE Port
1xGBE Port
1xGBE Port
280
480
950
3000
7500
Stirage (HDD)
Event Logs/Sec
GB of Logs/Day
3.5
6.5
13
40
100
Maximum Users
900
1600
3000
10000
25000
Tabela 3. Dane katalogowe nowej serii Smart-1.
porcji danych nie jest już ograniczeniem
a praca z systemem zarządzania staje
się szybsza i przyjemniejsza oszczędzając czas a także wysiłek administratorów oraz inżynierów bezpieczeństwa.
Dane techniczne nowej platformy
zostały zestawione w tabeli 2. Jak
widać z zaprezentowanych danych
urządzenia wyposażone są w bardziej
pojemne dyski twarde oraz potrafią
obsłużyć większą ilość zdarzeń niż
te z poprzedniej serii.
Główne korzyści
Jakie są zatem główne korzyści z zastosowania SmartEvent nowej generacji?
Można je podzielić na kilka kategorii.
Pierwszą z nich jest zaawansowana
możliwość podglądu, dzięki której
administrator ma całościowy podgląd
pracy oraz aktywności wszystkich
zaimplementowanych Software Blade.
Zaletą jest też przejrzystość prezentowanych danych i łatwość dostępu do
tych najbardziej interesujących. Pod
tym punktem kryje się funkcjonalność
mapy, która wskazuje adresy źródłowe
i docelowe konkretnego zdarzenia
oraz funkcjonalność o nazwie „Top
Statistics”, która na podstawie zanalizowanych informacji przedstawia
najczęściej wykorzystywane reguły
korelacji, najczęściejaktywne polityki
bezpiec zeństwa, c zy najc zę ściej
pojawiających się w logach użytkowników domenowych.
26
Drugą z kategorii z pewnością są możliwości analizy zdarzeń realizowane
przez SmartEvent. W tym miejscu
skut ec z nie dz ia ł a z aimplemen towany silnik do korelacji informacji
pochodzących z logów wyposażony
w zestaw predefiniowanych reguł.
Dodat kowym pot ę ż nym nar z ę dziem jest możliwość opracowywania własnych reguł, dzięki czemu
SmartEvent może zostać dostosowany
do pracy z dowolnym środowiskiem
sieciowym. Znacznym ułatwieniem
jest posiadanie w systemie informacji
o tożsamościach. Umożliwia to pracę
nie z adresami IP ale z konkretnymi
u ż y t k ownik a mi dome nowymi
kryjącymi się pod tą adresacją.
Kolejną z korzyści jest rozbudowa
systemu o źródła danych. Obecnie
oprócz pełnego wsparcia dla produktów
C heck Point istnieje możliwoś ć
integracji SmartEvent z rozwiązaniami innych producentów rozwiązań
bezpieczeństwa i nie tylko (wsparcie
dla Microsoft Windows). Check Point
zdecydował się na wyposażenie
swojego systemu w zestaw formatów
logów obsługiwanych przez produkty
z portfolio konkurencji. Gdyby jednak
któryś z elementów znajdujący się
w naszej infrastrukturze bezpieczeństwa nie był wspierany przez Check
Point SmartEvent to dzięki udostępnionemu przez producenta narzędziu
można opracować własny parser
do takich logów.
Podsumowanie
Firma Check Point wprowadzając
do swojego portfolio nowe produkty
daje jasny sygnał, że znajduje się
w dobrej kondycji. Jednocześnie
umacniając się na pozycji światowego
lidera w dziedzinie systemów bezpieczeństwa. Producent wzbogacił swoją
ofertę w kategorii rozwiązań przeznaczonych do Data Center uzupełniając lukę w swoim asortymencie.
Nowa platforma sprzętowa Smart-1
zdecydowanie wprowadzi nową
jakość do zarządzania bezpieczeństwem w infrastrukturze Check Point
powodując, że wydajność nie będzie już
ograniczeniem. Ostatnią nowością jest
rozbudowa funkcjonalności modułu
SmartEvent. Dzięki wprowadzonym
poprawkom narzędzie to nabiera cech
produktów klasy SIEM (Security Information and Event Management),
co w konsekwencji czyni środowiska
sieciowe bardziej bezpiecznymi.
M.M.
Inżynier SOLIDEX
Numer: II/2014 (127)
Cisco 2960–X: najbardziej
ekologiczny przełącznik.
Oszczędność energii elektrycznej staje się obecnie jednym z najważniejszych
zadań przed jakimi stają nowoczesne przedsiębiorstwa oraz korporacje. Coraz
więcej użytkowników systemów IT zaczyna zwracać uwagę na zużycie energii
elektrycznej przez poszczególne urządzenia, co w przypadku nawet niewielkich
sieci teleinformatycznych może przełożyć się bezpośrednio na duże oszczędności
finansowe w firmie.
Rys. 1. Gama przełączników 2960-X
Wprowadzenie
W o dp owie d z i na p ows t aj ą c e
wyzwania jesienią 2013 roku firma
C isco wypuściła na r ynek serię
przełączników 2960-X ogłaszając
j e n a jb a r d z i e j e k o l o g i c z n y m i
urz ądzeniami dost ępowymi
na świecie. Wprowadzając
pr ze ł ą c z nik C at alys t 2 9 6 0 -X –
24TD-L w tryb hibernacji możemy
obniżyć zużycie energii elektrycznej
z 33,1 watów do 6,6 wata, co oznacza,
że w unikalny sposób przełącznik
ten potrafi zaoszc zędzić do 82 %
energii elektrycznej. Inne modele
z serii 2 96 0 -X równie znac z ąco
obniżają zużycie energii wykorzystując do tego tryb hibernacji Cisco
EnergyWiseTM oraz funkcję Energy
Efficient Ethernet (EEE).
27
TECHNOLOGIE
Symbol
Ruch – 100%
Ruch – 0% (tryb EEE)
Tryb Hibernacji
Oszczędność
Pobór mocy (AC-W)
Pobór mocy (AC-W)
Pobór mocy(W)
C2960X-48FPD-L
66,7
50,8
26,0
61%
C2960X-48LPD-L
62,0
45,7
23,1
63%
C2960X-24PD-L
53,1
44,7
22,6
57%
C2960X-48TD-L
47,8
32,9
8,7
82%
C2960X-24TD-L
33,1
24,9
6,3
81%
C2960XR-48FPD-I
62,5
46,7
23,7
62%
C2960XR-48LPD-I
55,9
40,7
17,1
69%
C2960XR-24PD-I
43,7
36,1
16,8
62%
C2960XR-48TD-I
45,6
29,7
8,0
82%
C2960XR-24TD-I
38,1
29,3
8,0
79%
Tabela 1. Oszczędność zużycia energii elektrycznej w przełącznikach Catalyst Serii 2960-X w przypadku użycia trybu EEE oraz
trybu hibernacji.
W tabeli 1 przedstawiono procentową
oszczędność energii dla różnych modeli
przełączników serii 2960 – X porównując ich pracę przy 100% obciążeniu
z trybem Energy Efficient Ethernet
(EEE) oraz przy użyciu trybu hibernacji.
Dlaczego Cisco wprowadza
na rynek nowy produkt?
Większość użytkowników przełączników serii 2960 – S/SF zastanawia
się w jakim celu Cisco wprowadza
następcę produktu, kiedy ten dotychczasowy na rynku sprawuje się znakomicie. Jest to jednak wynik ciągłych
zmian zachodzących w sektorze IT.
Cisco, tak jak każdy producent sprzętu
IT chce utrzymać się na czele tych zmian
odpowiadając tym samym na potrzeby
transformacji rynku biznesowego.
Inżynierowie IT spędzają obecnie
około 80% swojego czasu na konfigurację oraz optymalizację urządzeń
sieciowych. Model zarządzania Cisco
Catalyst 2960-X dą ży do zapewnienia pomocy w zarządzaniu siecią
poprzez uproszczenie metod administracyjnych. Również tematyka BYOD
(Bring your own device) była w ciągu
ostatnich dość często poruszana
i której to dostawcy sprzętu poświęcili
wiele czasu i uwagi. Bezpieczeństwo
systemów IOS oraz Android stało
się główną specjalizacją liderów
w biznesie IT. Cisco Catalyst 2960-X
zawiera w sobie wszystkie elementy,
jakie zostały dotychczas wypracowane w tematyce BYOD, natomiast
pod względem wydajności, gęstości
28
por tów i usług sieciowych jego
parametry zostały dobrane gwarantując duży margines bezpieczeństwa.
Oferując rozwiązania zastosowane
w serii 2960-X Cisco stara się sprostać
wymaganiom projektantów sieci,
którzy chcą aby były one inteligentne
i ekologiczne oraz bardziej zautomatyzowane. Cisco 2960-X zawiera
w sobie funkcje OpenFlow, one PK,
EnergyWise oraz inne inteligentne
systemy, co czyni go potencjalnie
„najinteligentniejszym” przełącznikiem
dostępnym na rynku.
Najbardziej ekologiczny
Switch – Cisco 2960-X
Aby pomieścić w sobie wszystkie
powyższe funkcje nowy Catalyst
2 9 6 0 -X podwoił mo ż liwo ś c i
platformy sprzętowej 2960-S. Oznacza
to, że prze łąc zniki serii 2 96 0 -X
posiadają przepustowość 80Gbps
dla pojedynczego stosu (możliwość
podłączenia do 8 przełączników
w jeden stos). Wzrost pamięci bufora
do 4MB oraz liczby kolejek do ośmiu
znac znie rozszerzył moż liwoś ci
świadczonych usług.
Obudowa zawiera 24 lub 48 portów
10/100/1000 Mbps oraz 4x1GbE lub
2x10GbE portów uplinkowych. Switch
ten zapewnia wsparcie PoE oraz PoE+
do mocy 740W bez konieczności instalowania dodatkowego źródła zasilania.
A by z wię k s z y ć nie z awodno ś ć ,
przełączników serii 2960-X zostały
wyposażone w podwójny procesor
CPU oraz dwa wymienne zasilacze.
Podobnie jak w przypadku serii 6500,
przełączniki 2 960 -X zapewniają
ochronę inwestycji dzięki kompatybilności wstecznej z serią 2960 – S/SF,
a co za tym idzie urządzenia z obydwu
serii mogą bez przeszkód pracować
w jednym stosie.
Powyższe rozszerzenia sprzętowe
pozwoliły na dodanie nowych funkcjonalności przełączników, które definiują
każdy ze switchów serii 2960 – X jako:
prosty, bezpieczny oraz inteligentny.
Prosty
Przy ładowaniu systemu w przełącznikach serii 2960 – X konfiguracja jest
pobierana z sieci bez jakiejkolwiek
ingerencji operatora. Dodatkowo
przełącznik posiada funkcję Cisco
Auto Smartports, która wykrywa
końcowych użytkowników podłączonych do portów 2960-X i zgodnie
z zasadą Plug and Play dla urządzeń
końcowych automatyzuje ich konfigurację. Przełącznik wyposażony został
również w funkcję „Smart Call Home”,
która umożliwia szybką diagnostykę
oraz naprawę problemów sprzętowych
i programowych telefonów IP.
Bezpieczny
Cisco 2960-X wyposażony został
w funkcję „state-of-the-art”, która
umoż liwia eliminac ję wp ł ywu
zagrożeń zwiększając bezpieczeństwo
technologii dostępu. Wykorzystuje
on standard 802.1X w kontroli dostępu.
D o dat kowo , p omag a w ł ą c z y ć
Numer: II/2014 (127)
Przycisk zmiany trybu
Rys. 2. Catalyst 2960 – X (widok interfejsów)
że seria 2960 – X jest najbardziej ekolo- EnergyWise lub też poprzez naciśnięcie
giczną serią przełączników na świecie. przycisku zmiany trybu umieszczonego
na obudowie urządzenia. Przycisk ten
Innowacyjny tryb hibernacji pełni nadrzędną rolę wobec zadań
zdefiniowanych w kalendarzu.
Przełączniki serii 2960-X jeśli nie Na rysunku 3 przedstawiono zdjęcie
Inteligentny
są wykorzystywane mogą zostać płyty przełącznika, wykonanej kamerą
włączone w tryb hibernacji. Pozwala termowizyjną, który pracuje w trybie
Przełączniki Cisco Catalyst 2960-X to na zaoszczędzenie nawet do 82% pełnego zasilania. Na rysunku 4 przedposiadają funkcjonalnoś ć C isco energii w porównaniu z normalnym stawiono zdjęcie, tej samej płyty
Ne t F low - L it e , k t ór a z apewnia trybem pracy. W trybie hibernacji przełącznika będącego w trybie hiberin ż ynierom lepsz ą widoc z no ś ć switch wyłącza: zasilanie procesora, nacji. Zauważyć można, że w trybie
i kontrolę aplikacji w całej sieci układów scalonych (A SIC ) oraz hibernacji zasilane są tylko niezbędne
firmowej. Dodatkowo wyposażone dołączonych urządzeń zasilanych elementy potrzebne do utrzymania
są one w protokoły RIPv2, OSPF przez PoE. Dodatkowo wyłączane sys t emu . Nieis t ot ne elementy
i EIGRP routing a także niezależny są wszystkie komponenty urządzeń, z punktu widzenia pracy przełącznika
protokół multicast (PIM). Bazując które pracują w ścieżce przesyłu danych. są odłączone od zasilania. Efekt ten
na Cisco Unified Access – producent Switch może zostać wprowadzony pozwala na zaoszczędzenie zużycia
energii elektrycznej.
oferuje jedną politykę i scentrali- w tryb hibernacji w dwojaki sposób:
zowane zarządzanie.
