3Com hírek – 2010. március – 6. szám Tartalom Múlt, jelen és jövő. Merengés az elmúlt évi sikerekről és a 2010-es évre várható projektekről. írásunk rögtön a következő oldalon vár mindenkit.
Vezetéknélküli hálózatok, biztonság, kontroller, ár, teljesítmény, realitás Mindezek a kérdések kicsit tágabban értelmezve a 7. oldalon kaptak helyet.
SFP és egyéb transceiverek leírásával már régóta adósok voltunk. A dolog érdekessége, hogy egyre több szervert kötnek be 10Gigabites sebességen, így a szerverek költséghatékony csatlakoztatása megfelelően nagy kihívás. A 11. oldalon lévő írásban többek között az SFP+ DA kábelekkel is foglalkozunk.
A 3Com portfoliójában többféle tűzfal (3Com és H3C is) helyet kapott, 4féle UTM berendezés, amelyek konfigurációjához segítséget a 15. oldalon.
nyújtunk
induló
Ajánló – mi jöhet még?! – utolsó oldal
Bevezető Megújultunk. Ennek látható eredménye, hogy tavaly ősszel új, magyar hírek szekció keletkezett, amely elérhető e-mailen, weben és partneri FTP-n keresztül (részletek hátul). Segítségével az aktualitások és fókuszban lévő újdonságok gyorsabban és érthetőbben jutnak el a tervezőkhöz, rendszerintegrátorokhoz, megkönnyítve a termékválasztást. A munkához sok sikert és spanning-treeben kószáló bitet kíván a magyar csapat: Takács Gergely
[email protected] +36 30 250-8070 Kereskedelmi képviselet vezető, a sales
1
Rab Gergely
[email protected] +36 20 9123-475 A műszakis
3Com H3C újdonságok Múlt, jelen és jövő Először is, kedves Vásárlóink, Partnereink, Viszonteladóink, köszönjük az elmúlt éves bizalmatokat és teljesítményeteket. A 3Com képviseletét múlt év februárja óta új vállalat látja el: a comteq kft. és csapata. A 3Com várakozása az volt, hogy erre a változásra, valamint az új termék bejelentésekre és a H3C direkt partneri programjának elindítására válaszolni fog a piac. Most egy év távlatából már jól látható, hogy a piac valóban válaszolt a változásokra, amelyek a 3Com egészén végbement az elmúlt időszakban. 2009. február hónapját bázisul véve egy év alatt 20%-ot növekedett a 3Com forgalma, ami magában is szép eredmény, főleg ha a világgazdasági viszonyokat is figyelembe vesszük. Ezt a kiemelkedő eredményt kitartó partnerink áldozatos munkájának köszönhetjük, akik éltek az új termékek és promóciók nyújtotta üzleti lehetőségekkel és 3Com megoldásokat választva versenyeztek meg az egyes projektek megnyeréséért. Köszönjük a munkátokat és bizalmatokat, nagyon szép eredményt értünk el a körülmények ellenére, amit úgy gondolunk, hogy csak csapatmunkával érhet el egy gyártó. A múlt év jelentős változásokat hozott a 3Com életében: egy új márka, a H3C bevezetése, új termékek nem csak a H3C, hanem a TippingPoint és a 3Com oldaláról, teljesen megújult wireless portfolió, adatcentrumi termékcsaládok és még sorolhatnánk. Megnyertünk jópár kimagasló projektet, amelyek talán nem is bevételi, de biztos technológiai hátteret mutatnak: 3G-s MSR routerek a köz szolgálatában, IMC hálózatmenedzsment rendszer többgyártós oktatási környezetben, UTM tűzfal megoldások az igen költségérzékeny kisvállalati szegmensben. A H3C márka az igen széles termékportfoliójával kilépett a 3Com árnyékából és önálló nagyvállalati-szolgáltatói branddé vált, amely bővelkedik a már megismert switching termékeken túl routing, wireless és biztonsági megoldásokban. Ja, és a HP-s felvásárlási bejelentés, azért azt se hagyjuk ki Jelenleg azért dolgozunk, hogy minél nagyobb elismertséget vívjunk ki a H3C és TippingPoint termékeknek, megérdemlik. Többek között azért, mert míg más gyártók a próbapadokról közvetlenül a
2
