Integrator Nr I/2014 (126)

Transkrypt

Integrujemy przyszłość®
Biuletyn Informacyjny SOLIDEX®
Nr I/2014 (126)
Wiosenna Akcja
Porządek w Sieci 2014
czytaj str. 4
W numerze
między innymi:
NOWOŚCI:
 Websense TRITON – co
nowego w 2014?
TECHNOLOGIE:
 Interfejsy 40 Gigabit bez
tajemnic
ROZWIĄZANIA:
 Infoblox NetMRI – przepis
na skuteczne zarządzanie
siecią złożoną z wielu
dostawców platform
aktywnych
ISSN 1233–4944
www.integrator.SOLIDEX.com.pl
Gold Certified Partner
Cisco Learning Specialized Partner
Check Point Platinum Partner
Check Point Collaborative
Certified Support Provider
Elite Partner
J-Partner Elite
Gold Partner
Websense Platinum Partner
Numer: I/2014 (126)
Szanowni Państwo,
Z przyjemnością przedstawiamy Państwu kolejny numer naszego biuletynu informacyjnego INTEGRATOR. Wychodząc
naprzeciw ciągłej potrzebie zdobywania wiedzy o nowościach i zmianach w branży IT, chcemy podzielić się z Państwem
doświadczeniem naszych SOLIDnych EXpertów.
Szczególnej uwadze polecamy artykuł poświęcony akcji „Porządek w Sieci”, która cieszy się coraz większym
zainteresowaniem. Już po raz trzeci mamy przyjemność zaprosić Państwa na kolejną odsłonę naszego seminarium,
tym razem, poświęconemu rozwiązaniom bezpieczeństwa i zarządzaniu infrastrukturą IT. Więcej szczegółów
znajdą Państwo w tekście „Trzecia edycja akcji Porządek w Sieci” na stronie 4.
W bieżącym numerze INTEGRATORA w dziale Nowości prezentujemy artykuły dotyczące innowacyjnej jakości zarządania
(„Juniper Secure Analytics – nowa platforma, nowa jakość zarządzania”, na stronie 12), nowych rozwiązań firm Websense
(„Websense TRITON – co nowego w 2014?”, na stronie 8) i Cisco („Instant Access – nowości w implementacji sieci
kampusowej, sposób realizacji, filozofia, wymagania sprzętowe”, na stronie 16).
Chcielibyśmy zachęcić Państwa do zapoznania się z rozwiązanymi proponowanymi między innymi przez firmy
Infoblox („Infoblox NetMRI – przepis na skuteczne zarządzanie siecią złożoną z wielu dostawców platform aktywnych”,
na stronie 32) i Fortinet („Centralne zarządzanie Fortinet – FortiManager”, na stronie 36).
Pozostałe artykuły to opis technologii QSFP („Interfejsy 40 Gigabit bez tajemnic”, na stronie 20) i Cisco („Nowe
przełączniki modułowe serii Cisco Catalyst 6800”, na stronie 25).
Mamy nadzieję, że prezentowane tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa, którzy zainteresowani
są prenumeratą zapraszamy do zapoznania są z naszym serwisem www.integrator.SOLIDEX.com.pl.
Życzymy przyjemnej lektury!
Zespół SOLIDEX
Spis treści
WYDARZENIA
4
6
6
6
7
Trzecia edycja akcji „Porządek w Sieci”
SOLIDEX Najlepszym Partnerem F5 Networks 2013 roku
Realizacja projektu modernizacji sieci dla Volkswagen Poznań Sp. z o.o.
SOLIDEX wyróżniony za największą sprzedaż Check Point w roku 2013
Zmiany w ścieżce certyfikacyjnej CISCO CCNP Security
NOWOŚCI
8
12
16
Websense TRITON – co nowego w 2014?
Juniper Secure Analytics – nowa platforma, nowa jakość zarządzania
Instant Access – nowości w implementacji sieci kampusowej,
sposób realizacji, filozofia, wymagania sprzętowe
TECHNOLOGIE
20
25
Interfejsy 40 Gigabit bez tajemnic
Nowe przełączniki modułowe serii Cisco Catalyst 6800
ROZWIĄZANIA
29
32
36
40
Cisco Prime LMS – Compliance and Audit Manager
– łatwy sposób na dostosowanie konfiguracji urządzeń do standardów
Infoblox NetMRI – przepis na skuteczne zarządzanie siecią złożoną
z wielu dostawców platform aktywnych
Centralne zarządzanie Fortinet – FortiManager
Migracja z Cisco Prime LMS do Cisco Prime Infrastructure
WYDARZENIA
Trzecia edycja akcji „Porządek w Sieci”
Już po raz trzeci organizujemy spotkania z SOLIDnymi Expertami w ramach
edukacyjno–promocyjnej akcji „Porządek w Sieci”. Ponad dwie dekady
doświadczeń SOLIDEX na rynku rozwiązań sieciowych w Polsce to niemalże
niewyczerpalne źródło wysokospecjalistycznej wiedzy, którą chcemy się
dzielić z naszymi Klientami odpowiedzialnymi za infrastrukturę sieciową.
Wiosną 2013 roku zaproponowaliśmy
naszym K lientom, Sympatykom
i Partnerom biznesowym wspólne
aktywności, mając na celu uporządkowanie całego szeregu problemów
szeroko pojętej infrastruktury sieciowej
do których można zaliczyć m.in.:
• bezpieczeństwo,
• administracja i zarządzanie,
• optymalne wykorzystanie,
• właściwa modernizacja.
Zostało wtedy wyodrębnionych pięć
zagadnień, którym poświęcono uwagę:
• WIEDZA – problemy
do uporządkowania
Bazując na ponad dwudziestoletnim
doświadczeniu SOLIDEX w budowie
rozwiązań sieciowych oraz ich serwisowaniu, w trakcie prezentacji wyodrębniono i omówiono nast ępujące
moduły: warstwa transpor towa,
segmentacja sieci, bezpieczeństwo
i styk z sieciami zewnętrznymi,
4
utrzymanie i zarządzanie, przechowywanie danych oraz użytkownicy.
• WIEDZA – porządek
w bezpieczeństwie
W czasie prezentacji przybliżono
najważniejsze rozwiązania technologiczne związane z bezpieczeństwem
sieciowym stanowiące trzon bez
którego współczesne sieci w praktyce
nie mogą efektywnie funkcjonować,
a jednocześnie są punktem wyjścia
dla instalacji bardziej wyrafinowanych
systemów ochrony i zarządzania
bezpieczeństwem.
• WIEDZA – porządek
w utrzymaniu
Przedstawione zostały działania, jakie
trzeba podjąć, żeby utrzymywane
ś r o dowisko d z ia ł a ł o s t abilnie
i wydajnie, ale tak że po to, aby
„praca w utrzymaniu” była wydajna
i efektywna. Dużo miejsca poświęcono
narzędziom pomagającym pozyskać
wiedzę o utrzymywanym środowisku,
szybko reagować na pojawiające
się problemy, a także przewidywać
problemy w przyszłości i reagować
na nie z odpowiednim wyprzedzeniem.
• DZIAŁANIA – jak i z czego wybrać
Głównym celem prezentacji było
pr zedst awienie wzorcowego
modelu prowadzenia projektu IT
z punktu widzenia doświadczonego
integratora, jakim jest SOLIDE X .
Wspominany proces podzielono
na sześć etapów(geneza powstania
projektu, dobór rozwiązania, testy
pilotażowe, oferta, realizacja, opieka
powdrożeniowa), które zostały szczegółowo omówione.
• SIEĆ – jaka, kiedy i po co, czyli
dużo tego dobrego
Przedstawiona została analiza technologii budowy sieci i tego, co dookoła
nich się działo w perspektywie
czasu, podejmując dodatkowo próbę
Numer: I/2014 (126)
przewidzenia tego, co może czekać
w przyszłości.
atakami z zewnątrz – rozwiązania
F5 Application Security Manager.
Seminaria SOLIDE X to nie tylko
sucha wiedza teoretyczna, to również
praktyczne demonstracje rozwiązań
„na żywo”.
Jesienią 2013 roku zostały zaprezentowane cztery wykłady, cztery
praktyczne pokazy na żywo. Swoją
tematyką obejmowały zagadnienia
szeroko rozumianego bezpieczeństwa
sieciowego, w szczególności takie jak:
• Podwójna ochrona przed atakami
DDoS za pomocą rozwiązania firmy
CheckPoint DDoS Protector oraz
autorskiej aplikacji firmy SOLIDEX–
SOLID.rtbh;
• Proaktywne zarządzanie siecią,
praktyczne wykorzystanie Cisco ISE
do autentykacji, autoryzacji i profilingu urządzeń mobilnych;
• Zautomatyzowane rozwiązania do
wykrywania i analizy zagrożeń,
w tym systemy detekcji intruzów,
zapory sieciowe nowej generacji
oraz zaawansowana ochrona przed
złośliwym oprogramowaniem –
rozwiązania SourceFire;
• Ochrona aplikacji webowych przed
Wiosną 2014 odbędzie się trzecia
ser ia spot ka ń w ramac h akc ji
„Por z ądek w Siec i”. Seminar ia
dotyczyć będą zagadnień bezpieczeństwa oraz zarządzania siecią.
Poruszane tematy, uzupe ł nione
prak tyc z nymi pok a z ami, k t óre
zostaną zaprezentowane dotyczyć
będą następujących rozwiązań:
• Juniper JSA (SIEM) – wykrywanie
zagrożeń przy pomocy korelacji
zdarzeń
Ewolucja i ciągłe zmiany zagrożeń
wymuszają sz ybk ą reakc ję
na obserwowane zdarzenia. Ilość
gromadzonych zdarzeń i parametrów identyfikujących st an
sieci rośnie z dnia na dzień. JSA
(Juniper Secure Analytics) pozwala
na sprawną, szybką i efektywną
ich analizę.
• Infoblox NetMRI – metody
zarządzania sieciami wielu
dostawców
Poprawno ś ć dział ania siec i
w du ż ym stopniu uzale ż niona
jest od wysok iej dost ę pno ś c i
kluczowych usług. Przy pomocy
platformy NetMRI w tym samym
czasie można zarządzać konfiguracjami urządzeń wielu producentów,
ich zgodnością ze standardami
f ir mowymi w inf ras t r uk tur ze
sieciowej.
• Websense TRITON – bezpieczeństwo na styku z Internetem
Skuteczna ochrona na styku z siecią
Internet. Co zmieniło się i dokąd
zmierza bezpieczeństwo w tym
obszarze. Produkty bezpieczeństwa
każdego roku dą żą do doskonałości. Zmieniają się wersje, a za nimi
zwiększają się możliwości. Czym
zaskoczy nas Websense i co przygotował na 2014 rok?
• Cisco Prime – zarządzanie, monit or ing or a z ś le d z e nie z mia n
urządzeń w sieci
C is c o P r ime je s t nar z ę d z iem ,
które może w znaczącym stopniu
upro ś c ić zar z ądzanie siec ią
zbudowaną w oparciu o urządzenia
Cisco. Możliwości tego produktu
obejmują m.in. zarządzanie konfiguracjami oraz oprogramowaniem
urządzeń, monitorowanie historii
zmian zarówno konfiguracji jak
i wypos a ż enia spr z ę t owego
urz ądzeń, śledzenie u ż ytkow ników/s t ac ji końc owych ora z
wizualizację zarówno topologii
sieciowej jak i samych urządzeń
sieciowych.
Spotkania odbędą się w siedzibach
naszych oddziałów w:
• Gdańsku – 1 kwietnia,
• Poznaniu – 2 kwietnia,
• Wrocławiu – 3 kwietnia,
• Warszawie – 8 kwietnia,
• Krakowie – 11 kwietnia.
Serdecznie zapraszamy do rejestracji
na naszą akcję, wszelkie informacje
organizacyjne – zarówno o aktualnej
oraz o archiwalnych edycjach Akcji
– są dostępne na www.porzadek.
SOLIDEX.com.pl
Mamy nadzieję, że nasza Akcja na stałe
wpisze się w Państwa kalendarze.
®
Zespół SOLIDEX ®
5
WYDARZENIA
SOLIDEX Najlepszym Partnerem F5 Networks 2013 roku
Z przyjemnością informujemy, że SOLIDEX otrzymał I miejsce jako Najlepszy
Partner firmy F5 Networks 2013 roku. Przyznany tytuł jest potwierdzeniem
wysokich kwalifikacji w zakresie sprzedaży, wdrażania a także utrzymania
produktów firmy F5 Networks.
Przyznając tytuł Najlepszego Partnera
firma F5 Networks doceniła także
zaangażowanie oraz nieustającą
dbałość firmy SOLIDEX w podnoszeniu
kompetencji pracowników, co pozwala
na konsekwentne podwyższanie
jakości oferowanych usług.
F5 Networks jest czołowym produc entem ofer ując ym ur z ądzenia
do budowy złożonej infrastruktury
sieciowej, której główną cechą jest
nadążanie za zachodzącymi w biznesie
zmianami.
SOLIDEX jest wieloletnim posiadaczem
najwyższego statusu partnerskiego
F5 Gold Partner.
Realizacja projektu modernizacji sieci dla Volkswagen Poznań Sp. z o.o.
Na przełomie 2013 i 2014 roku SOLIDEX rozpoczął realizację projektu modernizacji sieci przemysłowej dla Volkswagen
Poznań Sp. z o.o. W ramach tego projektu SOLIDEX zmodernizuje sieć pasywną oraz przeprowadzi proces wymiany
urządzeń sieciowych dla infrastruktury teleinformatycznej.
Projekt obejmuje wymianę centralnego
węzła szkieletowego oraz systemu
zabezpiec zeń wraz z systemem
zarządzania. Całość „nowej sieci”
objęta zostanie profesjonalnymi
usługami serwisowymi świadczonymi
przez SOLIDEX na czas 12 miesięcy.
Dodatkowo w ramach podwyższenia
kwalifikacji pracowników Volkswagen
Poznań Sp. z o.o. SOLIDEX przeprowadzi
pakiet autorskich szkoleń.
SOLIDEX wyróżniony za największą sprzedaż Check Point w roku 2013
Firma Check Point jest od lat jednym
z liderów wśród rozwiązań systemów
bezpiec zeństwa dost ępnych na
rynku. W tym roku firma SOLIDEX
została wyróżniona za największą
sprzedaż produktów Check Point
w 2013 roku. Nagroda przyznana
została za wysokie wyniki sprzedaży,
co jest wyrazem docenienia naszej
profesjonalnej kadry inżynierskiej
sukcesywnie wdrażającej produkty
6
Check Point. Tytuł ten, jest potwierdzeniem najwyższych kompetencji
inżynierów SOLIDEX oraz gwarancji
dla Klienta, jakości oferowanych
wdrożeń, a następnie samego utrzymywania serwisu.
SOL IDE X wspó ł pracuje z firmą
Check Point od 2000 roku. Oprócz
posiadanego statusu Collaborative
Certified Support Provider, od roku
2005 SOLIDEX nieustannie utrzymuje
najwyższy partnerski status Check
Point Platinum Partner.
Numer: I/2014 (126)
Zmiany w ścieżce certyfikacyjnej CISCO CCNP Security
Specjalizacja CCNP Security dedykowana jest inżynierom do spraw bezpieczeństwa sieci, którzy odpowiedzialni
są za systemy zabezpieczeń oraz planowanie i kształtowanie polityki bezpieczeństwa w organizacji. Specjaliści tej
dziedziny IT są cenionymi i nieustannie poszukiwanymi przez rynek pracownikami.
2 1 styc znia 2 014 C isco ogłosiło
oficjalnie zmianę ścieżki certyfikacyjnej CCNP Security, a co za tym idzie
zmianę dotychczasowych kursów
z tej ścieżki na zupełnie nowe.
Z dnie m 2 1 . 0 4 . 2 0 1 4 wyg a s aj ą
dotychc zasowe kursy: SECURE ,
F IR E WA L L , V P N, IP S ora z
powiązane z nimi egzaminy Cisco.
Pojawią się w ich miejsce zupełnie
nowe kursy: SISAS, SENSS, SIMOS,
SITCS oraz odpowiednie egzaminy.
Te c hnolog ic z nie i pr oduk t owo
zakres kursów starych i nowych nie
ma pokrycia.
Uzyskanie tytułu CCNP Security
wymagać będzie od ubiegającego
się inżyniera posiadania certyfikatu
CCNA Security (niezmiennie, tak jak
dotychczas) oraz zdania egzaminów:
• 300-206 SENSS – Implementing Cisco Edge Network Security
Solutions
• 300-207 SITCS – Implementing
Cisco Threat Control Solutions
• 300-208 SISAS – Implementing
Cisco Secure Access Solution
• 300-209 SIMOS – Implementing
Cisco Secure Mobility Solutions
Zaktualizowana ścieżka CCNP Security
obejmuje szeroki zakres nowych
produktów i technologii. Rozbudowane środowisko laboratoryjne daje
możliwość przetestowania i zintegrowania ze sobą wielu komponentów
sieciowych. Wśród nich można znaleźć:
routery z IOS 15.2.x, ASA 5500-X, ASA
CX, ACS, IPS Next Generation, CDA,
WSA, ESA, ISE oraz serwery LDAP,
czy MS AD.
O s oby, k t ór e posiadają z dane
egzaminy z aktualnej i obowiązującej
ścieżki CCNP Security (czyli SECURE,
FIREWALL, VPN, IPS), ale nie mają
jeszc ze „kompletu” eg zaminów,
powinni się spieszyć z przyst ąpieniem do zaliczenia wymaganego/
wymaganych egzaminów. Egzaminy
6 4 2 - 6 3 7-SEC UR E , 6 4 2 - 618 FIRE WALL , 6 4 2- 6 4 8 -VPN, oraz
642-627-IPS można zdawać najpóźniej
do dnia 21 kwietnia 2014.
Oprócz wyżej wymienionych kursów,
pojawią się również dodatkowe cztery
kursy Security, tzw. „produktowe”.
Będą one dotyczyły produktów
i technologii: Cisco ASA Next-Generation, Cisco IPS Next-Generation,
C isco A SA C X , integracji ISE +
WiFi oraz technologii BYOD. Będą
to odpowiednio:
• SASAC – Implementing Core Cisco
ASA Security
• SASAA – Implementing Advanced
Cisco ASA Security
• SWISE – Implementing and Configuring ISE for Wireless Engineers
• SBYOD – Implementing Cisco Bring
Your own Device Solutions
Terminy, które podaje Cisco jako daty
pojawienia się w portfolio wszystkich
w/w kursów produktowych, to koniec
maja 2014.
Szczegółowe informacje związane
ze zmianami dotyczącymi omawianych
szkoleń można znaleźć na stronie
http://www.cisco.com/web/learning/