•za pomocą menadżera EnergyWise,
Oprócz funkcji NetFlow Lite, obsługi
takiego jak Joulex,
Tryb EEE – Energy Efficient
protokołów routingu i wysokiej •za pomoc ą komend w wierszu Ethernet
programowalności, Cisco dodał
poleceń.
także elementy, takie jak: innowa- P rzywrócenie switcha do tr ybu Internet jest obecnie najczę ściej
cyjny tryb hibernacji EnergyWise oraz normalnej pracy może odbyć się używanym interfejsem sieci na świecie,
tryb Energy Efficient Ethernet (EEE). dzięki kalendarzowi zadań zdefi- w którym cały ruch przechodzi przez
Wszystkie te elementy sprawiają, niowanemu za pomocą menadżera łącza internetowe. Jednak większość
skalowanie i dynamiczną kontrolę
dostępu opar tą na funkcji Cisco
TrustSec. Zapewnia również ochronę
przed kradzieżą oraz atakami przy
użyciu protokołu IPv6.
Rys. 3. Karta przełącznika w trybie normalnej pracy. Kolorem
czerwonym zostały oznaczone wszystkie elementy,
które są zasilane.
Rys. 4. Karta przełącznika w trybie hibernacji. Kolorem
zielonym oznaczono elementy, które są zasilane. Kolorem
niebieskim oznaczono elementy, które nie są zasilane.
29
TECHNOLOGIE
Interwał odświeżania
Active
Sleep
Td
Ts
Refresh
Wake
Tr
Tw
Tq
Active
Rys. 5. Stany pracy protokołu EEE w przełączniku Cisco Catalyst 2960-X
Tryb pracy ciągłej
Active
IDLE
Dane
IDLE
Dane
IDLE
Dane
Rys. 6. Przykład działania protokołu EEE dla profilu obciążenia typowego serwera, przy ciągłym zasilaniu portu Ethernetowego
Quiet
Quiet
WAKE
Sleep
Refresh
Dane/IDLE
Mała moc
Refresh
Dane/IDLE
Quiet
Rys. 7. Przykład działania protokołu EEE dla profilu obciążenia typowego serwera, przy zoptymalizowanym zasilaniu portu Ethernetowego.
połączeń w sieciach LAN spędza wiele
czasu bezczynnie czekając na przesłanie
pakietu danych. Bezczynność nie
powoduje jednak mniejszego zużycia
energii elektrycznej, a moc pobierana
przez urządzenia jest na stałym
poziomie. Szacuje się, że urządzenia
sieciowe oraz interfejsy sieciowe
stanowią ponad 10% całkowitego
zużycia energii przez sektor IT, które
wynosi kilkadziesiąt terawatogodzin
rocznie1. Tryb oszczędzania energii EEE
zapewnia mechanizm oraz standardy
1
30
potrzebne do redukcji zużycia energii
elektrycznej bez zmniejszania funkcji
życiowych interfejsów sieciowych.
Podstawowym założeniem energooszczędnego mechanizmu jest to,
że zużycie energii powinno odbywać
się tylko i wyłącznie wtedy, kiedy
przez interfejs przesyłane są dane.
W przypadku bezczynności kiedy
istnieje luka w strumieniu danych,
z u ż yc ie p owinno b y ć z e r ow e
lub na bardzo niskim poziomie.
Odbywa się to za pomocą protokołu
sygnalizacyjnego, k tór y potrafi
stwierdzić, że w przesyłanym pakiecie
jest przerwa, przez co zezwala interfejsowi na przejście w tryb bezczynności. Protokół ten stosowany jest
również w celu przesłania informacji,
że pakiet danych będzie wysyłany,
a interfejs musi powrócić do trybu
pracy po zdefiniowanym opóźnieniu.
Na r y s u n k u 5 p r z e d s t aw io n o
przykładowy stan pracy protokołu
EEE w przełączniku Cisco Catalyst
2960-X. Protokół EEE wykorzystuje
Roth, Goldstein & Kleinman, 2001, Energy Consumption by Office and Telecommunications Equipment in Commercial
Buildings. Lanzisera, Nordman, Brown, 2010, Data Network Equipment Energy Use and Savings Potential in Buildings.
Kawamoto, Koomey, Nordman, Brown, Piette, Ting, Meier, 2002, Electricity Used by Office Equipment and Network Equipment
in the U.S.
Numer: II/2014 (127)
sygnał, k tór y jest modyfikac ją
normalnego sygnału bezczynności
przesyłanego pomiędzy pakietami
danych. Sygnał ten definiowany
jest jako „bieg jałowy” (low power
idle – LPI). Nadajnik wysyła LPI
w miejsce sygnału bezczynności
w celu wskazania, że połączenie
mo ż e pr zej ś ć w t r yb u ś pienia .
Po wysłaniu sygnału LPI na określony
czas ( Ts – time to sleep) nadajnik
może całkowicie zatrzymać transmisję tak, że połączenie przechodzi
w tryb spoczynku. Okresowo nadajnik
wysyła pewne sygnały (refresh),
aby połączenie nie pozostawało
zbyt długo nieaktywne bez odświeżania. Gdy nadajnik chce przywrócić
pełne połączenie, przesyła sygnał
wybudzenia (wake). Po określonym
czasie (Tw – time to wake) połączenie
staje się aktywne, a dane mogą zostać
przesłane. Protokół EEE musi być
wspierany na obu końcach łącza.
Na rysunku 6 przedstawiony został
pr z yk ładowy profil obc ią ż enia
typowego serwera podczas pracy
ciągłej. W tym przypadku zarówno
dane jak i puste pakiety danych
zużywają podobną iloś ć energii.
Na r ysunku 7 zauwa ż yć moż na
natomiast ten sam profil obciążania serwera, który wykorzystuje
funkcję EEE. Po wysłaniu ostatniego
pakietu, połączenie przechodzi w stan
uśpienia, co jakiś czas wysyłając
pakiety odświeżenia, aż do momentu
p o n ow n e go p r z e s y ł u da ny c h .
W trakcie uśpienia pobierana jest
znikoma moc z urządzenia.
Wszystkie omówione elementy
sprawiają, że seria 2960 – X jest
najbardziej ekologiczną serią przełączników na świecie.
Nowa jakość oszczędzania
energii
Porównując pak iet us ł ug jak ie
dostępne są w nowej serii przełączników 2 9 6 0 – X , efek tywno ś ć
e n e r ge t y c z n a s t a ł a s i ę j e d n ą
z najbardziej imponujących cech,
które wyróżniają je spośród innych
switchów. Zużycie energii elektrycznej
oparte jest na kontroli ruchu (EEE)
oraz możliwości pracy w trybie hibernacji – EnergyWise Hibernation Mode.
Rozważmy typowy dzień roboczy.
O 8 .00 kiedy zac zyna się dzień
prac y, swit ch 2 96 0 -X b ę dzie
pracował w pełnym trybie pracy,
ofer ują c 3 – 10 % os zc z ę dno ś c i
ener g ii elek t r yc z nej w p or ów naniu z innymi prze ł ąc znikami,
ze względu na wysoką sprawność
zasilac za. W po ł udnie, w porze
lunchu, kiedy ruch w sieci jest niski,
o s z c z ę dno ś ć ener g ii wyp ł ywa
z użycia funkcji EEE (Energy Efficient
Ethernet). O godzinie 17.00, kiedy
biura są zamykane, prze ł ąc znik
wykorzystuje funkcję EnergyWise
wprowadzając punkty końcowe
w tryb oszczędzania energii, tym
samym oszczędzając 30% energii
elek tr yc znej. Od godziny 18 .00
do godziny 8.00 następnego dnia
oraz w weekendy przełącznik może
przejść w tryb hibernacji, zużywając
tylko 6W w przeciwieństwie do 85W,
które zużywane są kiedy przełącznik
jest ak tywny. Depar tamenty IT
mają zatem wiele możliwości, aby
obniżyć zużycie energii elektrycznej
w swoich placówkach.
Podsumowanie
Najnowszy przełącznik serii 2960-X
podwaja możliwości sprzętowe jakie
zostały dostarczone w modelu Catalyst
2960-S poprzez dodanie takich funkcji
jak: widoczność i kontrola aplikacji,
obsługa protokołów routingu, bezpieczeństwo, uproszczone operacje,
a t ak ż e kor z y ś c i byc ia najbardziej ekologicznym przełącznikiem
na świecie. Dodatkowym atutem jest
zdolność współpracy serii 2960-X
z serią 2960-S/SF, co zapewnia wieloletnią ochronę inwestycji. Wszystko
to sprawia, że przełączniki 2960-X
stają się najbardziej popularnymi
swi t c ha mi na r ynk u . B a z uj ą c
na takim sprzęcie kierownic two
IT będzie mogło w przyszłości bez
pr oblemu r oz wią z ać pr oblemy
związane z rosnącymi wymaganiami
dotyczącymi bezpiecznej obsługi
systemu BYOD, 802.11ac, a przede
wszystkim oszczędzać energię tam,
gdzie dotychczas była ona bezproduktywnie tracona.
materiałów Cisco.
M.K.
Inżynier SOLIDEX
31
TECHNOLOGIE
Tufin SecureChange – efektywne
zarządzanie zmianami.
W numerze III biuletynu Integrator wydanym w 2012 roku znalazł się artykuł
na temat Tufin SecureTrack, czyli lidera rozwiązań klasy Firewall Operation
Management. Artykuł ten, jest kontynuacją analizy produktów firmy Tufin
wchodzących w skład Tufin Orchestration Suite. Po lekturze tego artykułu
czytelnicy dowiedzą się jak korzystając z narzędzi Tufin można ułatwić
wykonywanie codziennych obowiązków i jak dzięki temu życie administratora
bezpieczeństwa staje się przyjemniejsze.
Tufin Orchestration Suite
Zarządzanie zmianami należy do grupy
procesów o wysokim stopniu skomplikowania pod względem organizacyjnym. Każda wprowadzana edycja
w systemie teleinformatycznym
jest krytyczna z punktu widzenia
zachowania prawidłowego funkcjonowania biznesu. Podczas realizacji
jakichkolwiek zmian korporacja nie
może pozwolić sobie na żaden, nawet
najmniejszy błąd, ponieważ może
on doprowadzić do poważnej destabilizacji systemu. Firmy są wówczas
narażone nie tylko straty finansowe
ale również na wizerunkowe, gdyż
w efekcie wprowadzonych „poprawek”
mo ż e na s t ą pi ć nie do s t ę pno ś ć
pewnych usług sieciowych, aplikacji,
32
a w konsekwencji niezadowolenie
klientów lub pracowników.
Aby czuć się pewnie podczas wdrażania
zmian w architekturze bezpieczeństwa
oraz podnieść skuteczność takiej
procedury zaleca się by:
•Wszelkie zmiany akceptowane były
przez odpowiednie osoby (Dział
Bezpieczeństwa oraz Dział IT).
•Zaplanowane zmiany w konfiguracji
polityk bezpieczeństwa pozostawały
w zgodzie z regulacjami wewnątrz
firmy.
•Zaplanowane zmiany w konfiguracji
polityk bezpieczeństwa pozostawały
w zgodzie ze st andardami
przemysłowymi.
•Każda zmiana w polityce bezpieczeństwa była w pełni rejestrowana.
Zapisane informacje na temat osób
zaangażowanych w cały proces oraz
wszystkie dane o wprowadzonych
z mianach mog ą po ś wiadc z yć
do ewentualnego audytu.
•Każda zmiana była wdrożona zgodnie
z wcześniej ustaloną koncepcją, która
uwzględnia pełną analizę ryzyka.
Rozwiązaniem, które umożliwia
ur uchomienie procedur y zmian
zgodnej ze wspomnianymi zaleceniami oraz które automatyzuje część
tego procesu jest pakiet specjalistyc znych narzędzi Tufin Orchestration Suite. W jego skład wchodzi
opisywany już we wcześniejszym
wydaniu „Integratora” SecureTrack,
SecureChange oraz znajdujący się
w portfolio firmy Tufin od 2013 roku
SecureApp. Dla przypomnienia SecureTrack jest dedykowanym zestawem
Numer: II/2014 (127)
funkcji, które wspomagają zarządzanie zmianami oraz oferują zbiór
czynności, które mają na celu optymalizację konfiguracji sieci i systemów
bezpieczeństwa. Drugi składnik,
którego dotyczy niniejszy artykuł
to Tufin SecureChange. Jest to uniwersalne rozwiązanie służące do pełnej
obsługi i automatyzacji procesu
zarządzania zmianami oraz wspomagania tak zwanego „przepływu pracy”
(workflow). W systemie SecureChange workflow rozumiany jest
jako wieloetapowy proces obsługi
wniosków o wprowadzenie zmian
w architekturze bezpieczeństwa.
