3Com hírek – 2009. december Tartalom Bevezető........................................................................................................................................................ 1 3Com H3C újdonságok .................................................................................................................................. 2 A HP bejelentette vásárlási szándékát ...................................................................................................... 2 S5800 adatcentrumi switch család, a Cisco Nexus méltó ellenfele .......................................................... 2 VCX 9.0 ...................................................................................................................................................... 3 Technológiai sarok ........................................................................................................................................ 4 IRF 2.0 – következő generációs stackelés ................................................................................................. 4 Wireless Distribution System (WDS) és mesh hálózatok .......................................................................... 5 GARP és GVRP VLAN menedzsment protokollok ...................................................................................... 6 Gyakorlati tanácsok....................................................................................................................................... 7 RPS konfigurálás ........................................................................................................................................ 7 Layer 2 biztonsági beállítások – még nem 802.1x .................................................................................... 8 Virtual Cable Test – kábelvizsgálat hatékonyan...................................................................................... 10 Auto Voice VLAN és a Cisco CDP ............................................................................................................. 11 Ajánló .......................................................................................................................................................... 11
Bevezető Megújultunk. Ennek látható eredménye, hogy ősszel új, magyar hírek szekció keletkezett, amely elérhető egyelőre e-mailen, weben és partneri FTP-n keresztül (részletek hátul). Segítségével az aktualitások és fókuszban lévő újdonságok gyorsabban és érthetőbben jutnak el a tervezőkhöz, rendszerintegrátorokhoz, megkönnyítve a termékválasztást. A munkához sok sikert és spanning-treeben kószáló bitet kíván a magyar csapat: Takács Gergely
[email protected] +36 30 250-8070 Kereskedelmi képviselet vezető, a sales
1
Rab Gergely
[email protected] +36 20 9123-475 A műszakis
3Com H3C újdonságok A HP bejelentette vásárlási szándékát A HP és a 3Com 2009. november 11-én bejelentették megegyezésüket, miszerint a HP2,7Mrd dollárért megvásárolja a 3Comot. A 3Com nem folytathat aktív kommunikációt az ügyben, így kérünk mindenkit, hogy a megfelelő hír és HP-s csatornákon keresztül érdeklődjenek. További információ: http://www.hp.com/hpinfo/newsroom/press/2009/091111xa.html Mellékletben találhatóak a HP-s slide-ok PDF-ben, amelyeket a befektetőknek adtak elő a bejelentéskor. A 6-os slide a tervezett megmaradó HP networking portfolióról, a 7-es a tervezett közös portfolióról szól.
S5800 adatcentrumi switch család, a Cisco Nexus méltó ellenfele A 3Com nyáron jelentette be adatcentrumi stratégiájának új elemeit, a 12500-as, 9500E és S5800 switcheket. Az újratervezett architektúra nem csak új hardver chipeket tartalmaz, hanem olyan architekturális változtatásokat, amellyel biztosítható a késleltetéskritikus alkalmazások (pl. FCoE, iSCSI), protokollok átvitele. A CLOS hálózat alapú, cellaorientált switching, az óriásitól a kicsiig konfigurálható bufferméretek, költséghatékony 10GigabitEthernet interface-ek mind olyan jellemzők, amelyek ideális és nem utolsó sorban költséghatékony választássá teszik a switcheket. Minden adatcentrumi switchet IRF 2.0 stackelési megoldással vérteztünk fel, amely a már ismert XRN továbbfejlesztése (ezt alkalmazza a már régóta bevezetett 3Com 4800G is): ezáltal a switchek nem csak egyként látszanak és egy konfigurációs felületen kell a stack-et konfigurálni, de transzparenssé váltak a feature-ök a stacken belül, működik a több eszközre kiterjedő LACP (DLA és DRR), a limitációk eltüntek, illetve megjelentek új jellemzők, mint például az LACP MAD (http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Switches/H3C_S 5500_Series_Switches/Configuration/Operation_Manual/H3C_S5500-SI_OM-R_2202%28V1.01%29-01Access_Volume/200910/652255_1285_0.htm), Non Stop Forwarding és Graceful Restart, vagy az 5800 és 5820X eszközök vegyes stackelése.