landing/launch_security.html
Nowe kursy pojawią się w ofercie
SOLIDEX już wkrótce. Zapraszamy
zatem zainteresowanych. Jak zawsze
stawiamy duży nacisk na Solidną
Praktykę.
www.SOLIDEX.com.pl
7
NOWOŚCI
Websense TRITON – co nowego
w 2014?
Nieustający rozwój systemów usług elektronicznych pociągnął za sobą falę
zagrożeń, która wykorzystuje podatności w tych systemach. Do niedawna
sądzono, że systemy opierające się o mechanizmy sygnaturowe stanowią jedyną
skuteczną ochronę. Później pojawiły się systemy dynamicznej aktualizacji
i odpytywania o reputację usług zlokalizowanych w szeroko rozumianej
chmurze. W dniu dzisiejszym takie podejście jest w wielu aspektach skuteczne,
ale biorąc pod uwagę aktualny „rynek” zagrożeń nie gwarantuje ono ochrony
przed atakami 0-day. Jak wiele mechanizmów bezpieczeństwa musi zostać
aktywowanych aby zapewnić skuteczną ochronę przez takimi atakami? Coraz
częściej słyszymy o technologii typu sandbox, która ma stanowić rozwiązanie
dużej części współczesnych problemów. Websense jako czołowy producent
systemów bezpieczeństwa nie pozostaje niezauważony na tym polu. Wraz z nową
wersją swojej platformy TRITON dodany został kolejny element analizy.
ThreatScope
System ThreatScope jest usługą firmy
Websense działającą w chmurze, która
zapewnia zaawansowane mechanizmy wykrywania zagrożeń 0-day.
Do tego celu wykorzystywana jest
integracja z istniejącą już instalacją
Web Security Gateway Anywhere.
Pliki, które przepływają przez ten
system podlegają identycznej analizie,
która do tej pory była zaimplementowana w tym produkcie. Mówimy
8
tut aj o syg natur owym silnik u
antywirusowym, mechanizmach
heurystyc znych, bazie reputacji
i w konsekwencji całym silniku
Websense Advanced Classification
Engine . Do tej por y pliki był y
przepuszczane jeśli nie wykryto w nich
zagrożenia lub blokowane, jeśli system
znalazł dopasowanie w odpowiedniej
sygnaturze. Jeśli włączymy mechanizm
ThreatScope, pliki mogą zostać zaklasyfikowane jako podejrzane (suspicious files), które w takim momencie
zostają wysłane do mechanizmu
Websense ThreatScope działającego
w chmurze celem dokładniejszej
analizy. Ta dokładna analiza opiera się
o mechanizmy sanbox’ingu, w którym
obserwowane jest zachowanie danego
wystąpienia pliku celem stwierdzenia
jego rzeczywistej natury. Sandbox
zakłada uruchomienie pliku w środowisku wirtualnym odseparowanym
od innych systemów i sieci. Podczas
analizy monitorowane jest zachowanie
takiego procesu systemowego oraz
Numer: I/2014 (126)
jego mechanizmy infekcji. Ważne
w tej metodzie jest to, aby jak najlepiej
zasymulować typowe środowisko
testowe. Istotny jest sam system
operacyjny i również dodatkowe
oprogramowanie, które najczęściej
wykorzystywane jest w atakach
0-day jak, Adobe Acrobat Reader, Java,
Microsoft Office.
Jeśli plik zostaje zaklasyfikowany
jako złośliwy, uprzednio skonfigurowany mechanizm alarmów, wyśle
mail do administratora, który zawierać
będzie szczegóły zdarzenia.
Integracja Websense Web Seccurity
Gateway A nywhere oraz Email
S e c u r i t y G a t e w a y A n yw h e r e
z Websense TRITON ThreatScope
oferuje:
• Threat Scope dostarcza zaawansowaną ochronę przed złośliwym
oprogramowaniem oraz szczegółowy
system raportów, przedstawiający
rzeczywiste operacje i interakcje
ze środowiskiem w którym działa,
co finalnie umożliwia dogłębną
analizę incydentów bezpieczeństwa;
• File Sandboxing oferuje mechanizmy ochrony przed złośliwymi
dokumentami/plikami;
• URL Sandboxing zapewniający
ochronę przed złośliwymi linkami
przesyłanymi pocztą elektroniczną;
• Threat Sandboxing zapewnia ochronę
przed złośliwymi załącznikami
w wiadomościach email.
Wiemy już jakie możliwości posiada
ten system oraz kiedy i na jakim etapie,
plik trafi do chmury celem szczegółowej analizy:
• jeśli nie jest on już sklasyfikowany
jako niebezpieczny przez firmę
Websense i nie ma o nim informacji
w Master Database,
• przejdzie pozytywnie wszystkie
testy bezpiec zeństwa Security
Threats: File Analysis,
• zajdzie dopasowanie do profilu
Websense Security Labs,
• jest to typ pliku, który jest wspierany przez producenta. Aktualna
lista plików obejmuje: exe, Microsoft
Office 2003/2007/2010/2013 (Word,
Excel, PowerPoint, Archive files
(rar, 7z, gzip, tar, zip, arj, bz), pdf.
Szczegółowa lista dostępna jest
w bazie wiedzy producenta: Article
Number: 000006567.
Transakcja przy włączonym mechani z mie T h r e a t S c o p e w yg l ą d a
następująco:
1. Użytkownik podczas przeglądania
stron inter netowych zac zyna
ściągać plik.
2. W naszym przypadku plik nie został
rozpoznany jako zagrożenie, podczas
analizy przez klasyczne mechanizmy
bezpieczeństwa.
3. Plik pasuje jednak do skonfigurowanego profilu Websebse Security
Labs.
4. Dane wysyłane są do użytkownika
oraz do usługi ThreatScope działającej w chmurze producenta celem
szczegółowej analizy.
5. Analiza może potrwać do kilku
minut. W zależności od jego finału
podejmowana jest stosowna akcja.
6. Jeśli plik jest złośliwy, wysyłana
jest wiadomość do skonfigurowanych wc ześniej odbiorców.
Zawiera ona szczegóły przeprowadzonej analizy w formie raportów.
Przykładowy rapor t dostępny
na stronie producenta pod adresem:
https://www.websense.com/assets/
pdf/ThreatReport-Complete.pdf
i remediacji danego przypadku.
7. Administrator po zapoznaniu się
z wynikami analizy może przestąpić
do planowania i właściwych
środków naprawczych zainfekowanej stacji.
8. Oprócz wysłania maila do administratora, system również aktualizuje
mechanizm T hreat Seeker
o parametry (adres URL, źródłowy
adres IP, zachowanie), które zostały
wykryte podczas analizy.
9. ThreatSeeker propaguje te informacje
do różnych baz danych, wzorców,
w tym do Master Database.
10. Jeśli ktoś ponownie spróbuje dostać
się do takiego pliku, nie będzie
konieczności przeprowadzania
ponownej analizy, a to wystąpienie
z ł o ś liwego opr og r amowania
zos t anie z ablokowane pr ze z
klasyczne mechanizmy inspekcyjne.
ThreatScope jest oferowany aktualnie
jako dodatkowa licencja do produktu
Web Security Gateway Anywhere.
Większość naszych Klientów korzysta
już z licencji WSG lub WSGA, więc
dla nich nie ma konieczności zmian
Rys. 1. Wstęp przykładowego raportu pochodzący z systemu ThreatScope
Jak moż emy się pr zekonać
z rysunku 1, taki raport zawiera wiele
szczegółów w tym zrzuty ekranu
komunikatów błędów, do jakich
adresów IP i URL dowoływał się
uruchomiany plik, jakie zmiany
dokonał w systemie i wiele innych
informacji pomocnych przy analizie
w aktualnej instalacji, a jedynie
podniesienie wersji do 7.8.1.
RiskVision
Druga nowość w wersji 8.1 RiskVision.
System, który łączy kilka mechanizmów analizy danych w tym:
9
NOWOŚCI
advanced threat defence, global
security inteligence, sandboxing,
data loss detection, zintegrowanych
w ramach “jednego urządzenia”. Jedno
urządzenie daje nam w praktyce
dwa systemy, ponieważ zarządzenie
politykami bezpieczeństwa i raportowanie zostało wydzielone, tak jak
jest to w każdym działającym produkcyjnie systemie na osobne urządzenie.
Dostajemy więc urządzenie V10000 G3
lub V5000 G2, które podłączamy
do portu SPAN lub dedykowanego
TAPa, plus serwer do zarządzania
działający pod kontrolą systemu
operacyjnego Windows Server .
Wspomniany SPAN i TAP dobrze
określają do jakich celów rozwiązanie
zostało stworzone. Jest to przede
wszystkim nieinwazyjna metoda
analizy ruchu we własnej sieci pod
kontem bezpieczeństwa. W bardzo
szybkim tempie administrator widzi
co się dzieje w jego sieci. Jeśli nie miał
on do tej pory metod analizy ruchu
w warstwie siódmej, otwiera się przed
nim świat nowych metod analizy
zagrożeń i podatności w swojej sieci,
które może wykorzystać do budowy
kolejnych war stw zabezpiec zeń
chroniących środowisko na różnych
Rys. 2. Elementy inspekcji TRITON RiskVision
poziomach dostępu do danych. Jeśli • Wykorzystuje silnik ACE (Advanced
takie rozwiązanie już posiada, może
Classification Engine) celem monizweryfikować czy jest ono rzeczytorowania i wykrywania zagrożeń;
wiście skuteczne i czy nie przepuszcza • Silnik Data Loss Prevention, który
złośliwego oprogramowania, a nasi
wykrywa dane wrażliwe;
użytkownicy nie powodują wycieku • A nalizuje pliki mechanizmem
danych poza obszar firmy.
sandbox’ingu;
TRITON RiskVision jest systemem, • Zawiera ponad 60 predefiniowanych
który oferuje :
raportów i możliwość tworzenia
• Szybką instalację w sieci, która
własnych według potrzeb;
zapewni monitoring i zdolność • Może zostać zainstalowane przez
do oceny podatności własnej sieci
K lientów, którzy nie posiadają
na współczesne zagrożenia;
aktualnie ż adnego podobnego
Rys. 3. Panel frontowy i specyfikacja techniczna urządzenia Websense i500
10
Numer: I/2014 (126)
rozwiązania tej klasy oraz przez tych,
którzy posiadają już produkty firmy
Websense ale chcą zobaczyć funkcje,
które pojawiły się w wersji 7.8.1.
Czego można jeszcze
oczekiwać instalując wersję
7.8.1?
Policy Broker replication. Do wersji
7.7.3 każda instalacja mogła posiadać
tylko jedną instancję Policy Broker’a.
Od wersji 7.8.0 się to zmienia i możliwe
są dwie konfiguracje:
• standalone: każdy Policy Server
łączy się do tego samego Policy
Broker’a tak jak do tej pory,
• replicated: jest jeden Policy Broker
w trybie primary, który jest aktywny
i który przechowuje konfigurację oraz
jeden bądź więcej instancji w trybie
replika, które przetrzymują konfigurację tylko w trybie read-only.
W tej konfiguracji Policy Broker nie
może działać na urządzeniu firmy
Websense ale musi zostać wydzielony na zewnętrzny system np.
TRITON Unified Security Center.
do chmury. Decydujemy w tym
momencie jaki ruch zostanie wysłany
do chmury, a jaki zostanie przeanalizowany lokalnie na urządzeniu. Taka
konfiguracja poprawia też możliwości
zarządzania politykami na firewallach,
które filtrują ruch na styku z siecią
Internet.
Pojawią się również opcje nie dostępne
do tej pory. Na i500 działa Network
Agent, który dodatkowo blokuje
aplikac je, k tóre nie musz ą być
oparte o protokół http oraz możemy
monitorować ruch gościnny.
Websense Email Security
Gateway Virtual Appliance
Posumowanie
Websense przedstawił kilka interesujących produktów, które dobrze
wpasowują się w aktualne portfolio.
W drodze do uszczelnienia bezpieczeństwa z pewnością będziemy się
zastanawiać czy warto zainwestować
w nowe licencje. Już dziś powinniśmy
z pewnością zastanawiać się nad
podniesieniem wersji do 7.8.1, ponieważ
zawiera ona liczne usprawnienia, w tym
wydajności, procesowania ruchu SSL
czy uwierzytelniania. Pytanie więc nie
powinno brzmieć czy Websense zagości
w naszych sieciach ale kiedy to nastąpi.
Opracowano na podstawie oficjalnych
Informacja która zapewne ucieszy materiałów producenta.
wiele osób. Od najnowszej wersji
T.P.
Email dostępy jest jako maszyna
Inżynier SOLIDEX
wirtualna. Nie można co prawda
zainstalować jej tak jak Web Content
Gateway na systemie RedHat (co może
być inter pretowana na korzyś ć
jak i na niekorzyść), ale dostajemy
gotowy plik ovf, który importujemy
bezpośrednio do środowiska VMware.
Instalacja trwa kilka minut po czym
Websense i500/i500v Appliance star tuje wizard pierwszej konfi(Cloud Assist Appliance). Nowe gurac ji, w k t ór ym definiujemy
urządzenie fizyczne lub wirtualne, podstawowe informacje niezbędne
które ma stanowić uzupełnienie do komunikacji sieciowej. Wsparcie
rozwiązania typu cloud. Celem jest zapewnione jest już od wersji ESXi
przede wszystkim zwiększenie wydaj- 4.01, więc skorzystać mogą również
ności przetwarzania ruchu i zwięk- Klienci, którzy posiadają nieco starszy
szenie kontroli ruchu wysyłanego hypervisior.
11
NOWOŚCI
Juniper Secure Analytics – nowa
platforma, nowa jakość zarządzania
Po wdrożeniu niezbędnych elementów bezpieczeństwa w infrastrukturze
sieciowej każda organizacja, dowolnej wielkości, musi sprostać wyzwaniu
zarządzania całością systemu. Wraz z rozbudową sieci próba indywidualnego
podglądu każdego z produktów staje się uciążliwa i mało skuteczna. Jak odnaleźć
się wśród wielu milionów informacji generowanych dziennie i jak dostrzec
te istotne? Dzięki rozwiązaniu firmy Juniper odpowiedź na te pytania staje się
prosta – Juniper Secure Analytics.
Czego wymagamy
od systemów zarządzania
bezpieczeństwem?
Urządzenia klasy Firewall, IPS czy
punkty kontroli dostępu to krytyczne
elementy ka żdego systemu
zabezpieczeń. Gwarancją efektywnej
pracy ze wszystkimi elementami
jest możliwość podglądu, analizy
oraz szybkiej reakcji na zdarzenia
bezpiec zeństwa w sieci produkcyjnej. Z punktu widzenia administratorów realizacja tego zadania staje
się niezwykle trudna. Codziennie
znajdują się w sytuacji, w której
są atakowani przez lawinę logów
z każdego z urządzeń pracujących
w nadzorowanym systemie. Zarządzanie bezpieczeństwem bez dedykowanych narzędzi stwarza ogromne
wyzwanie dla pracowników I T,
12
którzy muszą analizować dane z wielu
źródeł, aby zrozumieć zagrożenia,
z którymi przyszło im się skonfrontować i w konsekwencji określić jakie
działania podjąć.
W celu podniesienia poziomu bezpieczeństwa konieczne jest narzędzie,
które:
• Umożliwia scentralizowaną obsługę
incydentów bezpieczeństwa dla całej
infrastruktury teleinformatycznej;
• W znacznym stopniu ułatwia zarządzanie i analizę wielu milionów
rejestrowanych zdarzeń;
• Dostarcza wiarygodnych informacji
na temat stanu i efektywności pracy
środowiska sieciowego;
• S p e ł nia wymag a nia pr awne ,
standardy bezpieczeństwa oraz
pozostałe regulacje typowe dla
profilu działalności firmy.
S ą t o je dynie f undament alne
wymagania stawiane tego typu
produktom. Ich realizacja odbywa
się poprzez implementację systemów
SIEM (Security Information and Event
Management) oraz NBAD (Network
Behavior A nomaly Det ec t ion).
Systemy SIEM zbierają logi z urządzeń
sieciowych, a następnie poddają
je korelacji. Wyniki tych operacji
prezentowane są administratorom
dostarczając im wiarygodnych informacji na temat stanu bezpieczeństwa.
Niezbędnym uzupełnieniem są dane
z systemu monitoringu sieci – NBAD.
System ten na podstawie statystyk
i opisu ruchu uczy się normalnego
stanu naszej sieci, dzięki czemu staje się
on pomocnym narzędziem do wykrywania anomalii. Secure Analytics
oferowany przez firmę Juniper jest
jedynym rozwiązaniem, które w pełni
integruje oba wspomniane systemy.
Numer: I/2014 (126)
Rys. 1. Źródła informacji dla systemu JSA
w obrębie jednej reguły. Wynikiem
tego jest najbardziej wiarygodna informacja na temat możliwego naruszenia
bezpieczeństwa.
Juniper projektując swoje rozwiązanie
miał na uwadze nieustanny rozwój
rozmaitych at aków sieciowych.
Wychodząc temu naprzeciw, oprócz
ogromnej bazy predefiniowanych
reguł korelacji, Juniper wyposażył
swój system w funkc jonalno ś ć
tworzenia własnych reguł. Dzięki
temu rozwiązanie staje się bardziej
elastyczne, a administratorzy mogą