Obejmuje on wszystkie kroki takiego
wniosku począwszy od jego złożenia,
przez analizę, projektowanie, akceptację, aż do wprowadzenia zmiany
i zamknięcia zgłoszenia. W ramach
licencji SecureTrack dostępny jest
podstawowy pakiet SecureChange
Basic, który zawiera ten sam zestaw
funkcji obarczony jednak ograniczeniami pod kątem edycji predefiniowanych procedur.
są wszystkie skutki jej wprowadzenia.
System mając dostęp do regulacji
wewnątrz firmy może zaalarmować
na przykład, gdy w wyniku planowanych zmian będzie miało miejsce
otwarcie dostępu do usług użytkownikom lub podsieciom, które nie
powinny móc z nich korzyst ać .
Ostatnim elementem jest sprawdzenie
poprawności nowej konfiguracji oraz
weryfikacja poprawnej implementacji
zmian na urządzeniach. Wszystkie
te czynności są w pełni zautomatyzowane co eliminuje błędy wynikające
z czynnika ludzkiego. Całościowo
administratorzy posiadają pełną
kontrolę nad procesem wprowadzania
zmian, posiadają pełną dokumentację
oraz oszczędzają swój czas.
nie ma w pełnej wersji rozwiązania
co daje administratorowi pe łen
wachlarz funkcjonalności systemu.
Jak zatem wygląda praca z Tufin SecureChange? Pierwszym krokiem jest
zawsze złożenie wniosku o wprowadzenie zmian w systemie zabezpieczeń.
Wniosek ten może dotyczyć między
innymi przyznania odpowiednich
uprawnień określonemu użytkownikowi czy też dodanie dostępu
do nowej aplikacji.
Jak byłoby to zrealizowane za pomocą
ogólnie przyjętych metod? Zapotrzebowanie na wprowadzenie korekt
do systemu zabezpieczeń wędrowa ł oby dr og ą ma ilow ą pr z e z
określony czas, aż dotrze do osoby
o odpowiednich kompetencjach, która
go zatwierdzi. Wszystkie pozostałe
Zarządzanie workflow
elementy tego procesu odbywałyby się
również w dość sporym chaosie, gdyż
Rozpoczynając pracę z systemem osoby będące bezpośrednio zaangap o p i e r w s z y m z a l o g o w a n i u żowane (osoby decyzyjne, inżyniedysponujemy zestawem predefi- rowie bezpieczeństwa, administratorzy
Jakie są zalety korzystania
z SecureChange?
Po zapoznaniu się z możliwościami
systemu okazuje się, że korzyści jest
całkiem sporo a sama struktura pracy
z systemem jest prosta i intuicyjna.
Jedną z głównych zalet jest centralna
obsługa całego procesu zarządzania
zmianami począwszy od samego
odbioru wniosku o wprowadzenie
zmian, akceptację planowanych zmian
przez odpowiednie osoby decyzyjne,
z ap r o je k t ow a nie i w d r o ż e nie
wszystkich edycji, aż do precyzyjnego
zarejestrowania całości procedury.
Następną funkcjonalnością realizowaną w SecureChange jest projektowanie nowej polityki zabezpieczeń,
która jest wynikiem napływających
wniosków o wprowadzenie zmian.
Sugestie budowane są przez system
w oparciu o analizę treści wniosków
o edycję w strukturze bezpieczeństwa
oraz już istniejące polityki zaimplementowane na wszystkich systemach
zabezpieczających infrastrukturę IT.
Równocześnie podczas planowania
zmian konfiguracji egzekwowana
jest nowa polityka bezpieczeństwa.
Na tym etapie nowa polityka jest
wer yfikowana i wizualizowane
Rys. 1. Architektura systemów Tufin.
niowanych szablonów procedur
wprowadzania zmian w sieci zabezpieczeń. Znajdują się one w zakładce
Workflows. W wersji SecureChange
Basic niestety nie ma możliwości
edytowania procedur dostarczonych
przez producenta „z pudełka” oraz
opcja tworzenia własnych jest zabroniona. Tych niedogodności oczywiście
firewalli) nie posiadaliby scentralizowanej obsługi całości procedury.
Dodatkowo tak stworzony projekt
trudno jest zweryfikować pod kątem
analizy ryzyka, co również wprowadza
pewne niedogodności.
W pr zypadku zastosowania
nar z ę d z ia Tuf in S e c ur e C hange
procedura przebiega zdecydowanie
33
TECHNOLOGIE
Rys. 2. Przykładowy workflow z Tufin SecureChange.
sprawniej, wygodniej oraz oferowane
są dodatkowe możliwości. Algorytm
postępowania od wniosku do implementacji można zamknąć w zaledwie
sześciu punktach:
1. Żądanie zmiany wprowadzone przez
interfejs Web’owy udostępniony
użytkownikom systemu Tufin.
2. Automatyczny przydział wniosku
do odpowiedniej osoby, która
tłumaczy wymagania na podłożu
biz nesowym na realiz ac yjny
język techniczny.
3. Osoba odpowiedzialna oczekuje
na zatwierdzenie.
4. Osoba decyzyjna wykonuje analizę
ryzyka wprowadzonych zmian
za pomocą dedykowanych narzędzi
SecureChange i na podstawie
wyników podejmuje odpowiednią
a k c j ę : pr z e k a z uje wnio s e k
do realizacji, odrzuca wniosek lub
odpowiednio go modyfikuje.
5. Inżynier odpowiedzialny za wdrożenie zmian wybiera najlepszą
metodę implementacji z punktu
widzenia bieżącej polityki bezpieczeństwa posiłkując się specjalistycznymi narzędziami.
6. System wykonuje automatyczną
wer yfikac ję wprowadzonych
zmian i powiadamia o jej wyniku
użytkownika.
oraz wprowadzonych komentarzy.
Na ws z ys t k ic h e t apac h o s oby
odpowiedzialne powiadamiane
są automatycznie drogą mailową
o czekającym na nich zadaniu.
Jak to wygląda w samym systemie?
Zgodnie z wymaganiami wprowadzenia zmian w systemie zabezpieczeń uruchamia się odpowiednią
do tego procedurę. Przykładowa
procedura reprezentująca workflow
dla przyznania dostępu została przedstawiona na rysunku 2.
Pierwszym etapem takiego procesu
jest Open Request. W tym punkcie
rozpoczyna się otwieranie wniosku
o wprowadzenie zmiany. Tut aj
definiuje się formularz zgłoszeniowy
żądanych poprawek oraz wszystkie
parametry czasowe. Do tych celów
służą odpowiednio zakładka Fields
oraz parametr Expiration, który
def iniuje c z as obowią z ywania
zmiany oraz umożliwia informowanie określonych administratorów
przed upływem jej ważności. Na tym
etapie możliwe jest również dodanie
uczestników, którzy zadanie to będą
obsługiwać z odpowiednimi prawami
wykonywania konkretnych poleceń.
Podczas następnego kroku – Business
A ppr ova l o dp owie dnie o s oby
decyzyjne mają za zadanie zwery-
na poszczególnych etapach. Dostępne
t r yb y z o s t a ł y p r z e d s t aw io n e
na rysunku 3.
K rok trzeci, c zyli Automatically
Identify Targets jest realizowany
automatycznie przez system SecureChange. Na tym etapie rozwiązanie
samodzielnie wyznacza urządzenia
lub systemy, na których zmiany
powinny być wprowadzone. Zwalnia
to administratorów z wykonywania
dodatkowej pracy oraz przedstawia
cenną informację, na podstawie której
mogą oszacować intensywność planowanych zmian.
Etap czwarty to Technical Design.
Na tym etapie inżynierowie dostają
w swoje ręce dwa specjalistyczne
narzędzia: Risk Analysis oraz Advisor.
W sytuacji, gdy SecureChange jest
zintegrowany z SecureTrack uruchomienie mechanizmu Risk Analysis
sprawdza, czy wprowadzenie zmian
pozostaje w zgodności z politykami
bezpieczeństwa. Natomiast Advisor
automatycznie generuje rekomendacje
zmian konfiguracji na podstawie informacji o topologii sieciowej w SecureTrack . Podc zas tego et apu, gdy
administrator wykona swoje zadanie
pomimo że wprowadzona modyfikacja jest w sprzeczności z politykami
zgodności firmy, sam SecureChange
może powiadomić o takim zdarzeniu
określone osoby w celu wyjaśnienia
zaistniałej sytuacji.
Następny punkt procesu Security
Review może zostać pominięty
w sytuacji, gdy wykonana w punkcie
wcześniejszym analiza ryzyka nie
wykazała żadnych sprzeczności z regulacjami bezpieczeństwa wewnątrz firmy
ani nie spowodowała zwiększenia
jakichkolwiek podatności. Jeżeli jednak
w poprzednim kroku wykazano pewne
naruszenie, to na tym etapie możliwe
Rys. 3. Dostępne tryby przypisania uczestników do obsługi wniosku.
jest przeprowadzenie szczegółowego
audytu w celu sprawdzenia planoPodc z as c a łego pr oc e su k a ż da fikowanie poprawności wniosku wanych zmian pod kątem podatności
z z aanga ż owanyc h os ób mo ż e oraz jego zaakceptowanie lub odrzu- lub możliwa jest modyfikacja zmian
mieć dostęp do aktualnego statusu cenie. Co ważne, poprzez system w celu zniwelowania ewentualnych
złożonego wniosku, wyników poszcze- S ec ureC hange moż na na wiele błędów wprowadzonych przez edycję
gólnych operacji automatycznych sposobów przydzielić osoby do pracy polityk bezpieczeństwa.
34
Numer: II/2014 (127)
Tufin Orchestration Suite
R13-3
W pa ź d z ier nik u ze s z ł ego r ok u
Tufin oficjalnie wydał nową wersję
swojego pakietu narzędzi. Wersja
R 1 3 - 3 w p r o w a d z a m o ż l iw o ś ć
integracji produktów Tufin z urządzeniami sieciowymi większej gamy
p r o du c e n t ów . G ł ów n e n a c i s k
na zmiany i rozwój położone zostały
na trzeci z komponentów systemu –
SecureApp. Tutaj również pojawiło
się wsparcie dla większej lic zby
aplikacji. Oprócz tego, z poziomu
SecureApp możliwe jest automatyczne wykrycie serwerów aplikacyjnych nie będących już w użytku.
Zdecydowanie ułatwiono również
pracę z SecureApp użytkownikom
mniej zaawansowanym technicznie.
Podsumowanie
Rys. 4. Przykład konfiguracji SLA dla żądania zmian.
Ostatni punkt to finalizacja całości
procesu to wdrożenie planowanych
zmian. Na samym końcu system
SecureChange dokonuje weryfikacji
prawidłowej implementacji zmian
na każdym z urządzeń gdzie modyfikacja miała miejsce. Całość procedury
kończy się prawidłowo przeprowadzonym wdrożeniem nowej reguły
bezpieczeństwa w odpowiednim
czasie. By czasem tym odpowiednio
gospodarować i zarządzać , Tufin
oddaje w ręce użytkowników SecureChange funkcję do konfiguracji
SL A. Za pomocą tej funkcji można
skonfigurować ilość dni, w którym
żądanie zmian ma zostać przeprocesowane oraz jaki typ akcji podjąć
w momencie, gdy praca nad wnioskiem zatrzymuje się na konkretnym
etapie. Przykład możliwości konfiguracji znajduje się na rysunku 4.
P ak ie t us ł ug ofer owany pr ze z
f i r m ę Tu f i n j e s t n a r z ę d z i e m
o bardzo dużym potencjale. Produkt
z roku na rok dynamicznie rozwija
się w celu osiągnięcia pełnej dojrzałości. Natomiast możliwość integracji
z coraz większą liczbą producentów
systemów bezpieczeństwa powoduje,
że rozwiązania Tufin częściej znajdują
zastosowanie. Wykorzystanie SecureChange oraz SecureTrack oferuje
rzeczywiste zarządzanie bezpieczeństwem IT. Podział odpowiedzialności jest precyzyjnie wydzielony
a cała procedura jest w pełni udokumentowana i zgodna z regulacjami
(PCI, SOX, HIPA A). Mam nadzieje,
że niniejszy artykuł uwidocznił zalety
rozwiązania SecureChange i pokazał,
że nie tylko zwiększa efektywność
operacyjną ale pozwala administratorom bezpieczeństwa spać spokojniej.
dokumentów producenta.
M.M.
Inżynier SOLIDEX
Rys. 5. Stos pakietu Tufin Orchestration Suite R13-3.
35
TECHNOLOGIE
Cisco Invicta – IOPS bez granic.
„Co by się stało, gdybyś mógł zwiększyć wydajność najbardziej krytycznych
aplikacji? Twoje transakcje mogłyby być zawierane niemal natychmiast,
użytkownicy mogliby analizować dane i podejmować decyzje szybciej, niż
do tej pory. A co, jeśli mógłbyś z łatwością dostosowywać twoją infrastrukturę
do zmieniających się wymagań? Teraz możesz to zrobić. Przodująca pozycja
Cisco w wysokoskalowalnych i wysokowydajnych rozwiązaniach opartych
na układach półprzewodnikowych pozwala na zdecydowaną poprawę
wydajności aplikacji w połączeniu ze znaczącym uproszczeniem infrastruktury
Data Center”.
Co to jest?
Roz wią z anie Invic t a je s t linią
wysokowydajnych mac ier zy
Rys. 1. Przykładowy dysk SSD.