2
A switchek 10 GigabitEthernet környezetben annyira sikeresek, és az IRF 2.0 stackelés hatására olyannyira egyszerűvé válik a hálózat logikai topológiája, hogy az implementációs idő töredékére csökken, hogy a berendezések újdonságuk ellenére már Magyarországon több vállalat központi, adatcentrumi switcheként bekerült. További információk a mellékletben és az alábbi linken érhetőek el: http://www.h3c.com/portal/Products___Solutions/Products/
VCX 9.0 Novemberben megjelent a nagyvállalati IP Telefon rendszer, a VCX 9.0 verziója, amely az előző verzióhoz viszonyítva igen sok újdonsággal bír. Az architektúra ugyanúgy a VCX Connect 100 (100 x 6 felhasználóig), VCX Connect 200 (250 x 6 felhasználóig) és VCX Enterprise-ra épül (24 000 felhasználóig), támogatja az elosztott működést, túlélő fokozatos vagy anélküli kiépítés lehetséges, és még sokan mások. Szoftver feature-ök tekintetében azonban jelentős változások születtek, amelyek az architektúra eddig és továbbra is nyílt kapcsolódási pontjain csatlakoznak be. Néhány fontos új komponens került bevezetésre: -
Presence szerver Desktop Communicator kliens, Outlook integrációs lehetőséggel Távoli dolgozók kezelésére szolgáló Telecommuter modul Kibővített konferencia szerver és bridge LDAP, Active Directory és Lotus Domino integráció LiveMeeting és Sametime együttműködés Unified Inbox együttműködés, Lotus Domino natív támogatás, Microsoft Exchange és Novell GroupWise POP3/IMAP szinkronizációs támogatás Automatic Call Distribution (ACD) 11.000 agentig, on-line statisztikával Call Admission Control (CAC) CDR report generálás Bővülő hardveres telefon portfolió Költséghatékony és flexibilis gateway támogatás MSR routerekbe tehető VCX MIM modul Intelligent Management Center Voice Service Manager támogatás
További információk a mellékletben és az elábbi linken érhetőek el: http://www.3com.com/products/en_US/detail.jsp?tab=features&pathtype=purchase&sku=WEBTELMO DULE
3
Technológiai sarok IRF 2.0 – következő generációs stackelés Volt az XRN (vagyis az IRF 1.0), ami rendelkezett Layer2 és Layer3 változattal, eszközök tudásának függvényében. Az XRN három jellemzője a DRM, DDM és DRR, amelyről az előző hírlevélben részletesen írtunk. Az élet megy tovább és új elvárások születnek, a több, mint 10 éves XRN technológia is megújult, ebből lett az IRF2.0, amelyet tavaly vezettünk be. Az XRN néhány limitációjának kijavítása mellett a legfontosabb cél az új funkciók bevezetése mellett az volt, hogy egy olyan platform jöjjön létre, amely a hálózat logikai topológiáját drasztikusan leegyszerűsíti. A „drasztikus” nem elég kifejező szó, legyen inkább „drámaian drasztikusan” és a „leegyszerűsíti” helyett is legyen inkább „egyszerűvé és átláthatóvá teszi”. Nézzünk egy példát. Az olyan egy- vagy kétszintű modellnél, ahol a központi eszközöket szeretnénk csak egy egységként kezelni, ott az XRN vagy IRF jó megoldás, hiszen az egyedülálló access switchek egy vagy két uplinkkel csatlakoznak a központi stackhez, az LACP el fogja végezni a többi teendőt. A spanning-tree is egyszerű lesz, mivel a központi switch stack lesz a root, és minden access switch csillagpontszerűen kapcsolódik a stackhez. Addig az elgondolás és a topológia hibátlan, amíg access switch szinten nem akarunk az egy-egy switchek mellé még egyet tenni úgy, hogy központ irányában az utak redundánsak legyenek, és a két access switch közötti forgalom ne menjen feltétlenül keresztül a központi stacken. Ebben az esetben már elég
4