dostosować obowiązujące zasady
korelacji do własnego środowiska
sieciowego. Wszystkie te funkcje
został y pomyślnie przeniesione
na nową platformę Juniper Secure
Analytics.
Komponenty systemu:
• Console – centralny punkt zarząRys. 2. Schemat systemu z konsolą zarządzania
d z ania i konf ig ur ac ji op ar t y
na intuicyjnym interfejsie graficznym
dostępnym z poziomu przeglądarki;
Nowa platforma
skalowalność oraz niezawodność.
Rodzina produktów Secure Analytics • Event Collec tor – moduł odpowiedzialny za zbieranie logów
Seria produktów JSA jest godnym składa się z czterech modeli urządzeń
z urządzeń sieciowych. Zebrane
następcą platformy Juniper STRM fizycznych oraz rozwiązania w postaci
dane normalizuje, scala i przesyła
(Security Threat Response Manager). maszyny wirtualnej.
do Event Processor. W infrastrukturze
Rozwią zanie JSA implementuje Tym co wyróżniało Juniper STRM
rozproszonej element ten może
wszystkie najlepsze cechy STRM spośród rozwiązań konkurencyjnych
działać jako oddzielne urządzenie
na znacznie wydajniejszej platformie była pe ł na wspó ł prac a funkcji
fizyczne;
sprzętowej. Dzięki temu zabiegowi SIEM i NBAD zamknięta w jednym
efektywność pracy nie jest już ograni- urządzeniu. Jedną z największych • Event Processor – przetwarza otrzymane dane i poddaje je korelacji
czeniem oraz możliwe jest dopasowanie zalet była możliwość korelacji inforzgodnie z zaimplementowanymi
rozwiązania idealnego do własnych macji pochodzących z logów (SIEM)
regułami. Wynik swojej pracy
p o t r z e b z a p e w n i a j ą c w y s o k ą wraz z danymi o przepływach (NBAD)
13
NOWOŚCI
JSA1500
JSA3500
JSA5500
JSA7500
2 x 1 TB SAS 7.200
rpm
RAID 1
6 x 1 TB SAS 7,200
rpm
RAID 10
8 x 1 TB SAS 7,200
rpm
RAID 10
28 x 900 GB 10,000
rpm
SAS RAID 10
Memory
24 GB
32 GB
96 GB
128 GB
Maximum Events
Per Second (AiO)
1000
5000
10,000
Maximum Events
Per Second
(Distributed)
1000
5000
20,000
HDD
Flows Per Minute
CPU
N/A
30,000
30,000
100,000
600,000
1.2 miliona
1 x Dual-Core
1 x Quad-Core
2 x Octo-Core
2 x Octo-Core
Tabela 1. Modele urządzeń z serii JSA
Rys. 3. Podgląd incydentu typu Offense
przesyła do Magistrate.
• Flow Collector – moduł kolekcjonujący dane o przepływach;
• Flow Processor – analizuje otrzymane
dane o przepływach;
• Magistrate – moduł odpowiedzialny
za wysokopoziomową analizę ruchu
sieciowego i incydentów bezpieczeństwa. Generuje informacje o potencjalnym zagrożeniu lub nadużyciu
i prezentuje je administratorom jako
Offense.
Pojawienie się zagrożenia typu Offense
w konsoli administracyjnej informuje
o tym, że pewne zdarzenia w sieci
wpasowały się w którąś z wdrożonych
reguł korelacji. Pokazuje to, że seria
potencjalnie niegroźnych incydentów
może stanowić poważne niebezpieczeństwo w naszym systemie, którego
ż adne z posiadanych systemów
zabezpieczeń nie było w stanie wykryć.
Osoba zarządzająca JSA posiada
14
precyzyjne informacje na temat
wygenerowanego zagrożenia, m.in.:
czas wystąpienia, raportujące źródła,
regułę identyfikującą zagrożenie, jakie
podsieci były celem ataku oraz kto
atak wykonał. JSA umożliwia implementację systemu zadań, dzięki czemu
po wystąpieniu Offense możliwe jest
przypisanie administratora odpowiedzialnego za rozwiązanie danej sprawy.
Modele urządzeń:
• JSA1500 – Najmniejszy fizyczny
Appliance z tej rodziny. Jest on dedykowany dla małych oraz średnich
przedsiębiorstw. W architekturze
rozproszonej może pracować jako
kolektor wdrożony w bardzo rozległych infrastrukturach sieciowych.
Posiada pełen zestaw funkcjonalności systemu JSA.
• JSA3500 – Rozwiązanie średniej
klasy. Jego parametry techniczne
i w ydajno ś c iow e p ow o duj ą ,
że znajduje on zastosowanie w środowiskach średniego rozmiaru. Może
on zost ać wdroż ony zarówno
w architekturze scentralizowanej jak
i rozproszonej.
• JSA5500 – Rozwiązanie dedykowane dla rozległych infrastruktur
sieciowych. Zapewnia skalowalne
zarządzanie bezpieczeństwem. Może
zostać wdrożony w architekturze
scentralizowanej lub rozproszonej.
W rozproszonym modelu może
pracować jako konsola zarządzająca
całością systemu.
• JSA7500 – Największe urządzenie
z serii Juniper Secure Analytics.
Zainstalowana przestrzeń dyskowa
oraz pozostałe komponenty umożliwiają wydajną i niezawodną
pracę systemu w dynamicznych
i rozbudowanych środowiskach.
JSA 7500 może zostać wdrożone
Numer: I/2014 (126)
Rys. 4. Juniper Secure Analytics z serii 1500
oraz głównej konsoli zarządzającej.
Ogromną zaletą tego rozwiązania
jest łatwość w implementacji. Odpowiednio skonfigurowane urządzenie
wystarczy podłączyć bezpośrednio
do sieci aby korzystać z pełnego
zakresu możliwości Secure Analytics.
Ograniczeniem przy wyborze tego
scenariusza jest ilość obsługiwanych
zdarzeń zależna od modelu posiadanego urządzenia.
• Distributed (Rozproszony) – tryb
rozproszony to idealne rozwiązanie
do rozległych środowisk, gdzie ilość
generowanych informacji w skali
minuty jest bardzo duża. W tym
modelu wyróżnia się urządzenia
dedykowane do pracy jako kolektory,
które odpowiedzialne są za zbieranie
logów oraz danych o przepływach
z jednej z lokalizacji lub z wydzielonego fragmentu sieci. Scenariusz ten
wymaga zastosowania odizolowanej
konsoli, która stanowi centrum zarządzania całością systemu Secure
Analytics. Na ten model wdrożenia
powinni się zdecydować klienci, dla
których skalowalność rozwiązania
jest pożądaną cechą oraz tacy, którzy
w przyszłości planują zwiększyć
wydajno ś ć swojego sys t emu
bezpieczeństwa.
Podsumowanie
Prezentowana przez firmę Juniper
platforma Secure Analytics to zdecydowanie nowa jakość w zarządzaniu
bezpieczeństwem. Wprowadzenie
nowej serii sprzętu poskutkowało
zdecydowanym wzrostem wydajności.
Szeroki zestaw funkcji, precyzja
w określaniu zagrożenia oraz jedyne
na rynku narzędzia administracyjne
to jedynie kilka z zalet tego produktu.
Patrząc całościowo, JSA jest komplekjako konsola zarz ądzająca lub
VMWare ESX 5.0 lub ESX 5.1. Jako sowym rozwiązaniem, z którym nasze
Event /Flow Processor w archiprocesor może przetworzyć maksy- zasoby mogą się czuć bezpiecznie.
tekturze rozproszonej oraz jako
malnie 1000 zdarzeń na sekundę
pojedynczy Appliance w strukturze
oraz 50 000 przepływów w skali Opracowano na podstawie oficjalnych
scentralizowanej.
minuty.
materiałów producenta.
• JSA Virtual Appliance – Pełen zestaw
funkcji systemu JSA zaimplemen- Scenariusze wdrożenia
M.M.
towany na platformie wirtualnej. • All-in-One (Scentralizowany) –
Inżynier SOLIDEX
Może zostać wdrożony w archiw tym modelu wdrożenia wszystkie
tekturze scentralizowanej oraz
funkcjonalności systemu JSA znajrozproszonej (również jako konsola
dują się na jednym fizyc znym
zarządzająca). Maszyna wirtualna
urządzeniu. Posiada ono funkcje
inst alowana jest na systemie
zarówno kolektora, jak i procesora
15
NOWOŚCI
Instant Access – nowości
w implementacji sieci kampusowej,
sposób realizacji, filozofia,
wymagania sprzętowe
Wdrażając sieci o zasięgu lokalnym staramy się utrzymać wzorce bestpractice
mówiące o stosowaniu hierarchicznego modelu wdrożenia sieci LAN,
składającego się z trzech warstw przełączników. Najbliżej użytkownika
końcowego znajdują się przełączniki warstwy dostępowej (access), których
głównym przeznaczeniem jest dostarczenie odpowiednio wysokiej gęstości
portów i podstawowych usług dla komputerów, telefonów IP, drukarek, kamer,
terminali wideo, access pointów itp.
Przełączniki warstwy dostępowej
agregowane są przez przełączniki
warstwy dystrybucyjnej najlepiej
z zachowaniem pełnej redundancji.
Zastosowanie dodatkowej warstwy
przełączania zwiększa elastyczność
rozbudowy sieci oraz eliminuje
konieczność podłączania bardzo dużej
ilości połączeń do przełączników
warstwy szkieletowej (Core).
Administratorzy rozbudowanych
sieci lokalnych spędzają obecnie dużo
czasu na utrzymaniu spójnej konfiguracji przełączników w obszarze
przez nich administrowanym. Cisco
na podstawie ankiet wśród administratorów IT określiło, że spora część
czynności wykonywanych na przełącznikach war stwy dost ę powej,
to czynności powtarzalne. Około 28%
czasu działy IT poświęcają na diagnozowaniu błędów w sieci, 19% czasu
16
zajmuje konfigurac ja zwią zana
z politykami bezpieczeństwa wprowadzanymi w różnych miejscach w sieci
pomimo spójnej polityki dla całej sieci
LAN, 18% czasu zajmuje konfiguracja
i testy nowo instalowanych urządzeń
sieciowych, a 14% czasu poświęcane
jest na sprawy związane z upgradami
oprogramowania do wspólnych
wersji, czy wymuszonych upgradach
sprzętowych.
Cisco od dłuższego czasu dostrzega
problemy w klasycznym modelu
wdrażania warstwy dostępowej.
Koniec zno ś ć kor zyst ania z S T P
(Spanning Tree Protocol), którego
metodą na eliminację pętli jest
blokowanie ruchu na określonych
linkach (niezależnie od implementacji), problemy z optymalizacją ruchu
dla ruchu L 2 i L3 (spójny punkt dla
położenia Root Bridge (L2) i aktywnego
przełącznika pełniącego funkcję
aktywną w dowolnym protokole
z rodziny FHRP First Hop Redundant
Protocol (L 3)) to tylko niektóre
problemy z którymi spotykają się
administratorzy (obecnie adresowane
już między innymi przez takie technologie jak VSS). Instant Access to jednak
technologia idąca o jeden krok w przód
mająca jeszc ze bardziej ułatwić
tworzenie redundantnych, wydajnych
i bezpiecznych bloków sieci zamykających się w obrębie jednego bloku
dystrybucyjnego.
Instant Access
W klasycznym modelu wdrożeniowym
każdy przełącznik dostępowy (lub
stos przełączników) zarządzany jest
oddzielnie. Musi posiadać swoją listę
obsługiwanych sieci VL AN, mieć
Numer: I/2014 (126)
zdefiniowany interfejs zarządzający,
skonfigurowane metody uwierzytelniania na przełączniku, wreszcie
konieczna jest konfiguracja połączeń
w kierunku warstwy dystrybucyjnej.
Instant Access to nowa technologia, której głównym celem jest
zastąpienie oddzielnych przełączników
dostępowych jednym przełącznikiem
dystrybucyjno–dostępowym (z punktu
widzenia zarządzania i przesyłania
pakietów), wyposażonym w wyniesione karty liniowe. Do głównych zalet
rozwiązania możemy zaliczyć:
• Automatyczną konfigurację połączeń
mi ę d z y wa r s t w ą do s t ę p ow ą
i dystrybucyjną;
• Brak konieczności konfigurowania
Spanning-Tree, czy protokołów
routingu między przełącznikiem
dystrybucyjnym i dostępowym;
• Możliwość automatycznej, konfiguracji przełączników dostępowych,
konfiguracja tylko w jednej konsoli
dla wszystkich przełączników;
• Jeden punkt uaktualniania dla
oprogramowania układowego dla
całego bloku dystrybucyjnego (wraz
z przełącznikami dostępowymi).
Instant Access wprowadza dwie role
przełączników IA Parent i IA Client.
IA Client można traktować jako
wyniesioną kartę liniową głównego
przełącznika i w tej roli na chwilę
obecną można wykorzystać jedynie
pr ze ł ąc znik i z rodziny 6 8 0 0ia .
Głównym zadaniem IA Client jest
etykietowanie pakietów i przełączanie
zgodnie z polityką QoS. IA Parent
z kolei zarządza procesem auto
konfiguracji, nadaje portom klienckim
na kartach liniowych identyfikatory
VIF oraz pełni wszystkie funkcje
związane z przełączaniem w oparciu
o L2 i L3.
Realizacja
Aby możliwa była automatyczna
konfigurac ja pr ze ł ąc zników I A
Client jako rozszerzenia przełącznika
IA Parent Cisco wykorzystuje 4
protokoły: Switch Discovery Protocol,
Switch Registration Protocol, Switch
Configuration Protocol oraz Inter Card
Communication. Dodatkowo każda
ramka danych przesyłana między IA
Client a IA Parent zostaje obudowana
6 bajtowym nagłówkiem zwanym
VNTAG.
W ś r o dowisk u Ins t ant A c c e s s
każdemu por towi dostępowemu
zostaje przyporządkowana etykieta
Rys. 1. Klasyczny blok dystrybucyjny i Instant Access
DA[6]
SA[6]
VNTAG ETHER TYPE
(0XB926)
D[1]
VNTAG[6]
P[1]
802.1Q[4]
DVIF[12]
Frame Payload
L[1]
Destination VIF
Destination
bit
Pointer bit
(multicast)
R[1]
R[1]
Reserved
R[1]
...
CRC[4]
SVIF[12]
Source VIF
Loopback bit
Rys. 2. VNTAG
17
NOWOŚCI
VIF (Virtual Interface ID). Etykiety
te, zostają przypisane w trakcie
automatycznego procesu konfiguracji
IA Client (wysuniętej karty liniowej)
przez przełącznik nadrzędny IA Parent.
Każda ramka trafiająca na przełącznik
IA Client na porcie klienckim zostaje
oznaczona VNTAG w taki sposób,
że w pole Destination VIF trafia „0”
natomiast w polu Source VIF zostaje
wpisany znacznik portu, na którym
ramka się pojawiła. Tak obudowana
ramka zostaje przesłana do przełącznika
IA Parent.
IA Parent zdejmuje etykietę VNTAG
i na podstawie pakietów buduje
podobną do klasycznej tablicę CAM
i TCAM z uwzględnieniem informacji
o routingu L 3, Access listach itp.
W trakcie podejmowania decyzji
o trasowaniu pakietów przychodzących,
po przejściu pakietu przez tablicę
TC AM – na wynikowym pakiecie
pozostaje automatyczna konfiguracja wyniesionych kart liniowych
i ich widocznoś ć w konfiguracji
przełącznika IA Parent. Dzięki temu
zyskujemy wspólny punkt zarządzania
i obsługi pakietów co znac ząco
upraszcza konfigurowanie sieci jako
całości.
Wymagania techniczne
naszej wyniesionej karcie liniowej (lub
stackowi takich kart).
Obs ł ugiwane s ą róż ne modele
wdrożeniowe od modelu single-home, gdzie przełączniki IA Client
wpinamy do jednego przełącznika
pojedync z ym uplink iem 10 G
do rozbudowanej wer sji redundatnej, gdzie stos 3 przełączników IA
Client możemy wpiąć redundantnie
6 linkami 10G do dwóch IA Parent
pracujących w trybie VSS. Co ważne,
do architektury IA możemy również
podłączać zwykłe przełączniki, z tym
że powinny być one agregowane
w obrębie jednego IA Client lub
wpinane bezpośrednio do IA Parent.
Abyśmy mogli skorzystać z technologii IA konieczne jest zastosowanie
k ilku element ów spr z ę t owych .
Obecnie w roli IA Parent możemy
wykorzystać przełącznik z rodziny
6500E wyposażony w supervisor 2T
oraz karty liniowe WS-X6904-40G-2T,
które mogą terminować linki 10G Konfiguracja
od IA Client. Dodatkowo obsługiwane
są również przełączniki 6807-XL Konfiguracja wymaga uruchomienia
(z sup2t i taką samą kartą liniową) oraz obsługi fex-fabric, przypisania etykiety
przełącznik 6880-X. W roli IA Client dla Klientów oraz zdefiniowania
inter fejsów na prze ł ąc zniku I A
Parent, na których zostanie przypięty
Instant Access nie jest jedynie uproszczonym sposobem
przełącznik dostępowy działający jako
IA Client. Istnieje również możliwość
na zarządzanie przełącznikami, a próbą utworzenia wirtualnego
konfiguracji automatycznego provisioningu pozwalającego na wprowadzenie
przełącznika centralnie zarządzanego i aplikującego różne
konkretnej konfiguracji portu jeszcze
mechanizmy związane z ruchem pakietów.
przed podłączeniem przełącznika IA
Client. Pozwala to na automatyczną
konfigurację przełącznika dostę ponownie dokonywana jest enkapsu- obsługiwany jest jedynie przełącznik powego i brak konieczności ingerencji
lacja i przypisywany port wyjściowy 6800ai w wersji z PoE lub bez.