36
dyskowych opartych na pamięciach
flash. Producent proponuje przede
wszystkim półki o wysokości 2U, które
łączyć można w elastyczne i skalowalne systemy agregujące pojemność
i wydajność analogicznie do rozwiązań
serwerowych w ramach UCS.
(identyczne mocowanie oraz złącza
transmisji danych i zasilania) nie
lic ząc pewnych zabiegów, które
musz ą być z aimplement owane
w oprogramowaniu systemowym
uwzględniającym pewną specyfikę
działania tych urządzeń.
Dyski SSD
Podstawy pamięci flash
Standardem przemysłowym stał się
de facto format 2,5” i 3,5” dysków
pó ł przewodnikowych t ak , żeby
mo ż na by ł o wymienia ć t r ady cyjne dyski HDD w komputerach,
serwerach i macierzach na dyski
półprzewodnikowe bez żadnych
zabiegów dostosowawc zych
Pamięci typu flash są to nieulotne
(zachowujące zapisane informacje
bez potrzeby dostarczania zasilania)
pamięci półprzewodnikowe oparte
na gromadzeniu ładunku w izolowanym fragmencie półprzewodnika.
Pole elektryczne wytwarzane przez
zakumulowany ładunek zuba ż a
Numer: II/2014 (127)
kanał półprzewodnikowy przebiegając y obok bramki zamykając
go (lub przymykając w przypadku
komórek wielostanowych).
Cechy charakterystyczne
Idea pamięci flash oparta jest na znanej
od dawna i szeroko wykorzystywanej
idei pamięci EPROM. Odczyt komórki
pamięci flash odbywa się przez pomiar
prądu płynącego przez kanał pod
wpływem przyłożonego napięcia
do krańców kanału.
Zapis odbywa się poprzez przyłożenie
napięcia programującego do elektrody
(kontrolnej, programującej) przylegającej ale nie podłączonej do bramki,
co powoduje wstrzyknięcie do niej
określonego ładunku. Wysoka stała
dielektryczna dwutlenku krzemu
pozwala na długotrwałe utrzymanie
ładunku w bramce.
na rok coraz większej ilości komórek
pamięci na jednostce powierzchni
a zmniejszenie przekrojów ścieżek
i wartości prądów występujących
w obwodach zmniejsza wydzielanie
ciepła (w przeliczeniu na jednostkę
pamięci). Czasy dostępu do pamięci
(do odczytu) są bardzo krótkie i niezależne od położenia komórki w strukturze. W związku z tym, w tego typu
pamięciach nie występuje zagadnienie
defragmentacji jako czynnika spowalniającego dostęp do informacji.
Wady
Podstawową wadą pamięci flash jest
ograniczona liczba cykli zapisu takich
komórek spowodowana degradacją
warstwy izolatora oddzielającego
pływającą bramkę od pozostałej
części infrastruktury półprzewodnika.
Dodatkowo dostępna liczba cykli
Pozwalają na przechowywanie jednego
bitu informacji (kanał pod bramką jest
włączony lub wyłączony). Zajmują
stosunkowo najwięcej powierzchni
struktury półprzewodnikowej w przeliczeniu na bit danych i z tego powodu
są najmniej ekonomiczne w produkcji.
Komórki TLC (Triple Level Cell) dla
odmiany przechowywują trzy bity
informacji co powoduje, że jest
to konstrukcja o największej gęstości
upakowania w przeliczeniu na jeden
bit informacji, a zatem najtańsza.
S ą jednoc ze ś nie najwolniejs ze
w odczycie i zapisie ze względu
na skomplikowanie i wielostopniowe obwody obsługujące takie
komórki. Odczyt trzech bitów jednoc ze śnie wymaga zdekodowania
ośmiu poziomów prądu w kanale,
co narażone jest na błędy i zmianę
par ame t r ów z ale ż ną od c z a su ,
temperatury i innych czynników
zmieniających charakterystykę pracy
komórek pamięci.
Dlatego rozsądnym kompromisem jest
komórka czterostanowa MLC (Multi
Level Cell) przechowująca dwa bity
informacji, a jej parametry pośrednie
między rozwiązaniami SLC i TLC.
Porównanie z dyskami HDD
Najistotniejszym elementem odróżniającym pamięci półprzewodnikowe
a flash w szczególności od pamięci
HDD jest brak elementów ruchomych,
którymi charakteryzują się dyski
twarde. Istnienie wirujących talerzy
Rys. 2. Budowa komórki pamięci flash.
oraz napędu wprowadzającego talerze
w ruch, a także głowicy ruchomej
Podstawowe zalety
zapisu uzależniona jest od techno- i jej napędu w postaci indukcyjnego
logii w szczególności ilości stanów silnika liniowego powoduje stały
Zaletą pamięci flash jest jej całko- logicznych zapamiętywanych w jednej i znac zący pobór prądu wydziewicie półprzewodnikowa natura. komórce (tabela 1).
lanego w postaci ciepła, które należy
Zarówno programowanie, jak odczyt Najdroższe rozwiązanie, komórki typu odprowadzić poza system. Co więcej,
odbywa się na drodze całkowicie SLC (Single Level Cell) są najszybsze, rotacja talerzy przy ustalonej osi
elektronicznej. Postępująca minia- najodpor niejsze na degradac ję obrotu powoduje minimalne wibracje
turyzacja układów półprzewodni- izolatora a co za tym idzie wytrzymują wobec nieuniknionego minimalnego
kowych pozwala na upakowanie z roku największą ilość cykli kasowania/zapisu. niewyważenia, które muszą być
Stany
Cykle kasowania
Max tProg (µs)
R (µs)
Koszt
SLC
2
100000
700
25
$$$
MLC
4
3000-10000
1200
50
$$
TLC
8
1000
2000
100
$
t
Tabela 1. Porównanie parametrów komórek flash w różnych technologiach.
Max tProg - maksymalny czas programowania, tR - czas przeniesienia jednej strony flash do rejestru danych.
37
TECHNOLOGIE
to 7200 rpm (120 rps)
i 5400 rpm (90 rps).
Wartość siły odśrodkowej dział ając ej
na ka żdy punk t
talerzy wirujących jest
określona wzorem:
=
F
mv 2
= mϖ 2 r
r
Na minimaliz ac ję
sił y odśrodkowej
(a zatem na natężenie
wytłumiane za pomocą elementów
i częstotliwość drgań zespołu osi
sprężystych, cieczy czy układów
i talerzy wirujących) wpływa się
tłumienia aktywnego. Każde takie
głównie przez obniżanie prędkości
rozwiązanie przenosi w mniejszym
obrotowej (czynnik ω2 ) oraz przez
lub większym stopniu wibracje, hałas
zmniejszanie promienia r dysków
i ciepło na obudowę dysku, które
i użycie odpowiednio sztywnych
są absorbowane przez chassis i systemy
materiałów o niskiej gęstości (stopy
chłodzące systemu, w którym dyski
aluminium pokryte materiałem
HDD są zainstalowane.
ferromagnetycznym).
Czynnikami spowalniającymi pracę •Poduszka powietrzna: ze względu
HDD są:
na szerokości ścieżek rzędu 10 μ m
•Ruch głowicy nad powierzchnią
głowica (o szerokości ok. 80% szerotalerzy wirujących: zmiana cylindra,
kości ścieżki) musi się poruszać w
jest zbiorem wszystkich ścieżek o tym
stałej odległości od powierzchni
samym adresie, nad którym znajduje
dysku. Jest to kłopotliwe do realisię głowica na cylinder z danymi
zacji i wrażliwe na wiele czynników
do odczytu powoduje wykonanie
z e w n ę t r z ny c h , ja k c i ś nie nie
następujących czynności: rozpopowietr za (wewnątr z dysków
częcie ruchu znad dotychczasowego
panuje ciśnienie atmosferyczne),
cylindra, ruch nad cylindrami,
jego wilgotność i zanieczyszczenie
zatrzymanie się i stabilizacja głowicy
(stosowane są filtry zabezpieczające
nad cylindrem docelowym. Dodatprzed przedostaniem się niekokowym czynnikiem opóźniającym
rzystnych czynników do wnętrza
moment gotowości odczytu danych
nap ę du). W c elu s t abili z ac ji
z nowego cylindra jest konieczność
odległości głowicy od powierzchni
zsynchronizowania się ze strukturą
dysku wykorzystuje się zjawisko
log ic z n ą ś c ie ż k i . W ykonanie
podobne do aquaplaningu. Dyski
wszystkich tych czynności trwa
są wrażliwe na obniżenie ciśnienia
określony czas zależny od odległości
atmosfer yc znego, a ich MT BF
przestrzennej między cylindrami,
zauważalnie spada, gdy użytkowane
mocy silnika liniowego napędzasą na dużych wysokościach n.p.m.
jącego ramię głowicy oraz jego Ponieważ prędkość odczytu danych
momentu bezwładności. Dlatego w dyskach HDD jest wprost proporcjoteż ramiona głowicy wytwarza nalna do prędkości obrotowej talerzy,
się z ażurowych, przestrzennych czas wyszukiwania – odwrotnie
elementów aluminiowych o dużej proporcjonalne do promienia dysku,
wibracje – zależne od kwadratu
sztywności i małej masie.
• Prędkości obrotowe: największe prędkości obrotowej i masy dysku,
spotykane w sprzęcie powszechnie konstrukcja dysków HDD opiera się
dostępnym na rynku wynoszą na złożonej kombinacji układów
15 tys. obrotów na minutę (rpm) elek t r omechanic z nych, mag ne tzn. 250 obrotów na sekundę (rps). tycznych i elektronicznych, wrażliwa
Innymi prędkościami spotykanymi jest na uszkodzenia mechaniczne
w urz ądzeniach bud żetowych i związana jest ze spełnieniem wielu
Rys. 3. Widok wnętrza profesjonalnego dysku HDD.
38
kompromisów nie pozwalających
osiągnąć wysokich strumieni danych
w realnych zastosowaniach.
Specyfika pamięci flash
Nieulotne pamięci półprzewodnikowe
występujące w powszechnym użyciu
są pamięciami typu NAND, które
charakteryzują się sekwencyjnym
dostępem do danych, dlatego też nie
nadają się do emulowania pamięci
operacyjnej komputerów – głównym
ich zastosowaniem jest przechowywanie dużych ilości danych.
Ze względu na konstrukcję pamięci
typu NAND, możliwe jest bezpośrednie
ustawienie i odczyt każdej komórki,
ale kasowanie zawartości komórek
może się odbywać wyłącznie poprzez
kasowanie całego ich bloku (stąd
nazwa flash ze względu na szybkie
kasowanie całych zbiorów komórek).
W połączeniu z ograniczoną ilością
cykli zapisu/kasowania zawartości
komórek, efektywne wykorzystanie
pamięci flash jest krytycznie związane
z odpowiednimi algorytmami wyboru
sposobu zapisu i kasowania, statystycznie równomiernego rozłożenia
tych operacji w całej przestrzeni
pamięci oraz zaznaczania całych
bloków komórek do późniejszego
kasowania z przepisywaniem niezmienionych danych oraz danych zmodyfikowanych do innych obszarów
pamięci. Konieczne jest również
oznaczanie uszkodzonych bloków
pamięci jako niezdatnych do użytku
w sposób niewidzialny dla systemów
zewnętrznych. Algorytmy te są realizowane przez wewnętrzne kontrolery
dysków flash, w tym SSD i innych, a ich
konstrukcja ma zdecydowany wpływ
na osiągnięcie wysokich parametrów
użytkowych tego typu pamięci.
Ze względu na brak elementów
r uc homyc h i d z ia ł anie opar t e
wyłąc znie na układach elektronicznych, pamięci flash charakteryzują
się bardzo krótkimi czasami dostępu
(brak ruchomej głowicy), brakiem
wrażliwości na fragmentację danych
(każda komórka pamięci flash jest
dostępna w jednakowym, bardzo
niskim czasie, stąd algorytmy defragmentujące pliki na dysku są zbędne),
odpornością na czynniki zewnętrzne
i bezgłośnością (brak elementów
ruchomych, w szczególności zespołów
Numer: II/2014 (127)
Workload Acceleration
Data Reduction
Appliance
Silicon Node
Appliance
Silicon Node
1,9
1,5
1,5
1,2
IOPS
250k
200k
200k
165k
Opóźnienia (µs)
<100
<200
<100
<200
Wysokość (RU)
2
2
2
2
Max pojemność (TB)
24
24
64 (efektywnie)
64 (efektywnie)
Pasmo (GB/s)
Tabela 2. Wydajność półek w zależności od trybu pracy.
wymagających względnie niewielkich
ilości IOPS w stosunku do wymaganych
wolumenów strumieni danych.
W celu zapewnienia rozwiązań dla
zarówno małych, jak i większych instalacji, Cisco proponuje dwa podstawowe
modele wdrożenia pamięci SSD
do infrastruktury obliczeniowej:
•UCS Invicta C3124SA (appliance) –
półka 2U zawierająca do 24 dysków
2,5” SATA SSD o łącznej pojemności
Oferta Cisco
od 3TB do 24TB.