bonyolult spanning-tree (vagy MST) konfigurációra van szükség. A bonyolult alatt nem feltétlenül azt értjük, hogy sok konfigurációs sor, hanem azt, hogy egy tudatos kialakításhoz átfogó és sok tervezés szükséges. Megoldást a következő generációs IRF 2.0 nyújt, amely az alábbi ábrán a harmadik fázist jelenti, és a középső fázisbeli XRN technológiát tovább javítja. Az IRF 2.0-val az összes eszközcsoport – az access switchtől a központiig mindegyik eszköz – stackelt, a redundáns, több eszközből több eszközbe vezető utak azonban csak egy logikai linkként jelennek meg. A stackelt eszközök egy logikai eszközként jelennek meg, még a konfigurációs felületen is olyan, mintha egy eszköz lenne: a portok számfolytonosan egymás után következnek, a konfigurációban globálisan szereplő parancsok az összes switchre érvényesülnek automatikusan. A kifejezetten áttekinthető architektúra mellett az átállási idő minimalizálódik: minden olyan eszköz, amely támogatja az IRF2.0-t jelenleg, támogatja az RRPP-t is, amely gyűrűs topológiákban 250ms alatti átállási időt biztosít (9500E és 12500 switchek esetén 50ms alatti az átállási idő). Mivel az RRPP Layer2 technológia, így nem jár routing átállással, a meglévő kapcsolatok nem szakadnak meg. További információk a mellékletben és az alábbi linken érhetőek el: http://www.h3c.com/portal/Products___Solutions/Technology/IRF/200910/653194_57_0.htm
Wireless Distribution System (WDS) és mesh hálózatok A Wireless Distribution System 802.11 access pointok közötti vezetéknélküli kapcsolatot tesz lehetővé anélkül, hogy vezetékes kapcsolatot kellene közöttük kiépíteni. Mindezt anélkül teszi, hogy a forrás és a cél MAC cím megváltozna, tehát a WDS link teljesen Layer 2 transzparens. Az access point háromféle módban képes működni: bázisállomás (root), jelsokszorozó (relé) vagy kliens módban. Egy
5
WDS rendszerben a root a hierarchia csúcsa, innen indul ki a pont-pont vagy pont-multipont kapcsolatokkal felcsatlakoztatott al-fa. Minden magasabb szintű (parent) access pointhoz több alacsonyabb szintű (child) access point csatlakozhat, tipikusan maximálisan 5. Mivel a WDS technológia nem Wi-Fi Alliance által tanúsított megoldás, a WDS rendszer csak ugyanazon gyártó rendszerén belül működik. Sok különbség van azonban a különböző termékvonalak között. A FAT access pointok általában egyszerű, pár szintű fa hierarchiát képesek kezelni, azonban az újabb FAT/FIT access pointok, úgy, mint a 9552 és 9152, valamint a H3C 2200 és 2600 sorozatú access pointok WX3000 kontrollerek segítségével mesh módban is képesek működni, azaz minden access point minden hatótávolságon belüli másik access pointtal kapcsolatot létesít és elsődleges illetve másodlagos linkeket épít fel. A mesh hálózatok előnye, hogy még kevésbé kötött a WLAN struktúra, és az access pointok átmozgatása vagy a környezeti viszonyok módosulása esetén a hálózati topológia automatikusan újrakonfigurálódik. További információk az alábbi linken érhetőek el: http://www.h3c.com/portal/Products___Solutions/Technology/WLAN/Introduction/200904/62 9773_57_0.htm
GARP és GVRP VLAN menedzsment protokollok A Generic Attribute Registration Protocol (GARP) olyan megoldáscsomagot kínál fel, amely a VLAN információk (nem a csomagok!) továbbítására, szétosztására és a VLAN számok automatikus regisztrációjára szolgál (emellett a multicast csoportokat tamogatja). A GARP VLAN registration protocol, vagyis GVRP a GARP-ra támaszkodva a switchek között teríti a VLAN információkat, amely alapján a switchek automatikusan felveszik a használt VLAN-t a saját adatbázisukba. Ezáltal nem kell az összes
6
VLAN-t kézzel létrehozni a switcheken, hanem ez automatikusan megtörténik, megkönnyítve ezzel a sok switchet tartalmazó hálózatok adminisztrációját.
Konfigurálás menete az összes érintett switchen: Tevékenység Előfeltétel
Mit GRVP-re konfigurált interfacenek trunk-ben kell lennie
Belépés system-view-ba GVRP globális engedélyezése
system-view gvrp
Ethernet interface-re be kell lépni, hogy interface szinten engedélyezzük GVRP engedélyezése a porton
interface
Minden dinamikusan regisztrált VLAN engedélyezése
port trunk permit all
gvrp
Miért GVRP beállítása után a port típusa (access, hibrid, trunk) nem változtatható meg szükséges, alapból a GVRP le van tiltva
szükséges, alapból a porton le van tiltva a GVRP
Látszik, hogy a beállítása viszonylag egyszerű, így ajánljuk az alkalmazását többswitches környezetben. További információk az eszközök Operation Manualjában találhatóak a 3Com weboldalain (support.3com.com Support Downloads & Drivers) érhető el.