administratora po fizycznej instalacji
(na docelowej wyniesionej karcie Pod względem gę stości por tów sprzętu.
liniowej) w VNTAG przez ustawienie w obecnej wersji software 15.1(2)SY Do konfiguracji poszczególnych portów
„Destination Vif” na etykietę portu ograniczeni zostaliśmy rozbudową dostępowych możemy korzystać
na odpowiednim kliencie. Tak przygo- do mak symalnie 10 0 8 por t ów ze znanych komend z przełączników
towany pakiet wysyłany jest linkiem dla hostów w 2 1 przełącznikach modularnych, z tym że nazwę interfejsu
do odpowiedniego klienta. Pakiet IA, z tym że przełączniki (przynaj- poprzedza numer FexID.
trafiając na IA Client zostaje przekazany mniej częściowo) musimy łączyć P r z yk ł adowa na z wa int er fejsu
na wskazany przez IA Parent port w stosy, gdyż w obecnej wersji interface GigabitEthernet112/2/0/24
(zgodnie z etykietą), po czym zostaje oprogramowania dost ępne jest gdzie nr 112 to FEX ID, 2 to numer
zdjęta z niego enkapsulacja VNTAG. jedynie 12 Fex ID, a taki identyfi- przełącznika w stacku, 0 – numer
Tak w przybliżony sposób można kator musi zostać przyporządkowany podmoduły, 24 – numer portu.
opisać przepływ każdego pakietu
danych unicastowych przechodzących
przez IA. Jak widać – wymusza to ruch
mod provision create fex 112 type 6800IA-48TD
pakietów zawsze „top-down”, nawet
mod provision create fex 112 module 2 type 6800IA-48TD
jeśli ruch miałby trafić do sąsiaduConfig# Interface range 112/1/0/1 – 3
jącego portu na wyniesionej karcie
Config# switchport access vlan 100
liniowej. W obecnych sieciach dostęConfig# switchport voice vlan 101
powych nie jest to jednak problemem,
Config# switchport host
gdyż mówi się, że około 80% ruchu
odbywa się w stronę szkieletu sieci
i do Internetu. Zaletą natomiast
Rys. 3. Konfiguracja automatycznego provisioningu
18
Numer: I/2014 (126)
Numer: II/2012 (119)
Podsumowanie
Podsumowanie
Instant
Access
nie jest jedynie uproszLync jest
wieloplatformowy,
może
czonym
sposobem
nakomputerach
zarządzanie
działać zarówno na
przełącznikami,
a próbą utworzenia
stacjonarnych Windows
i Mac OS,
wirtualnego
przełącznika
jak i Platformach Mobile centralnie
Windows
zarządzanego
i aplikującego
różne
Phone, iOS (iPad,
iPhone), Android.
mechanizmy
z ruchem
Podstawowy związane
interfejs nie
odbiega
pakietów.
od wzorcowego okna komunikatora
Przy
obecnej cenie
przełączników
internetowego.
Rysunek
3 przedstawia
6800ai
kształtującej
nakontaktów
poziomie
pionowo
zorientowanąsię
listę
przełącznika
wraz z modułem
ze zdjęciami, 2960x
obok umieszczono
status
stackującym
i interfejsami
10Gb,
IA
i opis, w górnej
części menu
podstawydaje
być bardzo
interesującą
wowychsię
funkcji.
Wspomniany
pulpit
opcją
rozbudowy
i płynnej
migracji
nawigacyjny
upraszcza
odnajdowanie
sieci
dostępowej
zwłaszcza
w sieciach,
i używanie
typowych
funkcji,
takich
w
tór ych obecnie
w war
stwie
jakkklawiatura
numeryczna,
wizualna
dystrybucyjnej
wykorzystywane
poczta głosowa, lista
kontaktów i lista
są
przełączniki
serii 6500/6800.
aktywnych
konwersacji.
Do
płynnej
migracjielastyczny,
zachęca również
Lync
jest bardzo
jeśli
możliwość
jednoczesnego
korzystania
chodzi o wdrożenia
i możliwości
zintegracji.
„klasycznego
modelu”
sieci
dostęMożliwa
jest
również
powej
oraz programu
IA w obrębie
jednego
integracja
z istniejącą
przełącznika
dystrybucyjnego
czy
telefonią IP, jak
na przykład Cisco.
nawet
jednej
karty liniowej
10G.
Rysunek
2 przedstawia
przykładową
Dodat
kowo
unkc jonalno ś ć I A
integrację
z IP ftelefonami.
dostępna jest w ramach standardowej
licencji
IP Services
i nieprzedjest
Powyższy
artykuł
miał na celu
wymagana
dodatkowa
stawienie żadna
aplikacji
Lync odlicencja.
strony
Jest
to również
bardzo
ciekawe
użytkownika.
Program
Microsoft
Lync
rozwiązanie
dla wszystkich,
którzy
2010 to doskonały
klient do ujednochcieliby
uprościć zarządzanie
siecią
liconej komunikacji
z możliwością
lokalną,
a jednocześnie
zachować
obsługi wiadomości
błyskawicznych,
ciągle
wysoki
poziom bezpieczeństwa
połączeń
głosowych
oraz spotkań.
zak wachlarz
tualizowanym
inter fejsie
iW
szeroki
usług realizowanych
użytkownika
programu
Lync
w sieci lokalnej. W mniejszychrozmaite
sieciach
do komunikacji
rnarzędzia
oz wią z anie
mog ł oby rrozmieszównie ż
czono w sposób
usprawniający
ich
sprawdzić
się w topologii
„Collapse
obsługę.
Funkcje
konferencji
są
jeszcze
Core”. Dość wysokie wymagania
skuteczniejsze
dzięki
wbudowanej
co
do przełączników
dystrybucyjnych
funkcji
udostępniania
pulpitu
i aplikacji,
gwarantują za to bezproblemową
funkcji
przekazywania
w
programie
i wydajną pracę całego środowiska.
Power Point oraz funkcji kopiowania
i wklejania obrazów i innej zawartości.
Sz.S.
Inżynier SOLIDEX
M.G.
Inżynier SOLIDEX
SOLIDność
w każdym działaniu...
19
33
TECHNOLOGIE
Interfejsy 40 Gigabit bez tajemnic
Pierwszy schemat sieci Ethernet został stworzony przez Roberta Metcalfe
w 1976 roku. Od tego czasu technologia Ethernet bardzo się rozwinęła znacząco
poprawiając swoją jakość i niezawodność. Coraz bardziej popularne stają się
dwa nowe standardy – 40 i 100 Gigabit Ethernet.
Do tak szybkiego rozwoju Ethernetu
przyczyniło się bardzo duże zapotrzebowanie dynamicznie zmieniających
się aplikacji IP. Powodem popularności
Ethernetu jest stosunkowo niska cena
układów ASIC powodująca niski koszt
portów urządzeń oraz kart sieciowych.
Kolejnym elementem jest prostota
instalacji, łatwość w utrzymaniu
oraz standaryzacja w ramach grupy
IEEE 802.3. Obecnie większość połączeń
sieciowych i internetowych w całości
wykonanych jest w technologii Ethernet
– zaczynając od domowego użytkownika
wykorzystującego router, a kończąc
na centrach przetwarzania danych.
Wkrótce po opracowaniu standardu
10 Gigabit Ethernet w 2008 roku
rozpoczęły się prace nad nowszym
standardem 40 Gigabit Ethernet. Dwa
lata później standard został zatwierdzony przez IEEE. Grupa zadaniowa
IEEE 802.3ba opracowała jednolite
rozwiązanie, mogące obsłużyć zarówno
40 i 100 Gbit/s.
Założenia oraz cele jakie przyświecały
twórcom technologii 40 i 100 Gigabit
20
Ethernet były zbliżone do standardu czterokanałowym modułem transmisji światłowodowej. Ofer uje
10 Gigabit Ethernet:
• Obsługa tylko dla transmisji dwukie- 3 razy większe zagęszczenie od tradycyjnych modułów SFP. Obsługuje
runkowej (full-duplex);
• Zachowanie formatu ramki etherne- p r z e p u s t o w o ś ć d o 1 0 G b i t / s
na kanał. Moduł znajduje zastosotowej 802.3 MAC;
• Zachowanie tej samej wielkości wanie w przełącznikach sieciowych
ramki, co dla standardu 802.3;
• Zdolnoś ć do współ pracy
z siecią optyczną Optical
Transport Network (OTN);
• Zasięg pracy do 40km dla
optyki jednomodowej (SMF);
• Obsługa szybkości błędu
transmisji (BER) lepsza lub
równa 10 – 12 w służbie MAC
warstwy fizycznej Interfejsu;
• Obsługa szybkości transmisji
danych MAC 40 Gbit/s.
Poniższy artykuł przedstawia
zastosowanie inter fejsów
40 Gigabitowych w oparciu
o moduł y, kable oraz ich
zastosowanie w produktach
Nexus firmy Cisco.
QSFP (Quad Small
Form-factor Pluggable) jest Rys. 1. Mocne strony interfejsów QSFP i QSFP+
Numer: I/2014 (126)
(switch’ach), routerach oraz wszędzie
t am, gdzie jest potrzebna du ż a
przepustowość łącza. Zalety wykorzystania interfejsów 40GBASE QSFP
zostały przedstawione na rysunku 1.
Rys. 2. Moduł optyczny QSFP-40G-LR4
Rys. 3. Moduł optyczny QSFP-40G-SR4
Rys. 5. Moduł QSFP-40G-SR-BD
danych z prędkością do 40 Gbit/s
poprzez kable optyczne zakończone
zł ąc zami optyc znymi multimo dowymi 10GBA SE-SR . Może być
używany jako połączenie „breakout”
dla 4 interfejsów. Wyposażony jest
Pozytywne aspekty
w 4 niezależne kanały full-duplex dla
wykorzystania interfejsów
wysyłania i odbierania danych. Każdy
kanał posiada przepustowość 10 Gbit/s
• Hot-swap urządzenia wejścia / i wykorzystuje optyczny interfejs
wyjścia, który podłącza się do portu 12 włókien MPO/MTP. Wykorzy40 Gigabit Ethernet QSFP + switch; stywany pobór mocy to 1.5W.
• Najmniejsza obudowa 40G;
Przedstawione interfejsy LR4 i SR4
• Elastyczność wyboru interfejsów posiadają wspólne właściwości:
(światłowodowych i miedzianych);
• Obsługa 40GBASE Ethernet;
• Współpraca z innymi interfejsami • Współpraca z innymi interfejsami
IEEE – zgodnych z 40GBASE, dostępzgodnymi z IEEE 40GBASE, dostępnych w różnych formach;
nymi w różnych formatach;
• 1 x QSFP + zapewnia do 7 5 % • Elastyczność wyboru interfejsu.
oszczędności energii, równoważnej
pojemności do 4 x 10G SFP+.
Moduł 40GBASE-CSR4
Moduł optyczny QSFP- 40G-LR4 j e s t p o d o b n y d o i n t e r f e j s u
(rysunek 2) obsługuje połączenia 40GBASE-SR4 ale obsługuje łącza
światłowodowe o długości do 10 km, o długościach 300 i 400 m, wykorzywykorzystując ponadstandardową s t uj ą c w ł ó k n a w i e l o m o d o w e
parę G.652 światłowodów jedno- OM3 i OM4. Każdy interfejs 10 Gbit/s
modemowych ze złączem LC duplex. tego modułu jest zgodny ze specyPozwala to na przesyłanie danych fikacją IEEE 10GBASE-SR. Moduł
z prędkością do 40 Gbit/s poprzez ten może być używany do 40 Gbit/s
kabel optyczny. Może być używany łączy optycznych wykorzystując
j a k o p o ł ą c z e n i e „ b r e a k o u t ” 12 kabli światłowodowych ze złączami
dla 4 int e r fe js ów op t yc z nyc h MPO/MTP, lub w trybie 4x10G duplex.
10GBA SE-LR . Wykorzystywany Maksymalna tłumienność kanału
pobór mocy to 3.5W.
dozwolona jest odpowiednio 2.6dB
Moduł optyczny QSFP-40G-SR4 ponad 300 m kabla OM3 lub 2.9dB
(rysunek 3) obsługuje połączenia ponad 400 m kabla OM4.
świat łowodowe o dł ugo ś c iach
100 i 150 m za pomoc ą włókna Moduł FET- 40G Fabric Extender
światłowodowego multimodowego Transceiver in QSFP obs ł uguje
OM3 i OM4. Pozwala na przesyłanie p o ł ą c z e n i a ś w i a t ł o w o d o w e
Rys. 4. Typy połączeń FET
21
TECHNOLOGIE
Cisco QSFP
Długość fali
(nm)
Cisco QSFP-40G-SR4
Cisco FET-40G
Typ kabla
850
850
Core Size
(Microns)
Modal
Bandwidth
(MHz*km)
Długość
kabla
50.0
500 (OM2)
30m
50.0
2000 (OM3)
100m
50.0
4700 (OM4)
150m
MMF
MMF
50.0
500 (OM2)
30m
50.0
2000 (OM3)
100m
50.0
4700 (OM4)
150m
50.0
500 (OM2)
82m
Active Optical Breakout Cisco
QSFP-40G-CSR4
850
MMF
50.0
2000 (OM3)
300m
50.0
4700 (OM4)
400m
Cisco QSFP-40GE-LR4
1310
SMF
G.652
-
10km
Tabela 1. Charakterystyka interfejsów 40 Gigabit Ethernet
o długości 100 m za pomocą włókna
światłowodowego multimodowego
OM3. Charakteryzuje się niskim
kosztem zakupu. Jednak dostępny
jest tylko z Extenderami występującymi w przełącznikach Nexus.
Rysunek 4 przedstawia typy połączeń
FET dedykowane dla switchy Nexus.
Charakterystyka modułu FET-40G:
• Nisk i ko s z t p o ł ą c zenia SF P +
transceiver a optycznym połączeniem FEX do N6004
• Obsługiwane przez Nexusa 6004
i 2248PQ-10G
• Współpracuje z FET-10G
Moduł QSFP- 40G-SR-BD
(r ysunek 5) umoż liwia dwukie runkowy krótki zasięg urządzenia
nadawczo-odbiorczego z optycznym
łączem LC duplex dla krótkiego zasięgu
transmisji danych 40 Gigabit Ethernet.
C i s c o Q S F P ofe r uje k lie n t o m
rozwiązanie, które wykorzystuje
istniejącą infrastrukturę MMF duplex
dla 40 Gbit/s łączności w odróżnieniu
od innych istniejących rozwiązań
40 Gigabit Ethernet na rynku. Klienci
„transceiver” (urządzenia nadawczo-odbiorczego) mogą uaktualnić swoją
sieć od 10 do 40 Gigabit Ethernet bez
żadnych kosztów modernizacji infrastruktury (rysunek 5).
Cisco QSFP wykorzystuje połączenie
nadawczo-odbiorcze 2x20 Gbit/s,
co daje łącznie 40 Gigabit Ethernet
w zakresie do 100 metrów na włókna
OM3 i spełnia większość wymagań
w centrum danych (rysunek 6). Klienci
mogą go stosować na wszystkich
platformach Cisco QSFP 40 Gbit/s
i osiągnąć wysoką gęstość w sieci
40 Gigabit Ethernet.
Właściwości
modułu
QSFP-40G-SR-BD:
• Krótki zasięg nadajnik-odbiornik
z dwóch kanałów 20G;
• Nadawanie i odbieranie poprzez
kabel typu: Multi-Mode;
Rys. 6. Przepływy pakietów w interfejsach QSFP-40G-SR-BD
22
• 100m z włókna klasy OM3 i 125m
z włókna OM4;
• Pobór mocy <3.5W;
• Zastosowanie włókien wielomodowych duplex umożliwia klientom
migrację z 10G do 40G;
• Światłowód wielomodowy duplex
ze złąc zami duplex LC na obu
końcach;
• Zastosowanie w przełącznikach
Nexus 3000 i 6000.
W tabeli 1 przedstawiono charakterystyczne cechy interfejsów 40 Gigabit
Ethernet . Ważną informacją jest
długość kabla, jaką można stosować
przy danym typie wkładki.
Charakterystyka kabli
optycznych i miedzianych
wykorzystujących 40GBASE
QSFP
Cisco QSFP to Four SFP + Copper
Breakout Cables
Kable miedziane składają się z 4 bardzo
krótkich odcinków, za pomocą których
moż na złąc zyć małe odległości
(r ysunek 7 ). Jest to optymalny
sposób na wykonywanie połączeń
wewnątrz szaf serwerowych. Kabel
zapewnia łączność od portu 40G QSFP
przełącznika Cisco do czterech 10G SFP
+ a portami przełącznika na drugim
końcu. Cisco oferuje obecnie kable
pasywne o długościach 1, 3 i 5 metrów
oraz kable aktywne o długościach
od 7 do 10 metrów.
Cisco QSFP to QSFP Copper Direct-Attach Cables
Jest to kabel miedziany do
połączeń na małych odległościach,
Numer: I/2014 (126)
Rys. 7. Kabel miedziany QSFP 4 SFP+
Copper Breakout
Rys. 11. Oszczędność mocy między interfejsami 10 a 40 Gbit/s
Rys. 8. Kabel miedziany umożliwiający
połączenia na małych odległościach
Rys. 9. Kabel 40G QSFP+ to 4X10G SFP+
Active Optical Cables
Rys. 10. Kabel 40GBase QSFP+ AOC,
połączenia na małych odległościach
a jednocześnie bardzo tani sposób
na stworzenie powiązania pomiędzy
40 -gigabitowymi por tami QSFP
a przełącznikami Cisco w szafach
serwerowych (rysunek 8). Cisco oferuje
obecnie kable pasywne o długościach
1, 3 i 5 metrów oraz kable aktywne
o długościach od 7 do 10 metrów
Cisco QSFP to Four SFP+ Active
Optical Breakout Cables.
C z ter y ak tywne kable SF P+
„breakout”, optyczne odpowiednie
dla bar d zo ma ł yc h odleg ł o ś c i
(rysunek 9). Są bardzo opłacalne
kosz towo oraz mają elastyc zny
sposób na połączenia wewnątrz
szaf serwerowych. Omawiane kable
umożliwiają połączenia do portu 40G
QSFP przełącznika Cisco na jednym
końcu i do czterech 10G SFP + portami
przełącznika Cisco na drugim końcu.
Cisco oferuje obecnie aktywne kable
„breakout” optyczne o długości 1, 2, 3,
5, 7 i 10 metrów.
Kabel światłowodowy 40GBase
QSFP + Active Optical Cable.
Zapewnia wysoką wydajność oraz
niskie zużycie energii. Doskonale
sprawdza się na małych odległościach, np. połączeń wewnątrz szaf
serwerowych. Oferuje 4 niezależne
kanały Full-duplex, z których każdy
może przesyłać dane z prędkością
do 10 Gbit /s . W konsekwenc ji
łączna prędkość transmisji wynosi
do 40 Gbit/s na ponad 100 m. Cisco
oferuje kable optyczne o długościach:
1, 2, 3, 5, 7, 10 i 15 metrów (rysunek 10).
Na r ysunk u 1 1 pr z e ds t awiono
zest awienie oszc z ę dno ś ć moc y
między interfejsami 10 a 40 Gbit/s.
Badanie zostało wykonane przy użyciu
przełączników Nexus. Połączenie
z wykorzystaniem QSFP+SR zapewnia