Wiele zalet pamięci flash, w szcze- •UCS Invicta Scaling System (ISS)
– system modularny wysokości
gólności szybkość, niski pobór mocy
co najmniej 8U (4x2U) o pojemności
i niska wra żliwoś ć na c zynniki
rozpoczynającej się od 6TB, skalujący
zewnętrzne powodują, że są one
się do 720TB. Kompleks składa się
pod wieloma względami idealnym
z do 6 modułów Scaling System
komponentem systemu pamięci
Router (SSR) oraz do 30 Scaling
masowych. Niewątpliwie istniejące,
System Nodes (SSN). Wydajność
ale odpowiednio zniwelowane wady
systemu w pełnej konfiguracji Cisco
nie wpływają w sposób zauważalny
określiło jako:
na wygodę ich użytkowania i jedynym
−− do 4 MIOPS,
w zasadzie istotnym czynnikiem
−− do 40GB/s przepustowości,
powodującym, że pamięci flash nie
−− opóźnienie ok. 200 μ s.
wyparły całkowicie z rynku dysków
HDD jest ich wysoka cena w przeli- O b y dw a s y s t e my z a r z ą d z a n e
czeniu na jednostkę pojemności są przez oprogramowanie UCS Director,
w porównaniu z pamięciami magne- w sposób jednolity z systemami serwetycznymi. Dlatego też oferta Cisco nie rowymi UCS B i C. Obydwa rozwiąma na celu, przynajmniej w dającej zania oparte są na oprogramowaniu
się określić perspektywie czasowej, systemowym Invicta OS oraz zapewzastąpić tradycyjnych rozwiązań niają blokowy dostęp do danych
m a c i e r z o w y c h , n i e w ą t p l i w i e za pomocą interfejsów FC 8G oraz 10GE
ekonomiczniejszych w eksploatacji iSCSI. Deklarowana jest możliwość
i efektywniejszych w środowiskach replikacji asynchronicznej i replikacji
wirujących) oraz niskim poborem
energii (brak silników i oporów
t oc zenia). B ardzo nisk ie c z asy
dostępu pozwalają na osiągnięcie
bardzo dużych wartości IOPS (Input/
Output Operations Per Second),
parę rzędów wielkości większych
od IOPS osiągalnych w rozwiązaniach
z wirującymi talerzami.
do systemów otwartych. Cisco nie
zaleca stosowania półek appliance
do systemów poza UCS, ale tego jednoznacznie nie wyklucza.
Składnik systemu UCS
Wydajności półki dyskowej, zarówno
w wersji standalone (appliance), jak
i w roli System Node przedstawione
zostały w tabeli 2 (w dwóch opcjach
wydajności/deduplikacji).
Appliance Invicta C3124SA
Jest to urządzenie pracujące autonomicznie, pozwalające na podłączenie
do infrastruktury L AN/SAN środowiska Data Center i oferuje pojemności
od 2TB do 24TB przy wyposażeniu
dyskami S SD o pojemno ś c iach
od 120GB do 960GB.
Urządzenie pozwala na konfigurację pracy w trybie Performance lub
Data Reduction. Cechami charakterystycznymi pracy w trybie Data
Reduction są:
•Funkc ja ak t ywna dla c a ł ego
ur z ądzenia lub pojedync zego
node’a podczas konfiguracji wstępnej.
•Deduplikacja Inline: aktywna przez
100% czasu dla każdego zapisu.
•Nie można jej zmienić lub wyłączyć.
•Algorytm oparty o stały rozmiar
bloku (4k).
Rys. 4. Półka dyskowa C3124SA.
39
TECHNOLOGIE
•Konfigurowany jest w c z asie
zamawiania urządzenia.
•Stopień deduplikacji może dochodzić
do 10:1.
ISS
Tryb ISS jest zalecaną formą pracy półek
dyskowych i dostosowaną do współpracy ze środowiskiem obliczeniowo-sieciowym UCS. W trybie tym ruch
z półek dyskowych agregowany jest
bezpośrednio na Silicon Routerach
bądź zagregowany na Fabric Extenderach i przez nie trafia do Silicon
Routerów. W obydwu przypadkach
cały zespół ISS widzialny jest dla
pozostałych elementów infrastruktury
UCS jako skupiony zasób FC lub iSCSI.
Może być on połączony bezpośrednio
do Fabric Interconnecta UCS agregującego zasoby serwerowe UCS B i C lub
za pośrednictwem sieci SAN.
Zalecana przez Cisco topologia ISS
prezentowana jest na rysunkach 5 i 6.
SSN – System (silicon) node
Appliance (półka) pracujące w ramach
ISS ma wydajność niemal równą
wydajności w trybie pracy standlaone,
narzut spowodowany jest przez SSR.
Silicon Router
Węzeł agregujący
Urządzenia pamięci flash
CPU, Pamięć & Invicta OS
CPU, Pamięć & Invicta OS
Matryca przełączająca
Funkcje modułu
Funkcje modułu
•Interfejs do systemów zewnętrznych •Zarządzanie pamięcią flash
•Zarządzanie woluminami
•Mirroring
•RAID
•Striping
•Deduplikacja
•Replikacja
•Snapshoty
•Thin Provisioning
•Raportowanie
•Zabezpieczenie danych przed utratą
•Grupowanie węzłów
zasilania
Tabela 3. Cechy modułów w zależności od usytuowania w ISS.
SSR – System (silicon) router
z tym w chwili obecnej ilość urządzeń
wchodzących w skład rozwiązania
Są to odpowiednio zmodyfikowane jest niewielka i nieskomplikowana,
p ó ł k i a p p l i a n c e p o z b a w i o n e co można traktować jako zaletę.
większości zasobów dyskowych SSD, Półki appliance można zamawiać
a ich rola sprowadza się do agrego- w czterech wersjach określanych przez
wania i logicznej organizacji pracy pojemność zainstalowanych dysków
SSD (24 dyski x 120, 240, 480, 960 GB)
zespołu półek dyskowych.
Role modułów w ramach ISS zesta- •UC SW-C 3124A-3T: UC S Invicta
C3124SA 3 TB Appliance – K9
wiono w tabeli 3.
•UC SW-C3124A-6T: UC S Invicta
Zamawianie
•UCSW-C3124A-12T: UCS Invicta
Sys t em Invic t a je s t nowo ś c ią
w por t folio C is c o, w z wią z k u •UCSW-C3124A-24T: UCS Invicta
Rys. 5. Topologia z wykorzystaniem pośredniczących
modułów Switched Fabric (łącza infiniband).
40
Silicon Node
Rys. 6. Połączenia bezpośrednie z SSN do SSR.
Numer: II/2014 (127)
Zestawy ISS możliwe do zamówienia
(w wersji „racked” i „un-racked”, poniżej
podano wersję racked):
•UCSW-SA1-6T-R: UCS Invicta 6TB
Scaling System Racked – K9
Każdy zestaw obejmuje 2xSSR i 2xSSN.
Rozbudowa zestawu możliwa jest
poprzez zakup dodatkowych zestawów
ISS i/lub półek appliance.
Smartplay
Cisco oferuje zestawy promocyjne
UC S zawierające pe łen komplet
urządzeń pozwalający na uruchomienie kompletnego środowiska
zunifikowanych obliczeń i przechowywania danych. W skład zestawów
Offer
Promo Description
Server
Configuration
Use Case /
Positioning
Enterprise Performance (6TB)
UCS-SP7-B200P-6T
6TB UCS Invicta
Appliance
2x UCS B200M3
UCS 5108 blade
chassis
2x UCS 6248UP FI
6TB Dedup SW
optional
B200 M3 blades
– each with 2 x
E5-2680v2 and 1 x
VIC 1240 mLOM,
256GB memory (16 x
16GB DIMMs, 1866
MHz); One UCS 5108
Chassis with two
2208 FEX;
UCS 6248UP FI
Use case: VDI – 100
persistent or 500
non-persistent users
Databases – Entry
level databases Add
more blades for SAS
and other analytics
solutions
24TB UCS Invicta
Appliance
4x UCS B200M3
UCS 5108 blade
chassis
2x UCS 6248UP FI
24TB Dedup SW
optional
B200 M3 blades
– each with 2 x
E5-2680v2 and 1 x
VIC 1240 mLOM,
256GB memory (16 x
16GB DIMMs, 1866
MHz); One UCS 5108
Chassis with two
2208 FEX;
UCS 6248UP FI
Use case: VDI – 200
persistent or 1000
non-persistent users
Databases – Larger
database SAS and
other analytics
solutions
MSRP
Standalone
Enterprise Performance (24TB)
UCS-SP7-B200P-24T
~$101,000
~$167,000
Scalable
Mission Critical with
Scale (6TB) UCS-SP7-B200P-6TS
Mission Critical
with Scale
(24TB) UCS-SP7-B200P-24TS
6TB UCS Invicta
Scaling System
2x UCS B200M3
UCS 5108 blade
chassis 2x UCS
6248UP FI 3 TB
Dedup SW optional
B200 M3 blades
– each with 2 x
E5-2680v2 and 1 x
VIC 1240 mLOM,
256GB memory
(16 x 16GB DIMMs,
1866 MHz);
One UCS 5108
Chassis with two
2208 FEX;
UCS 6248UP FI
Use case: VDI –
Environments starting
at 200 persistent
users and growing
to 1000’s of desktops
(with full redundancy)
Databases – Large
database with full
redundancy SAS
and other analytics
solutions
~$171,000
24TB UCS Invicta
Scaling System 4x
UCS B200M3 UCS
5108 blade chassis 2x
UCS 6248UP FI 12TB
Dedup SW optional
B200 M3 blades
– each with 2 x
E5-2680v2 and 1 x
VIC 1240 mLOM,
256GB memory
(16 x 16GB DIMMs,
1866 MHz);
One UCS 5108
Chassis with two
2208 FEX;
UCS 6248UP FI
Use case: VDI –
Environments starting
at 400 persistent or
2000 non persistent
users and growing
to 1000’s of desktops
(with full redundancy)
Databases – Large
database with full
redundancy SAS or
other analytics with
full redundancy
~$268,000
Tabela 4. Oferta Spartplay na zestawy serwerowo–storagowe.
41
TECHNOLOGIE
Rys. 7. Przykład ilustrujący porównanie zapotrzebowania na dyski w macierzy w zależności od ich technologii.
promocyjnych wchodzą: serwery
blade (UCS B) + chassis lub rack (UCS
C), Fabric Interconnecty oraz półki
Invicta. Zestawy te stanowią bardzo
konkurencyjną cenowo alternatywę
dla zamówień składanych osobno
na poszc zególne elementy. Jest
to najlepszy sposób na ekonomiczne
uruchomienie uniwersalnego środowiska serwerowego nakierowanego
na wirtualizację zasobów.
Zastosowanie
System Invicta został wprowadzony
do oferty Cisco w celu dostarczenia
bazie serwerowej wysokowydajnego
(setki tysięcy IOPS) podsystemu
pamięci masowej bez konieczności
oferowania rozwią zań o bardzo
du żej ilości fizyc znych dysków
HDD. Dzięki niemu zdecydowany
przyrost wydajności można zaobserwować we wszystkich rozwiązaniach
o masywnej wirtualizacji.
Systemy VDI
Infrastruktura wirtualnych desktopów
jest jedną ze szczególnie podatnych
na zwiększenie wydajności dzięki
wysokim parametrom IOPS. Silnie
losowa charakterystyka dostępu takiej
instalacji do zasobów pamięciowych
stoi w sprzeczności z linearną charakterystyką odczytu danych na powierzchniach dysków rotujących. Osiągnięcie
wymag a ne j wydajno ś c i IOP S
w rozwiązaniach klasycznych wymaga
masywnego zrównoleglenia dostępu
do dysków HDD prowadząc do konieczności instalacji ich wielkich ilości.
parametrów IOPS i opóźnień zdecydowanie polepsza komfort korzystania
z usług, co może stać się elementem
przewagi konkurencyjnej nad innymi
rozwiązaniami.
Bazy danych
Sytuacja, w której instalacja bazy
danych świadczy usługi wielu usługobiorcom (np. duży portal) jest również
dobrym przykładem na możliwość
zdecydowanej optymalizacji wydajnościowej ze względu podobnego
do powyż sz ych pr z ypadków
charakteru dostępu do danych.
Poczta elektroniczna
Podsumowanie
Systemy poc z ty elek tronic znej
są kolejnym przykładem na scentralizowane środowisko obliczeniowe,
do którego może mieć dostęp bardzo
duża ilość klientów, a operacje odczytu
są mocno rozproszone. Podniesienie
Cisco rozpoczęło ekspansję w kierunku
dostarczania klientom w pełni zunifikowanego środowiska obliczeniowego
z mocnym naciskiem na obsługę
wielkoskalowej wirtualizacji. Być
może wkrótce systemy typu Invicta
na st ałe z agoszc z ą w c ent rach
obliczeniowych opartych o sprzęt
dostarczany przez czołowego producenta sprzętu zunifikowanej chmury
obliczeniowej, jeśli nie w charakterze jedynego systemu typu storage,
to w jego najbardziej newralgicznych
wydajnościowo partiach.
M.P
Inżynier SOLIDEX
Rys. 8. Ilustracja wykorzystania podsystemu SSD przez system masywnie
zwirtualizowany.
42
Numer: II/2014 (127)
Rozwiązywanie problemów WiFi
Networks.