Gyakorlati tanácsok RPS konfigurálás Az RPS-ek, vagyis a Redundáns Tápellátó Rendszerek (magyarul RTR ) azért jöttek létre, hogy -
7
az eszközök AC, vagyis váltóáramú tápjának a hibáin felülkerekedjenek, és egy másodlagos, nagy megbízhatóságú táppal kiegészítsék vagy teljesen külső táppal helyettesítsék azt az eszközbe beépített táp teljesítményét kiegészítsék külső táppal, aminek eredményeként az eszközök kisebb táppal hozhatóak forgalomba, és igény esetén a kapacitás RPS-sel bővíthető
A 3Com mindkét megoldást alkalmazza. Az elsőre az RPS 500 és RPS 800, a másodikra az RPS 1000 jó példa. Az RPS 500-at és 800-at csak másodlagos tápellátási feladatoknál szoktuk alkalmazni, míg az RPS 1000-et PoE környezetben, ahol egy 48 portos switchet segítünk ki külső táppal annak érdekében, hogy az összes portján a maximális teljesítményt tudja leadni (ilyen ritkán van, mert a 370W-os teljesítmény portonként 7,7W teljesítménnyel elegendő szokott lenni). Természetesen az RPS 1000 is alkalmazható több eszköz redundáns tápjaként, azonban egy darab nem PoE képes switchhez RPS 1000-et letenni nem költséghatékony megoldás: erre alkalmas az RPS 500 és 800. A lenti táblázat tartalmazza a különböző 3Com switchekhez használható RPS típusokat, és a felhasználni szükséges kábeleket. Látszik, hogy az RPS 800 csak egy eszközhöz használható.
További információk, teljesítmény kalkulátor és adatlapok a mellékletben találhatóak.
Layer 2 biztonsági beállítások – még nem 802.1x A 3Com fő tevékenységének egyik központi eleme a switching, és az ehhez kapcsolódó termékek gyártása. A Layer 2 technológiák a szabványokon keresztül kerülnek be a kapcsolókba, nem nyílt megoldásból igen kevés van. A hálózat bonyolultságát mind technológia, mind cikkszámok szintjén próbáljuk kordában tartani, hogy a megoldások összekonfigurálása ne kerüljön atomfizikai magaslatokba. Persze ez alól is van kivétel, de a cél a szemünk előtt lebeg A biztonságtechnikai megoldások, különösképpen switchelt hálózatok biztonsága terén számos olyan egyszerű technika létezik és támogatott, amellyel egy hálózatot az illetéktelen behatolás, félrekonfigurálás vagy fizikai behatások ellen meg lehet védeni. A következőekben egy rövid összefoglalás következik.
8
ARP elárasztásos támadás Egy switch végponton annyi MAC címet láttat a támadó a switch-el, hogy annak MAC cím táblája betelik. Ezután a switch HUB-ként működik tovább így a támadó minden rajta átmenő forgalmat le tud hallgatni. Védekezés: Port security, Switch végpontokon csak adott számú különböző MAC cím jelenhet meg. Szintén ajánlatos a nem használt switchportokat „shutdown” módban tartani. DHCP szerver hamisítás A támadó DHCP szervert csatlakoztat a hálózathoz. Egy DHCP kliens a legelső választ fogadja el, amikor egy DHCP szerverhez fordul, így a támadó a hozzá „közel eső” gépek IP címkiosztása (és egyéb DHCP beállításai) felett megszerzi az ellenőrzést. Ez a módszer DoS támadásra és adatszerzésre is használható, pl. a default gateway átállításával. Védekezés: DHCP snooping, a switch érzékeli, ha nem a megadott porton csatlakozik DHCP szerver a hálózathoz és a támadó portját letiltja. ARP csomaghamisítás A támadó 2 gép közötti forgalmat térít el, mindkét gép IP címéhez a saját MAC címét adja meg az ARP kérésre válaszolva. Védekezés: DHCP snooping/ARP inspection, a switch észreveszi, ha egy IP cím nem megfelelő MAC címhez rendelődik hozzá, így meg tudja akadályozni a támadást. A DHCP szerveren ismert az IP cím MAC cím összerendelés, így az illegális cím összerendelés észrevehető. Spanning tree alapú támadások, problémák A támadó hamis BPDU csomagokkal meg tudja változtatni a spanning tree topológiát, így el tudja érni, hogy a hálózat forgalma az ő portjára irányuljon, vagy hurkot tud okozni. Védekezés: BPDU guard és BPDU dropping switch végponti beállítás. Ahol a szomszédos eszköz nem egy másik switch, onnan nem érkezhet BPDU csomag. Amennyiben mégis ilyet érzékel a switch akkor az adott portot letiltja. Védekezés: Root guard, Loop guard, trunk portokra beállítva megakadályozató, hogy egy újabb switch bekötése teljesen felborítsa a meglévő spanning tree topológiát, esetleg hurkot is okozva.