4x mniejsze zużycie mocy niż ze złączem
10G-SR.
Od 2013 roku Switch Nexus 6000 jest
dostępny w centrach przetwarzania
danych. Switch został zaprojektowany
tak, aby dostarczyć wysokiej gęstości
interfejsy 10 i 40 Gigabit Ethernet,
oferując przy tym wysoką energooszczędność w kompaktowej obudowie.
Doskonale nadaje się do przestrzeni
ograniczonych, zapewnia dużą gęstość
oraz wysoką wydajność w środowiskach tradycyjnych i wirtualnych.
Cisco Nexus 6001 (rysunek 12) jest
energooszczędnym przełącznikiem,
oferującym wysoką gęstość portów
w jednej jednostce rack (1RU). Posiada
48 portów SFP+ i w prawej części
4 porty QSFP.
Switch Nexus 6004 (rysunek 13)
po zainstalowaniu ośmiu modułów
rozszerzających (12 – portowych kart
liniowych 40 GE) oferuje 96 portów
QSFP 40 GE lub 384 porty 10 GE
za pomocą kabla QSFP. Przełącznik
wyróżnia się następującymi cechami:
• Optymalizacja, wirtualizacja i przetwarzanie w chmurze wdrożeń;
• Przełączniki Cisco Nexus zostały
zaprojektowane tak jak serwery,
obsługując porty i złącza zasilania
znajdujące się z tyłu i w pobliżu
portów serwera;
• Efek tywno ś ć energetyc zna,
c h ł od zenie par ame t r ów pr z y
jednoczesnym zmniejszeniu emisji
dwutlenku węgla;
• Małe opóź nienie. P rze ł ąc znik
23
TECHNOLOGIE
Podsumowanie
Technologia 40 Gigabit Ethernet
rozwija się w ostatnich latach bardzo
szybko jako naturalny proces ewolucji
w sieciach transportowych. Pozwala
to na lepsze wykorzystanie pasma
i co za tym idzie – duże oszczędności.
Pojedyncze interfejsy są łatwiejsze
w utrzymaniu, a jednocześnie zapewniają znaczne obniżenie kosztów
operac yjnych i zu ż ycia energii.
Różnorodność okablowania generuje
więcej miejsca w szafie serwerowej
ora z po ł ąc zenia na wię k s z ych
odległościach.
Wyżej wymienione cechy są ważne dla
rozbudowywanych sieci ze względu
na niekończący się wzrost ruchu
w Internecie oraz liczby podłączonych
k lient ów szerokopasmowych
i biznesowych.
Rys. 12. Switch Nexus 6001
Rys. 13. Switch Nexus
wykorzystuje około 1 mikrosekundy
opóźnienia port-to-port dla każdej
wielkości pakietów
• SPA N ER SPA N stosowane do
rozwiązywania problemów z monitorowaniem ruchu;
• Funkc ja Mult ic as t doskonale
sprawdza się w zintegrowaniu
warstwy 2 i 3;
• W przyszłości wsparcie dla Dynamic
Fabric Automation (DFA).
M.J.
Inżynier SOLIDEX
Waszych organizacji
www.SOLIDEX.com.pl
24
Numer: I/2014 (126)
Nowe przełączniki modułowe serii
Cisco Catalyst 6800
Dynamicznie rozwijający się rynek wszelkiego rodzaju mobilnych
urządzeń elektronicznych oraz przetwarzanie coraz większej ilości danych
„w chmurze”, powoduje konieczność budowania coraz wydajniejszych sieci
o złożonej architekturze. Podstawowymi parametrami, które powinny cechować
rozwiązania używane do obsługi takiego ruchu, to bezpieczeństwo i prostota
zarządzania, dostępność usług i przede wszystkim prędkość oraz skalowalność.
Jednym z najważniejszych elementów dużych sieci szkieletowych są duże
przełączniki wielowarstwowe, które to agregują pokaźne ilości ruchu w ciągu
każdej sekundy. Mając na uwadze taki rozwój sytuacji wszyscy producenci
sprzętu sieciowego chcący liczyć się na rynku starają się rozwijać w tym kierunku,
oferując coraz bardziej innowacyjne urządzenia.
Pod koniec ubiegłego roku firma
Cisco wprowadziła do sprzedaży
nową linię przełączników mających
sprostać rosnącym wymaganiom –
serię Catalyst 6800. Architektura
serii Catalyst 6800 (rysunek 1) oparta
jest na flagowym modelu Cisco serii
C at alyst 6 5 0 0, posiadając jego
najbardziej war toś ciowe cechy,
jednocześnie oferując zupełnie nowe
i innowacyjne rozwiązania. Seria
składa się z trzech różnych przełączników, z których każdy ma inne
zastosowanie w sieci kampusowej.
Każdy z nich będzie po krótce przedstawiony w niniejszym artykule.
Rys. 1. Przełączniki serii Catalyst 6800
25
TECHNOLOGIE
Rys. 2. Cisco Catalyst 6807-XL
Catalyst 6807-XL
Jest to największy przełącznik z nowej
serii, zbudowany w technologii
modułowej, która umożliwia dowolne
jego dostosowanie do potrzeb danej
sieci (rysunek 2). Przełącznik ten
ma zapewnić najwyższą możliwą
skalowalność i maksymalnie wysoką
wydajność w swojej klasie.
Jako, że opracowany został w oparciu
o architekturę przełączników serii
Catalyst 6500, jest kompatybilny
z większością nowszych modułów,
używanych właśnie w serii 6500,
z najnowszymi kartami Supervisor
Engine 2T włącznie. Pełną listę wspieranych przez przełącznik modułów
można znaleźć w tabeli 1.
Urządzenie jest zoptymalizowane
do pracy jako główny przełącznik
rdzeniowy, z prę dkościami
10/4 0/ 100 Gb/s . Przy wielkości
10RU oferuje 7 slotów, z czego dwa
zarezerwowane są dla kar t typu
supervisor, zapewnia przepustowość
do 880 Gb/s per slot oraz aż 11.4 Tbps
per system. System umożliwia zastosowanie do 4 zasilac zy o moc y
3000W każdy, zapewniając wysoką
dostępność w razie awarii jednego
z urządzeń zasilających. Chłodzenie
możliwe jest w systemie side-to-side.
26
Dzięki zastosowaniu kart Supervisor
Engine 2T przełącznik pracuje również
na tej samej wersji systemu IOS
co seria 6500, wspierając wszystkie
dostępne funkcjonalności dla warstw
sieciowych L2 oraz L3.
Wśród wielu z aawansowanych
funkcjonalności można wyróżnić
pełne wsparcie dla systemów wirtualizacji, w tym: L 2/L3 VPN, pełne
wsparc ie dla MPL S , E V N, V R F
aware dla NAT NetFlow, wparcie
GRE dla IPv4 oraz IPv6, jak również
L 2 extensions z technologią VPLS,
pozwalające tworzyć grupy użytkowników i stosować niezależne polityki
bezpieczeństwa i QoS, różne dla
każdej z tych grup.
Bezpieczeństwo w rozległych sieciach
zapewnia wsparcie dla technologii
TrustSec. Nad wysoką dostępnością
urządzenia i ciągłością pracy mogą
c z uwa ć me c ha ni z my Nons t op
Forwarding with Stateful Switchover
(NSF/SSO). Dla prostoty zarządzania
i jeszcze większej dostępności oraz
przepustowości można oczywiście
zastosować wspieraną w pe ł ni
technologię VSS. Zwiększy ona przy
odpowiedniej konfiguracji dwóch
przełączników łączną przepustowość
do 22.8 Tbps per system, a przy zastosowaniu 4 kart Supervisor Engine 2T
umożliwi zastosowanie technologii
VSS Quad-Sup SSO ( VS4O), która
VS-S2T-10G
VS-S2T-10G-XL
WS-X6904-40G-2T
WS-X6904-40G-2TXL
WS-X6908-10G-2T
WS-X6908-10G-2TXL
WS-X6816-10G-2T
WS-X6816-10G-2TXL
WS-X6816-10T-2T
WS-X6816-10T-2TXL
WS-X6848-SFP-2T
WS-X6848-SFP-2TXL
WS-X6824-SFP-2T
WS-X6824-SFP-2TXL
WS-X6848-TX-2T
WS-X6848-TX-2TXL
WS-X6716-10G-3C (with DFC4)
WS-X6716-10G-3CXL (with DFC4XL)
WS-X6716-10T-3C (with DFC4)
WS-X6716-10T-3CXL (with DFC4XL)
WS-X6704-10GE (with CFC or DFC4/DFC4XL)
WS-X6748-GE-TX (with CFC or DFC4/DFC4XL)
WS-X6748-SFP (with CFC or DFC4/DFC4XL)
WS-X6724-SFP (with CFC or DFC4/DFC4XL)
NAM3
ASA-SM
WiSM2
ACE30
Tabela 1. Moduły wspierane przez Cisco Catalyst 6807-XL
Numer: I/2014 (126)
zapewnia 9 9, 9 9 9 % dost ępności
systemu. Administratorów zainteresuje
zapewne również możliwość zastosowania modułu do analizy i zarządzania
ruchem sieciowym NAM-3.
Najciekawszymi funkcjonalnościami
zastosowanymi w serii 6800 są jednak
technologie: Cisco Instant Access oraz
Smart Install. Technologia Instant
Access pozwala na zastosowanie Cisco
6807-XL (również 6500 oraz 6880-X),
jako rdzenia rozległej sieci i dołączenie
do nich praktycznie nieograniczonej
ilości przełączników serii 6800ia,
umożliwiając tym samym zarządzanie
wszystkimi tymi przełącznikami, jakby
były jednym scalonym urządzeniem.
Daje to możliwość rozszerzenia idei
technologii takich jak VSS, czy łączenia
przełączników w stosy dla warstwy
dystrybucyjnej i dostępowej, ale już
na poziomie rdzenia sieci ułatwiając
zarządzanie administratorom.
Dopełnieniem Instant Access jest
technologia Smart Install pozwalająca dystrybuować konfiguracje, jak
również zarządzać obrazami systemów
IOS dla wszystkich urządzeń zawierających się w takiej sieci. Dzięki temu
np. w razie awarii lub rozbudowy
syst emu o kolejne ur z ąd zenia ,
możemy podłączyć nieskonfigurowany przełącznik do istniejącej
inf r as t r uk tur y, a z as t os owane
obsługujących wkładki 10 Gbps.
Z asilanie może być realizowane
poprzez dwa zasilacze zasilane prądem
przemiennym lub stałym. Do najważniejszych parametrów urządzenia
Catalyst 6880-X
należą:
Kolejnym produktem z serii jest • Możliwość przełączania pakietów
nieco mniejszy 6880-X (rysunek 3).
d o 3 0 0 Mp p s d l a IP v 4 lu b
Ma on znaleźć zastosowanie jako
do 150 Mpps dla IPv6;
przełącznik rdzeniowy w nieco mniej- • Możliwość przełączania do 300 Mpps
szych sieciach. Podobnie do swojego
w warstwie L2;
wię k s zego „br at a” opar ty je s t • Wsparcie do 2M dla IPv4, lub 1M dla
o architekturę serii Catalyst 6500,
IPv6 tras unicast;
j e d n a k j e go b u d o w a nie j e s t • Wsparcie do 128K tras multicast;
do końca modułowa. Standardowo • Wsparcie do 128K wpisów MAC;
przełącznik posiada zintegrowany • Wsparcie dla 2 56K wspólnych
moduł Supervisor Engine 2T oraz 16
wpisów ACL/QoS;
zintegrowanych portów SFP/SFP+ • Wsparcie do 5M wpisów Flexible
mogących pracować z wkładkami
Netflow per system (1M per slot);
10 Gbps.
• Pe ł ne wsparcie MPL S dla 16K
Nie można więc stosować dowolnych
różnych etykiet VPN;
modułów jak w przypadku 6807-XL, • Wsparcie balancing’u dla 16 różnych
możliwa jest jednak rozbudowa
ścieżek (unicast, multicast oraz
systemu o maksymalnie 4 kar ty
MPLS);
posiadające po 16 portów SFP/SFP+ • Sprzę towe wsparcie dla C oPP
oprogramowanie automatycznie
przygotuje go do pracy w środowisku,
w oparciu o dostępne szablony.
Produkty serii 6800 są bardzo ciekawą propozycją zarówno
do planujących budowę nowych rozległych sieci, ale również
dla Klientów chcących rozbudowywać swoje dotychczasowe
środowisko, oparte na produktach serii Catalyst 6500.
(Control Plane Policing);
• Każdy port może wspierać prędkości
od 1 do 40 Gbps.
Ponad t o pr z e ł ą c z nik i 6 8 8 0 -X
wspierają większość funkcjonalności
większego „brata”, wśród których
można wskazać najistotniejsze tj.:
wsparcie wirtualizacji dla warstw
L 2/L 3, Virtual Switching System
(VSS), Visibility and Control (AVC),
C isco Tr ust Sec , pe ł ne wsparcie
dla MPLS/ VPLS, wparcie GRE dla
IPv4 oraz IPv6. Daje on więc mniej
możliwości niż większy 6807-XL ,
chociażby ze względu na brak możliwości wymiany kar t supervisor,
jednak jak wspomniano na początku
przeznaczony jest do mniejszych sieci.
Rys. 3. Cisco Catalyst 6880-X
27
TECHNOLOGIE
Catalyst 6800ia
Dopełnieniem całej serii jest model
6 800ia (rysunek 4). Przełącznik
został stworzony z myślą o warstwie
dostępowej dla większych przełączników serii 6800. Wyposażony jest
w 48 portów 1/100/1000 Gbps, 512MB
pamięci RAM, 128MB pamięci flash,
port konsoli (USB oraz tradycyjny
RJ-45), dedykowany port do zarządzania 10/100Mbps oraz dwurdzeniowy procesor APM86392.
Dost ępne s ą dwie konfigurac je
sprzętowe: z technologią PoE/PoE+
lub bez. Przełącznik z PoE/PoE+,
dzięki 740W wydolności prądowej
może zapewnić zasilanie PoE/PoE+
odpowiednio dla 48 portów z wydolnością prądową 15.4W per port lub
dla 24 portów z wydolnością prądową
30W per port. Dodatkowo niezależnie
od wersji posiada dwa porty Uplink
SFP/SFP+ umożliwiające zastosowanie wkładek 10 Gbps.
Wsparcie dla technologii FlexStack-Plus umożliwia połącznie do trzech
przełączników w stos, zapewniając
przepustowość rzędu 80 Gbps per stos.
Przełącznik wspiera również technologię MACsec na każdym porcie.
Co najistotniejsze, dzięki technologii
Instant Access przełącznik może
dziedziczyć wszystkie funkcjonalności przełącznika rdzeniowego. Daje
to ogromne możliwości administratorom ułatwiając zarządzanie i rozbudowywanie dowolnej topologii.
Przedstawione parametry urządzeń
28
Rys. 4. Cisco Catalyst 6800ia
nie pokazują wszystkich danych Opracowano na podstawie oficjalnych
technicznych i możliwości serii, szcze- materiałów producenta.
gółowe parametry techniczne, dla
T.K.
każdego z urządzeń można znaleźć
Inżynier SOLIDEX
na stronach www producenta.
Podsumowanie
P roduk ty ser ii 6 8 0 0 s ą bardzo
c i e k aw ą p r o p o z y c j ą z a r ó w n o
do planujących budowę nowych
rozległych sieci, ale również dla
Klientów chcących rozbudowywać
swoje dotychczasowe środowisko,
oparte na produktach serii Catalyst
6500. Zastosowana w rodzinie 6800
nowa technologia zapewnia bowiem
pełną kompatybilność z obecnymi
modułami, co pozwala na stopniowe
odświe żenie infrastr uk tur y nie
generując jednorazowo ogromnych
kosztów związanych z wymianą całej
infrastruktury.
Numer: I/2014 (126)
Cisco Prime LMS – Compliance
and Audit Manager – łatwy sposób
na dostosowanie konfiguracji
urządzeń do standardów
Cisco Prime LAN Management Solution (LMS), wchodzący w skład Cisco Prime
Infrastructure, jest narzędziem, które może w znaczącym stopniu uprościć
zarządzanie siecią zbudowaną w oparciu o urządzenia Cisco. Możliwości tego
produktu obejmują m.in. zarządzanie konfiguracjami oraz oprogramowaniem
urządzeń, monitorowanie historii zmian konfiguracji oraz wyposażenia
sprzętowego urządzeń, śledzenie użytkowników/stacji końcowych jak również
wizualizację zarówno topologii sieciowej jak i samych urządzeń sieciowych.
Aplikacja Cisco Prime LMS oferuje dwa
mechanizmy sprawdzania zgodności
konfiguracji urządzeń ze zdefiniowanymi wcześniej politykami.
P ier wsz ym z nich jest z nany
z popr zednich wer sji aplik ac ji,
mechanizm sprawdzania zgodności
konfiguracji ze zdefiniowaną konfig ur ac j ą b a z ow ą t z n . b a s e line
compliance. Mechanizm ten działa
wyłącznie w oparciu o konfiguracje
pobrane z urządzeń sieciowych,
znajdujące się w repozytorium konfiguracji, gdzie dane przechowywane
są w formie plików tekstowych.
Konfigurac ja ba zowa definiuje,
które linie musi/nie może zawierać
konfiguracja urządzenia, przy czym
dopuszczalne jest wykorzystanie
w yr a ż e ń r e g u la r ny c h , je d na k
w takim przypadku nie jest możliwe
wykonanie automatyc znego
ujednolicenia konfiguracji w oparciu
o zdefiniowany wzorzec. Mechanizm
ten nie podlega licencjonowaniu.
Drugi mechanizm wprowadzony
w Cisco Prime LMS 4.2, to „Compliance
and Audit Management” (C A AM),
umożliwiający sprawdzanie konfigurac ji ur z ądze ń siec iowych
pod kątem zgodności z szerokim
wachlarzem polityk, zdefiniowanych
na podstawie standardów, dobrych
praktyk oraz zaleceń różnych organizacji, agencji rządowych oraz firm
prywatnych (Tabela 1).
Weryfikacja działania urządzeń
sieciowych pod kątem zgodności
z politykami oprac owanymi
na podst awie st andardów oraz
zaleceń, nie tylko sprawdza konfiguracje urządzeń sieciowych, lecz
również m.in. wykryte podatności
konkretnych wersji oprogramowania
oraz poszczególnych platform.
Z d e f in i o w a n e p o li t yk i , k t ó r e
administrator może dostosowywać
do własnych potrzeb są prezentowane
w formie graficznej wraz z informacją,
jakiej platformy dotyczą. Nie jest
zatem wymagana od administratora
