Integrator Nr I/2014 (126)
Transkrypt
Integrator Nr I/2014 (126)
Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® Nr I/2014 (126) Wiosenna Akcja Porządek w Sieci 2014 czytaj str. 4 W numerze między innymi: NOWOŚCI: Websense TRITON – co nowego w 2014? TECHNOLOGIE: Interfejsy 40 Gigabit bez tajemnic ROZWIĄZANIA: Infoblox NetMRI – przepis na skuteczne zarządzanie siecią złożoną z wielu dostawców platform aktywnych ISSN 1233–4944 www.integrator.SOLIDEX.com.pl Gold Certified Partner Cisco Learning Specialized Partner Check Point Platinum Partner Check Point Collaborative Certified Support Provider Elite Partner J-Partner Elite Gold Partner Websense Platinum Partner Numer: I/2014 (126) Szanowni Państwo, Z przyjemnością przedstawiamy Państwu kolejny numer naszego biuletynu informacyjnego INTEGRATOR. Wychodząc naprzeciw ciągłej potrzebie zdobywania wiedzy o nowościach i zmianach w branży IT, chcemy podzielić się z Państwem doświadczeniem naszych SOLIDnych EXpertów. Szczególnej uwadze polecamy artykuł poświęcony akcji „Porządek w Sieci”, która cieszy się coraz większym zainteresowaniem. Już po raz trzeci mamy przyjemność zaprosić Państwa na kolejną odsłonę naszego seminarium, tym razem, poświęconemu rozwiązaniom bezpieczeństwa i zarządzaniu infrastrukturą IT. Więcej szczegółów znajdą Państwo w tekście „Trzecia edycja akcji Porządek w Sieci” na stronie 4. W bieżącym numerze INTEGRATORA w dziale Nowości prezentujemy artykuły dotyczące innowacyjnej jakości zarządania („Juniper Secure Analytics – nowa platforma, nowa jakość zarządzania”, na stronie 12), nowych rozwiązań firm Websense („Websense TRITON – co nowego w 2014?”, na stronie 8) i Cisco („Instant Access – nowości w implementacji sieci kampusowej, sposób realizacji, filozofia, wymagania sprzętowe”, na stronie 16). Chcielibyśmy zachęcić Państwa do zapoznania się z rozwiązanymi proponowanymi między innymi przez firmy Infoblox („Infoblox NetMRI – przepis na skuteczne zarządzanie siecią złożoną z wielu dostawców platform aktywnych”, na stronie 32) i Fortinet („Centralne zarządzanie Fortinet – FortiManager”, na stronie 36). Pozostałe artykuły to opis technologii QSFP („Interfejsy 40 Gigabit bez tajemnic”, na stronie 20) i Cisco („Nowe przełączniki modułowe serii Cisco Catalyst 6800”, na stronie 25). Mamy nadzieję, że prezentowane tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa, którzy zainteresowani są prenumeratą zapraszamy do zapoznania są z naszym serwisem www.integrator.SOLIDEX.com.pl. Życzymy przyjemnej lektury! Zespół SOLIDEX Spis treści WYDARZENIA 4 6 6 6 7 Trzecia edycja akcji „Porządek w Sieci” SOLIDEX Najlepszym Partnerem F5 Networks 2013 roku Realizacja projektu modernizacji sieci dla Volkswagen Poznań Sp. z o.o. SOLIDEX wyróżniony za największą sprzedaż Check Point w roku 2013 Zmiany w ścieżce certyfikacyjnej CISCO CCNP Security NOWOŚCI 8 12 16 Websense TRITON – co nowego w 2014? Juniper Secure Analytics – nowa platforma, nowa jakość zarządzania Instant Access – nowości w implementacji sieci kampusowej, sposób realizacji, filozofia, wymagania sprzętowe TECHNOLOGIE 20 25 Interfejsy 40 Gigabit bez tajemnic Nowe przełączniki modułowe serii Cisco Catalyst 6800 ROZWIĄZANIA 29 32 36 40 Cisco Prime LMS – Compliance and Audit Manager – łatwy sposób na dostosowanie konfiguracji urządzeń do standardów Infoblox NetMRI – przepis na skuteczne zarządzanie siecią złożoną z wielu dostawców platform aktywnych Centralne zarządzanie Fortinet – FortiManager Migracja z Cisco Prime LMS do Cisco Prime Infrastructure Biuletyn Informacyjny SOLIDEX® WYDARZENIA Trzecia edycja akcji „Porządek w Sieci” Już po raz trzeci organizujemy spotkania z SOLIDnymi Expertami w ramach edukacyjno–promocyjnej akcji „Porządek w Sieci”. Ponad dwie dekady doświadczeń SOLIDEX na rynku rozwiązań sieciowych w Polsce to niemalże niewyczerpalne źródło wysokospecjalistycznej wiedzy, którą chcemy się dzielić z naszymi Klientami odpowiedzialnymi za infrastrukturę sieciową. Wiosną 2013 roku zaproponowaliśmy naszym K lientom, Sympatykom i Partnerom biznesowym wspólne aktywności, mając na celu uporządkowanie całego szeregu problemów szeroko pojętej infrastruktury sieciowej do których można zaliczyć m.in.: • bezpieczeństwo, • administracja i zarządzanie, • optymalne wykorzystanie, • właściwa modernizacja. Zostało wtedy wyodrębnionych pięć zagadnień, którym poświęcono uwagę: • WIEDZA – problemy do uporządkowania Bazując na ponad dwudziestoletnim doświadczeniu SOLIDEX w budowie rozwiązań sieciowych oraz ich serwisowaniu, w trakcie prezentacji wyodrębniono i omówiono nast ępujące moduły: warstwa transpor towa, segmentacja sieci, bezpieczeństwo i styk z sieciami zewnętrznymi, 4 utrzymanie i zarządzanie, przechowywanie danych oraz użytkownicy. • WIEDZA – porządek w bezpieczeństwie W czasie prezentacji przybliżono najważniejsze rozwiązania technologiczne związane z bezpieczeństwem sieciowym stanowiące trzon bez którego współczesne sieci w praktyce nie mogą efektywnie funkcjonować, a jednocześnie są punktem wyjścia dla instalacji bardziej wyrafinowanych systemów ochrony i zarządzania bezpieczeństwem. • WIEDZA – porządek w utrzymaniu Przedstawione zostały działania, jakie trzeba podjąć, żeby utrzymywane ś r o dowisko d z ia ł a ł o s t abilnie i wydajnie, ale tak że po to, aby „praca w utrzymaniu” była wydajna i efektywna. Dużo miejsca poświęcono narzędziom pomagającym pozyskać Integrujemy przyszłość® wiedzę o utrzymywanym środowisku, szybko reagować na pojawiające się problemy, a także przewidywać problemy w przyszłości i reagować na nie z odpowiednim wyprzedzeniem. • DZIAŁANIA – jak i z czego wybrać Głównym celem prezentacji było pr zedst awienie wzorcowego modelu prowadzenia projektu IT z punktu widzenia doświadczonego integratora, jakim jest SOLIDE X . Wspominany proces podzielono na sześć etapów(geneza powstania projektu, dobór rozwiązania, testy pilotażowe, oferta, realizacja, opieka powdrożeniowa), które zostały szczegółowo omówione. • SIEĆ – jaka, kiedy i po co, czyli dużo tego dobrego Przedstawiona została analiza technologii budowy sieci i tego, co dookoła nich się działo w perspektywie czasu, podejmując dodatkowo próbę Numer: I/2014 (126) przewidzenia tego, co może czekać w przyszłości. atakami z zewnątrz – rozwiązania F5 Application Security Manager. Seminaria SOLIDE X to nie tylko sucha wiedza teoretyczna, to również praktyczne demonstracje rozwiązań „na żywo”. Jesienią 2013 roku zostały zaprezentowane cztery wykłady, cztery praktyczne pokazy na żywo. Swoją tematyką obejmowały zagadnienia szeroko rozumianego bezpieczeństwa sieciowego, w szczególności takie jak: • Podwójna ochrona przed atakami DDoS za pomocą rozwiązania firmy CheckPoint DDoS Protector oraz autorskiej aplikacji firmy SOLIDEX– SOLID.rtbh; • Proaktywne zarządzanie siecią, praktyczne wykorzystanie Cisco ISE do autentykacji, autoryzacji i profilingu urządzeń mobilnych; • Zautomatyzowane rozwiązania do wykrywania i analizy zagrożeń, w tym systemy detekcji intruzów, zapory sieciowe nowej generacji oraz zaawansowana ochrona przed złośliwym oprogramowaniem – rozwiązania SourceFire; • Ochrona aplikacji webowych przed Wiosną 2014 odbędzie się trzecia ser ia spot ka ń w ramac h akc ji „Por z ądek w Siec i”. Seminar ia dotyczyć będą zagadnień bezpieczeństwa oraz zarządzania siecią. Poruszane tematy, uzupe ł nione prak tyc z nymi pok a z ami, k t óre zostaną zaprezentowane dotyczyć będą następujących rozwiązań: • Juniper JSA (SIEM) – wykrywanie zagrożeń przy pomocy korelacji zdarzeń Ewolucja i ciągłe zmiany zagrożeń wymuszają sz ybk ą reakc ję na obserwowane zdarzenia. Ilość gromadzonych zdarzeń i parametrów identyfikujących st an sieci rośnie z dnia na dzień. JSA (Juniper Secure Analytics) pozwala na sprawną, szybką i efektywną ich analizę. • Infoblox NetMRI – metody zarządzania sieciami wielu dostawców Poprawno ś ć dział ania siec i w du ż ym stopniu uzale ż niona jest od wysok iej dost ę pno ś c i Biuletyn Informacyjny SOLIDEX® kluczowych usług. Przy pomocy platformy NetMRI w tym samym czasie można zarządzać konfiguracjami urządzeń wielu producentów, ich zgodnością ze standardami f ir mowymi w inf ras t r uk tur ze sieciowej. • Websense TRITON – bezpieczeństwo na styku z Internetem Skuteczna ochrona na styku z siecią Internet. Co zmieniło się i dokąd zmierza bezpieczeństwo w tym obszarze. Produkty bezpieczeństwa każdego roku dą żą do doskonałości. Zmieniają się wersje, a za nimi zwiększają się możliwości. Czym zaskoczy nas Websense i co przygotował na 2014 rok? • Cisco Prime – zarządzanie, monit or ing or a z ś le d z e nie z mia n urządzeń w sieci C is c o P r ime je s t nar z ę d z iem , które może w znaczącym stopniu upro ś c ić zar z ądzanie siec ią zbudowaną w oparciu o urządzenia Cisco. Możliwości tego produktu obejmują m.in. zarządzanie konfiguracjami oraz oprogramowaniem urządzeń, monitorowanie historii zmian zarówno konfiguracji jak i wypos a ż enia spr z ę t owego urz ądzeń, śledzenie u ż ytkow ników/s t ac ji końc owych ora z wizualizację zarówno topologii sieciowej jak i samych urządzeń sieciowych. Spotkania odbędą się w siedzibach naszych oddziałów w: • Gdańsku – 1 kwietnia, • Poznaniu – 2 kwietnia, • Wrocławiu – 3 kwietnia, • Warszawie – 8 kwietnia, • Krakowie – 11 kwietnia. Serdecznie zapraszamy do rejestracji na naszą akcję, wszelkie informacje organizacyjne – zarówno o aktualnej oraz o archiwalnych edycjach Akcji – są dostępne na www.porzadek. SOLIDEX.com.pl Mamy nadzieję, że nasza Akcja na stałe wpisze się w Państwa kalendarze. ® Zespół SOLIDEX ® 5 WYDARZENIA SOLIDEX Najlepszym Partnerem F5 Networks 2013 roku Z przyjemnością informujemy, że SOLIDEX otrzymał I miejsce jako Najlepszy Partner firmy F5 Networks 2013 roku. Przyznany tytuł jest potwierdzeniem wysokich kwalifikacji w zakresie sprzedaży, wdrażania a także utrzymania produktów firmy F5 Networks. Przyznając tytuł Najlepszego Partnera firma F5 Networks doceniła także zaangażowanie oraz nieustającą dbałość firmy SOLIDEX w podnoszeniu kompetencji pracowników, co pozwala na konsekwentne podwyższanie jakości oferowanych usług. F5 Networks jest czołowym produc entem ofer ując ym ur z ądzenia do budowy złożonej infrastruktury sieciowej, której główną cechą jest nadążanie za zachodzącymi w biznesie zmianami. SOLIDEX jest wieloletnim posiadaczem najwyższego statusu partnerskiego F5 Gold Partner. Realizacja projektu modernizacji sieci dla Volkswagen Poznań Sp. z o.o. Na przełomie 2013 i 2014 roku SOLIDEX rozpoczął realizację projektu modernizacji sieci przemysłowej dla Volkswagen Poznań Sp. z o.o. W ramach tego projektu SOLIDEX zmodernizuje sieć pasywną oraz przeprowadzi proces wymiany urządzeń sieciowych dla infrastruktury teleinformatycznej. Projekt obejmuje wymianę centralnego węzła szkieletowego oraz systemu zabezpiec zeń wraz z systemem zarządzania. Całość „nowej sieci” objęta zostanie profesjonalnymi usługami serwisowymi świadczonymi przez SOLIDEX na czas 12 miesięcy. Dodatkowo w ramach podwyższenia kwalifikacji pracowników Volkswagen Poznań Sp. z o.o. SOLIDEX przeprowadzi pakiet autorskich szkoleń. SOLIDEX wyróżniony za największą sprzedaż Check Point w roku 2013 Firma Check Point jest od lat jednym z liderów wśród rozwiązań systemów bezpiec zeństwa dost ępnych na rynku. W tym roku firma SOLIDEX została wyróżniona za największą sprzedaż produktów Check Point w 2013 roku. Nagroda przyznana została za wysokie wyniki sprzedaży, co jest wyrazem docenienia naszej profesjonalnej kadry inżynierskiej sukcesywnie wdrażającej produkty 6 Check Point. Tytuł ten, jest potwierdzeniem najwyższych kompetencji inżynierów SOLIDEX oraz gwarancji dla Klienta, jakości oferowanych wdrożeń, a następnie samego utrzymywania serwisu. SOL IDE X wspó ł pracuje z firmą Check Point od 2000 roku. Oprócz posiadanego statusu Collaborative Certified Support Provider, od roku Integrujemy przyszłość® 2005 SOLIDEX nieustannie utrzymuje najwyższy partnerski status Check Point Platinum Partner. Numer: I/2014 (126) Zmiany w ścieżce certyfikacyjnej CISCO CCNP Security Specjalizacja CCNP Security dedykowana jest inżynierom do spraw bezpieczeństwa sieci, którzy odpowiedzialni są za systemy zabezpieczeń oraz planowanie i kształtowanie polityki bezpieczeństwa w organizacji. Specjaliści tej dziedziny IT są cenionymi i nieustannie poszukiwanymi przez rynek pracownikami. 2 1 styc znia 2 014 C isco ogłosiło oficjalnie zmianę ścieżki certyfikacyjnej CCNP Security, a co za tym idzie zmianę dotychczasowych kursów z tej ścieżki na zupełnie nowe. Z dnie m 2 1 . 0 4 . 