Obecnie większość sieci bezprzewodowych jest oparta o model Cisco Unified
Wireless Network z kontrolerem umiejscowionym w centralnym punkcie sieci
LAN, do którego poprzez tunele CAPWAP koncentrowany jest cały ruch z sieci
bezprzewodowych. Taki model sprawdzał się przez lata i nadal funkcjonuje
w większości korporacji, które zaufały rozwiązaniom firmy Cisco.
Nowe podejście do projektowania
s ie c i b e z p r z e w o d o w y c h c z yli
„Converged Access” lub też „New
Mobility” spędza sen z oczu zarówno
administratorom, którzy zastanawiają
się czy warto inwestować w nowe
rozwiązanie czy może jeszcze się
wstrzymać, jak i integratorom, którzy
do końca nie wiedzą jaki będzie odbiór
końcowych użytkowników systemu
i czy finalny efekt modernizacji będzie
można uznać za sukces.
Cisco „Converged Access” – to nowa
konstrukcja opar ta o urządzenia
z „Wireless Control Module” (WCM)
oraz IOS XE na pokładzie. Podobnie
jak w dotychc z as st osowanym
modelu architektura systemu jest
oparta o kontrolery sieci bezprzewodowej, punkty dostępowe oraz
system zarządzający całością.
Nie wszystkie kontrolery mogą jednak
działać pod kontrolą IOS XE, a także
nie wszystkie punkty dostępowe
Rys. 1. Architektura Converged Access – sieć kampusowa.
43
ROZWIĄZANIA
Kontroler / Przełącznik
Element sieci converged access
Mobility Controller
Mobility Agent
Mobility Oracle
Cisco 2500
TAK
TAK*
NIE
Cisco 5500
TAK
TAK*
TAK
Cisco WiSM2
TAK
TAK*
TAK
Cisco 5760
TAK
TAK*
TAK
Cisco Catalyst 3650
TAK
TAK
NIE
Cisco Catalyst 3850
TAK
TAK
NIE
* tylko w połączeniu z funkcjonalnością MC.
Tabela 1. Urządzenia zgodne z converged access
mogą współpracować z przełącznikami z wbudowanymi kontrolerami sieci bezprzewodowej. Listę
urządzeń wspierających Converged
Access otwiera seria kontrolerów
2500, znajdziemy na niej również serię
5500 oraz moduł do Catalysta 6500
WiSM2, które w wersjach AirOS 7.3
i wzwyż można przekonfigurować
w tryb „New Mobility” co spowoduje,
że bę dą one mogł y pe ł nić rolę
centralnej jednostki w nowej architekturze. Pełną listę funkcjonalności
oraz IOS XE, wspierają przełączniki
z serii c at alyst 3 6 5 0 oraz 3 8 5 0
a tak że kontroler 576 0, których
właściwości szczegółowo zostały
opisane w poprzednich wydaniach
Integratora (nr III/2013, IV/2013
dostępne w wersji elektronicznej
na www.integrator.solidex.com.pl).
W połowie maja bież ącego roku
lista wspieranych AP ograniczała
się do serii 1040, 1140, 1260, 1600,
2600, 3500, 3600 i 3700, zapewne
w niedługim czasie dołączy do nich
nowa seria 2700. Pozostałe punkty
d o s t ę p ow e m o g ą b y ć w pi ę t e
do infrastruktury converged access
po staremu czyli tunelem CAPWAP
do centralnego kontrolera w trybie
local lub flexconnect pod jednym
warunkiem, że nie zmigrujemy się
w 100% na kontrolery z IOS XE.
Główną różnicą w stosunku do poprzedniego modelu CUWN jest rozdzielenie zadań jakie do tej pory spełniał
centralny kontroler na trzy funkcje –
dwie wymagane i jedną opcjonalną.
Mobility agent (M A): zarządza
punk t ami dost ę powymi ora z
terminuje tunele CAPWAP z punktów
dostępowych, a także buduje bazę
danych klientów bezprzewodowych
44
zarówno tych lokalnych jak i pochodzących z gościnnego kontrolera
kotwicy. Do głównych obowiązków
należą także uwierzytelnianie 802.1x,
proxy IGMP oraz proxy ARP dla
lokalnych klientów.
Mobility controller (MC): zapewnia
r oz s z e r z e nie f u n k c ji m o b ili t y
agenta i zarządza roamingiem stacji
klienckich przemieszczających się
z jednego kontrolera do drugiego.
Z apewnia tak że funkcjonalnoś ć
dostępu gościnnego poprzez zestawianie tunelu EoIP z gościnnym
kontrolerem kotwicą w DMZ. Jest
tak że centralnym punktem zarządzania usługami radiowymi takimi
jak wykrywanie obcych punktów
dostępowych, dynamiczne przydzielanie kanałów oraz mocy nadajników
punktów dostępowych, wykrywanie
dziur w pokryciu sygnałem radiowym
oraz zarządzanie usługą w technologii
Cisco CleanAir.
Mobility kontroler kontroluje poddomeny mobilności. Wszystkie kontrolery MA w poddomenie zestawiają
tunel C APWAP do kontrolera MC
i raportują stan klientów lokalnych
i tych przybyłych z innych kontrolerów.
Mobility oracle (MO): to opcjonalna
funkcja oprogramowania zapewniająca widoczność stacji klienckich
pomię dz y kontrolerami MC
w domenach mobilności. Zaletą jej
wdrożenia w modelu konwergentym
jest zmniejszenie ilości zdarzeń dla
klientów, którzy przyłączają się lub
przepinają w środowisku wielo-kontrolerowym (multi-MC ). Funkcję
tę mogą spełniać tylko niektóre typy
kontrolerów zazwyczaj pełniących
również funkcję mobility kontrolerów np. 5508, WiSM2 lub 5760.
Tym co również odróż nia nową
konstrukcję od poprzednika jest
niewą t pliwie g r upowanie r oli
kontrolerów w hierarchię logiczną
czyli podział domen na mniejsze
poddomeny w obrębie, których
funkcjonują grupy przełączników SPG.
Mobility group: Cisco CUWN definiuje
grupę mobilności jako logiczną grupę
kontrolerów, które umożliwiają szybki
roaming klientom sieci bezprzewodowej. Dodatkowo grupa mobilności
zapewnia scentralizowane zarządzanie
zasobami radiowymi RRM poprzez
lidera, który jest wybierany podczas
elekcji lub konfigurowany statycznie.
Switch peer group: w podejściu
konwergentnego dostępu definiuje
grupę przełączników (SPG) jako
logiczną grupę agentów mobilności
w jednej poddomenie mobilności.
Główną zaletą konfiguracji grup SPG
jest zawężenie ruchu roamingowego
do grupy przełączników w SPG. Gdy
agent mobilności jest skonfigurowany
w jednej SPG na kontrolerze mobilności oprogramowanie automatycznie zestawia pełną siatkę tuneli
CAPWAP pomiędzy przełącznikami
MA. Tunele te mogą być formowane
zarówno gdy przełączniki pozostają
w sąsiedztwie, w drugiej warstwie
jak i trzeciej warstwie. Grupa SPG
powinna zawierać przełączniki MA,
w obrębie których użytkownicy sieci
często przemieszczają się. Roaming
wewnątrz grup SPG nie obcią ża
kontrolera MC podczas gdy roaming
pomiędzy grupami SPG wymaga aby
ruch przeszedł przez kontroler MC.
Potencjalnymi korzyściami architektury „Converged Access” są:
•Z w i ę k s z e n i e s k a l o w a l ności wdrożeń systemów
Numer: II/2014 (127)
Rys. 2. Hierarchia logiczna domeny mobilnej – „Converged Access”
bezprzewodowych, dzięki terminowaniu ruchu bezprzewodowego
na pr ze ł ąc znikach 3 6 5 0/ 3 8 5 0
k a mpu s owyc h , z a mia s t pr z e puszc zaniu go przez jeden lub
więcej centralnych kontrolerów
stających się wąskim gardłem
dla c iągle rosnąc ego r uchu
bezprzewodowego.
•Lepszy monitoring i widoczność tego
co dzieje się w sieci bezprzewodowej,
a co za tym idzie jednolita polityka
QoS dla LAN i WLAN.
Do wad tego rozwiązania można
zaliczyć:
•Rozproszoną kontrolę dostępu
do sieci.
•Bardziej złożoną konfigurac ję
wynik ają c ą g ł ównie z ilo ś c i
elementów systemu.
•Trudniejszy troubleshooting oraz
bardziej złożony roaming.
Zatem spróbujmy przeanalizować
w jaki sposób przeprowadzić migrację
naszej infrastruktury tak aby finalnie
otrzymać w pełni zgodną z modelem
„Converged Access” architekturę jak
na rysunku 1.
Istotnym czynnikiem jest wielkość
przedsięwzięcia i jeżeli z jakiegoś
powodu nie jesteśmy w stanie zrobić
takiej migracji w jeden wieczór czy
3. Pełny „Converged Access”.
Po zmigrowaniu wszystkich punktów
dostępowych na kontrolery MA
pozostaje jedynie wymienić stary
wysłużony już kontroler na drugi 5760,
tak aby zapewnić redundancję kontrolerów MC. Od wersji IOS XE 3.3.0SE
kontrolery Cisco CT5760 można spiąć
w stos i podobnie jak w przypadku
Catalyst 3850 uzyskać model wysoko
niezawodny z tą różnicą, że maksymalna ilość w stosie to w przypadku
5760 dwie sztuki.
Powyżej opisane rozwiązanie jest
propozycją firmy Cisco na wcią ż
rosnące zapotrzebowanie na wysoką
wydajność sieci bezprzewodowej
i mobilność pracowników. Coraz
większa lista produktów wspierających model „Converged Access”
oraz już ponad rok na rynku sprawia,
ż e pr oduk t je s t c or a z bar d z iej
dopasowany do potrzeb klienta, dopracowany i dojrzalszy a co za tym idzie
warty polecenia i wdrożenia.
weekend to cał y proces moż na
podzielić na trzy etapy:
materiałów producenta.
1. Tylko tryb lokalny/zcentralizowany.
To s t adium pr zej ś c iowe z ak ł a dające, że do modelu wyjściowego
dokładamy na przykład kontroler
5760 zapewniając sobie możliwość
sterowania AP w trybie lokalnym lub
zgodnie z nomenklaturą Converged
Access w trybie scentralizowanym.
Na tym etapie będzie trzeba podnieść
wersję dotychczasowego kontrolera
do minimum 7.5, tak aby zapewnić
wsparcie dla nowej metody tunelowania. By umożliwić zarządzanie dla
nowych elementów będziemy musieli
również podnieść oprogramowanie
Cisco Prime Infrastructure do wersji 2.1.
W.W.
Inżynier SOLIDEX
2. H y b r y d a t r y b u l o k a l n e g o
i „Converged Access”.
Sukcesywna inst alac ja nowych
przełączników pracujących w trybie
agentów mobilności i migrowanie
kolejnych pię t er, budynków
do „Converged Access”. Na tym etapie
w dalszym ciągu mogą funkcjonować
punkty dostępowe wpięte do starej
infrastruktury i pracujące w trybie
scentralizowanym kontrolowane
przez stary jak i nowy kontroler.
45
ROZWIĄZANIA
Cisco 4451-X: router z rodziny Cisco ISR.
Rosnące potrzeby dużych oddziałów korporacyjnych, które obserwujemy
na dzisiejszym rynku są wynikiem wzrostu liczby urządzeń w sieci, liczby
użytkowników oraz rosnącej popularności różnorodnych usług i aplikacji
związanych z transmisją wideo. Administratorzy sieci są zmuszeni do zachowania
równowagi pomiędzy utrzymaniem obecnego stanu sieciowego a forsowaniem
nowych strategicznych projektów informatycznych. Złożoność obecnej
infrastruktury powoduje, że głównym aspektem uwagi stają się kwestie
związane z wydajnością oraz bezpieczeństwem. Odpowiedzią na rosnące
wymagania w placówkach jest nowy router Cisco 4451-X ze zintegrowanymi
usługami (ISR – Integrated Services Routers).
Cisco 4451-X
Cisco 4 451-X uzupełnia portfolio
r ou t e r ów o dd z ia ł ow yc h . Je s t
to urządzenie, które można usytuować
o klasę wyżej od popularnej serii ISR G2
3900. Tak jak inne routery oddziałowe
opiera się na koncepcji integracji
wielu usług na jednej platformie.
Usługi te obejmują: zwiększone
zdolności do routingu, przełączanie,
Unified Collaboration, sieci bezprzewodowe, bezpieczeństwo, akcelerację WAN, optymalizacje aplikacji
oraz kontrolę i widoczność aplikacji
(AVC). Są to urządzenia pozwalające
na uzyskanie dużej wydajności
46
Rys. 1. Cisco ISR 4451-X
Numer: II/2014 (127)
w stosunkowo małej obudowie
(2RU) bez konieczności kosztownej
modernizacji i rozbudowy. Domyślna
przepustowość routera wynosi 1Gbps
z możliwością rozszerzenia do 2Gbps.
Cisco ISR 4451-X oferuje wielordzeniową architekturę z oprogramowaniem IOS XE, które dynamicznie
dostosowuje się do zmieniających
potrzeb środowiska. Oddzielenie
płaszczyzny danych od płaszczyzny
sterowania zapewnia możliwość
dostarczania usług sieciowych przy
zachowaniu dużej stabilności platformy
i wysokiego poziomu wydajności
w okresach dużego obciążenia sieci.