znajomość dokładnej składni poleceń,
ponieważ oprogramowanie Cisco
Prime LMS je weryfikuje.
Na rysunkach przedstawiono szeroki
wachlarz opcji, które można znaleźć
w predefiniowanych politykach.
Poczynając od definicji komunikatów
wyświetlanych przez urządzenia
podczas logowania się do interfejsu
tekstowego urządzenia (Rysunek 1),
poprzez definicje usług, jakie mogą
działać na urządzeniu (Rysunek 2),
aż po polityki sprawdzające podatności (Rysunek 3). Istnieje możliwość
twor zenia w ł asnych polityk ,
29
ROZWIĄZANIA
Center for Internet Security (CIS) – organizacja non-profit, umożliwiająca współpracę organizacji rządowych
oraz firm prywatnych, mającą na celu zwiększenie cyber bezpieczeństwa.
Cisco Security Best Practices (SAFE) – zbiór koncepcji, zaleceń oraz wytycznych Cisco, według których należy
budować bezpieczne sieci komputerowe.
Defense Information Security Agency (DISA) – agencja rządowa, będąca jednostką powołaną do projektowania
i wdrażania systemów na potrzeby armii Stanów Zjednoczonych.
Department Of Homeland Security (DHS) – agencja bezpieczeństwa wewnętrznego Stanów Zjednoczonych,
utworzona po zamachach terrorystycznych z 11 września 2001 roku na World Trade Center oraz Pentagon, której
głównym zadaniem jest zapobieganie atakom terrorystycznym oraz zmniejszenie szkód, jeśli już do ataku dojdzie.
Healthcare Insurance Portability Act (HIPAA) – ustawa, podpisana 21 sierpnia 1996 roku przez Billa Clintona,
mająca na celu zagwarantowanie ubezpieczenia zdrowotnego pracownikom oraz ich rodzinom w przypadku
zmiany lub straty pracy oraz ustandaryzowanie oraz zwiększenie wydajności i bezpieczeństwa systemów
informatycznych, obsługujących elektroniczną wymianę informacji w sektorze opieki zdrowotnej.
ISO/IEC27002 (wcześniej ISO17799) – jedna z norm Międzynarodowej Organizacji Normalizacyjnej ISO,
wywodząca się z brytyjskiego standardu bezpieczeństwa BS 7799. Stanowi ona zestaw wytycznych przydatnych
przy wdrażaniu, utrzymaniu oraz zwiększaniu bezpieczeństwa informacji w przedsiębiorstwie.
National Security Agency (NSA) Router – zalecenia amerykańskiej Agencji Bezpieczeństwa Krajowego
(NSA), dotyczące konfiguracji routerów (w szczególności routerów Cisco), w zakresie ustawień zwiększających
bezpieczeństwo.
Payment Card Industry (PCI) – termin najczęściej odnoszący się do Payment Card Industry Security Standards
Council – niezależnej rady, powołanej w 2006 roku przez 5 operatorów kart płatniczych, w celu opracowania
i rozwijania normy bezpieczeństwa Payment Card Industry Data Security Standard (PCI DSS), mającej na celu
zapewnienie spójnego poziomu bezpieczeństwa we wszystkich środowiskach, obsługujących transakcje
wykonywane kartami płatniczymi, w szczególności przetwarzające dane posiadaczy kart.
Sarbanes Oxley Act (SOX) – ustawa uchwalona przez Kongres Stanów Zjednoczonych w 2002 roku, mająca
na celu poprawę jakości oraz wiarygodności sprawozdawczości finansowej przedsiębiorstw. Ustawa ta dotyczy
również aspektów informatycznych, w szczególności zapewnienia bezpiecznego przechowywania danych
w formie elektronicznej przez określony czas.
SysAdmin, Audit, Network, Security (SANS) – firma, założona w 1989 roku, oferująca szkolenia, certyfikacje
oraz dostęp do materiałów z zakresu bezpieczeństwa.
Cisco Product Security Incident Response Team (PSIRT) – zespół specjalistów Cisco, odpowiedzialny
za reagowanie na podatności, związane z bezpieczeństwem produktów Cisco.
Tabela 1. Spis organizacji, ustaw oraz norm, których wytyczne oraz zalecenia są podstawą polityk mechanizmu CAAM
30
Numer: I/2014 (126)
Rys. 1. Compliance Check – Banners
zawierających wybrane definicje,
jak również generowanie raportów
w oparciu o predefiniowane polityki.
Mechanizm ten jest obecnie dostępny
wyłącznie w aplikacji Cisco Prime LMS
4.2, wiadomo jednak, że planowane
jest jego przeniesienie do Cisco Prime
Infrastructure, łączącego w sobie
bezprzewodowe funkcjonalności Cisco
Prime Network Control System (NCS)
oraz funkcjonalności Cisco Prime LAN
Management Solution (LMS) zarządzającego sieciami przewodowymi. Warto
zwrócić uwagę na sposób licencjonowania (Cisco Prime Infrastructure 2.x
Compliance License) zróżnicowany
w zależności od ilości zarządzanych
urządzeń sieciowych.
L.S.
Inżynier SOLIDEX
Rys. 2. Compliance Check
– Miscellaneous Services
Rys. 3. Compliance Check
– ASA Crafted IKE Message DoS Vulnerability
31
ROZWIĄZANIA
Infoblox NetMRI – przepis
na skuteczne zarządzanie siecią
złożoną z wielu dostawców platform
aktywnych
Częścią wspólną dla wszystkich sieci teleinformatycznych są usługi sieciowe.
Proces transmisji informacji w takiej sieci jest mocno od nich uzależniony.
Te usługi to IPAM, DHCP i DNS – kluczowe usługi bez których nie może istnieć
sieć komputerowa. Wysoka dostępność dla nich jest wręcz krytyczna – jak
zagwarantować taki stan rzeczy? Jednym z rozwiązań tego problemu może
być Infoblox, a konkretnie jego platformy Trinzic DDI (DCHP, DNS, IP). Firma
Infoblox jest liderem na rynku systemów służących do pełnej automatyzacji sieci
i kontroli na dwóch poziomach. Przede wszystkim jest to automatyzacja i wysoka
dostępność dla usług sieciowych DDI. Drugą płaszczyzną „automatyzacji
i kontroli” jest kompletna obsługa konfiguracji urządzeń sieciowych wielu
producentów i właśnie o tym będzie traktował niniejszy artykuł.
Problem złożoności zarządzania środowiskiem sieciowym składającym się
z platform wielu wendorów Infoblox
rozwią zuje systemem Net MR I.
NetMRI dostępny jest w postaci
Model – NT 1400
fizycznych i wirtualnych platform.
Te c h n o l o g i ę N e t M R I m o ż n a
sprowadzić do 3 ważnych modułów:
Rozpoznanie, Z arządzanie
i Automatyzacja.
Model – NT 2200
Model – NT 4000
Rys. 1. Wybrane modele jednostek zarządzających
32
Int er fejs grafic z ny jest bardzo
intuicyjny i łatwy w obsłudze. GUI
składa się z 5 sekcji. Sekcja 1 to pasek
z głównymi zakładkami (6 zakładek)
s ł u ż ą c ymi do pr ac y bie ż ą c ej .
Model – NT (wirtualny)
Numer: I/2014 (126)
Sekcja 2 to baza wszystkich urządzeń
sieciowych, wykrytych przez NetMRI
na bazie których przeprowadzane
są operacje. Sekcja 3 to ekran główny,
ukazujący wyniki przeprowadzonych
operacji. Sekcja 4 to zakładki konfiguracyjne samego urządzenia NetMRI.
Sekcja 5 to wyszukiwarka globalna
ułatwiająca przeszukiwanie informacji
z całego systemu.
W momencie poprawnego zalogowania
się do konsoli graficznej użytkownik
będzie miał do dyspozycji 6 głównych
zakładek.
Dashboard
Rys. 2. Przykładowy zrzut z ekranu GUI (zakładka Dashboard)
Zakładka Dashboard służy do prezentacji ogólnych danych, do których
konieczny jest jak najszybszy dostęp.
Mamy do dyspozycji 3 główne panele:
• Timeline Status Summary
• Issue Summary
• Change Summary
„Timeline Status Summary” stanowi
moduł prezentujący zmiany na osi czasu.
Dzięki temu uzyskamy informacje takie
jak – „Most Changed Devices”, „Percent
Policy Compliance” czy „Changes”.
Dodatkowo w formie grafu otrzymamy
informacje z podziałem procentowym
parametrów takich jak „Warning”,
„Error” czy „Passed”.
„Issue Summary” stanowi moduł
prezentując y ogólny pogląd
na wydarzenia w monitorowanej
sieci. Uzyskamy między innymi listę
„Top Issue Type” lub „Top Affected
Devices”. Dodatkowo w formie grafu
otrzymamy informacje na temat trendu
dla dwóch płaszczyzn „Type Issue” oraz
„Instance Trend”.
„Change Summary” stanowi moduł
prezentujący ogólne zmiany, które
zaszły w monitorowanej sieci wraz
z danymi na temat „Detected Changes”,
„Most Changed Devices” oraz „Most
Active Change Makres”.
Network Analysis
Zakładka Network Analysis służy
do prezentacji danych podlegających
analizie na kilku płaszczyznach:
• Issues
• Changes
• Policy Compliance
• Performance
„Issues” stanowi moduł prezentujący
informacje związane z wszelkimi
Rys. 3. Przykładowy zrzut z ekranu GUI (zakładka Network Analysis)
Rys. 4. Przykładowy zrzut z ekranu GUI (zakładka Network Analysis – Topology)
p r o b l e m a m i n a u r z ą d z e n i a c h kilku dni. Punktacja ta pozwala
sieciowych. Często są to informacje na zobrazowanie jak sieć (konfiguna temat błędów konfiguracyjnych racje na urządzeniach oraz ich stopień
na urządzeniach, które nie spełniają poprawności) ulegały zmianie na osi
k r yt er iów (st andardów) fir my. czasu.
Na potrzeby optymalizacji działania „Changes” stanowi moduł prezencałej sieci NetMRI w tym miejscu tujący bardziej szczegółowo zmiany
prezentuje również punktację ogólną na urządzeniach sieciowych. Z poziomu
monitorowanej sieci na przełomie tego miejsca uzyskamy informacje
33
ROZWIĄZANIA
zgodności konfiguracji z politykami
typu Compliance (np.: PCI DSS 2.0).
„Performance” stanowi moduł prezentujący informacje na temat ogólnej
wydajności urządzeń sieciowych
ze szczególnym uwzględnieniem
utylizacji procesora, pamięci lub
interfejsów.
Network Insight
Rys. 5. Przykładowy zrzut z ekranu GUI (zakładka Network Config Management)
Rys. 6. Przykładowy zrzut z ekranu GUI
(zakładka Network Config Management – Config Archive)
Zakładka Network Insight służy
do prezentacji danych związanych
z inwentaryzacją urządzeń w sieci (np.
PC, urządzenia sieciowe). Z poziomu
tego panelu administrator jest w stanie
przeprowadzić pełną inwentaryzację
infrastruktury sieciowej poprzez
mechanizm SNMP. Network Insight
przedst awia równie ż topologię
sieciową w formie graficznej z rozróżnieniem na parametry między innymi
linku, L2 HOP, L3 HOP czy VLAN.
Wsz yst k ie dane prezent owane
na panelu g łównym (z ak ł adk i
Network Insight) są uzależnione
od wybranej grupy urządzeń, które
zostały stworzone na etapie procesu
DISCOVERY. Urządzenia na podstawie
unikatowych parametrów zostały
sklasyfikowane do gr up typu –
Security, Switching, Routing, Wireless,
itp. Dodatkowo w sposób skondensowany przedst awione zost ał y
również dane na temat adresacji IP
(urządzeń, interfejsów urządzeń), MAC
adresów, itp.
Security Control
Rys. 7. Przykładowy zrzut z ekranu GUI (zakładka Reports)
na temat np.: adresu IP urządzenia który zmianę poczynił.
na którym pojawiły się zmiany, typu „Policy Compliance” stanowi moduł
urządzenia, wendora oraz użytkownika, prezentujący informacje na temat
34
Z akładka Security Control
o dp o w ia d a z a o gó lny a s p e k t
zarządzania elementami bezpieczeństwa z punktu widzenia urządzeń
do tego dedykowanych (np. firewall).
Administrator jest w stanie skonfigurować parametry takie jak usługi
(na konkretnych portach TCP/UDP),
sieci IP, listy kontrolne (ACL), itp.
Nast ępnie po skonfigurowaniu
powyższych parametrów administrator ma możliwość na bieżąco
monitorować zmiany w obiektach,
urządzeniach i je optymalizować
pod kątem ilości i jakości reguł
bezpieczeństwa.
Numer: I/2014 (126)
Config Management
B ardzo moc no roz winię ty jest • Health
mechanizm wyszukiwania konkretnych • Security Control
Z ak ł adk a C onf ig Management fraz, części konfiguracji na wszystkich • Switch Port Management
odpowiada za centralne repozy- urządzeniach sieciowych (zdefiniotorium skryptów, które administrator wanych podczas procesu discovery).
Podsumowanie
może stworzyć od nowa lub przerobić Bardzo ciekawym mechanizmem
z dość bogatej bazy już gotowych. jest również moduł porównywania Zarządzanie infrastrukturą sieciową
NetMRI jest w stanie zinterpretować wprowadzanych zmian w konfiguracji złożoną z urządzeń sieciowych wielu
i przetworzyć skrypty napisane urządzenia.
producentów nie musi być skompliw ję zyku Perl lub CC S . Opróc z
kowana . Jak widać s ą r oz wią centralnego repozytorium dostępne Reports
zania (takie jak Infolox NetMRI)
jest narzędzie do tworzenia zadań
które w sposób prosty i przejrzysty
(jobs), którymi w dowolny sposób Zakładka Reports służy do genero- są w stanie zarządzać siecią na kilku
administrator jest w stanie zarządzać. wania wszelkich raportów na bazie poziomach. Dodatkowo integracja
Możliwe jest stworzenie kolejki zadań zebranych danych z całej sieci. Admini- NetMRI z rozwiązaniami Infoblox DDI
i przypisania jej do grupy urządzeń wraz strator ma do dyspozycji raporty powodują, że wiedza na temat sieci jest
z godziną i datą jego uruchomienia. zdefiniowane z zakresu:
jeszcze bardziej przejrzysta i dokładna.
Istnieje możliwość konfigurowania • Asset
zadań, które na podstawie wystąpienia • Change & Config
J.Ś.
pewnego zjawiska są uruchamiane.
• Compliance
Inżynier SOLIDEX
Autoryzowane
szkolenia Cisco
w SOLIDEX!
Zapraszamy:
Kraków, ul. J. Lea 124
Warszawa Złote Tarasy, ul. Złota 59
szczegóły na str. 47
35
ROZWIĄZANIA
Centralne zarządzanie Fortinet –
FortiManager
Aktualizacja wielu urządzeń jednocześnie, zmiana konfiguracji, dodawanie
nowych polityk czy tworzenie kopii zapasowej zwłaszcza gdy urządzenia
znajdują się w oddalonych od siebie lokalizacjach jest nie lada problemem dla
administratorów.
Z pomocą przychodzi im firma Fortinet
oferując system centralnego zarządzania – FortiManager. Produkt
ten znacznie ułatwia i przyśpiesza
wdrożenie, obsługę, wprowadzanie
zmian oraz dzięki wbudowanemu
modułowi FortiAnalyzer monitoring
urządzeń końcowych. Dostępny jest
szeroki wachlarz wersji wirtualnych
jak i fizycznych w zależności od potrzeb
Klienta. FortiManager potrafi zarządzać
urządzeniami FortiGate, FortiWiFi,
FortiAnalyzer oraz FortiMail. Istnieje
również możliwość integracji z oprogramowaniem FortiClient. Jest to bardzo
wygodne w przypadku gdy korzystamy
z tej aplikacji np. na komputerach
za firewallem FortiGate.
Administrative Domain
Wprowadzenie domen administracyjnych znacznie ułatwiło zarządzanie
nawet dużą ilością urządzeń, zwłaszcza
gdy znajdują się one w różnych lokalizacjach. Funkcjonalność ta umożliwia
36
Rys.1. Schemat rozwiązania FortiManager
Numer: I/2014 (126)
Rys. 2. Podział urządzeń na ADOMy
logiczne grupowanie wielu urządzeń
w A DOMy, a nast ę pnie z ar z ą dzanie nimi. Możliwe jest tworzenie
odpowiednich poziomów dostępu,
szablonów polityk czy konfiguracji
dla każdej domeny administracyjnej
osobno.
Łatwiejsze i szybsze
wdrożenia
For tiManager znac znie ułatwia
wdr o ż enie nowyc h sys t emów.
Wys t ar c z y doda ć nowy spr z ę t
do inst anc ji zarz ądzającej i ju ż
możemy przystąpić do konfiguracji.
Nie ma konieczności czasochłonnych
wyjazdów aby wdra żać poszczególne urządzenia.
FortiManager umożliwia wykorzystanie specjalnych skryptów, które
s ą p o t ę ż nym na r z ę d z ie m . Ic h
tworzenie sprowadza się do wpisyw a nia o dp owie dnic h k ome n d
(identyc znych jak te z poziomu
C L I urz ądzenia), zatem nie jest
wymagana znajomo ś ć ż adnego
języka programowania. Stworzony
w ten sposób sk r ypt moż e być
Rys. 4. FortiManager 1000D
Rys. 3. Dashboard FortiManager
publikowany do wielu urządzeń
jednoc ze śnie. Oprogramowanie
pr zed wprowadzeniem z mian
na kliencie końcowym sprawdza
integralnoś ć wydanych poleceń
z wer sją oprogramowania ora z