2 0 1 4 wyg a s aj ą dotychc zasowe kursy: SECURE , F IR E WA L L , V P N, IP S ora z powiązane z nimi egzaminy Cisco. Pojawią się w ich miejsce zupełnie nowe kursy: SISAS, SENSS, SIMOS, SITCS oraz odpowiednie egzaminy. Te c hnolog ic z nie i pr oduk t owo zakres kursów starych i nowych nie ma pokrycia. Uzyskanie tytułu CCNP Security wymagać będzie od ubiegającego się inżyniera posiadania certyfikatu CCNA Security (niezmiennie, tak jak dotychczas) oraz zdania egzaminów: • 300-206 SENSS – Implementing Cisco Edge Network Security Solutions • 300-207 SITCS – Implementing Cisco Threat Control Solutions • 300-208 SISAS – Implementing Cisco Secure Access Solution • 300-209 SIMOS – Implementing Cisco Secure Mobility Solutions Zaktualizowana ścieżka CCNP Security obejmuje szeroki zakres nowych produktów i technologii. Rozbudowane środowisko laboratoryjne daje możliwość przetestowania i zintegrowania ze sobą wielu komponentów sieciowych. Wśród nich można znaleźć: routery z IOS 15.2.x, ASA 5500-X, ASA CX, ACS, IPS Next Generation, CDA, WSA, ESA, ISE oraz serwery LDAP, czy MS AD. O s oby, k t ór e posiadają z dane egzaminy z aktualnej i obowiązującej ścieżki CCNP Security (czyli SECURE, FIREWALL, VPN, IPS), ale nie mają jeszc ze „kompletu” eg zaminów, powinni się spieszyć z przyst ąpieniem do zaliczenia wymaganego/ wymaganych egzaminów. Egzaminy 6 4 2 - 6 3 7-SEC UR E , 6 4 2 - 618 FIRE WALL , 6 4 2- 6 4 8 -VPN, oraz 642-627-IPS można zdawać najpóźniej do dnia 21 kwietnia 2014. Oprócz wyżej wymienionych kursów, pojawią się również dodatkowe cztery kursy Security, tzw. „produktowe”. Będą one dotyczyły produktów i technologii: Cisco ASA Next-Generation, Cisco IPS Next-Generation, C isco A SA C X , integracji ISE + WiFi oraz technologii BYOD. Będą to odpowiednio: • SASAC – Implementing Core Cisco ASA Security • SASAA – Implementing Advanced Cisco ASA Security • SWISE – Implementing and Configuring ISE for Wireless Engineers • SBYOD – Implementing Cisco Bring Your own Device Solutions Terminy, które podaje Cisco jako daty pojawienia się w portfolio wszystkich w/w kursów produktowych, to koniec maja 2014. Szczegółowe informacje związane ze zmianami dotyczącymi omawianych szkoleń można znaleźć na stronie http://www.cisco.com/web/learning/ landing/launch_security.html Nowe kursy pojawią się w ofercie SOLIDEX już wkrótce. Zapraszamy zatem zainteresowanych. Jak zawsze stawiamy duży nacisk na Solidną Praktykę. www.SOLIDEX.com.pl Integrujemy przyszłość® Biuletyn Informacyjny SOLIDEX® 7 NOWOŚCI Websense TRITON – co nowego w 2014? Nieustający rozwój systemów usług elektronicznych pociągnął za sobą falę zagrożeń, która wykorzystuje podatności w tych systemach. Do niedawna sądzono, że systemy opierające się o mechanizmy sygnaturowe stanowią jedyną skuteczną ochronę. Później pojawiły się systemy dynamicznej aktualizacji i odpytywania o reputację usług zlokalizowanych w szeroko rozumianej chmurze. W dniu dzisiejszym takie podejście jest w wielu aspektach skuteczne, ale biorąc pod uwagę aktualny „rynek” zagrożeń nie gwarantuje ono ochrony przed atakami 0-day. Jak wiele mechanizmów bezpieczeństwa musi zostać aktywowanych aby zapewnić skuteczną ochronę przez takimi atakami? Coraz częściej słyszymy o technologii typu sandbox, która ma stanowić rozwiązanie dużej części współczesnych problemów. Websense jako czołowy producent systemów bezpieczeństwa nie pozostaje niezauważony na tym polu. Wraz z nową wersją swojej platformy TRITON dodany został kolejny element analizy. ThreatScope System ThreatScope jest usługą firmy Websense działającą w chmurze, która zapewnia zaawansowane mechanizmy wykrywania zagrożeń 0-day. Do tego celu wykorzystywana jest integracja z istniejącą już instalacją Web Security Gateway Anywhere. Pliki, które przepływają przez ten system podlegają identycznej analizie, która do tej pory była zaimplementowana w tym produkcie. Mówimy 8 tut aj o syg natur owym silnik u antywirusowym, mechanizmach heurystyc znych, bazie reputacji i w konsekwencji całym silniku Websense Advanced Classification Engine . Do tej por y pliki był y przepuszczane jeśli nie wykryto w nich zagrożenia lub blokowane, jeśli system znalazł dopasowanie w odpowiedniej sygnaturze. Jeśli włączymy mechanizm ThreatScope, pliki mogą zostać zaklasyfikowane jako podejrzane (suspicious files), które w takim momencie Integrujemy przyszłość® zostają wysłane do mechanizmu Websense ThreatScope działającego w chmurze celem dokładniejszej analizy. Ta dokładna analiza opiera się o mechanizmy sanbox’ingu, w którym obserwowane jest zachowanie danego wystąpienia pliku celem stwierdzenia jego rzeczywistej natury. Sandbox zakłada uruchomienie pliku w środowisku wirtualnym odseparowanym od innych systemów i sieci. Podczas analizy monitorowane jest zachowanie takiego procesu systemowego oraz Numer: I/2014 (126) jego mechanizmy infekcji. Ważne w tej metodzie jest to, aby jak najlepiej zasymulować typowe środowisko testowe. Istotny jest sam system operacyjny i również dodatkowe oprogramowanie, które najczęściej wykorzystywane jest w atakach 0-day jak, Adobe Acrobat Reader, Java, Microsoft Office. Jeśli plik zostaje zaklasyfikowany jako złośliwy, uprzednio skonfigurowany mechanizm alarmów, wyśle mail do administratora, który zawierać będzie szczegóły zdarzenia. Integracja Websense Web Seccurity Gateway A nywhere oraz Email S e c u r i t y G a t e w a y A n yw h e r e z Websense TRITON ThreatScope oferuje: • Threat Scope dostarcza zaawansowaną ochronę przed złośliwym oprogramowaniem oraz szczegółowy system raportów, przedstawiający rzeczywiste operacje i interakcje ze środowiskiem w którym działa, co finalnie umożliwia dogłębną analizę incydentów bezpieczeństwa; • File Sandboxing oferuje mechanizmy ochrony przed złośliwymi dokumentami/plikami; • URL Sandboxing zapewniający ochronę przed złośliwymi linkami przesyłanymi pocztą elektroniczną; • Threat Sandboxing zapewnia ochronę przed złośliwymi załącznikami w wiadomościach email. Wiemy już jakie możliwości posiada ten system oraz kiedy i na jakim etapie, plik trafi do chmury celem szczegółowej analizy: • jeśli nie jest on już sklasyfikowany jako niebezpieczny przez firmę Websense i nie ma o nim informacji w Master Database, • przejdzie pozytywnie wszystkie testy bezpiec zeństwa Security Threats: File Analysis, • zajdzie dopasowanie do profilu Websense Security Labs, • jest to typ pliku, który jest wspierany przez producenta. Aktualna lista plików obejmuje: exe, Microsoft Office 2003/2007/2010/2013 (Word, Excel, PowerPoint, Archive files (rar, 7z, gzip, tar, zip, arj, bz), pdf. Szczegółowa lista dostępna jest w bazie wiedzy producenta: Article Number: 000006567. Transakcja przy włączonym mechani z mie T h r e a t S c o p e w yg l ą d a następująco: 1. Użytkownik podczas przeglądania stron inter netowych zac zyna ściągać plik. 2. W naszym przypadku plik nie został rozpoznany jako zagrożenie, podczas analizy przez klasyczne mechanizmy bezpieczeństwa. 3. Plik pasuje jednak do skonfigurowanego profilu Websebse Security Labs. 4. Dane wysyłane są do użytkownika oraz do usługi ThreatScope działającej w chmurze producenta celem szczegółowej analizy. 5. Analiza może potrwać do kilku minut. W zależności od jego finału podejmowana jest stosowna akcja. 6. Jeśli plik jest złośliwy, wysyłana jest wiadomość do skonfigurowanych wc ześniej odbiorców. Zawiera ona szczegóły przeprowadzonej analizy w formie raportów. Przykładowy rapor t dostępny na stronie producenta pod adresem: https://www.websense.com/assets/ pdf/ThreatReport-Complete.pdf i remediacji danego przypadku. 7. Administrator po zapoznaniu się z wynikami analizy może przestąpić do planowania i właściwych środków naprawczych zainfekowanej stacji. 8. Oprócz wysłania maila do administratora, system również aktualizuje mechanizm T hreat Seeker o parametry (adres URL, źródłowy adres IP, zachowanie), które zostały wykryte podczas analizy. 9. ThreatSeeker propaguje te informacje do różnych baz danych, wzorców, w tym do Master Database. 10. Jeśli ktoś ponownie spróbuje dostać się do takiego pliku, nie będzie konieczności przeprowadzania ponownej analizy, a to wystąpienie z ł o ś liwego opr og r amowania zos t anie z ablokowane pr ze z klasyczne mechanizmy inspekcyjne. ThreatScope jest oferowany aktualnie jako dodatkowa licencja do produktu Web Security Gateway Anywhere. Większość naszych Klientów korzysta już z licencji WSG lub WSGA, więc dla nich nie ma konieczności zmian Rys. 1. Wstęp przykładowego raportu pochodzący z systemu ThreatScope Jak moż emy się pr zekonać z rysunku 1, taki raport zawiera wiele szczegółów w tym zrzuty ekranu komunikatów błędów, do jakich adresów IP i URL dowoływał się uruchomiany plik, jakie zmiany dokonał w systemie i wiele innych informacji pomocnych przy analizie Biuletyn Informacyjny SOLIDEX® w aktualnej instalacji, a jedynie podniesienie wersji do 7.8.1. RiskVision Druga nowość w wersji 8.1 RiskVision. System, który łączy kilka mechanizmów analizy danych w tym: 9 NOWOŚCI advanced threat defence, global security inteligence, sandboxing, data loss detection, zintegrowanych w ramach “jednego urządzenia”. Jedno urządzenie daje nam w praktyce dwa systemy, ponieważ zarządzenie politykami bezpieczeństwa i raportowanie zostało wydzielone, tak jak jest to w każdym działającym produkcyjnie systemie na osobne urządzenie. Dostajemy więc urządzenie V10000 G3 lub V5000 G2, które podłączamy do portu SPAN lub dedykowanego TAPa, plus serwer do zarządzania działający pod kontrolą systemu operacyjnego Windows Server . Wspomniany SPAN i TAP dobrze określają do jakich celów rozwiązanie zostało stworzone. Jest to przede wszystkim nieinwazyjna metoda analizy ruchu we własnej sieci pod kontem bezpieczeństwa. W bardzo szybkim tempie administrator widzi co się dzieje w jego sieci. Jeśli nie miał on do tej pory metod analizy ruchu w warstwie siódmej, otwiera się przed nim świat nowych metod analizy zagrożeń i podatności w swojej sieci, które może wykorzystać do budowy kolejnych war stw zabezpiec zeń chroniących środowisko na różnych Rys. 2. Elementy inspekcji TRITON RiskVision poziomach dostępu do danych. Jeśli • Wykorzystuje silnik ACE (Advanced takie rozwiązanie już posiada, może Classification Engine) celem monizweryfikować czy jest ono rzeczytorowania i wykrywania zagrożeń; wiście skuteczne i czy nie przepuszcza • Silnik Data Loss Prevention, który złośliwego oprogramowania, a nasi wykrywa dane wrażliwe; użytkownicy nie powodują wycieku • A nalizuje pliki mechanizmem danych poza obszar firmy. sandbox’ingu; TRITON RiskVision jest systemem, • Zawiera ponad 60 predefiniowanych który oferuje : raportów i możliwość tworzenia • Szybką instalację w sieci, która własnych według potrzeb; zapewni monitoring i zdolność • Może zostać zainstalowane przez do oceny podatności własnej sieci K lientów, którzy nie posiadają na współczesne zagrożenia; aktualnie ż adnego podobnego Rys. 3. Panel frontowy i specyfikacja techniczna urządzenia Websense i500 10 Integrujemy przyszłość® Numer: I/2014 (126) rozwiązania tej klasy oraz przez tych, którzy posiadają już produkty firmy Websense ale chcą zobaczyć funkcje, które pojawiły się w wersji 7.8.1. Czego można jeszcze oczekiwać instalując wersję 7.8.1? Policy Broker replication. Do wersji 7.7.3 każda instalacja mogła posiadać tylko jedną instancję Policy Broker’a. Od wersji 7.8.0 się to zmienia i możliwe są dwie konfiguracje: • standalone: każdy Policy Server łączy się do tego samego Policy Broker’a tak jak do tej pory, • replicated: jest jeden Policy Broker w trybie primary, który jest aktywny i który przechowuje konfigurację oraz jeden bądź więcej instancji w trybie replika, które przetrzymują konfigurację tylko w trybie read-only. W tej konfiguracji Policy Broker nie może działać na urządzeniu firmy Websense ale musi zostać wydzielony na zewnętrzny system np. TRITON Unified Security Center. do chmury. Decydujemy w tym momencie jaki ruch zostanie wysłany do chmury, a jaki zostanie przeanalizowany lokalnie na urządzeniu. Taka konfiguracja poprawia też możliwości zarządzania politykami na firewallach, które filtrują ruch na styku z siecią Internet. Pojawią się również opcje nie dostępne do tej pory. Na i500 działa Network Agent, który dodatkowo blokuje aplikac je, k tóre nie musz ą być oparte o protokół http oraz możemy monitorować ruch gościnny. Websense Email Security Gateway Virtual Appliance Posumowanie Websense przedstawił kilka interesujących produktów, które dobrze wpasowują się w aktualne portfolio. W drodze do uszczelnienia bezpieczeństwa z pewnością będziemy się zastanawiać czy warto zainwestować w nowe licencje. Już dziś powinniśmy z pewnością zastanawiać się nad podniesieniem wersji do 7.8.1, ponieważ zawiera ona liczne usprawnienia, w tym wydajności, procesowania ruchu SSL czy uwierzytelniania. Pytanie więc nie powinno brzmieć czy Websense zagości w naszych sieciach ale kiedy to nastąpi. Opracowano na podstawie oficjalnych Informacja która zapewne ucieszy materiałów producenta. wiele osób. Od najnowszej wersji T.P. Email dostępy jest jako maszyna Inżynier SOLIDEX wirtualna. Nie można co prawda zainstalować jej tak jak Web Content Gateway na systemie RedHat (co może być inter pretowana na korzyś ć jak i na niekorzyść), ale dostajemy gotowy plik ovf, który importujemy bezpośrednio do środowiska VMware. Instalacja trwa kilka minut po czym Websense i500/i500v Appliance star tuje wizard pierwszej konfi(Cloud Assist Appliance). Nowe gurac ji, w k t ór ym definiujemy urządzenie fizyczne lub wirtualne, podstawowe informacje niezbędne które ma stanowić uzupełnienie do komunikacji sieciowej. Wsparcie rozwiązania typu cloud. Celem jest zapewnione jest już od wersji ESXi przede wszystkim zwiększenie wydaj- 4.01, więc skorzystać mogą również ności przetwarzania ruchu i zwięk- Klienci, którzy posiadają nieco starszy szenie kontroli ruchu wysyłanego hypervisior. Biuletyn Informacyjny SOLIDEX® 11 NOWOŚCI Juniper Secure Analytics – nowa platforma, nowa jakość zarządzania Po wdrożeniu niezbędnych elementów bezpieczeństwa w infrastrukturze sieciowej każda organizacja, dowolnej wielkości, musi sprostać wyzwaniu zarządzania całością systemu. Wraz z rozbudową sieci próba indywidualnego podglądu każdego z produktów staje się uciążliwa i mało skuteczna. Jak odnaleźć się wśród wielu milionów informacji generowanych dziennie i jak dostrzec te istotne? Dzięki rozwiązaniu firmy Juniper odpowiedź na te pytania staje się prosta – Juniper Secure Analytics. Czego wymagamy od systemów zarządzania bezpieczeństwem? Urządzenia klasy Firewall, IPS czy punkty kontroli dostępu to krytyczne elementy ka żdego systemu zabezpieczeń. Gwarancją efektywnej pracy ze wszystkimi elementami jest możliwość podglądu, analizy oraz szybkiej reakcji na zdarzenia bezpiec zeństwa w sieci produkcyjnej. Z punktu widzenia administratorów realizacja tego zadania staje się niezwykle trudna. Codziennie znajdują się w sytuacji, w której są atakowani przez lawinę logów z każdego z urządzeń pracujących w nadzorowanym systemie. Zarządzanie bezpieczeństwem