Cisco 4451-X posiada cztery zintegrowane porty Ethernet 10/100/1000
dla sieci WAN lub LAN co może okazać
się bardzo przydatne. Wszystkie cztery
porty Ethernet 10/100/1000 obsługują
łączność Small Form-Factor Pluggable
(SFP). Istnieje również możliwość
uruchomienia funkcji PoE (Power
over Ethernet) na dwóch wybranych
portach. Redundancja zasilania jest
dostępna po zainstalowaniu opcjonalnego zasilacza, co pozwala na zmniejszenie przestojów oraz ochronę sieci
przed awariami. Cisco 4451-X dostarczany jest z pamięcią 2GB pamięci
DRAM dla płaszczyzny danych, z 4GB
DRAM dla płaszczyzny sterowania
oraz z 8GB pamięci flash. Konfiguracja pamięci dla płaszczyzny sterowania uwzględnia dwie symetryczne
podwójne karty (DIMM) w linii
pamięci o pojemności 2GB w każdym
z gniazd. Podczas rozbudowy pamięci
do wyższych gęstości oba gniazda
muszą być uzupełnione modułami
DIMM o symetrycznym typie i gęstości.
Platforma 4451-X dostarczana jest
wraz z modularnym systemem operacyjnym IOS XE. Modułowość Cisco
IOS XE daje wiele zalet w stosunku
do klasycznego IOS takich jak:
•Przenośność – obraz IOS XE może
być stosowany na różnych platformach np. ASR1K, ISR 4451-X;
•Uzupełnialność – moduły mogą być
bezproblemowo uaktualnione niezależnie od reszty systemu;
•Izolacja – błąd w jednym module
nie musi wpływać na cały system.
Drobne błędy mogą skutkować
ponownym ur uchomieniem
modułu, który nie okaże się szkodliwy dla systemu. Podobna usterka
w klasycznym IOS mogłaby spowodować awarię całego systemu.
A by ur uchomić zaawansowane
funkc jonalno ś c i na ur z ądzeniu
należy aktywować wybraną licencję
za pomocą specjalnego klucza licencyjnego. Można wyróżnić nastę pujące typy licencji:
•IP Base – wymagany dla wszystkich systemów, domyślny standardowy zestaw funkcji uruchamiany
na routerze;
•Application Experience (AX) – tradycyjne zaawansowane funkcje (MPLS,
L 2 VPN, itp.) oraz AVC i licencja
na wbudowanym WAAS;
•Unified Communications – licencja
umożliwia uruchomienie usług związanych z funkcjonalnościami voice,
video oraz z dodatkowymi usługami
multimedialnymi na platformie;
•Security (SEC) – licencja umożliwiająca uruchomienie standardowych
funkcji bezpieczeństwa (np. szyfrowanie VPN, zoned-based firewall)
na platformie 4451-X;
•Performance – licencja uwzględniająca funkcjonalności związane
z wydajnością danych oraz wydajnością aplikacji uruchomianych
na 4451-X. Umożliwia podwojenie
przepustowości z 1Gbps do 2Gbps bez
konieczności wymiany hardware’u;
•High Security (HSEC ) – licencja
Rys. 2. Model licencjonowania w Cisco 4451-X
47
ROZWIĄZANIA
rozszerzająca funkcjonalność Security, bez tej opcji całkowity ruch
kryptograficzny ograniczony jest
do 160Mb oraz do 225 tuneli;
Platforma Cisco ISR 4451-AX odznacza
się następującymi cechami:
• Model Pay-as-you-grow – model
wdrażania usług sieciowych. ISR
4451-X posiada wszystkie usługi
natywnie zintegrowane na platformie, które mogą być włączone
za pomocą prostego klucza licenc yjnego . W pr ze c iwie ń s t wie
do wielu zintegrowanych platform,
gdzie wzrost ilości uruchomionych
usług oznacza spadek wydajności,
4451 X oddziela procesy i uruchamia
poszczególne usługi w oddzielnych
kontenerach. Takie podejście powoduje brak obniżenia wydajności
w przypadku zastosowania nowych
usług na urządzeniu. Zyskuje się
pewność, że żadna pojedyncza
usługa nie obniży innych kluczowych funkcji na routerze;
• Spójność – ISR 4451-X może być
uruchomiony ze zintegrowanymi
funkcjami optymalizacji aplikacji,
takimi jak widoczność i kontrola aplikacji (AVC) czy optymalizacja WAN
(WAAS). Pozwala to użytkownikom
sieci LAN na szybki dostęp do aplikacji poprzez sieć WAN;
•Optymalizacja aplikacji w czasie
rzeczywistym – 4451-X umożliwia
optymalizację wydajności usług
w czasie rzeczywistym, takich jak
VoIP czy video. Wspiera SIP, posiada
zintegrowany kontroler graniczny
(SBC) a także umożliwia zarządzanie
jakością głosu;
•Zintegrowane funkcje bezpieczeństwa – router pozwala na uruchomie nie t r adyc yjnyc h f unkc ji
zabezpieczeń, takich jak: firewall,
IPSec VPN czy Cloud Web Security;
•Funkcja otwartej, programowalnej
sieci – architektura Cisco Open
Network Environment dostarcza
bogaty zestaw interfejsów API
z interfejsem programowania One
PK (One Platform Kit). Pozwala
to na szybsze stosowanie oraz
konfigurowanie usług w całej sieci
przedsiębiorstwa;
Cisco ISR 4 451-X uzupełnia lukę
pomiędzy routerami oddziałowymi
ISR G2 a większą platformą jaką
48
Application
visibility and control
Intelligent WAN
path selection
WAN
acceleration
Router
Cisco ISR-4451-X
Secutity
Other
network
services
QoS
Rys. 3. Funkcjonalności w Cisco 4451-X
jest C isco A SR . Tabela 1 przed- wyróżnić następujące typy modułów:
stawia porównanie podstawowych •PVDM4 (Packet Voice Digital Signal
parametrów technicznych urządzeń
Processor Module) – czwarta genez serii 3900 oraz 4451-X.
racja modułów, obsługiwanych
na platformie 4451-X. Dostarczają
Moduły w Cisco 4451-X
one takie możliwości multimedialne jak: duża gęstość połączeń
Cisco 4 451-X jest to modułowa
audio, transkodowanie, konfeplatforma, którą można doposażyć
rencje, transrating, bezpieczne
w kilka typów dodatkowych kart
połączenia głosowe w CUCS (Cisco
w zależności od potrzeb. Pozwala
Unified Communications Soluto na modernizację oraz rozszerzenie
tions). Moduły DSP (Digital Signal
funkcjonalności routera bez konieczProcessor) są dostępne w czterech
ności wymiany platformy. Można
gęstościach: PVDM4-32, PVDM4-64,
Rys. 4. Moduły NIM (Network Interface Module)
Numer: II/2014 (127)
4451-X
Form Factor
3945E
3945
3925
3 RU
3 RU
3 RU
4 GE (4 SFP)
4 GE (2 SFP)
4 GE (2 SFP)
3 GE
(2 SFP)
3 GE
(2 SFP)
N/A
3
3
4
4
Interface Slots, Network
Interface Modules
3
N/A
N/A
N/A
N/A
Service-module slots
2
4
2
4
2
Integrated services module
(ISM) slots
N/A
0
0
1
1
Packet-voice data-module
(PVDM) slots
1 (ISC slot can
host PVDM4)
3
3
4
4
2
2
2
2
2
8 GB/ 32 GB
256 MB/ 8 GB
256 MB/ 8 GB
256 MB/ 8 GB
256 MB/ 8 GB
Data plane:
2 GB Control
plane: 4 GB/16
GB
1 GB/ 4 GB*
1 GB/ 4 GB*
1 GB/ 4 GB*
1 GB/ 4 GB*
-
98**
74 **
98**
74 **
Stateful Firewall
Yes
Yes
Yes
Yes
Yes
Intrusion Prevention
No
Yes
Yes
Yes
Yes
Content Filtering
No
Yes
Yes
Yes
Yes
PVDM4
PVDM3 and
PVDM2
PVDM3 and
PVDM2
PVDM3 and
PVDM2
PVDM3 and
PVDM2
Up to 1500
Up to 1500
Up to 1350
Up to 1200
Up to 730
Planned
Up to 450
Up to 400
Up to 350***
Up to 250***
Cisco Unity Express (network
module [NM], service module
[SM], or ISM)
N/A
32 ports; 300
mailboxes
32 ports; 300
mailboxes
32 ports; 300
mailboxes
32 ports; 300
mailboxes
Session Initiation Protocol
(SIP) sessions
2500
2500
2000
1000
800
Up to 720
Up to 660
Up to 420
Up to 720
Up to 480
Planned
Foreign
exchange
station
(FXS): 108
Foreign
exchange
office
(FXO): 60
BRI: 38
FXS: 60
FXO: 36
BRI: 22
FXS 112,
FXO 64,
BRI 40
FXS 64,
FXO 40,
BRI 24
Integrated WAN Ports
Interface slots (enhanced
high-speed WAN interface
card [EHWIC])
USB Ports (v2.0)
Default/maximum flash
memory
Default/maximum
synchronous dynamic RAM
(SDRAM)
Modular LAN switchports
Voice and Video DSP support
Survivable Remote Site
Telephony (SRST)
Cisco Unified Communications Manager Express
Digital Voice Support
Maximum voice support
for analog and Basic Rate
Interface (BRI)
2 rack units (RU) 3 rack units (RU)
3925E
Tabela 1. Porównanie Cisco 4451-X oraz serii 3900
49
ROZWIĄZANIA
Podsumowanie
Platforma 4 451-X wypełnia lukę
w portfolio routerów Cisco pomiędzy
serią 3945 oraz ASR1K. Konwergentne
urządzenia mogą w łatwy w sposób
obs ł ugiwać r oz pr os zoną ar chi tekturę przedsiębiorstwa z rosnącym
zapotrzebowaniem w poszczególnych
oddziałach firmy. Dzięki relatywnie
wysokiej wydajności 4451-X mogą
maksymalizować integrację usług,
zmniejszając jednocześnie całkowite
nakłady inwestycyjne oraz koszty
operacyjne. Cisco 4451-X to ciekawe
rozwiązanie stanowiące odpowiedź
na rosnące potrzeby dużych oddziałów,
umożliwiające wdra żanie usł ug
aplikacji w bardzo krótkim czasie,
oferując przy tym natywną optymalizację WAN.
Rys. 5. Moduł SM-X Layer 2/3
PVDM4-128 i PVDM4-256 (odpowiednio 32, 64, 128 oraz 256 kanałów).
Można je podłączyć bezpośrednio
do jednego slotu na płycie głównej
lub na interfejsie sieciowym NIM,
który obsługuje porty T1/E1. Ulepszona architektura DSP mieści nowy
zoptymalizowany silnik przetwarzania pakietów dla aplikacji multimedialnych i jednocześnie wspiera
TDM-IP (time-division multiplexing
IP). Moduł PVDM4 podłączony
na płycie głównej dostarcza usługi
głosowe oparte na protokole IP,
takie jak konferencje, optymalizacja
mediów i transkodowanie. Moduł
PVDM4 podłączony do karty NIM
będzie wykorzystywany do łączności głosowej T1/E1.
•NIM (Network Interface Module)
– c zwar t a generac ja modułów
sieciowych dedykowanych pod
platformę 4451-X. Łączą w sobie
funkcjonalności interfejsów WIC
(WAN Interface Card), VIC (Voice
Interface Card), PRI (Primary Rate
Interface) oraz CE1T1. Moduły T1/
E1 są dostępne w wersjach 1, 2, 4 i 8
portowych. 4451-X można maksymalnie wyposażyć w 3 moduły NIM.
Nie są wspierane na starszych platformach Cisco 2900 oraz 3900.
•SM (Service Module) – moduły
serwisowe, wśród których można
50
wyróżnić następujące rodzaje:
−− T3/E3 – moduł posiada zakoń- materiałów producenta.
czenia T3/E3. Pozwala na przełąŁ.H.
czanie się pomiędzy aplikacje T3
Inżynier SOLIDEX
i E3. Eliminuje potrzebę stosowania zewnętrznego urządzenia
DSU (Data Service Unit).
−− Cisco SM-X Layer2/3 – moduł
p oz wa laj ą c y na int eg r ac j ę
funkcji przełączania warstwy
2 i 3. Obsługuje te same zestawy
funkcji co switch Cisco Catalyst
3560-X. Moduł posiada własny
procesor, silnik prze łąc zania
i pamięć flash, które działają
niezależnie od zasobów routera.
Pomaga to zapewnić maksymalną
dostępność, wysoką wydajność,
łatwość aktualizacji i rozbudowy.
Dostarcza również zintegrowane
opcje bezpieczeństwa, PoE+ oraz
swój własny system operacyjny
Cisco IOS z trzema typami licencji:
LAN Base, IP Base, IP Services.
Dostępne są karty 16, 32, oraz 48GbE.
−− SM-X-6X1G Gigabit Ethernet –
6 portowy moduł rozszerzający
ilość interfejsów SFP lub RJ-45,
co pozwala na zwiększenie elastyczności urządzenia. Przyśpiesza
dostęp do sieci WAN, inter-VLAN
routing, dostęp do przełączników
LAN oraz serwerów.