typem urządzenia docelowego, więc
nie stanowi problemu konfiguracja
różnych modeli funkcjonujących
na innych wersjach FortiOS.
W przypadku wersji wirtualnych
FortiManager istnieje możliwość
wykupienia k ilku lic enc ji t ego
samego typu, co powoduje
odpowiednie zwiększenie możliwości oraz maksymalnych
parametrów instancji.
37
ROZWIĄZANIA
FMG-VM
BASE
FMG-VM10-UG
FMG-VM100-UG
FMG-VM1000-UF
FMG-VM5000-UG
FMG-VMU-UG
Maksymalna liczba
urządzeń / ADOM’ów
10
+10
+100
+1000
+5000
Bez limitu
Maksymalna liczba
web portali / userów
portalowych
10
+10
+100
+1000
+5000
Bez limitu
1
2
5
10
25
50
100 GB
200 GB
1 TB
4 TB
8 TB
16 TB
Maksymalna ilość
zbieranych logów na dzień
(GB)
Quota
Interfejsy fizyczne
Pojemność dyskowa
Wspieranie hypervisor
1 / 4 (vNIC Min / Max)
80 GB / 16 TB (Min / Max)
VMware (ESXi/ESX 4.0/4.1/5.0/5.1, Microsoft Hyper-V 2008 R2 / 2012
Tabela 1. Zestawienie wybranych parametrów wersji wirtualnych FortiManager
Wersje konfiguracji
Rys. 7. FortiManager 5001A
takiemu rozwiązaniu otrzymujemy
centralny system monitorowania,
FortiManager ułatwia także zarząutrzymania bezpieczeństwa oraz
dzanie już istniejącym systemem. Zarządzanie
zarządzania siecią.
Każda, nawet najdrobniejsza zmiana
Bardzo ciekawym rozwiązaniem jest
powoduje stworzenie nowej wersji O p r ó c z m o ż l i w o ś c i n a w i ą z y - wprowadzenie szablonów konfikonfiguracji, która jest zapisywana wania połączenia z zarządzanym guracji dla urządzeń końcowych.
w pamięci systemu zarządzającego urządzeniem przy pomocy protokołu W ten sposób wprowadzenie nowej
a następnie może zostać przesłana Telnet lub SSH, istnieje również polityki lub zmian na wielu urządzedo poszczególnych urządzeń. Istnieje możliwość dostępu z poziomu GUI niach jest bardzo proste i odbywa się
możliwoś ć porównania wprowa- co znacznie przyśpiesza i ułatwia jego szybko.
dzonych zmian. W tym przypadku konfigurację.
zostanie wyświetlony plik w postaci Integracja z serwisem FortiGuard, Wersje fizyczne
wydanych z poziomu CLI komend k t ó r y p u b l i k u j e s y g n a t u r y
z p o d ś w i e t l o ny m i d o d a nym i , z abezpiec zeń umoż liwia pobie - Oprócz wersji wirtualnej, FortiManager
usuniętymi lub zmodyfikowanymi ranie aktualizacji przez klientów jest również dostępny w postaci sprzęliniami. Oczywiście w dowolnym końcowych bezpośrednio z systemu towej. Od modelu 5001A dostępnego
mome nc ie is t nieje mo ż liwo ś ć zarządzającego.
jako moduł blade do ur z ądzeń
powrotu do stanu poprzedniego. FortiManager posiada domyślnie FortiGate z serii 5000 do modelu
Również w przypadku modyfikacji w b u d o w a n ą f u n k c j o n a l n o ś ć 2 0 0D, k tór y jest najmniejszym
dokonanych przez administratora For ti A nalyzer, k tór y umożliwia urządzeniem z rodziny Managerów.
lokalnego zmiany są zapisywane rejestrowanie zdarzeń, przetwarzanie W zależności od wymagań Klienta
w systemie centralnym. Znacznie danych czy analizę logów. Dzięki dostępne są różne wersje różniące
38
zwiększa to bezpieczeństwo oraz daje
pełną kontrolę nad urządzeniem.
Numer: I/2014 (126)
FMG200D
FMG300D
FMG400C
FMG-1000D
FMG3000C
FMG-4000D
FMG5001A
Maksymalna
liczba urządzeń
/ ADOM’ów
30
300
300
800
5000
4 000
4 000
Maksymalna
liczba web
portali
-
-
-
800
5000
4 000
4 000
Maksymalna ilość
zbieranych
logów na dzień
(GB)
2
2
2
2
2
2
2
Interfejsy
fizyczne
4x GE
RJ45
4x GE
RJ45
4x GE
RJ45
6x GE RJ45
2x SFP
4x GE RJ45
4x GE RJ45
2x SFP
2X GE RJ45
Pojemność
dyskowa
1x 1TB
2x 2TB
1x 1TB
4x 2TB
(8 TB max)
2x2 TB
(12 TB
max)
8x 2TB
(16 TB max)
1x 80GB
Obsługa RAID
NIE
TAK
(0,1)
NIE
TAK
(0,1,5,6,10,50,60)
TAK
(0,1,10)
TAK
(0,1,5,6,10,50,60)
NIE
Wymienne
dyski twarde
NIE
NIE
NIE
TAK
TAK
TAK
NIE
Redundantne
zasilacze typu
hot swap
NIE
NIE
NIE
TAK
NIE
TAK
TAK
(wbudowane
w chassis)
Tabela 2. Zestawienie wybranych parametrów wersji fizycznych FortiManager
się od siebie np. maksymalną ilością
obsługiwanych urządzeń, możliwością dodawania zewnętrznych
dysków twardych lub obs ł ugiwanych redundantnych zasilaczy
typu hot swap. W przypadku wersji
fizycznej nie ma potrzeby obciążania
serwera poprzez instalowanie na nim
wirtualnych instancji, jednak należy
zapewnić odpowiednią redundancję.
to idealne rozwiązanie zwłaszcza
dla sieci, w których występuje wiele
urządzeń Fortinet.
Opracowane na podstawie oficjalnych
P.M.
Inżynier SOLIDEX
Podsumowanie
Rozwiązania centralnego zarządzania
zaproponowane przez firmę Fortinet
zwiększają efektywność funkcjonowania całej sieci, ułatwiają wdrożenia
oraz wprowadzanie zmian, a wygodny,
przemyślany i intuicyjny interfejs
ułatwia korzystanie z systemu. Dzięki
funkcjonalności FortiAnalyzer otrzymujemy również zaawansowany
system monitorowania sieci. Jest
39
ROZWIĄZANIA
Migracja z Cisco Prime LMS
do Cisco Prime Infrastructure
Cisco Prime Infrastructure jest kompleksowym narzędziem do zarządzania
infrastrukturą sieciową. Łączy ono w sobie bezprzewodowe funkcjonalności
Cisco Prime Network Control System (NCS) z przewodowymi funkcjonalnościami
Cisco Prime LAN Management Solution (LMS). W związku z pojawieniem się
Cisco Prime Infrastructure, prace nad rozwojem NCS i LMS zostały wstrzymane.
Migracja z NCS do Cisco Prime Infrastructure jest stosunkowo prosta, gdyż oba
te systemy posiadają analogiczne funkcjonalności. Bardziej skomplikowane
jest przejście z LMS, gdyż w tym przypadku nie nastąpił odwzorowanie
funkcjonalności jeden do jednego.
C isco P r ime Infrastr uc ture jest
naturalną ścieżka aktualizacji dla
klientów Cisco Prime Network Control
System (NC S) i Wireless Control
System (WCS). Wszystkie te systemy
posiadają analogiczne funkcjonalności
zwią zane z zarządzaniem siecią
bezprzewodową . Ponadto Cisco
Prime Infrastructure wspiera również
podstawowe funkcjonalności LMS,
dotyczące zarządzania urządzeniami
sieci przewodowej. Mimo, że nie jest
to bezpośrednie przeniesienie poszczególnych funkcjonalności, to Cisco Prime
Infrastructure jest zalecaną ścieżką
przejścia również dla klientów LMS.
Oznacza to, że Cisco Prime LMS nadal
będzie otrzymywał wsparcie Day-1
Device Support, utrzymanie i aktualizacje zabezpieczeń, natomiast nie
40
będą rozwijane żadne nowe funkcjonalności. Klienci Cisco Prime LMS 4.x
z aktywnymi umowami serwisowymi
na utrzymanie oprogramowania mogą
bezpłatnie otrzymać oprogramowanie
zarówno Cisco Prime Infrastructure
1.x jaki i LMS 4.2 z odpowiednimi
licencjami. Klienci nie posiadający
wsparcia oprogramowania lub też
Klienci CiscoWorks LMS 3.x lub 2.x
mogą natomiast przejść na Cisco Prime
Infrastructure po obniżonych kosztach.
Prime LMS, to obecni Klienci LMS
zachęcani są do poznania możliwości
Cisco Prime Infrastructure, jego oceny
i rozpoczęcia opracowywania planu
migracji z kilku powodów:
• C isc o P r ime Inf rast r uc ture
zarządza sieciami przewodowymi
i bezprzewodowymi za pomocą
zintegrowanej aplikacji, poprawiając
w ten sposób efektywność operacyjną, przy jednoczesnej redukcji
kosztów administracyjnych;
• Jego funkcjonalności będą rozszeKorzyści wynikające
rzane, aby całkowicie zastąpić Cisco
z migracji Cisco Prime LMS
Prime LMS dla sieci przewodowych.
Now e f u nk c j o na lno ś c i b ę d ą
opracowywane tylko dla platformy
Mimo, że Cisco Prime Infrastructure
Cisco Prime Infrastructure;
nie posiada bezpośrednio odwzo- • C i s c o P r i m e I n f r a s t r u c t u r e
rowanych funkcjonalności Cisco
oferuje zwiększoną efektywność
Numer: I/2014 (126)
operacyjną poprzez nowy intuicyjny
interfejs użytkownika;
• R e duk uje k o s z t y op e r ac yjne
poprzez bardziej skalowalny system
– do 18.000 urządzeń na serwer
i poprawia zdolność do wizualizacji ponad 500.000 urządzeń
na system.
jako odrębnej maszyny wirtualnej
lub fizycznego urządzenia. W celu
ułatwienia sprawnego przejścia Cisco
zaleca wdrożenie Prime Infrastructure
początkowo w środowisku nieprodukcyjnym by ocenić jego możliwości
przy jednoczesnym używaniu Cisco
Prime LMS w sieci produkcyjnej.
Następnie można rozpocząć systemaPlanowanie procesu migracji tyczne przenoszenie poszczególnych
funkcjonalności LMS do Cisco Prime
Cisco zaleca wszystkim obecnym Infrastructure do momentu, aż będzie
klientom LMS zainstalować Cisco moż na c ałkowicie zlikwidować
Prime Infrastructure, aby porównać serwer LMS. Skrypt migracji danych
jego możliwość w stosunku do możli- zapewniony w LMS 4.2.x ułatwia
wości Cisco Prime LMS. Klienci LMS dzielenie się listą urządzeń i danymi
4.x są uprawnieni do równoległego uwierzytelniającymi z Cisco Prime
wdrożenia Cisco Prime Infrastructure Infrastructure. Inne istotne dane
LMS Deployment
Model
Single server
użytkownika LMS 4.2.x mogą zostać
zarchiwizowane i udostępnione jako
kopia zapasowa dla serwera Cisco
Prime Infrastructure. Gdy wszystkie
wymagane funkcjonalnoś ć L MS
będą już wspierane w Cisco Prime
Infrastructure, serwer LMS może
zostać zlikwidowany. Klienci LMS
2 .x i 3.x chcący zachować swoje
dotychczasowe dane muszą najpierw
przeprowadzić aktualizację do LMS
4.2, a następie skorzystać ze skryptu
migracji danych, aby przejść do Cisco
Prime Infrastructure.
LMS wspiera trzy modele wdrażania:
single ser wer, master-slave for
functional scalability i master-slave
for geographic distribution. Tabela 1
Cisco Prime Infrastructure Deployment
Single VM or appliance
Choose the corresponding Open Virtualization Format Archive (OVA) and VM specification
for the number of devices to be managed
(Optional: Migrate data from LMS 2.x/3.x)
• Migrate LMS 2.x/3.x data to LMS 4.2
• Execute LMS 4.2 migration script to back up LMS 4.2 data and import into Cisco Prime
Infrastructure*
(Optional: Migrate data from LMS 4.2)
• Execute migration script to back up LMS 4.2 data and import into Cisco Prime Infrastructure*
Master-slave
(functional
distribution)
Consolidate into a single VM or appliance
Chose the corresponding OVA and VM specification for the total number of devices to be
managed
• Upgrade LMS 2.x/3.x master to LMS 4.2
• Execute LMS 4.2 migration script from LMS 4.2 master server to back up data and import into
Cisco Prime Infrastructure*
• Execute migration script from LMS 4.2 master server to back up data and import into Cisco
Prime Infrastructure*
Master-slave
(geographic
distribution)
Cisco Prime Infrastructure base license and Lifecycle device licenses required for each server
instance
VM or appliance required for each LMS server
For each server, chose the corresponding OVA and VM specification for the number of devices
to be managed
• Upgrade each LMS 2.x/3.x server to LMS 4.2
• Execute LMS 4.2 migration script from each LMS 4.2 server to back up data and import into
each corresponding Cisco Prime Infrastructure server*
• Execute migration script from each LMS 4.2 server to back up data and import into each corresponding Cisco Prime Infrastructure server*
Tabela 1. Sposoby przejścia z LMS do Cisco Prime Infrastructure
41
ROZWIĄZANIA
Rys. 1. Eksportowanie listy urządzeń i danych uwierzytelniających z LMS 4.2.x
Rys. 2. Importowanie listy urządzeń i danych uwierzytelniających do Cisco Prime Infrastructure
przedstawia sposoby przejścia do Cisco
Prime Infrastructure dla każdego
modelu wdrażania.
Migracja z Cisco Prime LMS
Z poziomu interfejsu użytkownika
LMS 4.2.x istnieje bezpośredni sposób,
aby ekspor tować listę urządzeń
z danymi uwierzytelniającymi, które
mogą zostać użyte przez Cisco Prime
Infrastructure. Aby wyeksportować
te dane należy przejść do zakładki
Admin > Export Data to Cisco Prime
Infrastructure. Następnie należy
wybrać Expor t Device L ist and
Credentials z opcji ekspor tu, jak
pokazano na rysunku 1.
Kiedy mamy już wyeksportowaną
listę urządzeń z danymi uwierzytelniającymi, mogą one teraz zostać
zaimportowane do Cisco Prime Infrastructure poprzez zakładkę Operation
> Device Work Center > Bulk Import,
jak pokazano na rysunku 2.
Dodatkowo Cisco Prime Infrastructure
w wersji 2.0 pozwala nam również
na przeniesienie danych użytkownika
z LMS 4.2.x. Aby to wykonać, należy
pos t ę pować we d ł ug poni ż s zej
procedury:
1. W LMS 4.2.x przejść do zakładki
Admin > Export data to Cisco Prime
Infrastructure i wybrać opcję Export
complete data of LMS.
2. W Cisco Prime Infrastrucure 2.0
skonfigurować repozytorium (może
być lokalne lub zdalne). Repozytorium wskazuje gdzie znajduję
się plik kopii zapasowej. Sposób
42
ncs-br-n45/admin# config ter
Enter configuration commands, one per line. End with CNTL/Z
ncs-br-n45/admin(config)# repository test
ncs-br-n45/admin(config-Repository)# url ftp://ipaddress/
foldername
ncs-br-n45/admin(config-Repository)# end
ncs-br-n45/admin#
Rys. 3. Sposób tworzenia repozytorium
ncs/admin# lms migrate repository repo
Repository name: repo
Initiating LMS data restore. Please wait...
Rys. 4. Importowanie kopii zapasowej LMS do Cisco Prime Infrastructure
Initiating LMS data restore. Please wait...
INFO: no staging url defined, using local space.
INFO: Backup Status: SUCCESS
Enter the password to unlock the zip file: **
Rys. 5. Wprowadzanie hasła do pliku kopii zapasowej
Enter the Cisco Prime Infrastructure Login Username: root
Enter the Cisco Prime Infrastructure Login Password: *****
Rys. 6. Logowanie do Cisco Prime Infrastructure
The following data types are available in the given exported data.
Choose an option using comma separated values to migrate.
1 network
2 setting
3 All of the above
Enter an option or comma-separated options : 3
Rys. 7. Wybór danych do przeniesienia
Numer: I/2014 (126)
tworzenia repozytorium pokazany
jest na rysunku 3.
3. Zaimportować kopię zapasową
LMS do Cisco Prime Infrastructure
(w tr ybie admin) za pomoc ą
poniższego używając polecenia
z rysunku 4.
4. Po z a imp or t owa niu da nyc h
z serwera LMS do Cisco Prime
Infrastructure 2.0 dane podzielone
są na cztery grupy:
A. Network data (mandatory)
• DCR (Device Credential Repository) import
• Static group import
• Dynamic group import
• LMS users import
• SWIM image import
• User-defined templates
B. Settings (mandatory) – MIBS
Image import
C. User objects
D. Historic data (optional data)
Obecnie Cisco Prime Infrastructure
wspiera tylko importowanie grupy
A i B.
5. Następnie należy wpisać hasło
do pliku .zip (jak pokazano na
rysunku 5), które zostało utworzone
podczas eksportu danych z LMS
w celach bezpieczeństwa.
6. W k o l e j n y m k r o k u n a l e ż y
wprowadzić nazwę użytkownika
i hasło do interfejsu graficznego
Cisco Prime Infrastructure (jak na
rysunku 6), aby umożliwić importowanie danych LMS.
7. Aby przenieść wszystkie możliwe dane
należy wybrać opcję 3 (jak pokazano
na rysunku 7 ) i pozwolić aby dane
z LMS 4.2.x zostały przeniesione
na serwer Cisco Prime Infrastructure.
Porównanie funkcjonalności
Cisco Prime LMS i Cisco
Prime Infrastructure
W tabelach 2, 3 i 4 przedstawiono
Legend
●
Equivalent Support
◦
Partial Support
–
Pending Support