bez dedykowanych narzędzi stwarza ogromne wyzwanie dla pracowników I T, 12 którzy muszą analizować dane z wielu źródeł, aby zrozumieć zagrożenia, z którymi przyszło im się skonfrontować i w konsekwencji określić jakie działania podjąć. W celu podniesienia poziomu bezpieczeństwa konieczne jest narzędzie, które: • Umożliwia scentralizowaną obsługę incydentów bezpieczeństwa dla całej infrastruktury teleinformatycznej; • W znacznym stopniu ułatwia zarządzanie i analizę wielu milionów rejestrowanych zdarzeń; • Dostarcza wiarygodnych informacji na temat stanu i efektywności pracy środowiska sieciowego; • S p e ł nia wymag a nia pr awne , standardy bezpieczeństwa oraz pozostałe regulacje typowe dla profilu działalności firmy. S ą t o je dynie f undament alne Integrujemy przyszłość® wymagania stawiane tego typu produktom. Ich realizacja odbywa się poprzez implementację systemów SIEM (Security Information and Event Management) oraz NBAD (Network Behavior A nomaly Det ec t ion). Systemy SIEM zbierają logi z urządzeń sieciowych, a następnie poddają je korelacji. Wyniki tych operacji prezentowane są administratorom dostarczając im wiarygodnych informacji na temat stanu bezpieczeństwa. Niezbędnym uzupełnieniem są dane z systemu monitoringu sieci – NBAD. System ten na podstawie statystyk i opisu ruchu uczy się normalnego stanu naszej sieci, dzięki czemu staje się on pomocnym narzędziem do wykrywania anomalii. Secure Analytics oferowany przez firmę Juniper jest jedynym rozwiązaniem, które w pełni integruje oba wspomniane systemy. Numer: I/2014 (126) Rys. 1. Źródła informacji dla systemu JSA w obrębie jednej reguły. Wynikiem tego jest najbardziej wiarygodna informacja na temat możliwego naruszenia bezpieczeństwa. Juniper projektując swoje rozwiązanie miał na uwadze nieustanny rozwój rozmaitych at aków sieciowych. Wychodząc temu naprzeciw, oprócz ogromnej bazy predefiniowanych reguł korelacji, Juniper wyposażył swój system w funkc jonalno ś ć tworzenia własnych reguł. Dzięki temu rozwiązanie staje się bardziej elastyczne, a administratorzy mogą dostosować obowiązujące zasady korelacji do własnego środowiska sieciowego. Wszystkie te funkcje został y pomyślnie przeniesione na nową platformę Juniper Secure Analytics. Komponenty systemu: • Console – centralny punkt zarząRys. 2. Schemat systemu z konsolą zarządzania d z ania i konf ig ur ac ji op ar t y na intuicyjnym interfejsie graficznym dostępnym z poziomu przeglądarki; Nowa platforma skalowalność oraz niezawodność. Rodzina produktów Secure Analytics • Event Collec tor – moduł odpowiedzialny za zbieranie logów Seria produktów JSA jest godnym składa się z czterech modeli urządzeń z urządzeń sieciowych. Zebrane następcą platformy Juniper STRM fizycznych oraz rozwiązania w postaci dane normalizuje, scala i przesyła (Security Threat Response Manager). maszyny wirtualnej. do Event Processor. W infrastrukturze Rozwią zanie JSA implementuje Tym co wyróżniało Juniper STRM rozproszonej element ten może wszystkie najlepsze cechy STRM spośród rozwiązań konkurencyjnych działać jako oddzielne urządzenie na znacznie wydajniejszej platformie była pe ł na wspó ł prac a funkcji fizyczne; sprzętowej. Dzięki temu zabiegowi SIEM i NBAD zamknięta w jednym efektywność pracy nie jest już ograni- urządzeniu. Jedną z największych • Event Processor – przetwarza otrzymane dane i poddaje je korelacji czeniem oraz możliwe jest dopasowanie zalet była możliwość korelacji inforzgodnie z zaimplementowanymi rozwiązania idealnego do własnych macji pochodzących z logów (SIEM) regułami. Wynik swojej pracy p o t r z e b z a p e w n i a j ą c w y s o k ą wraz z danymi o przepływach (NBAD) Biuletyn Informacyjny SOLIDEX® 13 NOWOŚCI JSA1500 JSA3500 JSA5500 JSA7500 2 x 1 TB SAS 7.200 rpm RAID 1 6 x 1 TB SAS 7,200 rpm RAID 10 8 x 1 TB SAS 7,200 rpm RAID 10 28 x 900 GB 10,000 rpm SAS RAID 10 Memory 24 GB 32 GB 96 GB 128 GB Maximum Events Per Second (AiO) 1000 5000 10,000 Maximum Events Per Second (Distributed) 1000 5000 20,000 HDD Flows Per Minute CPU N/A 30,000 30,000 100,000 600,000 1.2 miliona 1 x Dual-Core 1 x Quad-Core 2 x Octo-Core 2 x Octo-Core Tabela 1. Modele urządzeń z serii JSA Rys. 3. Podgląd incydentu typu Offense przesyła do Magistrate. • Flow Collector – moduł kolekcjonujący dane o przepływach; • Flow Processor – analizuje otrzymane dane o przepływach; • Magistrate – moduł odpowiedzialny za wysokopoziomową analizę ruchu sieciowego i incydentów bezpieczeństwa. Generuje informacje o potencjalnym zagrożeniu lub nadużyciu i prezentuje je administratorom jako Offense. Pojawienie się zagrożenia typu Offense w konsoli administracyjnej informuje o tym, że pewne zdarzenia w sieci wpasowały się w którąś z wdrożonych reguł korelacji. Pokazuje to, że seria potencjalnie niegroźnych incydentów może stanowić poważne niebezpieczeństwo w naszym systemie, którego ż adne z posiadanych systemów zabezpieczeń nie było w stanie wykryć. Osoba zarządzająca JSA posiada 14 precyzyjne informacje na temat wygenerowanego zagrożenia, m.in.: czas wystąpienia, raportujące źródła, regułę identyfikującą zagrożenie, jakie podsieci były celem ataku oraz kto atak wykonał. JSA umożliwia implementację systemu zadań, dzięki czemu po wystąpieniu Offense możliwe jest przypisanie administratora odpowiedzialnego za rozwiązanie danej sprawy. Modele urządzeń: • JSA1500 – Najmniejszy fizyczny Appliance z tej rodziny. Jest on dedykowany dla małych oraz średnich przedsiębiorstw. W architekturze rozproszonej może pracować jako kolektor wdrożony w bardzo rozległych infrastrukturach sieciowych. Posiada pełen zestaw funkcjonalności systemu JSA. • JSA3500 – Rozwiązanie średniej klasy. Jego parametry techniczne Integrujemy przyszłość® i w ydajno ś c iow e p ow o duj ą , że znajduje on zastosowanie w środowiskach średniego rozmiaru. Może on zost ać wdroż ony zarówno w architekturze scentralizowanej jak i rozproszonej. • JSA5500 – Rozwiązanie dedykowane dla rozległych infrastruktur sieciowych. Zapewnia skalowalne zarządzanie bezpieczeństwem. Może zostać wdrożony w architekturze scentralizowanej lub rozproszonej. W rozproszonym modelu może pracować jako konsola zarządzająca całością systemu. • JSA7500 – Największe urządzenie z serii Juniper Secure Analytics. Zainstalowana przestrzeń dyskowa oraz pozostałe komponenty umożliwiają wydajną i niezawodną pracę systemu w dynamicznych i rozbudowanych środowiskach. JSA 7500 może zostać wdrożone Numer: I/2014 (126) Rys. 4. Juniper Secure Analytics z serii 1500 Rys. 5. Juniper Secure Analytics z serii 3500 Rys. 6. Juniper Secure Analytics z serii 5500 oraz głównej konsoli zarządzającej. Ogromną zaletą tego rozwiązania jest łatwość w implementacji. Odpowiednio skonfigurowane urządzenie wystarczy podłączyć bezpośrednio do sieci aby korzystać z pełnego zakresu możliwości Secure Analytics. Ograniczeniem przy wyborze tego scenariusza jest ilość obsługiwanych zdarzeń zależna od modelu posiadanego urządzenia. • Distributed (Rozproszony) – tryb rozproszony to idealne rozwiązanie do rozległych środowisk, gdzie ilość generowanych informacji w skali minuty jest bardzo duża. W tym modelu wyróżnia się urządzenia dedykowane do pracy jako kolektory, które odpowiedzialne są za zbieranie logów oraz danych o przepływach z jednej z lokalizacji lub z wydzielonego fragmentu sieci. Scenariusz ten wymaga zastosowania odizolowanej konsoli, która stanowi centrum zarządzania całością systemu Secure Analytics. Na ten model wdrożenia powinni się zdecydować klienci, dla których skalowalność rozwiązania jest pożądaną cechą oraz tacy, którzy w przyszłości planują zwiększyć wydajno ś ć swojego sys t emu bezpieczeństwa. Podsumowanie Prezentowana przez firmę Juniper platforma Secure Analytics to zdecydowanie nowa jakość w zarządzaniu bezpieczeństwem. Wprowadzenie nowej serii sprzętu poskutkowało zdecydowanym wzrostem wydajności. Szeroki zestaw funkcji, precyzja w określaniu zagrożenia oraz jedyne na rynku narzędzia administracyjne Rys. 7. Juniper Secure Analytics z serii 7500 to jedynie kilka z zalet tego produktu. Patrząc całościowo, JSA jest komplekjako konsola zarz ądzająca lub VMWare ESX 5.0 lub ESX 5.1. Jako sowym rozwiązaniem, z którym nasze Event /Flow Processor w archiprocesor może przetworzyć maksy- zasoby mogą się czuć bezpiecznie. tekturze rozproszonej oraz jako malnie 1000 zdarzeń na sekundę pojedynczy Appliance w strukturze oraz 50 000 przepływów w skali Opracowano na podstawie oficjalnych scentralizowanej. minuty. materiałów producenta. • JSA Virtual Appliance – Pełen zestaw funkcji systemu JSA zaimplemen- Scenariusze wdrożenia M.M. towany na platformie wirtualnej. • All-in-One (Scentralizowany) – Inżynier SOLIDEX Może zostać wdrożony w archiw tym modelu wdrożenia wszystkie tekturze scentralizowanej oraz funkcjonalności systemu JSA znajrozproszonej (również jako konsola dują się na jednym fizyc znym zarządzająca). Maszyna wirtualna urządzeniu. Posiada ono funkcje inst alowana jest na systemie zarówno kolektora, jak i procesora Biuletyn Informacyjny SOLIDEX® 15 NOWOŚCI Instant Access – nowości w implementacji sieci kampusowej, sposób realizacji, filozofia, wymagania sprzętowe Wdrażając sieci o zasięgu lokalnym staramy się utrzymać wzorce bestpractice mówiące o stosowaniu hierarchicznego modelu wdrożenia sieci LAN, składającego się z trzech warstw przełączników. Najbliżej użytkownika końcowego znajdują się przełączniki warstwy dostępowej (access), których głównym przeznaczeniem jest dostarczenie odpowiednio wysokiej gęstości portów i podstawowych usług dla komputerów, telefonów IP, drukarek, kamer, terminali wideo, access pointów itp. Przełączniki warstwy dostępowej agregowane są przez przełączniki warstwy dystrybucyjnej najlepiej z zachowaniem pełnej redundancji. Zastosowanie dodatkowej warstwy przełączania zwiększa elastyczność rozbudowy sieci oraz eliminuje konieczność podłączania bardzo dużej ilości połączeń do przełączników warstwy szkieletowej (Core). Administratorzy rozbudowanych sieci lokalnych spędzają obecnie dużo czasu na utrzymaniu spójnej konfiguracji przełączników w obszarze przez nich administrowanym. Cisco na podstawie ankiet wśród administratorów IT określiło, że spora część czynności wykonywanych na przełącznikach war stwy dost ę powej, to czynności powtarzalne. Około 28% czasu działy IT poświęcają na diagnozowaniu błędów w sieci, 19% czasu 16 zajmuje konfigurac ja zwią zana z politykami bezpieczeństwa wprowadzanymi w różnych miejscach w sieci pomimo spójnej polityki dla całej sieci LAN, 18% czasu zajmuje konfiguracja i testy nowo instalowanych urządzeń sieciowych, a 14% czasu poświęcane jest na sprawy związane z upgradami oprogramowania do wspólnych wersji, czy wymuszonych upgradach sprzętowych. Cisco od dłuższego czasu dostrzega problemy w klasycznym modelu wdrażania warstwy dostępowej. Koniec zno ś ć kor zyst ania z S T P (Spanning Tree Protocol), którego metodą na eliminację pętli jest blokowanie ruchu na określonych linkach (niezależnie od implementacji), problemy z optymalizacją ruchu dla ruchu L 2 i L3 (spójny punkt dla położenia Root Bridge (L2) i aktywnego Integrujemy przyszłość® przełącznika pełniącego funkcję aktywną w dowolnym protokole z rodziny FHRP First Hop Redundant Protocol (L 3)) to tylko niektóre problemy z którymi spotykają się administratorzy (obecnie adresowane już między innymi przez takie technologie jak VSS). Instant Access to jednak technologia idąca o jeden krok w przód mająca jeszc ze bardziej ułatwić tworzenie redundantnych, wydajnych i bezpiecznych bloków sieci zamykających się w obrębie jednego bloku dystrybucyjnego. Instant Access W klasycznym modelu wdrożeniowym każdy przełącznik dostępowy (lub stos przełączników) zarządzany jest oddzielnie. Musi posiadać swoją listę obsługiwanych sieci VL AN, mieć Numer: I/2014 (126) zdefiniowany interfejs zarządzający, skonfigurowane metody uwierzytelniania na przełączniku, wreszcie konieczna jest konfiguracja połączeń w kierunku warstwy dystrybucyjnej. Instant Access to nowa technologia, której głównym celem jest zastąpienie oddzielnych przełączników dostępowych jednym przełącznikiem dystrybucyjno–dostępowym (z punktu widzenia zarządzania i przesyłania pakietów), wyposażonym w wyniesione karty liniowe. Do głównych zalet rozwiązania możemy zaliczyć: • Automatyczną konfigurację połączeń mi ę d z y wa r s t w ą do s t ę p ow ą i dystrybucyjną; • Brak konieczności konfigurowania Spanning-Tree, czy protokołów routingu między przełącznikiem dystrybucyjnym i dostępowym; • Możliwość automatycznej, konfiguracji przełączników dostępowych, konfiguracja tylko w jednej konsoli dla wszystkich przełączników; • Jeden punkt uaktualniania dla oprogramowania układowego dla całego bloku dystrybucyjnego (wraz z przełącznikami dostępowymi). Instant Access wprowadza dwie role przełączników IA Parent i IA Client. IA Client można traktować jako wyniesioną kartę liniową głównego przełącznika i w tej roli na chwilę obecną można wykorzystać jedynie pr ze ł ąc znik i z rodziny 6 8 0 0ia . Głównym zadaniem IA Client jest etykietowanie pakietów i przełączanie zgodnie z polityką QoS. IA Parent z kolei zarządza procesem auto konfiguracji, nadaje portom klienckim na kartach liniowych identyfikatory VIF oraz pełni wszystkie funkcje związane z przełączaniem w oparciu o L2 i L3. Realizacja Aby możliwa była automatyczna konfigurac ja pr ze ł ąc zników I A Client jako rozszerzenia przełącznika IA Parent Cisco wykorzystuje 4 protokoły: Switch Discovery Protocol, Switch Registration Protocol, Switch Configuration Protocol oraz Inter Card Communication. Dodatkowo każda ramka danych przesyłana między IA Client a IA Parent zostaje obudowana 6 bajtowym nagłówkiem zwanym VNTAG. W ś r o dowisk u Ins t ant A c c e s s każdemu por towi dostępowemu zostaje przyporządkowana etykieta Rys. 1. Klasyczny