Numer: II/2014 (127)
F5 Vipron – platforma rozwiązań
Enterprise.
Rozwiązania VIPRION są prezentowane pod chwytliwym hasłem „On-Demand
Application Delivery Controller” co można przetłumaczyć jako: „Kontroler
Dostarczania Aplikacji na żądanie”. To sformułowanie doskonale opisuje
największe zalety systemu czyli skalowalność, personalizację oraz wysoką
wydajność.
Platfor ma V IPR ION zost a ł a
stwor zona z myślą o roz wią z aniach typu enterprise, szczególnie
dla dużych oraz rozwijających się
firm, potrzebujących najwyższej
możliwej wydajności, skalowalno ś c i or a z b og at e go w mo ż li wo ś c i sys t emu . L oad balanc er
działający w oparciu o platformę
VIPRION może osiągnąć ogromną
wydajność nawet w dużych i rozległych sieciach. W pełni obsadzone
modułami blade chassis posiada
ogromną przepustowość oraz możliwości. Natomiast w przypadku gdy
dopiero planowany jest rozwój
f ir my lub us ł ug , mo ż liwe je s t
uruchomienie systemu w oparciu
o platformę VIPRION z obsadzonym
tylko jednym lub dwoma modułami
blade (a w przyszłości ewentualna
rozbudowa systemu).
Skalowalność
wp ł ywa na d z ia ł a nie innyc h ,
co jest szczególnie ważne w przypadku
W przypadku rozwoju firmy znacznie modernizacji infrastruktury lub
z wię k s z a się z apot r zebowanie e w e n t u a l n e j aw a r ii . M o du ł y
na efektywne przetwarzanie ruchu blade, zestawy wentylatorów czy
w warstwach 4 oraz 7, obsługi SSL zasilacze mogą być wymienione bez
czy kompresji. Z pomocą przychodzi wyłączania urządzenia.
firma F5 oferując platformę VIPRION. Platforma VIPRION oferuje także
W przypadku zastosowania tej techno- wielowarstwową redundancję, przez
logii możliwe jest również idealne co przerwa w działaniu systemu
dopasowanie i spersonalizowanie na przełączenie między modułami
została zminimalizowana. Urządzenia
sprzętu do wymagań firmy.
Ogromną zaletą systemu jest jego skalo- F5 oferują akcelerację sprzętową
walność. W każdej chwili możliwe jest SSL, kompresję typu hardware oraz
rozbudowanie urządzenia o nowe agregacja łącz OneConnect. VIPRION
moduły bez zbędnych prac w serwe- posiada równie ż cer tyfikat dla
rowni – wystarczy jedynie włożyć firewalli wydany przez ICSA.
nowy moduł w wolne miejsce w chassis.
Moduły blade przeznaczone dla F5 ScaleN – elastyczna
systemów VIPRION są typu hot-swap- architektura
pable, a więc mogą być wymienione
bez wyłączania urządzenia czy przerw ScaleN jest unikalnym rozwiązaniem
w dostarczaniu usług.
proponującym bardzo ciekawe podejście
Wymiana jednego elementu nie do problemu skalowalności. Łączy
51
ROZWIĄZANIA
Model
Wymiary (wys./szer./gł.)
Zasilanie
Maksymalna ilość
modułów blade
VIPRION 4800
70.6 cm x 44.2 cm x 54.0 cm 16U
1 – 4 zasilacze o mocy do 2600W
8
VIPRION 4480
30.9 cm x 44.2 cm x 53.3 cm 7U
4
VIPRION 2400
17.5 cm x 44.8 cm x 53.8 cm 4U
4
VIPRION 2200
8.6 cm x 44.0 cm x 62.2 cm 2U
2
Tabela 1. Zestawienie modeli VIPRION
Model
Wydajność
hard-ware
DDoS Protection
Pamięć
Pojemność dysku
twardego
Interfejsy sieciowe
Przykładowa
wydajność
procesowania ruchu
(M – milionów)
Wirtualizacja
(maksymalna liczba użytkowników
vCMP
VIPRION
4340N/4300
Blade
80 milionów
SYN-Cookies /
sekundę
96 GB (4340N)
48 GB (4300)
HDD
600 GB
Jeden port
10/100/1,000
Mbps
(management)
Osiem portów
1,000 Mbps/10Gigabit (SFP+) Dwa
porty 40Gigabit
(lub osiem portów
10Gigabit) fiber
ports (QSFP+)
2M zapytań L7 na
sekundę (B4340N)
2.5M zapytań L7 na
sekundę (B4300) 1.1M
zapytań L4 na sekundę
(B4340N) 1.4M
zapytań L4 na sekundę
(B4300) 14M L4 HTTP
zapy-tań na sekundę
24 in a 4480 chassis,
48 in a 4800 chassis
(6 per blade)
VIPRION 2250
Blade
60 milionów
SYN cookies /
sekundę
64 GB
SSD
800 GB
Jeden port
10/100/1,000
Mbps
(management)
Cztery porty
40Gigabit fiber
ports (QSFP+)
2M L7 zapytań L7 na
sekundę 1M zapytań
L4 na sekundę 14M
L4 HTTP zapytań na
sekundę
80 (4 B2250 blades,
20 per blade)
VIPRION
2150/2100 Blade
40 milionów
SYN cookies /
sekundę
32 GB (B2150) 16
GB (B2100)
SSD
400 GB
HDD 300
GB (10,000
RPM)
Jeden port
10/100/1,000
Mbps
(management)
Osiem
portów 1,000
Mbps/10Gbps
SFP+
1M zapytań L7 na
sekundę 400 tys.
zapytań L4 na se-kundę
7M L4 HTTP zapytań
na sekundę
32 (4 B2150 blades,
8 per blade)16 (4
B2100 blades, 4 per
blade)
Tabela 2. Przykładowe zestawienie modułów blade dla VIPRION
w sobie cechy wirtualizacji, skalowalności, systemu w chmurze oraz klastrowania. Funkcjonalności te mogą być
używane jednocześnie, dzięki czemu
możliwe jest uzyskanie skalowana
„na żądanie” czyli skonfigurowanego
w zależności od potrzeb firmy.
Clustered Multiprocessing
VIPRION oferuje skalowalność, przy
użyciu modułów typu blade. Dzięki
technologii Clustered Multiprocessing
(CMP) zasoby fizyczne każdego modułu
są odpowiednio rozdzielane, tak aby
zapewnić maksymalną wydajność. CMP
52
odgrywa znaczącą rolę przy rozbudowie
już istniejącego systemu. Na przykład
jeżeli korzystamy z urządzenia VIPRION
wyposażonego w jeden moduł blade
po dołożeniu kolejnego, konfiguracja oraz firmware zostaną przeniesione na nowy moduł. Po pobraniu
odpowiednich danych z działającego
urządzenia ruch będzie obsługiwany
również przez dodatkowy moduł.
Platforma VIPRION oferuje możliwości
wirtualizacji Kontrolera Dostarczania
Aplikacji (ADC) dzięki unikalnej technologii Virtual Clustered Multiprocessing
(vCMP) wprowadzonej przez firmę F5.
vCMP umożliwia bardziej inteligentne
procesowanie ruchu między urządzenia
docelowe, zwłaszcza gdy ruch musi być
procesowany niesymetrycznie (równoważenie obciążenia).
VIPRION jest w stanie uruchomić
wiele wirtualnych instancji BIG-IP,
z których każda funkcjonuje w sposób
niemal identyczny jak wersja fizyczna
i posiada przydzielone jej, odpowiednie
zasoby sprzętowe.
Device Service Clustering (DSC )
umożliwia tworzenia klastra urządzeń
VIPRION co znac ząco zwiększa
możliwości systemu oraz niweluje
c zas prze łąc zenia. Możliwe jest
połączenie więcej niż dwóch urządzeń
Numer: II/2014 (127)
co praktycznie wyklucza możliwość
przerwy w dostawach usług spowodowanej awarią fizyczną.
Wszystkie wyżej wymienione funkcjonalności, a więc CMP, vCMP, wirtualizacja, klastrowanie oraz DSC, tworzą
architekturę zwaną ScaleN.
Zwiększone bezpieczeństwo
oraz wydajność
Dzięki urządzeniom VIPRION ataki
typu DDoS mogą być blokowane
i niwelowane już na poziomie hardware.
Firma F5 zastosowała pamięć cache
pakietów typu SYN, która w przypadku
wykrycia ataku odciąża funkcjonowanie sieci. Dodatkowo platformę
wyposażono w unikalne systemy
Packet Velocity Acceleration (ePVA)
oraz Field-Programmable Gate Array
(FPGA), dzięki którym urządzenie
jest w stanie obsłużyć nawet do 640
milionów cookies typu SYN na sekundę.
Rozwiązanie ePVA zostało wyposażone
w system SYN Check, który zapobiega
do s t ę p owi nie c hc ia nyc h s e sji
do serwerów oraz zasobów. SYN Check
może być użyty dla każdego Virtual IP
lub aplikacji osobno.
Dodatkowo interfejsy fizyczne każdego
modułu funkcjonują w trybie mesh, a więc
każdy port każdego modułu może być
wykorzystywane dla potrzeb dowolnej
aplikacji. Dzięki systemowi SuperVIP,
virtual IP może być obsługiwane przez
różne, niezależne moduły blade.
Łatwe i szybkie zarządzanie
Rozwiązania F5 są wyposażone
w ciekawe i wygodne rozwiązanie jakim
jest moduł konfiguracyjny z wyświetlaczem LCD umiejscowiony na urządzeniu
lub dostarczany w wersji peryferyjnej,
umożliwiający podstawową konfigurację urządzenia, dzięki czemu podczas
instalacji sprzętu w serwerowni najczęściej wymagana jest obecność inżyniera
podstawowych technologii.
Podsumowanie
Platforma VIPRION oferuje bardzo
proste zarządzanie całym urządzeniem
(a więc wieloma modułami blade),
ponieważ konfiguracja jest współdzielona. Jeden z modułów jest wyznaczany jako „primary” a wszystkie
ustawienia, konfiguracja oraz firmware
są publikowane na pozostałe nody.
Także w przypadku zainstalowania
nowego blade wymagane dane
zostaną przeniesione.
Platforma VIPRION działa bardzo
efektywnie w przypadku high availability. Możliwe jest tworzenie wirtualnych klastrów co znacznie ułatwia
z ar z ądz anie ur z ądzeniami ora z
zapewnia ciągłość funkcjonowania
systemu nawet w przypadku awarii.
P.M.
Inżynier SOLIDEX
Autoryzowane
szkolenia Cisco
w SOLIDEX!
Zapraszamy:
Kraków, ul. J. Lea 124
Warszawa Złote Tarasy, ul. Złota 59
szczegóły na str. 8
53
Warsztaty Check Point Next – Generation Firewall R76
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję
szkoleniową – Warsztaty Check Point Next – Generation Firewall R76.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN S2S
oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami – IPS,

Content Security,
 Integracja z ActiveDirectory
– budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.SOLIDEX.com.pl/oferta/warsztaty
Autoryzowane Szkolenia Cisco System
Program SOLIDEX®
ICND1
ICND2
CCNAX
ROUTE
SWITCH
TSHOOT
BGP
MPLS
QOS
IINS
SENSS
SITCS
SISAS
SIMOS
SASAA
SASAC
SWISE
ACS
SASSL
SISE
ICOMM
CVOICE
WMNGI
CUWN
CIPT1
CIPT2
CWLMS
IP6FD
IUWNE
DESGN
ARCH
IPS
SAEXS
Interconnecting Cisco Network Devices Part 1
Interconnecting Cisco Network Devices Part 2
Interconnecting Cisco Networking Devices: Accelerated
Implementing Cisco IP Routing
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
Configuring BGP on Cisco Routers
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Implementing Cisco Edge Network Security Solutions
Implementing Cisco Threat Control Solutions
Implementing Cisco Secure Access Solutions
Implementing Cisco Secure Mobility Solutions
Implementing Advanced Cisco ASA Security
Implementing Core Cisco ASA Security
Implementing Cisco Identity Services Engine for Wireless Engineers
Implementing Cisco Secure Access Control System
Managing Advanced Cisco SSL VPN
Implementing and Configuring Cisco Identity Services
Introducing Cisco Voice and Unified Communications Administration
Implementing Cisco Voice Communications and QoS Managing Cisco Wireless LANs
Cisco Unified Wireless Networking
Implementing Cisco Unified Communications Manager Part 1
Implementing Cisco Unified Communications Manager Part 2
Implementing CiscoWorks LMS
IPv6 Fundamentals, Design, and Deployment
Implementing Cisco Unified Wireless Networking Essentials
Designing for Cisco Internetwork Solutions
Designing Cisco Network Service Architectures
Implementing Cisco Intrusion Prevention System
Cisco ASA Express Security
Infolinia: 800 49 55 82
Kraków
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944. Nakład: 2500 egz.
Redakcja:
Zespół Komunikacji Marketingowej SOLIDEX S.A.
ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
www.integrator.SOLIDEX.com.pl

Integrator nr II/2014 (127)

Transkrypt

Podobne dokumenty

Integrator Nr II/2011 (115)

Integrator Nr I/2012 (118)

Szkolenia