Not Supported
GREEN
Cisco Prime Infrastructure only
Cisco Prime
Cisco Prime
LMS 4.2 Infrastructure Infrastructure
2.0 Lifecycle Future Plan
Wired
Converged
Converged
Functional Capability
Scope
Notes
System
Virtual machine (VM) soft appliance
server
●
●
●
Phisical appliance server
◦
●
●
Pre-imaged with Cisco Prime
Infrastructure 2.0
Maximum scalability
5000
18,000
100,000+
Scalability of multi-server
view with Cisco Prime
Infrastructure cluster in future
High Availability (HA)
◦
●
●
Built-in active-standby HA in
Cisco Prime Infrastructure 1.2
TAC service requests
●
●
●
Support communities search
●
●
●
API: REST

◦
●
Cisco Identity Services Engine (ISE)
integration

●
●
Cisco Mobility Services Engine
(MSE) integration

●
●
IPhone Mobile Application

●
●
Cisco Prime Infrastructure toolbar


●
Tabela 2. Porównanie funkcjonalności Cisco Prime LMS i Cisco Pime Infrastructure
43
ROZWIĄZANIA
Cisco Prime
Cisco Prime
LMS 4.2 Infrastructure Infrastructure
2.0 Lifecycle Future Plan
Notes
Monitor
Event/syslog monitoring
●
●
●
Generic trap monitoring
●

●
Northbound notification
●
◦
●
Device health monitoring
●
●
●
Interface health monitoring
●
●
●
Performance monitoring

●
●
Requires Assurance license
Application performance monitoring

●
●
IP service-level agreement (SLA)
management
●
–
●
Topology
●
–
●
N-hop viewer
●
–
●
Service path trace

●
●
User tracking (UT)
●
●
●
Supports both wired and
wireless
UTLite
●
–
–
UT utility
●
–
●
End-user experience monitoring

●
●
Client device type profiling

●
●
Requires Cisco Identity
Services Engine
Autometed service baseline

●
●
NetFlow monitoring

●
●
Medianet monitoring

●
●
Performance Agent

●
●
NBAR monitoring

●
●
Application visibility and control

●
●
Multi-NAM management

●
●
RF management and tools

●
●
Real-time troubleshooting

●
●
360 views

●
●
Quality of service (QoS) monitoring


●
Day 1 device support
●
◦
●
See LMS Device Support
Reference
Cisco Unified Wireless support

●
●
Cisco Unified Access support

●
●
Third-party support
◦
◦
●
Discovery
●
●
●
Inventory
●
●
●
Inventory change notification
●
–
–
EoX/PSIRT reporting
●
●
●
Contract connections
●
–
●
Inventory
44
Catalyst® 3850 and 5760 WLC
Numer: I/2014 (126)
LMS 4.2
Cisco Prime
Cisco Prime
Infrastructure Infrastructure
2.0 Lifecycle
Future Plan
Notes
Configuration
Configuration archive
●
●
●
Configuration templates
●
●
●
Change audit
●
●
Configuration discrepancy
●
◦
◦
Best practices deviation
●
–
●
Baseline compliance
●
–
●
Plug-and-play deployment

●
●
Simplified Day 0/1 Config

●
●
Mobility management

●
●
Unified access
Regulatory compliance
●
◦
●
supports wireless PCI DSS
auditing
Software image management
●
●
●
CiscoView
●
–
◦
Cisco EnergyWiseTM™
management
●
–
●
Cisco TrustSec®® management
●
◦
●
Medianet management
●
–
◦
Auto Smartports management
●
–
–
Smart Install management
●
–
–
VLAN management
●
●
IPv6 support
●
◦
◦
IPv6 readiness assessment


–
Application visibility and
control

●
●
Zone-based firewall and
configuration

●
●
Get/DMVPN configuration

●
●
ScanSafe configuration

●
●
●
Work Centers and Technologies
●
Plug-and-play could be used
as an alternative
has IPv6 and client support
porównanie funkcjonalności Cisco
Prime LMS 4.2 i Cisco Prime Infrastructure 2.0. Pokazano również plany
wsparcia poszczególnych funkcjonalności LMS 4.2 w przyszłych wersjach
Cisco Prime Infrastructure. Porównanie
to zapewnia klientom LMS wskazówki
i rekomendacje pozwalające zapewnić
płynne przejście do Cisco Prime
Infrastructure. Pomaga ono szybko
ocenić klientom LMS, które funkcjonalności zostały przeniesione do Cisco
Prime Infrastructure, a które będą
przeniesione w przyszłości.
K.K.
Inżynier SOLIDEX
45
Warsztaty Check Point Next – Generation Firewall R76
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową – Warsztaty Check Point Next – Generation Firewall R76.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN
S2S oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami – IPS,

Content Security,
 Integracja z ActiveDirectory
– budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.SOLIDEX.com.pl/oferta/warsztaty
Autoryzowane
Szkolenia
Cisco
Systems
Program SOLIDEX
®
ICND1
Interconnecting Cisco Network Devices Part 1
ICND2
Interconnecting Cisco Network Devices Part 2
CCNAX
Interconnecting Cisco Networking Devices: Accelerated
ROUTE
Implementing Cisco IP Routing
SWITCH
TSHOOT
BGP
MPLS
QOS
IINS
SECURE
FIREWALL
VPN
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
Configuring BGP on Cisco Routers
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Securing Networks with Cisco Routers and Switches v1.0
Deploying Cisco ASA Firewall Features
Deploying Cisco ASA VPN Solutions
CIPT1
Implementing Cisco Unified Communications Manager Part 1 v8.0
CIPT2
Implementing Cisco Unified Communications Manager Part 2 v8.0
CWLMS
IP6FD
Implementing CiscoWorks LMS
IPv6 Fundamentals, Design, and Deployment
IUWNE
Implementing Cisco Unified Wireless Networking Essentials
DESGN
Designing for Cisco Internetwork Solutions
ARCH
Designing Cisco Network Service Architectures
Infolinia: 800 49 55 82
Kraków
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944. Nakład: 2500 egz.
Redakcja:
Zespół Komunikacji Marketingowej SOLIDEX S.A.
ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
www.integrator.SOLIDEX.com.pl

Integrator Nr I/2014 (126)

Transkrypt

Podobne dokumenty

Szkolenia

Integrator nr III/2014 (128)

Integrator Nr I/2012 (118)

Integrator Nr III/2013 (124)

W numerze między innymi: - Integrator

WAF (Web Application Firewall)

Integrator Nr IV/2012 (121)