blok dystrybucyjny i Instant Access DA[6] SA[6] VNTAG ETHER TYPE (0XB926) D[1] VNTAG[6] P[1] 802.1Q[4] DVIF[12] Frame Payload L[1] Destination VIF Destination bit Pointer bit (multicast) R[1] R[1] Reserved R[1] ... CRC[4] SVIF[12] Source VIF Loopback bit Rys. 2. VNTAG Biuletyn Informacyjny SOLIDEX® 17 NOWOŚCI VIF (Virtual Interface ID). Etykiety te, zostają przypisane w trakcie automatycznego procesu konfiguracji IA Client (wysuniętej karty liniowej) przez przełącznik nadrzędny IA Parent. Każda ramka trafiająca na przełącznik IA Client na porcie klienckim zostaje oznaczona VNTAG w taki sposób, że w pole Destination VIF trafia „0” natomiast w polu Source VIF zostaje wpisany znacznik portu, na którym ramka się pojawiła. Tak obudowana ramka zostaje przesłana do przełącznika IA Parent. IA Parent zdejmuje etykietę VNTAG i na podstawie pakietów buduje podobną do klasycznej tablicę CAM i TCAM z uwzględnieniem informacji o routingu L 3, Access listach itp. W trakcie podejmowania decyzji o trasowaniu pakietów przychodzących, po przejściu pakietu przez tablicę TC AM – na wynikowym pakiecie pozostaje automatyczna konfiguracja wyniesionych kart liniowych i ich widocznoś ć w konfiguracji przełącznika IA Parent. Dzięki temu zyskujemy wspólny punkt zarządzania i obsługi pakietów co znac ząco upraszcza konfigurowanie sieci jako całości. Wymagania techniczne naszej wyniesionej karcie liniowej (lub stackowi takich kart). Obs ł ugiwane s ą róż ne modele wdrożeniowe od modelu single-home, gdzie przełączniki IA Client wpinamy do jednego przełącznika pojedync z ym uplink iem 10 G do rozbudowanej wer sji redundatnej, gdzie stos 3 przełączników IA Client możemy wpiąć redundantnie 6 linkami 10G do dwóch IA Parent pracujących w trybie VSS. Co ważne, do architektury IA możemy również podłączać zwykłe przełączniki, z tym że powinny być one agregowane w obrębie jednego IA Client lub wpinane bezpośrednio do IA Parent. Abyśmy mogli skorzystać z technologii IA konieczne jest zastosowanie k ilku element ów spr z ę t owych . Obecnie w roli IA Parent możemy wykorzystać przełącznik z rodziny 6500E wyposażony w supervisor 2T oraz karty liniowe WS-X6904-40G-2T, które mogą terminować linki 10G Konfiguracja od IA Client. Dodatkowo obsługiwane są również przełączniki 6807-XL Konfiguracja wymaga uruchomienia (z sup2t i taką samą kartą liniową) oraz obsługi fex-fabric, przypisania etykiety przełącznik 6880-X. W roli IA Client dla Klientów oraz zdefiniowania inter fejsów na prze ł ąc zniku I A Parent, na których zostanie przypięty Instant Access nie jest jedynie uproszczonym sposobem przełącznik dostępowy działający jako IA Client. Istnieje również możliwość na zarządzanie przełącznikami, a próbą utworzenia wirtualnego konfiguracji automatycznego provisioningu pozwalającego na wprowadzenie przełącznika centralnie zarządzanego i aplikującego różne konkretnej konfiguracji portu jeszcze mechanizmy związane z ruchem pakietów. przed podłączeniem przełącznika IA Client. Pozwala to na automatyczną konfigurację przełącznika dostę ponownie dokonywana jest enkapsu- obsługiwany jest jedynie przełącznik powego i brak konieczności ingerencji lacja i przypisywany port wyjściowy 6800ai w wersji z PoE lub bez. administratora po fizycznej instalacji (na docelowej wyniesionej karcie Pod względem gę stości por tów sprzętu. liniowej) w VNTAG przez ustawienie w obecnej wersji software 15.1(2)SY Do konfiguracji poszczególnych portów „Destination Vif” na etykietę portu ograniczeni zostaliśmy rozbudową dostępowych możemy korzystać na odpowiednim kliencie. Tak przygo- do mak symalnie 10 0 8 por t ów ze znanych komend z przełączników towany pakiet wysyłany jest linkiem dla hostów w 2 1 przełącznikach modularnych, z tym że nazwę interfejsu do odpowiedniego klienta. Pakiet IA, z tym że przełączniki (przynaj- poprzedza numer FexID. trafiając na IA Client zostaje przekazany mniej częściowo) musimy łączyć P r z yk ł adowa na z wa int er fejsu na wskazany przez IA Parent port w stosy, gdyż w obecnej wersji interface GigabitEthernet112/2/0/24 (zgodnie z etykietą), po czym zostaje oprogramowania dost ępne jest gdzie nr 112 to FEX ID, 2 to numer zdjęta z niego enkapsulacja VNTAG. jedynie 12 Fex ID, a taki identyfi- przełącznika w stacku, 0 – numer Tak w przybliżony sposób można kator musi zostać przyporządkowany podmoduły, 24 – numer portu. opisać przepływ każdego pakietu danych unicastowych przechodzących przez IA. Jak widać – wymusza to ruch mod provision create fex 112 type 6800IA-48TD pakietów zawsze „top-down”, nawet mod provision create fex 112 module 2 type 6800IA-48TD jeśli ruch miałby trafić do sąsiaduConfig# Interface range 112/1/0/1 – 3 jącego portu na wyniesionej karcie Config# switchport access vlan 100 liniowej. W obecnych sieciach dostęConfig# switchport voice vlan 101 powych nie jest to jednak problemem, Config# switchport host gdyż mówi się, że około 80% ruchu odbywa się w stronę szkieletu sieci i do Internetu. Zaletą natomiast Rys. 3. Konfiguracja automatycznego provisioningu 18 Integrujemy przyszłość® Numer: I/2014 (126) Numer: II/2012 (119) Podsumowanie Podsumowanie Instant Access nie jest jedynie uproszLync jest wieloplatformowy, może czonym sposobem nakomputerach zarządzanie działać zarówno na przełącznikami, a próbą utworzenia stacjonarnych Windows i Mac OS, wirtualnego przełącznika jak i Platformach Mobile centralnie Windows zarządzanego i aplikującego różne Phone, iOS (iPad, iPhone), Android. mechanizmy z ruchem Podstawowy związane interfejs nie odbiega pakietów. od wzorcowego okna komunikatora Przy obecnej cenie przełączników internetowego. Rysunek 3 przedstawia 6800ai kształtującej nakontaktów poziomie pionowo zorientowanąsię listę przełącznika wraz z modułem ze zdjęciami, 2960x obok umieszczono status stackującym i interfejsami 10Gb, IA i opis, w górnej części menu podstawydaje być bardzo interesującą wowychsię funkcji. Wspomniany pulpit opcją rozbudowy i płynnej migracji nawigacyjny upraszcza odnajdowanie sieci dostępowej zwłaszcza w sieciach, i używanie typowych funkcji, takich w tór ych obecnie w war stwie jakkklawiatura numeryczna, wizualna dystrybucyjnej wykorzystywane poczta głosowa, lista kontaktów i lista są przełączniki serii 6500/6800. aktywnych konwersacji. Do płynnej migracjielastyczny, zachęca również Lync jest bardzo jeśli możliwość jednoczesnego korzystania chodzi o wdrożenia i możliwości zintegracji. „klasycznego modelu” sieci dostęMożliwa jest również powej oraz programu IA w obrębie jednego integracja z istniejącą przełącznika dystrybucyjnego czy telefonią IP, jak na przykład Cisco. nawet jednej karty liniowej 10G. Rysunek 2 przedstawia przykładową Dodat kowo unkc jonalno ś ć I A integrację z IP ftelefonami. dostępna jest w ramach standardowej licencji IP Services i nieprzedjest Powyższy artykuł miał na celu wymagana dodatkowa stawienie żadna aplikacji Lync odlicencja. strony Jest to również bardzo ciekawe użytkownika. Program Microsoft Lync rozwiązanie dla wszystkich, którzy 2010 to doskonały klient do ujednochcieliby uprościć zarządzanie siecią liconej komunikacji z możliwością lokalną, a jednocześnie zachować obsługi wiadomości błyskawicznych, ciągle wysoki poziom bezpieczeństwa połączeń głosowych oraz spotkań. zak wachlarz tualizowanym inter fejsie iW szeroki usług realizowanych użytkownika programu Lync w sieci lokalnej. W mniejszychrozmaite sieciach do komunikacji rnarzędzia oz wią z anie mog ł oby rrozmieszównie ż czono w sposób usprawniający ich sprawdzić się w topologii „Collapse obsługę. Funkcje konferencji są jeszcze Core”. Dość wysokie wymagania skuteczniejsze dzięki wbudowanej co do przełączników dystrybucyjnych funkcji udostępniania pulpitu i aplikacji, gwarantują za to bezproblemową funkcji przekazywania w programie i wydajną pracę całego środowiska. Power Point oraz funkcji kopiowania i wklejania obrazów i innej zawartości. Sz.S. Inżynier SOLIDEX Opracowano na podstawie oficjalnych materiałów producenta. M.G. Inżynier SOLIDEX SOLIDność w każdym działaniu... Biuletyn Informacyjny SOLIDEX® Biuletyn Informacyjny SOLIDEX® 19 33 TECHNOLOGIE Interfejsy 40 Gigabit bez tajemnic Pierwszy schemat sieci Ethernet został stworzony przez Roberta Metcalfe w 1976 roku. Od tego czasu technologia Ethernet bardzo się rozwinęła znacząco poprawiając swoją jakość i niezawodność. Coraz bardziej popularne stają się dwa nowe standardy – 40 i 100 Gigabit Ethernet. Do tak szybkiego rozwoju Ethernetu przyczyniło się bardzo duże zapotrzebowanie dynamicznie zmieniających się aplikacji IP. Powodem popularności Ethernetu jest stosunkowo niska cena układów ASIC powodująca niski koszt portów urządzeń oraz kart sieciowych. Kolejnym elementem jest prostota instalacji, łatwość w utrzymaniu oraz standaryzacja w ramach grupy IEEE 802.3. Obecnie większość połączeń sieciowych i internetowych w całości wykonanych jest w technologii Ethernet – zaczynając od domowego użytkownika wykorzystującego router, a kończąc na centrach przetwarzania danych. Wkrótce po opracowaniu standardu 10 Gigabit Ethernet w 2008 roku rozpoczęły się prace nad nowszym standardem 40 Gigabit Ethernet. Dwa lata później standard został zatwierdzony przez IEEE. Grupa zadaniowa IEEE 802.3ba opracowała jednolite rozwiązanie, mogące obsłużyć zarówno 40 i 100 Gbit/s. Założenia oraz cele jakie przyświecały twórcom technologii 40 i 100 Gigabit 20 Ethernet były zbliżone do standardu czterokanałowym modułem transmisji światłowodowej. Ofer uje 10 Gigabit Ethernet: • Obsługa tylko dla transmisji dwukie- 3 razy większe zagęszczenie od tradycyjnych modułów SFP. Obsługuje runkowej (full-duplex); • Zachowanie formatu ramki etherne- p r z e p u s t o w o ś ć d o 1 0 G b i t / s na kanał. Moduł znajduje zastosotowej 802.3 MAC; • Zachowanie tej samej wielkości wanie w przełącznikach sieciowych ramki, co dla standardu 802.3; • Zdolnoś ć do współ pracy z siecią optyczną Optical Transport Network (OTN); • Zasięg pracy do 40km dla optyki jednomodowej (SMF); • Obsługa szybkości błędu transmisji (BER) lepsza lub równa 10 – 12 w służbie MAC warstwy fizycznej Interfejsu; • Obsługa szybkości transmisji danych MAC 40 Gbit/s. Poniższy artykuł przedstawia zastosowanie inter fejsów 40 Gigabitowych w oparciu o moduł y, kable oraz ich zastosowanie w produktach Nexus firmy Cisco. QSFP (Quad Small Form-factor Pluggable) jest Rys. 1. Mocne strony interfejsów QSFP i QSFP+ Integrujemy przyszłość® Numer: I/2014 (126) (switch’ach), routerach oraz wszędzie t am, gdzie jest potrzebna du ż a przepustowość łącza. Zalety wykorzystania interfejsów 40GBASE QSFP zostały przedstawione na rysunku 1. Rys. 2. Moduł optyczny QSFP-40G-LR4 Rys. 3. Moduł optyczny QSFP-40G-SR4 Rys. 5. Moduł QSFP-40G-SR-BD danych z prędkością do 40 Gbit/s poprzez kable optyczne zakończone zł ąc zami optyc znymi multimo dowymi 10GBA SE-SR . Może być używany jako połączenie „breakout” dla 4 interfejsów. Wyposażony jest Pozytywne aspekty w 4 niezależne kanały full-duplex dla wykorzystania interfejsów wysyłania i odbierania danych. Każdy kanał posiada przepustowość 10 Gbit/s • Hot-swap urządzenia wejścia / i wykorzystuje optyczny interfejs wyjścia, który podłącza się do portu 12 włókien MPO/MTP. Wykorzy40 Gigabit Ethernet QSFP + switch; stywany pobór mocy to 1.5W. • Najmniejsza obudowa 40G; Przedstawione interfejsy LR4 i SR4 • Elastyczność wyboru interfejsów posiadają wspólne właściwości: (światłowodowych i miedzianych); • Obsługa 40GBASE Ethernet; • Współpraca z innymi interfejsami • Współpraca z innymi interfejsami IEEE – zgodnych z 40GBASE, dostępzgodnymi z IEEE 40GBASE, dostępnych w różnych formach; nymi w różnych formatach; • 1 x QSFP + zapewnia do 7 5 % • Elastyczność wyboru interfejsu. oszczędności energii, równoważnej pojemności do 4 x 10G SFP+. Moduł 40GBASE-CSR4 Moduł optyczny QSFP- 40G-LR4 j e s t p o d o b n y d o i n t e r f e j s u (rysunek 2) obsługuje połączenia 40GBASE-SR4 ale obsługuje łącza światłowodowe o długości do 10 km, o długościach 300 i 400 m, wykorzywykorzystując ponadstandardową s t uj ą c w ł ó k n a w i e l o m o d o w e parę G.652 światłowodów jedno- OM3 i OM4. Każdy interfejs 10 Gbit/s modemowych ze złączem LC duplex. tego modułu jest zgodny ze specyPozwala to na przesyłanie danych fikacją IEEE 10GBASE-SR. Moduł z prędkością do 40 Gbit/s poprzez ten może być używany do 40 Gbit/s kabel optyczny. Może być używany łączy optycznych wykorzystując j a k o p o ł ą c z e n i e „ b r e a k o u t ” 12 kabli światłowodowych ze złączami dla 4 int e r fe js ów op t yc z nyc h MPO/MTP, lub w trybie 4x10G duplex. 