9
Akár véletlenül is előfordulhat olyan helyzet, hogy egy újonnan bekötött kis teljesítményű access switch root eszközzé válik a nem megfelelő beállítások miatt. Egy ilyen hiba akár teljesen le is béníthat egy nagy forgalmú hálózatot. A root guard funkció használatával ilyen helyzet nem fordulhat elő. Broadcast storm és DoS támadások A támadó vagy egyszerűen csak a hibásan működő eszköz olyan mennyiségű Layer 2 broadcastot generál, amely a többi gép processzorát jelentősen megterheli. Ennek hatására az operációs rendszerben a legkisebb feladat is súlyos 10 másodpercekig tarthat. Védekezés: broadcast limit és storm suppression beállítása minden switchben, funkciótól függő számban. A hálózat finomhangolása során megállapítjuk, hogy mennyi az átlagos broadcast forgalom, és ennek tízszeresét választjuk a limit felső határának.
További információk a mellékletben és az eszközhöz tartozó Operation Manualban, Command Reference Guide-ban találhatóak.
Virtual Cable Test – kábelvizsgálat hatékonyan Time Domain Reflectometer – ezt valószínűleg sokan ismerik. A kiküldött jel visszaérkezett alakjából (melyik éren mennyi idő múlva, stb.) kiderülhet, hogy szakadás van-e a hálózatban, milyen hosszú a kábel, van-e áthallás, félrekötés. A parancs hardverfüggő, így a különböző switcheken különböző adatokat ad vissza. Jelenleg a hossz és állapot megállapítása jól működik minden switchen, a többi funkció a nagyobb moduláris switchekben elérhető. Cable status: abnormal(open), 1 metres Pair Impedance mismatch: Pair skew: - ns Pair swap: Pair polarity: Insertion loss: - db Return loss: - db Near-end crosstalk: - db
10
Auto Voice VLAN és a Cisco CDP A voice képesség és IP Telefónia támogatás különböző switchekben különbözőképpen jelenik meg: QoS, WLAN QoS, 802.1x, 802.1x több supplicant támogatása, voice VLAN, automatikus voice VLAN, MAC alapú VLAN, LLDP MED támogatás, CDP támogatás Cisco IP Telefonokhoz. A nem 3Com IP Telefónia alkalmazásokhoz általában FastEthernet környezetben 4500 és efeletti, GigabitEthernet környezetben 4500G és efeletti megoldásokat javaslunk, 3Com IP Telefónia esetén 4210 és 4200G alkalmazása is megfelelő. A nem 3Com IP Telefonok alkalmazása esetén általában a voice VLAN és az adat VLAN két különböző hálózat, a telefon trunk-ön keresztül csatlakozik a switchhez. A voice VLAN száma attól függ, hogy a telefon éppen hova van letelepítve, ezért célszerű nem „beégetni” a telefon konfigurációba, sokkal inkább 802.1x szinten vagy a switchben kezelni ezt. A „melyik VLAN-ba kerüljek, ha én egy Avaya IP Telefon vagyok?” kérdést vagy MAC alapú VLAN vagy LLDP MED/CDP támogatással kell megoldani. A Cisco IP Telefonok bekötésének megkönnyítésére a fenti eszközök rendelkeznek Cisco CDP támogatással, így a telefon és a switch közötti kommunikáció a Cisco telefon által megszokott protokollon történet. További információk, kétféle példakonfiguráció és rajz a mellékletben találhatóak.
Ajánló Következő hírlevelünkből: -
3Com H3C újdonságok 802.1x áttekintés MST konfigurálás többgyártós környezetben UDLD, DLDP, BFD QoS switchelt és route-olt hálózatokban Virágtartó vs. switch Forgalmak szétválasztása végponttól végpontig - MPLS SFP, SFP+, XFP, BiDi SFP-k és XFP-k Egy beruházás haszna és az eszközjellemzők – esettanulmány
Feliratkozás: [email protected] küldött levéllel Webes letöltés
http://www.comteq.hu/nl
11
FTP hozzáférés: szerver: ftp12.maxer.hu bejelentkezés: comteq_hu_3community jelszó: comit