10GBA SE-LR . Wykorzystywany Maksymalna tłumienność kanału pobór mocy to 3.5W. dozwolona jest odpowiednio 2.6dB Moduł optyczny QSFP-40G-SR4 ponad 300 m kabla OM3 lub 2.9dB (rysunek 3) obsługuje połączenia ponad 400 m kabla OM4. świat łowodowe o dł ugo ś c iach 100 i 150 m za pomoc ą włókna Moduł FET- 40G Fabric Extender światłowodowego multimodowego Transceiver in QSFP obs ł uguje OM3 i OM4. Pozwala na przesyłanie p o ł ą c z e n i a ś w i a t ł o w o d o w e Rys. 4. Typy połączeń FET Biuletyn Informacyjny SOLIDEX® 21 TECHNOLOGIE Cisco QSFP Długość fali (nm) Cisco QSFP-40G-SR4 Cisco FET-40G Typ kabla 850 850 Core Size (Microns) Modal Bandwidth (MHz*km) Długość kabla 50.0 500 (OM2) 30m 50.0 2000 (OM3) 100m 50.0 4700 (OM4) 150m MMF MMF 50.0 500 (OM2) 30m 50.0 2000 (OM3) 100m 50.0 4700 (OM4) 150m 50.0 500 (OM2) 82m Active Optical Breakout Cisco QSFP-40G-CSR4 850 MMF 50.0 2000 (OM3) 300m 50.0 4700 (OM4) 400m Cisco QSFP-40GE-LR4 1310 SMF G.652 - 10km Tabela 1. Charakterystyka interfejsów 40 Gigabit Ethernet o długości 100 m za pomocą włókna światłowodowego multimodowego OM3. Charakteryzuje się niskim kosztem zakupu. Jednak dostępny jest tylko z Extenderami występującymi w przełącznikach Nexus. Rysunek 4 przedstawia typy połączeń FET dedykowane dla switchy Nexus. Charakterystyka modułu FET-40G: • Nisk i ko s z t p o ł ą c zenia SF P + transceiver a optycznym połączeniem FEX do N6004 • Obsługiwane przez Nexusa 6004 i 2248PQ-10G • Współpracuje z FET-10G Moduł QSFP- 40G-SR-BD (r ysunek 5) umoż liwia dwukie runkowy krótki zasięg urządzenia nadawczo-odbiorczego z optycznym łączem LC duplex dla krótkiego zasięgu transmisji danych 40 Gigabit Ethernet. C i s c o Q S F P ofe r uje k lie n t o m rozwiązanie, które wykorzystuje istniejącą infrastrukturę MMF duplex dla 40 Gbit/s łączności w odróżnieniu od innych istniejących rozwiązań 40 Gigabit Ethernet na rynku. Klienci „transceiver” (urządzenia nadawczo-odbiorczego) mogą uaktualnić swoją sieć od 10 do 40 Gigabit Ethernet bez żadnych kosztów modernizacji infrastruktury (rysunek 5). Cisco QSFP wykorzystuje połączenie nadawczo-odbiorcze 2x20 Gbit/s, co daje łącznie 40 Gigabit Ethernet w zakresie do 100 metrów na włókna OM3 i spełnia większość wymagań w centrum danych (rysunek 6). Klienci mogą go stosować na wszystkich platformach Cisco QSFP 40 Gbit/s i osiągnąć wysoką gęstość w sieci 40 Gigabit Ethernet. Właściwości modułu QSFP-40G-SR-BD: • Krótki zasięg nadajnik-odbiornik z dwóch kanałów 20G; • Nadawanie i odbieranie poprzez kabel typu: Multi-Mode; Rys. 6. Przepływy pakietów w interfejsach QSFP-40G-SR-BD 22 Integrujemy przyszłość® • 100m z włókna klasy OM3 i 125m z włókna OM4; • Pobór mocy <3.5W; • Zastosowanie włókien wielomodowych duplex umożliwia klientom migrację z 10G do 40G; • Światłowód wielomodowy duplex ze złąc zami duplex LC na obu końcach; • Zastosowanie w przełącznikach Nexus 3000 i 6000. W tabeli 1 przedstawiono charakterystyczne cechy interfejsów 40 Gigabit Ethernet . Ważną informacją jest długość kabla, jaką można stosować przy danym typie wkładki. Charakterystyka kabli optycznych i miedzianych wykorzystujących 40GBASE QSFP Cisco QSFP to Four SFP + Copper Breakout Cables Kable miedziane składają się z 4 bardzo krótkich odcinków, za pomocą których moż na złąc zyć małe odległości (r ysunek 7 ). Jest to optymalny sposób na wykonywanie połączeń wewnątrz szaf serwerowych. Kabel zapewnia łączność od portu 40G QSFP przełącznika Cisco do czterech 10G SFP + a portami przełącznika na drugim końcu. Cisco oferuje obecnie kable pasywne o długościach 1, 3 i 5 metrów oraz kable aktywne o długościach od 7 do 10 metrów. Cisco QSFP to QSFP Copper Direct-Attach Cables Jest to kabel miedziany do połączeń na małych odległościach, Numer: I/2014 (126) Rys. 7. Kabel miedziany QSFP 4 SFP+ Copper Breakout Rys. 11. Oszczędność mocy między interfejsami 10 a 40 Gbit/s Rys. 8. Kabel miedziany umożliwiający połączenia na małych odległościach Rys. 9. Kabel 40G QSFP+ to 4X10G SFP+ Active Optical Cables Rys. 10. Kabel 40GBase QSFP+ AOC, połączenia na małych odległościach a jednocześnie bardzo tani sposób na stworzenie powiązania pomiędzy 40 -gigabitowymi por tami QSFP a przełącznikami Cisco w szafach serwerowych (rysunek 8). Cisco oferuje obecnie kable pasywne o długościach 1, 3 i 5 metrów oraz kable aktywne o długościach od 7 do 10 metrów Cisco QSFP to Four SFP+ Active Optical Breakout Cables. C z ter y ak tywne kable SF P+ „breakout”, optyczne odpowiednie dla bar d zo ma ł yc h odleg ł o ś c i (rysunek 9). Są bardzo opłacalne kosz towo oraz mają elastyc zny sposób na połączenia wewnątrz szaf serwerowych. Omawiane kable umożliwiają połączenia do portu 40G QSFP przełącznika Cisco na jednym końcu i do czterech 10G SFP + portami przełącznika Cisco na drugim końcu. Cisco oferuje obecnie aktywne kable „breakout” optyczne o długości 1, 2, 3, 5, 7 i 10 metrów. Kabel światłowodowy 40GBase QSFP + Active Optical Cable. Zapewnia wysoką wydajność oraz niskie zużycie energii. Doskonale sprawdza się na małych odległościach, np. połączeń wewnątrz szaf serwerowych. Oferuje 4 niezależne kanały Full-duplex, z których każdy może przesyłać dane z prędkością do 10 Gbit /s . W konsekwenc ji łączna prędkość transmisji wynosi do 40 Gbit/s na ponad 100 m. Cisco oferuje kable optyczne o długościach: 1, 2, 3, 5, 7, 10 i 15 metrów (rysunek 10). Na r ysunk u 1 1 pr z e ds t awiono zest awienie oszc z ę dno ś ć moc y między interfejsami 10 a 40 Gbit/s. Biuletyn Informacyjny SOLIDEX® Badanie zostało wykonane przy użyciu przełączników Nexus. Połączenie z wykorzystaniem QSFP+SR zapewnia 4x mniejsze zużycie mocy niż ze złączem 10G-SR. Od 2013 roku Switch Nexus 6000 jest dostępny w centrach przetwarzania danych. Switch został zaprojektowany tak, aby dostarczyć wysokiej gęstości interfejsy 10 i 40 Gigabit Ethernet, oferując przy tym wysoką energooszczędność w kompaktowej obudowie. Doskonale nadaje się do przestrzeni ograniczonych, zapewnia dużą gęstość oraz wysoką wydajność w środowiskach tradycyjnych i wirtualnych. Cisco Nexus 6001 (rysunek 12) jest energooszczędnym przełącznikiem, oferującym wysoką gęstość portów w jednej jednostce rack (1RU). Posiada 48 portów SFP+ i w prawej części 4 porty QSFP. Switch Nexus 6004 (rysunek 13) po zainstalowaniu ośmiu modułów rozszerzających (12 – portowych kart liniowych 40 GE) oferuje 96 portów QSFP 40 GE lub 384 porty 10 GE za pomocą kabla QSFP. Przełącznik wyróżnia się następującymi cechami: • Optymalizacja, wirtualizacja i przetwarzanie w chmurze wdrożeń; • Przełączniki Cisco Nexus zostały zaprojektowane tak jak serwery, obsługując porty i złącza zasilania znajdujące się z tyłu i w pobliżu portów serwera; • Efek tywno ś ć energetyc zna, c h ł od zenie par ame t r ów pr z y jednoczesnym zmniejszeniu emisji dwutlenku węgla; • Małe opóź nienie. P rze ł ąc znik 23 TECHNOLOGIE Podsumowanie Technologia 40 Gigabit Ethernet rozwija się w ostatnich latach bardzo szybko jako naturalny proces ewolucji w sieciach transportowych. Pozwala to na lepsze wykorzystanie pasma i co za tym idzie – duże oszczędności. Pojedyncze interfejsy są łatwiejsze w utrzymaniu, a jednocześnie zapewniają znaczne obniżenie kosztów operac yjnych i zu ż ycia energii. Różnorodność okablowania generuje więcej miejsca w szafie serwerowej ora z po ł ąc zenia na wię k s z ych odległościach. Wyżej wymienione cechy są ważne dla rozbudowywanych sieci ze względu na niekończący się wzrost ruchu w Internecie oraz liczby podłączonych k lient ów szerokopasmowych i biznesowych. Rys. 12. Switch Nexus 6001 Opracowano na podstawie oficjalnych materiałów producenta. Rys. 13. Switch Nexus wykorzystuje około 1 mikrosekundy opóźnienia port-to-port dla każdej wielkości pakietów • SPA N ER SPA N stosowane do rozwiązywania problemów z monitorowaniem ruchu; • Funkc ja Mult ic as t doskonale sprawdza się w zintegrowaniu warstwy 2 i 3; • W przyszłości wsparcie dla Dynamic Fabric Automation (DFA). M.J. Inżynier SOLIDEX Waszych organizacji www.SOLIDEX.com.pl 24 Integrujemy przyszłość® Numer: I/2014 (126) Nowe przełączniki modułowe serii Cisco Catalyst 6800 Dynamicznie rozwijający się rynek wszelkiego rodzaju mobilnych urządzeń elektronicznych oraz przetwarzanie coraz większej ilości danych „w chmurze”, powoduje konieczność budowania coraz wydajniejszych sieci o złożonej architekturze. Podstawowymi parametrami, które powinny cechować rozwiązania używane do obsługi takiego ruchu, to bezpieczeństwo i prostota zarządzania, dostępność usług i przede wszystkim prędkość oraz skalowalność. Jednym z najważniejszych elementów dużych sieci szkieletowych są duże przełączniki wielowarstwowe, które to agregują pokaźne ilości ruchu w ciągu każdej sekundy. Mając na uwadze taki rozwój sytuacji wszyscy producenci sprzętu sieciowego chcący liczyć się na rynku starają się rozwijać w tym kierunku, oferując coraz bardziej innowacyjne urządzenia. Pod koniec ubiegłego roku firma Cisco wprowadziła do sprzedaży nową linię przełączników mających sprostać rosnącym wymaganiom – serię Catalyst 6800. Architektura serii Catalyst 6800 (rysunek 1) oparta jest na flagowym modelu Cisco serii C at alyst 6 5 0 0, posiadając jego najbardziej war toś ciowe cechy, jednocześnie oferując zupełnie nowe i innowacyjne rozwiązania. Seria składa się z trzech różnych przełączników, z których każdy ma inne zastosowanie w sieci kampusowej. Każdy z nich będzie po krótce przedstawiony w niniejszym artykule. Rys. 1. Przełączniki serii Catalyst 6800 Biuletyn Informacyjny SOLIDEX® 25 TECHNOLOGIE Rys. 2. Cisco Catalyst 6807-XL Catalyst 6807-XL Jest to największy przełącznik z nowej serii, zbudowany w technologii modułowej, która umożliwia dowolne jego dostosowanie do potrzeb danej sieci (rysunek 2). Przełącznik ten ma zapewnić najwyższą możliwą skalowalność i maksymalnie wysoką wydajność w swojej klasie. Jako, że opracowany został w oparciu o architekturę przełączników serii Catalyst 6500, jest kompatybilny z większością nowszych modułów, używanych właśnie w serii 6500, z najnowszymi kartami Supervisor Engine 2T włącznie. Pełną listę wspieranych przez przełącznik modułów można znaleźć w tabeli 1. Urządzenie jest zoptymalizowane do pracy jako główny przełącznik rdzeniowy, z prę dkościami 10/4 0/ 100 Gb/s . Przy wielkości 10RU oferuje 7 slotów, z czego dwa zarezerwowane są dla kar t typu supervisor, zapewnia przepustowość do 880 Gb/s per slot oraz aż 11.4 Tbps per system. System umożliwia zastosowanie do 4 zasilac zy o moc y 3000W każdy, zapewniając wysoką dostępność w razie awarii jednego z urządzeń zasilających. Chłodzenie możliwe jest w systemie side-to-side. 26 Dzięki zastosowaniu kart Supervisor Engine 2T przełącznik pracuje również na tej samej wersji systemu IOS co seria 6500, wspierając wszystkie dostępne funkcjonalności dla warstw sieciowych L2 oraz L3. Wśród wielu z aawansowanych funkcjonalności można wyróżnić pełne wsparcie dla systemów wirtualizacji, w tym: L 2/L3 VPN, pełne wsparc ie dla MPL S , E V N, V R F aware dla NAT NetFlow, wparcie GRE dla IPv4 oraz IPv6, jak również L 2 extensions z technologią VPLS, pozwalające tworzyć grupy użytkowników i stosować niezależne polityki bezpieczeństwa i QoS, różne dla każdej z tych grup. Bezpieczeństwo w rozległych sieciach zapewnia wsparcie dla technologii TrustSec. Nad wysoką dostępnością urządzenia i ciągłością pracy mogą c z uwa ć me c ha ni z my Nons t op Forwarding with Stateful Switchover (NSF/SSO). Dla prostoty zarządzania i jeszcze większej dostępności oraz przepustowości można oczywiście zastosować wspieraną w pe ł ni technologię VSS. Zwiększy ona przy odpowiedniej konfiguracji dwóch przełączników łączną przepustowość do 22.8 Tbps per system, a przy zastosowaniu 4 kart Supervisor Engine 2T umożliwi zastosowanie technologii VSS Quad-Sup SSO ( VS4O), która VS-S2T-10G VS-S2T-10G-XL WS-X6904-40G-2T WS-X6904-40G-2TXL WS-X6908-10G-2T WS-X6908-10G-2TXL WS-X6816-10G-2T WS-X6816-10G-2TXL WS-X6816-10T-2T WS-X6816-10T-2TXL WS-X6848-SFP-2T WS-X6848-SFP-2TXL WS-X6824-SFP-2T WS-X6824-SFP-2TXL WS-X6848-TX-2T WS-X6848-TX-2TXL WS-X6716-10G-3C (with DFC4) WS-X6716-10G-3CXL (with DFC4XL) WS-X6716-10T-3C (with DFC4) WS-X6716-10T-3CXL (with DFC4XL) WS-X6704-10GE (with CFC or DFC4/DFC4XL) WS-X6748-GE-TX (with CFC or DFC4/DFC4XL) WS-X6748-SFP (with CFC or DFC4/DFC4XL) WS-X6724-SFP (with CFC or DFC4/DFC4XL) NAM3 ASA-SM WiSM2 ACE30 Tabela 1. Moduły wspierane przez Cisco Catalyst 6807-XL Integrujemy przyszłość® Numer: I/2014 (126) zapewnia 9 9, 9 9 9 % dost ępności systemu. Administratorów zainteresuje zapewne również możliwość zastosowania modułu do analizy i zarządzania ruchem sieciowym NAM-3. Najciekawszymi funkcjonalnościami zastosowanymi w serii 6800 są jednak technologie: Cisco Instant Access oraz Smart Install. Technologia Instant Access pozwala na zastosowanie Cisco 6807-XL (również 6500 oraz 6880-X), jako rdzenia rozległej sieci i dołączenie do nich praktycznie nieograniczonej ilości przełączników serii 6800ia, umożliwiając tym samym zarządzanie wszystkimi tymi przełącznikami, jakby były jednym scalonym urządzeniem. Daje to możliwość rozszerzenia idei technologii takich jak VSS, czy łączenia przełączników w stosy dla warstwy dystrybucyjnej i dostępowej, ale już na poziomie rdzenia sieci ułatwiając zarządzanie administratorom. Dopełnieniem Instant Access jest technologia Smart Install pozwalająca dystrybuować konfiguracje, jak również zarządzać obrazami systemów IOS dla wszystkich urządzeń zawierających się w takiej sieci. Dzięki temu np. w razie awarii lub rozbudowy syst emu o kolejne ur z ąd zenia , możemy podłączyć nieskonfigurowany przełącznik do istniejącej inf r as t r uk tur y, a z as t os owane obsługujących wkładki 10 Gbps. Z asilanie może być realizowane poprzez dwa zasilacze zasilane prądem przemiennym lub stałym. Do najważniejszych parametrów urządzenia Catalyst 6880-X należą: Kolejnym produktem z serii jest • Możliwość przełączania pakietów nieco mniejszy 6880-X (rysunek 3). d o 3 0 0 Mp p s d l a IP v 4 lu b Ma on znaleźć zastosowanie jako do 150 Mpps dla IPv6; przełącznik rdzeniowy w nieco mniej- • Możliwość przełączania do 300 Mpps szych sieciach. Podobnie do swojego w warstwie L2; wię k s zego „br at a” opar ty je s t • Wsparcie do 2M dla IPv4, lub 1M dla o architekturę serii Catalyst 6500, IPv6 tras unicast; j e d n a k j e go b u d o w a nie j e s t • Wsparcie do 128K tras multicast; do końca modułowa. Standardowo • Wsparcie do 128K wpisów MAC; przełącznik posiada zintegrowany • Wsparcie dla 2 56K wspólnych moduł Supervisor Engine 2T oraz 16 wpisów ACL/QoS; zintegrowanych portów SFP/SFP+ • Wsparcie do 5M wpisów Flexible mogących pracować z wkładkami Netflow per system (1M per slot); 10 Gbps. • Pe ł ne wsparcie MPL S dla 16K Nie można więc stosować dowolnych różnych etykiet VPN; modułów jak w przypadku 6807-XL, • Wsparcie balancing’u dla 16 różnych możliwa jest jednak rozbudowa ścieżek (unicast, multicast oraz systemu o maksymalnie 4 kar ty MPLS); posiadające po 16 portów SFP/SFP+ • Sprzę towe wsparcie dla C oPP oprogramowanie automatycznie przygotuje go do pracy w środowisku, w oparciu o dostępne szablony. Produkty serii 6800 są bardzo ciekawą propozycją zarówno do planujących budowę nowych rozległych sieci, ale również dla Klientów chcących rozbudowywać swoje dotychczasowe środowisko, oparte na produktach serii Catalyst 6500. (Control Plane Policing); • Każdy port może wspierać prędkości od 1 do 40 Gbps. Ponad t o pr z e ł ą c z nik i 6 8 8 0 -X wspierają większość funkcjonalności większego „brata”, wśród których można wskazać najistotniejsze tj.: wsparcie wirtualizacji dla warstw L 2/L 3, Virtual Switching System (VSS), Visibility and Control (AVC), C isco Tr ust Sec , pe ł ne wsparcie dla MPLS/ VPLS, wparcie GRE dla IPv4 oraz IPv6. Daje on więc mniej możliwości niż większy 6807-XL , chociażby ze względu na brak możliwości wymiany kar t supervisor, jednak jak wspomniano na początku przeznaczony jest do mniejszych sieci. Rys. 3. Cisco Catalyst 6880-X Biuletyn Informacyjny SOLIDEX® 27 TECHNOLOGIE Catalyst 6800ia Dopełnieniem całej serii jest model 6 800ia (rysunek 4). Przełącznik został stworzony z myślą o warstwie dostępowej dla większych przełączników serii 6800. Wyposażony jest w 48 portów 1/100/1000 Gbps, 512MB pamięci RAM, 128MB pamięci flash, port konsoli (USB oraz tradycyjny RJ-45), dedykowany port do zarządzania 10/100Mbps oraz dwurdzeniowy procesor APM86392. Dost ępne s ą dwie konfigurac je sprzętowe: z technologią PoE/PoE+ lub bez. Przełącznik z PoE/PoE+, dzięki 740W wydolności prądowej może zapewnić zasilanie PoE/PoE+ odpowiednio dla 48 portów z wydolnością prądową 15.4W per port lub dla 24 portów z wydolnością prądową 30W per port. Dodatkowo niezależnie od wersji posiada dwa porty Uplink SFP/SFP+ umożliwiające zastosowanie wkładek 10 Gbps. Wsparcie dla technologii FlexStack-Plus umożliwia połącznie do trzech przełączników w stos, zapewniając przepustowość rzędu 80 Gbps per stos. Przełącznik wspiera również technologię MACsec na każdym porcie. Co najistotniejsze, dzięki technologii Instant Access przełącznik może dziedziczyć wszystkie funkcjonalności przełącznika rdzeniowego. Daje to ogromne możliwości administratorom ułatwiając zarządzanie i rozbudowywanie dowolnej topologii. Przedstawione parametry urządzeń 28 Rys. 4. Cisco Catalyst 6800ia nie pokazują wszystkich danych Opracowano na podstawie oficjalnych technicznych i możliwości serii, szcze- materiałów producenta. gółowe parametry techniczne, dla T.K. każdego z urządzeń można znaleźć Inżynier SOLIDEX na stronach www producenta. Podsumowanie P roduk ty ser ii 6 8 0 0 s ą bardzo c i e k aw ą p r o p o z y c j ą z a r ó w n o do planujących budowę nowych rozległych sieci, ale również dla Klientów chcących rozbudowywać swoje dotychczasowe środowisko, oparte na produktach serii Catalyst 6500. Zastosowana w rodzinie 6800 nowa technologia zapewnia bowiem pełną kompatybilność z obecnymi modułami, co pozwala na stopniowe odświe żenie infrastr uk tur y nie generując jednorazowo ogromnych kosztów związanych z wymianą całej infrastruktury. Integrujemy przyszłość® Numer: I/2014 (126) Cisco Prime LMS – Compliance and Audit Manager – łatwy sposób na dostosowanie konfiguracji urządzeń do standardów Cisco Prime LAN Management Solution (LMS), wchodzący w skład Cisco Prime Infrastructure, jest narzędziem, które może w znaczącym stopniu uprościć zarządzanie siecią zbudowaną w oparciu o urządzenia Cisco. Możliwości tego produktu obejmują m.in. zarządzanie konfiguracjami oraz oprogramowaniem urządzeń, monitorowanie historii zmian konfiguracji oraz wyposażenia sprzętowego urządzeń, śledzenie użytkowników/stacji końcowych jak również wizualizację zarówno topologii sieciowej jak i samych urządzeń sieciowych. Aplikacja Cisco Prime LMS oferuje dwa mechanizmy sprawdzania zgodności konfiguracji urządzeń ze zdefiniowanymi wcześniej politykami. P ier wsz ym z nich jest z nany z popr zednich wer sji aplik ac ji, mechanizm sprawdzania zgodności konfiguracji ze zdefiniowaną konfig ur ac j ą b a z ow ą t z n . b a s e line compliance. Mechanizm ten działa wyłącznie w oparciu o konfiguracje pobrane z urządzeń sieciowych, znajdujące się w repozytorium konfiguracji, gdzie dane przechowywane są w formie plików tekstowych. Konfigurac ja ba zowa definiuje, które linie musi/nie może zawierać konfiguracja urządzenia, przy czym dopuszczalne jest wykorzystanie w yr a ż e ń r e g u la r ny c h , je d na k w takim przypadku nie jest możliwe wykonanie automatyc znego ujednolicenia konfiguracji w oparciu o zdefiniowany wzorzec. Mechanizm ten nie podlega licencjonowaniu. Drugi mechanizm wprowadzony w Cisco Prime LMS 4.2, to „Compliance and Audit Management” (C A AM), umożliwiający sprawdzanie konfigurac ji ur z ądze ń siec iowych pod kątem zgodności z szerokim wachlarzem polityk, zdefiniowanych na podstawie standardów, dobrych praktyk oraz zaleceń różnych organizacji, agencji rządowych oraz firm prywatnych (Tabela 1). Weryfikacja działania urządzeń sieciowych pod kątem zgodności z politykami oprac owanymi na podst awie st andardów oraz zaleceń, nie tylko sprawdza konfiguracje urządzeń sieciowych, lecz również m.in. wykryte podatności konkretnych wersji oprogramowania Biuletyn Informacyjny SOLIDEX® oraz poszczególnych platform. Z d e f in i o w a n e p o li t yk i , k t ó r e administrator może dostosowywać do własnych potrzeb są prezentowane w formie graficznej wraz z informacją, jakiej platformy dotyczą. Nie jest zatem wymagana od administratora znajomość dokładnej składni poleceń, ponieważ oprogramowanie Cisco Prime LMS je weryfikuje. Na rysunkach przedstawiono szeroki wachlarz opcji, które można znaleźć w predefiniowanych politykach. Poczynając od definicji komunikatów wyświetlanych przez urządzenia podczas logowania się do interfejsu tekstowego urządzenia (Rysunek 1), poprzez definicje usług, jakie mogą działać na urządzeniu (Rysunek 2), aż po polityki sprawdzające podatności (Rysunek 3). Istnieje możliwość twor zenia w ł asnych polityk , 29 ROZWIĄZANIA Center for Internet Security (CIS) – organizacja non-profit, umożliwiająca współpracę organizacji rządowych oraz firm prywatnych, mającą na celu zwiększenie cyber bezpieczeństwa. Cisco Security Best Practices (SAFE) – zbiór koncepcji, zaleceń oraz wytycznych Cisco, według których należy budować bezpieczne sieci komputerowe. Defense Information Security Agency (DISA) – agencja rządowa, będąca jednostką powołaną do projektowania i wdrażania systemów na potrzeby armii Stanów Zjednoczonych. Department Of Homeland Security (DHS) – agencja bezpieczeństwa wewnętrznego Stanów Zjednoczonych, utworzona po zamachach terrorystycznych z 11 września 2001 roku na World Trade Center oraz Pentagon, której głównym zadaniem jest zapobieganie atakom terrorystycznym oraz zmniejszenie szkód, jeśli już do ataku dojdzie. Healthcare Insurance Portability Act (HIPAA) – ustawa, podpisana 21 sierpnia 1996 roku przez Billa Clintona, mająca na celu zagwarantowanie ubezpieczenia zdrowotnego pracownikom oraz ich rodzinom w przypadku zmiany lub straty pracy oraz ustandaryzowanie oraz zwiększenie wydajności i bezpieczeństwa systemów informatycznych, obsługujących elektroniczną wymianę informacji w sektorze opieki zdrowotnej. ISO/IEC27002 (wcześniej ISO17799) – jedna z norm Międzynarodowej Organizacji Normalizacyjnej ISO, wywodząca się z brytyjskiego standardu bezpieczeństwa BS 7799. Stanowi ona zestaw wytycznych przydatnych przy wdrażaniu, utrzymaniu oraz zwiększaniu bezpieczeństwa informacji w przedsiębiorstwie. National Security Agency (NSA) Router – zalecenia amerykańskiej Agencji Bezpieczeństwa Krajowego (NSA), dotyczące konfiguracji routerów (w szczególności routerów Cisco), w zakresie ustawień zwiększających bezpieczeństwo. Payment Card Industry (PCI) – termin najczęściej odnoszący się do Payment Card Industry Security Standards Council – niezależnej rady, powołanej w 2006 roku przez 5 operatorów kart płatniczych, w celu opracowania i rozwijania normy bezpieczeństwa Payment Card Industry Data Security Standard (PCI DSS), mającej na celu zapewnienie spójnego poziomu bezpieczeństwa we wszystkich środowiskach, obsługujących transakcje wykonywane kartami płatniczymi, w szczególności przetwarzające dane posiadaczy kart. Sarbanes Oxley Act (SOX) – ustawa uchwalona przez Kongres Stanów Zjednoczonych w 2002 roku, mająca na celu poprawę jakości oraz wiarygodności sprawozdawczości finansowej przedsiębiorstw. Ustawa ta dotyczy również aspektów informatycznych, w szczególności zapewnienia bezpiecznego przechowywania danych w formie elektronicznej przez określony czas. SysAdmin, Audit, Network, Security (SANS) – firma, założona w 1989 roku, oferująca szkolenia, certyfikacje oraz dostęp do materiałów z zakresu bezpieczeństwa. Cisco Product Security Incident Response Team (PSIRT) – zespół specjalistów Cisco, odpowiedzialny za reagowanie na podatności, związane z bezpieczeństwem produktów Cisco. Tabela 1. Spis organizacji, ustaw oraz norm, których wytyczne oraz zalecenia są podstawą polityk mechanizmu CAAM 30 Integrujemy przyszłość® Numer: I/2014 (126) Rys. 1. Compliance Check – Banners zawierających wybrane definicje, jak również generowanie raportów w oparciu o predefiniowane polityki. Mechanizm ten jest obecnie dostępny wyłącznie w aplikacji Cisco Prime LMS 4.2, wiadomo jednak, że planowane jest jego przeniesienie do Cisco Prime Infrastructure, łączącego w sobie bezprzewodowe funkcjonalności Cisco Prime Network Control System (NCS) oraz funkcjonalności Cisco Prime LAN Management Solution (LMS) zarządzającego sieciami przewodowymi. Warto zwrócić uwagę na sposób licencjonowania (Cisco Prime Infrastructure 2.x Compliance License) zróżnicowany w zależności od ilości zarządzanych urządzeń sieciowych. L.S. Inżynier SOLIDEX Rys. 2. Compliance Check – Miscellaneous Services Rys. 3. Compliance Check – ASA Crafted IKE Message DoS Vulnerability Biuletyn Informacyjny SOLIDEX® 31 ROZWIĄZANIA Infoblox NetMRI – przepis na skuteczne zarządzanie siecią złożoną z wielu dostawców platform aktywnych Częścią wspólną dla wszystkich sieci teleinformatycznych są usługi sieciowe. Proces transmisji informacji w takiej sieci jest mocno od nich uzależniony. Te usługi to IPAM, DHCP i DNS – kluczowe usługi bez których nie może istnieć sieć komputerowa. Wysoka dostępność dla nich jest wręcz krytyczna – jak zagwarantować taki stan rzeczy? Jednym z rozwiązań tego problemu może być Infoblox, a konkretnie jego platformy Trinzic DDI (DCHP, DNS, IP). Firma Infoblox jest liderem na rynku systemów służących do pełnej automatyzacji sieci i kontroli na dwóch poziomach. Przede wszystkim jest to automatyzacja i wysoka dostępność dla usług sieciowych DDI. Drugą płaszczyzną „automatyzacji i kontroli” jest kompletna obsługa konfiguracji urządzeń sieciowych wielu producentów i właśnie o tym będzie traktował niniejszy artykuł. Problem złożoności zarządzania środowiskiem sieciowym składającym się z platform wielu wendorów Infoblox rozwią zuje systemem Net MR I. NetMRI dostępny jest w postaci Model – NT 1400 fizycznych i wirtualnych platform. Te c h n o l o g i ę N e t M R I m o ż n a sprowadzić do 3 ważnych modułów: Rozpoznanie, Z arządzanie i Automatyzacja. Model – NT 2200 Model – NT 4000 Rys. 1. Wybrane modele jednostek zarządzających 32 Int er fejs grafic z ny jest bardzo intuicyjny i łatwy w obsłudze. GUI składa się z 5 sekcji. Sekcja 1 to pasek z głównymi zakładkami (6 zakładek) s ł u ż ą c ymi do pr ac y bie ż ą c ej . Integrujemy przyszłość® Model – NT (wirtualny) Numer: I/2014 (126) Sekcja 2 to baza wszystkich urządzeń sieciowych, wykrytych przez NetMRI na bazie których przeprowadzane są operacje. Sekcja 3 to ekran główny, ukazujący wyniki przeprowadzonych operacji. Sekcja 4 to zakładki konfiguracyjne samego urządzenia NetMRI. Sekcja 5 to wyszukiwarka globalna ułatwiająca przeszukiwanie informacji z całego systemu. W momencie poprawnego zalogowania się do konsoli graficznej użytkownik będzie miał do dyspozycji 6 głównych zakładek. Dashboard Rys. 2. Przykładowy zrzut z ekranu GUI (zakładka Dashboard) Zakładka Dashboard służy do prezentacji ogólnych danych, do których konieczny jest jak najszybszy dostęp. Mamy do dyspozycji 3 główne panele: • Timeline Status Summary • Issue Summary • Change Summary „Timeline Status Summary” stanowi moduł prezentujący zmiany na osi czasu. Dzięki temu uzyskamy informacje takie jak – „Most Changed Devices”, „Percent Policy Compliance” czy „Changes”. Dodatkowo w formie grafu otrzymamy informacje z podziałem procentowym parametrów takich jak „Warning”, „Error” czy „Passed”. „Issue Summary” stanowi moduł prezentując y ogólny pogląd na wydarzenia w monitorowanej sieci. Uzyskamy między innymi listę „Top Issue Type” lub „Top Affected Devices”. Dodatkowo w formie grafu otrzymamy informacje na temat trendu dla dwóch płaszczyzn „Type Issue” oraz „Instance Trend”. „Change Summary” stanowi moduł prezentujący ogólne zmiany, które zaszły w monitorowanej sieci wraz z danymi na temat „Detected Changes”, „Most Changed Devices” oraz „Most Active Change Makres”. Network Analysis Zakładka Network Analysis służy do prezentacji danych podlegających analizie na kilku płaszczyznach: • Issues • Changes • Policy Compliance • Performance „Issues” stanowi moduł prezentujący informacje związane z wszelkimi Rys. 3. Przykładowy zrzut z ekranu GUI (zakładka Network Analysis) Rys. 4. Przykładowy zrzut z ekranu GUI (zakładka Network Analysis – Topology) p r o b l e m a m i n a u r z ą d z e n i a c h kilku dni. Punktacja ta pozwala sieciowych. Często są to informacje na zobrazowanie jak sieć (konfiguna temat błędów konfiguracyjnych racje na urządzeniach oraz ich stopień na urządzeniach, które nie spełniają poprawności) ulegały zmianie na osi k r yt er iów (st andardów) fir my. czasu. Na potrzeby optymalizacji działania „Changes” stanowi moduł prezencałej sieci NetMRI w tym miejscu tujący bardziej szczegółowo zmiany prezentuje również punktację ogólną na urządzeniach sieciowych. Z poziomu monitorowanej sieci na przełomie tego miejsca uzyskamy informacje Biuletyn Informacyjny SOLIDEX® 33 ROZWIĄZANIA zgodności konfiguracji z politykami typu Compliance (np.: PCI DSS 2.0). „Performance” stanowi moduł prezentujący informacje na temat ogólnej wydajności urządzeń sieciowych ze szczególnym uwzględnieniem utylizacji procesora, pamięci lub interfejsów. Network Insight Rys. 5. Przykładowy zrzut z ekranu GUI (zakładka Network Config Management) Rys. 6. Przykładowy zrzut z ekranu GUI (zakładka Network Config Management – Config Archive) Zakładka Network Insight służy do prezentacji danych związanych z inwentaryzacją urządzeń w sieci (np. PC, urządzenia sieciowe). Z poziomu tego panelu administrator jest w stanie przeprowadzić pełną inwentaryzację infrastruktury sieciowej poprzez mechanizm SNMP. Network Insight przedst awia równie ż topologię sieciową w formie graficznej z rozróżnieniem na parametry między innymi linku, L2 HOP, L3 HOP czy VLAN. Wsz yst k ie dane prezent owane na panelu g łównym (z ak ł adk i Network Insight) są uzależnione od wybranej grupy urządzeń, które zostały stworzone na etapie procesu DISCOVERY. Urządzenia na podstawie unikatowych parametrów zostały sklasyfikowane do gr up typu – Security, Switching, Routing, Wireless, itp. Dodatkowo w sposób skondensowany przedst awione zost ał y również dane na temat adresacji IP (urządzeń, interfejsów urządzeń), MAC adresów, itp. Security Control Rys. 7. Przykładowy zrzut z ekranu GUI (zakładka Reports) na temat np.: adresu IP urządzenia który zmianę poczynił. na którym pojawiły się zmiany, typu „Policy Compliance” stanowi moduł urządzenia, wendora oraz użytkownika, prezentujący informacje na temat 34 Integrujemy przyszłość® Z akładka Security Control o dp o w ia d a z a o gó lny a s p e k t zarządzania elementami bezpieczeństwa z punktu widzenia urządzeń do tego dedykowanych (np. firewall). Administrator jest w stanie skonfigurować parametry takie jak usługi (na konkretnych portach TCP/UDP), sieci IP, listy kontrolne (ACL), itp. Nast ępnie po skonfigurowaniu powyższych parametrów administrator ma możliwość na bieżąco monitorować zmiany w obiektach, urządzeniach i je optymalizować pod kątem ilości i jakości reguł bezpieczeństwa. Numer: I/2014 (126) Config Management B ardzo moc no roz winię ty jest • Health mechanizm wyszukiwania konkretnych • Security Control Z ak ł adk a C onf ig Management fraz, części konfiguracji na wszystkich • Switch Port Management odpowiada za centralne repozy- urządzeniach sieciowych (zdefiniotorium skryptów, które administrator wanych podczas procesu discovery). Podsumowanie może stworzyć od nowa lub przerobić Bardzo ciekawym mechanizmem z dość bogatej bazy już gotowych. jest również moduł porównywania Zarządzanie infrastrukturą sieciową NetMRI jest w stanie zinterpretować wprowadzanych zmian w konfiguracji złożoną z urządzeń sieciowych wielu i przetworzyć skrypty napisane urządzenia. producentów nie musi być skompliw ję zyku Perl lub CC S . Opróc z kowana . Jak widać s ą r oz wią centralnego repozytorium dostępne Reports zania (takie jak Infolox NetMRI) jest narzędzie do tworzenia zadań które w sposób prosty i przejrzysty (jobs), którymi w dowolny sposób Zakładka Reports służy do genero- są w stanie zarządzać siecią na kilku administrator jest w stanie zarządzać. wania wszelkich raportów na bazie poziomach. Dodatkowo integracja Możliwe jest stworzenie kolejki zadań zebranych danych z całej sieci. Admini- NetMRI z rozwiązaniami Infoblox DDI i przypisania jej do grupy urządzeń wraz strator ma do dyspozycji raporty powodują, że wiedza na temat sieci jest z godziną i datą jego uruchomienia. zdefiniowane z zakresu: jeszcze bardziej przejrzysta i dokładna. Istnieje możliwość konfigurowania • Asset zadań, które na podstawie wystąpienia • Change & Config J.Ś. pewnego zjawiska są uruchamiane. • Compliance Inżynier SOLIDEX Autoryzowane szkolenia Cisco w SOLIDEX! Zapraszamy: Kraków, ul. J. Lea 124 Warszawa Złote Tarasy, ul. Złota 59 Biuletyn Informacyjny SOLIDEX® szczegóły na str. 47 35 ROZWIĄZANIA Centralne zarządzanie Fortinet – FortiManager Aktualizacja wielu urządzeń jednocześnie, zmiana konfiguracji, dodawanie nowych polityk czy tworzenie kopii zapasowej zwłaszcza gdy urządzenia znajdują się w oddalonych od siebie lokalizacjach jest nie lada problemem dla administratorów. Z pomocą przychodzi im firma Fortinet oferując system centralnego zarządzania – FortiManager. Produkt ten znacznie ułatwia i przyśpiesza wdrożenie, obsługę, wprowadzanie zmian oraz dzięki wbudowanemu modułowi FortiAnalyzer monitoring urządzeń końcowych. Dostępny jest szeroki wachlarz wersji wirtualnych jak i fizycznych w zależności od potrzeb Klienta. FortiManager potrafi zarządzać urządzeniami FortiGate, FortiWiFi, FortiAnalyzer oraz FortiMail. Istnieje również możliwość integracji z oprogramowaniem FortiClient. Jest to bardzo wygodne w przypadku gdy korzystamy z tej aplikacji np. na komputerach za firewallem FortiGate. Administrative Domain Wprowadzenie domen administracyjnych znacznie ułatwiło zarządzanie nawet dużą ilością urządzeń, zwłaszcza gdy znajdują się one w różnych lokalizacjach. Funkcjonalność ta umożliwia 36 Rys.1. Schemat rozwiązania FortiManager Integrujemy przyszłość® Numer: I/2014 (126) Rys. 2. Podział urządzeń na ADOMy logiczne grupowanie wielu urządzeń w A DOMy, a nast ę pnie z ar z ą dzanie nimi. Możliwe jest tworzenie odpowiednich poziomów dostępu, szablonów polityk czy konfiguracji dla każdej domeny administracyjnej osobno. Łatwiejsze i szybsze wdrożenia For tiManager znac znie ułatwia wdr o ż enie nowyc h sys t emów. Wys t ar c z y doda ć nowy spr z ę t do inst anc ji zarz ądzającej i ju ż możemy przystąpić do konfiguracji. Nie ma konieczności czasochłonnych wyjazdów aby wdra żać poszczególne urządzenia. FortiManager umożliwia wykorzystanie specjalnych skryptów, które s ą p o t ę ż nym na r z ę d z ie m . Ic h tworzenie sprowadza się do wpisyw a nia o dp owie dnic h k ome n d (identyc znych jak te z poziomu C L I urz ądzenia), zatem nie jest wymagana znajomo ś ć ż adnego języka programowania. Stworzony w ten sposób sk r ypt moż e być Rys. 4. FortiManager 1000D Rys. 3. Dashboard FortiManager publikowany do wielu urządzeń jednoc ze śnie. Oprogramowanie pr zed wprowadzeniem z mian na kliencie końcowym sprawdza integralnoś ć wydanych poleceń z wer sją oprogramowania ora z typem urządzenia docelowego, więc nie stanowi problemu konfiguracja różnych modeli funkcjonujących na innych wersjach FortiOS. W przypadku wersji wirtualnych FortiManager istnieje możliwość wykupienia k ilku lic enc ji t ego samego typu, co powoduje odpowiednie zwiększenie możliwości oraz maksymalnych parametrów instancji. Rys. 5. FortiManager 200D Biuletyn Informacyjny SOLIDEX® 37 ROZWIĄZANIA FMG-VM BASE FMG-VM10-UG FMG-VM100-UG FMG-VM1000-UF FMG-VM5000-UG FMG-VMU-UG Maksymalna liczba urządzeń / ADOM’ów 10 +10 +100 +1000 +5000 Bez limitu Maksymalna liczba web portali / userów portalowych 10 +10 +100 +1000 +5000 Bez limitu 1 2 5 10 25 50 100 GB 200 GB 1 TB 4 TB 8 TB 16 TB Maksymalna ilość zbieranych logów na dzień (GB) Quota Interfejsy fizyczne Pojemność dyskowa Wspieranie hypervisor 1 / 4 (vNIC Min / Max) 80 GB / 16 TB (Min / Max) VMware (ESXi/ESX 4.0/4.1/5.0/5.1, Microsoft Hyper-V 2008 R2 / 2012 Tabela 1. Zestawienie wybranych parametrów wersji wirtualnych FortiManager Rys. 6. FortiManager 4000D Wersje konfiguracji Rys. 7. FortiManager 5001A takiemu rozwiązaniu otrzymujemy centralny system monitorowania, FortiManager ułatwia także zarząutrzymania bezpieczeństwa oraz dzanie już istniejącym systemem. Zarządzanie zarządzania siecią. Każda, nawet najdrobniejsza zmiana Bardzo ciekawym rozwiązaniem jest powoduje stworzenie nowej wersji O p r ó c z m o ż l i w o ś c i n a w i ą z y - wprowadzenie szablonów konfikonfiguracji, która jest zapisywana wania połączenia z zarządzanym guracji dla urządzeń końcowych. w pamięci systemu zarządzającego urządzeniem przy pomocy protokołu W ten sposób wprowadzenie nowej a następnie może zostać przesłana Telnet lub SSH, istnieje również polityki lub zmian na wielu urządzedo poszczególnych urządzeń. Istnieje możliwość dostępu z poziomu GUI niach jest bardzo proste i odbywa się możliwoś ć porównania wprowa- co znacznie przyśpiesza i ułatwia jego szybko. dzonych zmian. W tym przypadku konfigurację. zostanie wyświetlony plik w postaci Integracja z serwisem FortiGuard, Wersje fizyczne wydanych z poziomu CLI komend k t ó r y p u b l i k u j e s y g n a t u r y z p o d ś w i e t l o ny m i d o d a nym i , z abezpiec zeń umoż liwia pobie - Oprócz wersji wirtualnej, FortiManager usuniętymi lub zmodyfikowanymi ranie aktualizacji przez klientów jest również dostępny w postaci sprzęliniami. Oczywiście w dowolnym końcowych bezpośrednio z systemu towej. Od modelu 5001A dostępnego mome nc ie is t nieje mo ż liwo ś ć zarządzającego. jako moduł blade do ur z ądzeń powrotu do stanu poprzedniego. FortiManager posiada domyślnie FortiGate z serii 5000 do modelu Również w przypadku modyfikacji w b u d o w a n ą f u n k c j o n a l n o ś ć 2 0 0D, k tór y jest najmniejszym dokonanych przez administratora For ti A nalyzer, k tór y umożliwia urządzeniem z rodziny Managerów. lokalnego zmiany są zapisywane rejestrowanie zdarzeń, przetwarzanie W zależności od wymagań Klienta w systemie centralnym. Znacznie danych czy analizę logów. Dzięki dostępne są różne wersje różniące 38 zwiększa to bezpieczeństwo oraz daje pełną kontrolę nad urządzeniem. Integrujemy przyszłość® Numer: I/2014 (126) FMG200D FMG300D FMG400C FMG-1000D FMG3000C FMG-4000D FMG5001A Maksymalna liczba urządzeń / ADOM’ów 30 300 300 800 5000 4 000 4 000 Maksymalna liczba web portali - - - 800 5000 4 000 4 000 Maksymalna ilość zbieranych logów na dzień (GB) 2 2 2 2 2 2 2 Interfejsy fizyczne 4x GE RJ45 4x GE RJ45 4x GE RJ45 6x GE RJ45 2x SFP 4x GE RJ45 4x GE RJ45 2x SFP 2X GE RJ45 Pojemność dyskowa 1x 1TB 2x 2TB 1x 1TB 4x 2TB (8 TB max) 2x2 TB (12 TB max) 8x 2TB (16 TB max) 1x 80GB Obsługa RAID NIE TAK (0,1) NIE TAK (0,1,5,6,10,50,60) TAK (0,1,10) TAK (0,1,5,6,10,50,60) NIE Wymienne dyski twarde NIE NIE NIE TAK TAK TAK NIE Redundantne zasilacze typu hot swap NIE NIE NIE TAK NIE TAK TAK (wbudowane w chassis) Tabela 2. Zestawienie wybranych parametrów wersji fizycznych FortiManager się od siebie np. maksymalną ilością obsługiwanych urządzeń, możliwością dodawania zewnętrznych dysków twardych lub obs ł ugiwanych redundantnych zasilaczy typu hot swap. W przypadku wersji fizycznej nie ma potrzeby obciążania serwera poprzez instalowanie na nim wirtualnych instancji, jednak należy zapewnić odpowiednią redundancję. to idealne rozwiązanie zwłaszcza dla sieci, w których występuje wiele urządzeń Fortinet. Opracowane na podstawie oficjalnych materiałów producenta. P.M. Inżynier SOLIDEX Podsumowanie Rozwiązania centralnego zarządzania zaproponowane przez firmę Fortinet zwiększają efektywność funkcjonowania całej sieci, ułatwiają wdrożenia oraz wprowadzanie zmian, a wygodny, przemyślany i intuicyjny interfejs ułatwia korzystanie z systemu. Dzięki funkcjonalności FortiAnalyzer otrzymujemy również zaawansowany system monitorowania sieci. Jest Biuletyn Informacyjny SOLIDEX® 39 ROZWIĄZANIA Migracja z Cisco Prime LMS do Cisco Prime Infrastructure Cisco Prime Infrastructure jest kompleksowym narzędziem do zarządzania infrastrukturą sieciową. Łączy ono w sobie bezprzewodowe funkcjonalności Cisco Prime Network Control System (NCS) z przewodowymi funkcjonalnościami Cisco Prime LAN Management Solution (LMS). W związku z pojawieniem się Cisco Prime Infrastructure, prace nad rozwojem NCS i LMS zostały wstrzymane. Migracja z NCS do Cisco Prime Infrastructure jest stosunkowo prosta, gdyż oba te systemy posiadają analogiczne funkcjonalności. Bardziej skomplikowane jest przejście z LMS, gdyż w tym przypadku nie nastąpił odwzorowanie funkcjonalności jeden do jednego. C isco P r ime Infrastr uc ture jest naturalną ścieżka aktualizacji dla klientów Cisco Prime Network Control System (NC S) i Wireless Control System (WCS). Wszystkie te systemy posiadają analogiczne funkcjonalności zwią zane z zarządzaniem siecią bezprzewodową . Ponadto Cisco Prime Infrastructure wspiera również podstawowe funkcjonalności LMS, dotyczące zarządzania urządzeniami sieci przewodowej. Mimo, że nie jest to bezpośrednie przeniesienie poszczególnych funkcjonalności, to Cisco Prime Infrastructure jest zalecaną ścieżką przejścia również dla klientów LMS. Oznacza to, że Cisco Prime LMS nadal będzie otrzymywał wsparcie Day-1 Device Support, utrzymanie i aktualizacje zabezpieczeń, natomiast nie 40 będą rozwijane żadne nowe funkcjonalności. Klienci Cisco Prime LMS 4.x z aktywnymi umowami serwisowymi na utrzymanie oprogramowania mogą bezpłatnie otrzymać oprogramowanie zarówno Cisco Prime Infrastructure 1.x jaki i LMS 4.2 z odpowiednimi licencjami. Klienci nie posiadający wsparcia oprogramowania lub też Klienci CiscoWorks LMS 3.x lub 2.x mogą natomiast przejść na Cisco Prime Infrastructure po obniżonych kosztach. Prime LMS, to obecni Klienci LMS zachęcani są do poznania możliwości Cisco Prime Infrastructure, jego oceny i rozpoczęcia opracowywania planu migracji z kilku powodów: • C isc o P r ime Inf rast r uc ture zarządza sieciami przewodowymi i bezprzewodowymi za pomocą zintegrowanej aplikacji, poprawiając w ten sposób efektywność operacyjną, przy jednoczesnej redukcji kosztów administracyjnych; • Jego funkcjonalności będą rozszeKorzyści wynikające rzane, aby całkowicie zastąpić Cisco z migracji Cisco Prime LMS Prime LMS dla sieci przewodowych. do Cisco Prime Infrastructure Now e f u nk c j o na lno ś c i b ę d ą opracowywane tylko dla platformy Mimo, że Cisco Prime Infrastructure Cisco Prime Infrastructure; nie posiada bezpośrednio odwzo- • C i s c o P r i m e I n f r a s t r u c t u r e rowanych funkcjonalności Cisco oferuje zwiększoną efektywność Integrujemy przyszłość® Numer: I/2014 (126) operacyjną poprzez nowy intuicyjny interfejs użytkownika; • R e duk uje k o s z t y op e r ac yjne poprzez bardziej skalowalny system – do 18.000 urządzeń na serwer i poprawia zdolność do wizualizacji ponad 500.000 urządzeń na system. jako odrębnej maszyny wirtualnej lub fizycznego urządzenia. W celu ułatwienia sprawnego przejścia Cisco zaleca wdrożenie Prime Infrastructure początkowo w środowisku nieprodukcyjnym by ocenić jego możliwości przy jednoczesnym używaniu Cisco Prime LMS w sieci produkcyjnej. Następnie można rozpocząć systemaPlanowanie procesu migracji tyczne przenoszenie poszczególnych funkcjonalności LMS do Cisco Prime Cisco zaleca wszystkim obecnym Infrastructure do momentu, aż będzie klientom LMS zainstalować Cisco moż na c ałkowicie zlikwidować Prime Infrastructure, aby porównać serwer LMS. Skrypt migracji danych jego możliwość w stosunku do możli- zapewniony w LMS 4.2.x ułatwia wości Cisco Prime LMS. Klienci LMS dzielenie się listą urządzeń i danymi 4.x są uprawnieni do równoległego uwierzytelniającymi z Cisco Prime wdrożenia Cisco Prime Infrastructure Infrastructure. Inne istotne dane LMS Deployment Model Single server użytkownika LMS 4.2.x mogą zostać zarchiwizowane i udostępnione jako kopia zapasowa dla serwera Cisco Prime Infrastructure. Gdy wszystkie wymagane funkcjonalnoś ć L MS będą już wspierane w Cisco Prime Infrastructure, serwer LMS może zostać zlikwidowany. Klienci LMS 2 .x i 3.x chcący zachować swoje dotychczasowe dane muszą najpierw przeprowadzić aktualizację do LMS 4.2, a następie skorzystać ze skryptu migracji danych, aby przejść do Cisco Prime Infrastructure. LMS wspiera trzy modele wdrażania: single ser wer, master-slave for functional scalability i master-slave for geographic distribution. Tabela 1 Cisco Prime Infrastructure Deployment Single VM or appliance Choose the corresponding Open Virtualization Format Archive (OVA) and VM specification for the number of devices to be managed (Optional: Migrate data from LMS 2.x/3.x) • Migrate LMS 2.x/3.x data to LMS 4.2 • Execute LMS 4.2 migration script to back up LMS 4.2 data and import into Cisco Prime Infrastructure* (Optional: Migrate data from LMS 4.2) • Execute migration script to back up LMS 4.2 data and import into Cisco Prime Infrastructure* Master-slave (functional distribution) Consolidate into a single VM or appliance Chose the corresponding OVA and VM specification for the total number of devices to be managed (Optional: Migrate data from LMS 2.x/3.x) • Upgrade LMS 2.x/3.x master to LMS 4.2 • Execute LMS 4.2 migration script from LMS 4.2 master server to back up data and import into Cisco Prime Infrastructure* (Optional: Migrate data from LMS 4.2) • Execute migration script from LMS 4.2 master server to back up data and import into Cisco Prime Infrastructure* Master-slave (geographic distribution) Cisco Prime Infrastructure base license and Lifecycle device licenses required for each server instance VM or appliance required for each LMS server For each server, chose the corresponding OVA and VM specification for the number of devices to be managed (Optional: Migrate data from LMS 2.x/3.x) • Upgrade each LMS 2.x/3.x server to LMS 4.2 • Execute LMS 4.2 migration script from each LMS 4.2 server to back up data and import into each corresponding Cisco Prime Infrastructure server* (Optional: Migrate data from LMS 4.2) • Execute migration script from each LMS 4.2 server to back up data and import into each corresponding Cisco Prime Infrastructure server* Tabela 1. Sposoby przejścia z LMS do Cisco Prime Infrastructure Biuletyn Informacyjny SOLIDEX® 41 ROZWIĄZANIA Rys. 1. Eksportowanie listy urządzeń i danych uwierzytelniających z LMS 4.2.x Rys. 2. Importowanie listy urządzeń i danych uwierzytelniających do Cisco Prime Infrastructure przedstawia sposoby przejścia do Cisco Prime Infrastructure dla każdego modelu wdrażania. Migracja z Cisco Prime LMS do Cisco Prime Infrastructure Z poziomu interfejsu użytkownika LMS 4.2.x istnieje bezpośredni sposób, aby ekspor tować listę urządzeń z danymi uwierzytelniającymi, które mogą zostać użyte przez Cisco Prime Infrastructure. Aby wyeksportować te dane należy przejść do zakładki Admin > Export Data to Cisco Prime Infrastructure. Następnie należy wybrać Expor t Device L ist and Credentials z opcji ekspor tu, jak pokazano na rysunku 1. Kiedy mamy już wyeksportowaną listę urządzeń z danymi uwierzytelniającymi, mogą one teraz zostać zaimportowane do Cisco Prime Infrastructure poprzez zakładkę Operation > Device Work Center > Bulk Import, jak pokazano na rysunku 2. Dodatkowo Cisco Prime Infrastructure w wersji 2.0 pozwala nam również na przeniesienie danych użytkownika z LMS 4.2.x. Aby to wykonać, należy pos t ę pować we d ł ug poni ż s zej procedury: 1. W LMS 4.2.x przejść do zakładki Admin > Export data to Cisco Prime Infrastructure i wybrać opcję Export complete data of LMS. 2. W Cisco Prime Infrastrucure 2.0 skonfigurować repozytorium (może być lokalne lub zdalne). Repozytorium wskazuje gdzie znajduję się plik kopii zapasowej. Sposób 42 ncs-br-n45/admin# config ter Enter configuration commands, one per line. End with CNTL/Z ncs-br-n45/admin(config)# repository test ncs-br-n45/admin(config-Repository)# url ftp://ipaddress/ foldername ncs-br-n45/admin(config-Repository)# end ncs-br-n45/admin# Rys. 3. Sposób tworzenia repozytorium ncs/admin# lms migrate repository repo Repository name: repo Initiating LMS data restore. Please wait... Rys. 4. Importowanie kopii zapasowej LMS do Cisco Prime Infrastructure Initiating LMS data restore. Please wait... INFO: no staging url defined, using local space. INFO: Backup Status: SUCCESS Enter the password to unlock the zip file: ** Rys. 5. Wprowadzanie hasła do pliku kopii zapasowej Enter the Cisco Prime Infrastructure Login Username: root Enter the Cisco Prime Infrastructure Login Password: ***** Rys. 6. Logowanie do Cisco Prime Infrastructure The following data types are available in the given exported data. Choose an option using comma separated values to migrate. 1 network 2 setting 3 All of the above Enter an option or comma-separated options : 3 Rys. 7. Wybór danych do przeniesienia Integrujemy przyszłość® Numer: I/2014 (126) tworzenia repozytorium pokazany jest na rysunku 3. 3. Zaimportować kopię zapasową LMS do Cisco Prime Infrastructure (w tr ybie admin) za pomoc ą poniższego używając polecenia z rysunku 4. 4. Po z a imp or t owa niu da nyc h z serwera LMS do Cisco Prime Infrastructure 2.0 dane podzielone są na cztery grupy: A. Network data (mandatory) • DCR (Device Credential Repository) import • Static group import • Dynamic group import • LMS users import • SWIM image import • User-defined templates B. Settings (mandatory) – MIBS Image import C. User objects D. Historic data (optional data) Obecnie Cisco Prime Infrastructure wspiera tylko importowanie grupy A i B. 5. Następnie należy wpisać hasło do pliku .zip (jak pokazano na rysunku 5), które zostało utworzone podczas eksportu danych z LMS w celach bezpieczeństwa. 6. W k o l e j n y m k r o k u n a l e ż y wprowadzić nazwę użytkownika i hasło do interfejsu graficznego Cisco Prime Infrastructure (jak na rysunku 6), aby umożliwić importowanie danych LMS. 7. Aby przenieść wszystkie możliwe dane należy wybrać opcję 3 (jak pokazano na rysunku 7 ) i pozwolić aby dane z LMS 4.2.x zostały przeniesione na serwer Cisco Prime Infrastructure. Porównanie funkcjonalności Cisco Prime LMS i Cisco Prime Infrastructure W tabelach 2, 3 i 4 przedstawiono Legend ● Equivalent Support ◦ Partial Support – Pending Support Not Supported GREEN Cisco Prime Infrastructure only Cisco Prime Cisco Prime LMS 4.2 Infrastructure Infrastructure 2.0 Lifecycle Future Plan Wired Converged Converged Functional Capability Scope Notes System Virtual machine (VM) soft appliance server ● ● ● Phisical appliance server ◦ ● ● Pre-imaged with Cisco Prime Infrastructure 2.0 Maximum scalability 5000 18,000 100,000+ Scalability of multi-server view with Cisco Prime Infrastructure cluster in future High Availability (HA) ◦ ● ● Built-in active-standby HA in Cisco Prime Infrastructure 1.2 TAC service requests ● ● ● Support communities search ● ● ● API: REST ◦ ● Cisco Identity Services Engine (ISE) integration ● ● Cisco Mobility Services Engine (MSE) integration ● ● IPhone Mobile Application ● ● Cisco Prime Infrastructure toolbar ● Tabela 2. Porównanie funkcjonalności Cisco Prime LMS i Cisco Pime Infrastructure Biuletyn Informacyjny SOLIDEX® 43 ROZWIĄZANIA Functional Capability Cisco Prime Cisco Prime LMS 4.2 Infrastructure Infrastructure 2.0 Lifecycle Future Plan Notes Monitor Event/syslog monitoring ● ● ● Generic trap monitoring ● ● Northbound notification ● ◦ ● Device health monitoring ● ● ● Interface health monitoring ● ● ● Performance monitoring ● ● Requires Assurance license Application performance monitoring ● ● Requires Assurance license IP service-level agreement (SLA) management ● – ● Topology ● – ● N-hop viewer ● – ● Service path trace ● ● Requires Assurance license User tracking (UT) ● ● ● Supports both wired and wireless UTLite ● – – UT utility ● – ● End-user experience monitoring ● ● Requires Assurance license Client device type profiling ● ● Requires Cisco Identity Services Engine Autometed service baseline ● ● Requires Assurance license NetFlow monitoring ● ● Requires Assurance license Medianet monitoring ● ● Requires Assurance license Performance Agent ● ● Requires Assurance license NBAR monitoring ● ● Requires Assurance license Application visibility and control ● ● Requires Assurance license Multi-NAM management ● ● Requires Assurance license RF management and tools ● ● Real-time troubleshooting ● ● 360 views ● ● Quality of service (QoS) monitoring ● Requires Assurance license Day 1 device support ● ◦ ● See LMS Device Support Reference Cisco Unified Wireless support ● ● Cisco Unified Access support ● ● Third-party support ◦ ◦ ● Discovery ● ● ● Inventory ● ● ● Inventory change notification ● – – EoX/PSIRT reporting ● ● ● Contract connections ● – ● Requires Assurance license Inventory Tabela 3. Porównanie funkcjonalności Cisco Prime LMS i Cisco Pime Infrastructure 44 Integrujemy przyszłość® Catalyst® 3850 and 5760 WLC Numer: I/2014 (126) Functional Capability LMS 4.2 Cisco Prime Cisco Prime Infrastructure Infrastructure 2.0 Lifecycle Future Plan Notes Configuration Configuration archive ● ● ● Configuration templates ● ● ● Change audit ● ● Configuration discrepancy ● ◦ ◦ Best practices deviation ● – ● Baseline compliance ● – ● Plug-and-play deployment ● ● Simplified Day 0/1 Config ● ● Mobility management ● ● Unified access Regulatory compliance ● ◦ ● Cisco Prime Infrastructure 2.0 supports wireless PCI DSS auditing Software image management ● ● ● CiscoView ● – ◦ Cisco EnergyWiseTM™ management ● – ● Cisco TrustSec®® management ● ◦ ● Medianet management ● – ◦ Auto Smartports management ● – – Smart Install management ● – – VLAN management ● ● IPv6 support ● ◦ ◦ IPv6 readiness assessment – Application visibility and control ● ● Zone-based firewall and configuration ● ● Get/DMVPN configuration ● ● ScanSafe configuration ● ● ● Work Centers and Technologies ● Plug-and-play could be used as an alternative Cisco Prime Infrastructure 2.0 has IPv6 and client support Tabela 4. Porównanie funkcjonalności Cisco Prime LMS i Cisco Pime Infrastructure porównanie funkcjonalności Cisco Prime LMS 4.2 i Cisco Prime Infrastructure 2.0. Pokazano również plany wsparcia poszczególnych funkcjonalności LMS 4.2 w przyszłych wersjach Cisco Prime Infrastructure. Porównanie to zapewnia klientom LMS wskazówki i rekomendacje pozwalające zapewnić płynne przejście do Cisco Prime Infrastructure. Pomaga ono szybko ocenić klientom LMS, które funkcjonalności zostały przeniesione do Cisco Prime Infrastructure, a które będą przeniesione w przyszłości. Opracowano na podstawie oficjalnych materiałów producenta. K.K. Inżynier SOLIDEX Biuletyn Informacyjny SOLIDEX® 45 Warsztaty Check Point Next – Generation Firewall R76 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową – Warsztaty Check Point Next – Generation Firewall R76. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami – IPS, Content Security, Integracja z ActiveDirectory – budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.SOLIDEX.com.pl/oferta/warsztaty Integrujemy przyszłość® Autoryzowane Szkolenia Cisco Systems Program SOLIDEX ® ICND1 Interconnecting Cisco Network Devices Part 1 ICND2 Interconnecting Cisco Network Devices Part 2 CCNAX Interconnecting Cisco Networking Devices: Accelerated ROUTE Implementing Cisco IP Routing SWITCH TSHOOT BGP MPLS QOS IINS SECURE FIREWALL VPN Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks Configuring BGP on Cisco Routers Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Securing Networks with Cisco Routers and Switches v1.0 Deploying Cisco ASA Firewall Features Deploying Cisco ASA VPN Solutions CIPT1 Implementing Cisco Unified Communications Manager Part 1 v8.0 CIPT2 Implementing Cisco Unified Communications Manager Part 2 v8.0 CWLMS IP6FD Implementing CiscoWorks LMS IPv6 Fundamentals, Design, and Deployment IUWNE Implementing Cisco Unified Wireless Networking Essentials DESGN Designing for Cisco Internetwork Solutions ARCH Designing Cisco Network Service Architectures Infolinia: 800 49 55 82 Kraków Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944. Nakład: 2500 egz. Redakcja: Zespół Komunikacji Marketingowej SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] www.integrator.SOLIDEX.com.pl