piacra küldik a megoldásaikat, addig nálunk egy fél éves időszakot eltöltenek az eszközök a kínai piacon a gyermekbetegségek kezelése érdekében és csak ezek után vezetik be Európában. Fontos dolog a „time to market”, de még fontosabb a vevői bizalom, amelyet teszteletlen vagy félkész eszközökkel lehet könnyedén elveszíteni. Jelenleg az eszközeink mindent tudnak, amit egy kis, közép vagy nagyvállalati ügyfél számára fontos lehet és igen erős fejlesztés folyik az R&D részlegben annak érdekében, hogy ez a komplett lefedettség meg is maradjon. A 3Com próbál egyensúlyozni az egyszerű hálózatok és a teljeskörű és komplex hálózatok között, ezért is történt meg a 3Com és a H3C brand-ek szétválasztása: a H3C eszközökben olyan korszerű vagy korát megelőző fejlesztéseket látunk, amelyek joggal emelhetik ki versenytársai közül. Elég csak arra gondolni, hogy a Rugalmas Virtuális Hátlap technológiával és az extra zöld tervezéssel olyan bővíthetőséget és akkora funkcionalitást adhatunk egy H3C switch megoldással, amely egy moduláris switch szintjére emeli, azzal a kis hozzáadott értékkel, hogy fő versenytársunk moduláris switch-ének 2 éves áramszámlájából megvásárolható a megoldásunk (64 x 10/100/1000 port + 4 x 10GE porttal kalkulálva). Jelenleg a Viszonteladókhoz, Partnerekhez és a Végfelhasználókhoz szeretnénk eljuttatni azt a tudást, amely segíti mindennapi munkájukat, az eligazodást a termékek és azok jellemzői között. Látuk két menedzselhető Layer2 switchet, de vajon melyik a jobb? Mit jelent, hogy jobb? Egyáltalán mik a valós elvárásaink, meddig skálázhatjuk fel az elvárásainkat és meddig mehetünk le velük anélkül, hogy a hosszú távú lehetőségeinket korlátozzuk? Mi a különbség a 3MFt-os és a 6MFt-os IPS között? Akkor már miért nem a linuxos Snort – ha már úgyis ki akarjuk sarkítani –, amely díjmentesen rendelkezésre áll, viszont a frissítési ideje, lefedettsége, teljesítménye és konfigurálhatósága messze elmarad a TippingPoint megoldásoktól? Ne értse senki félre, a linuxos megoldások általánosságban vége jók, ez nem hitvita, azonban a támogatásbeli különbség markánsan meglátszik ezen a területen. A számok nem hazudnak. Az ilyen és ehhez hasonló kérdések megválaszolása nem mindig könnyű feladat. A teljesség igénye nélkül gondolatébresztőnek álljon itt egy 3Com TippingPoint, Cisco IPS és egy Juniper IDP (IPS) összehasonlítás a 2009-ben megjelent Microsoft kötődésű sérülékenységek elleni védelmek megjelenési idejéről:
3
Forrás: http://dvstats.tippingpoint.com/
A kép arról szól, hogy az átlagos DV (Digital Vaccine, a TippingPoint IPS-ek “signature fájlja”) kiadási idő a 2009-ben a sérülékenység publikálását hány nappal előzte meg az egyes gyártók esetében. Ahogy látszik, a TippingPoint a sérülékenység publikálása előtt átlagosan 26 nappal védelmet biztosít a hálózatok számára (amellett, hogy a TippingPoint ismeri a legtöbb sérülékenységet). A sérthetetlenségi mítosz rajongói persze azt gondolják, hogy „neeeeeem, nem bennünket fognak a hackerek megtámadni” és „úgysem lophatnak el semmi olyan információt, amit ellenünk fel tudnának használni, vagy amivel kárt tudnának okozni”. Azonban ajánlom mindenki figyelmébe a Zeus nevű toolkitet, amivel a számítógépes bűnözők minden nagyobb megerőltetés nélkül tudnak a személyes adatainkhoz hozzáférni (beleértve a banki jelszót és a bankkártyánk titkos kódját is), valamint a gépeinket spam küldésére illetve számítógépes bűncselekmények indítására tudják használni (pl. DoS támadásra) tudtunk nélkül. Ez nem csak tisztességtelen magatartás, de az Internet kapcsolat leterhelése mellett a céges levelezést is blokkolhatja néhány napra, a gépeinket idegtépően lassúvá teszi, és egy mókás kedvű cracker vagy script kiddie esetén akár meg is szabadulhatunk a gépen vagy szerveren tárolt adatainktól (lsd. http://www.networkworld.com/news/2009/052609-tipping-point-attacks-fromhong.html) A jövő biztos: a 3Com, H3C és TippingPoint termékek jók, a Comware operációs rendszer, amely a switcheken, routereken, wireless eszközökön, tűzfalakon, IPS-eken fut egyszerű kezelhetősége miatt jövőtálló megoldást jelent. Fontos hangsúlyozni, hogy a HP a technológia és a piaci részesedés mellett azért döntött a 3Com megvásárlása mellett, mert a portfolióját számos elemmel, mint például a
4
nagykapacitású moduláris switch-csekkel, routerekkel, biztonsági megoldásokkal és adatcentrumi termékekkel egészítheti ki. Érdemes tehát a termékek megismerésébe időt és energiát fektetni, a Comware operációs rendszert nem csak a switcheken, hanem a routereken is elsajátítani. A HP befektetőknek tartott prezentációja az alábbi linken érhető el: http://www.hp.com/investor/hpwebcast
A jövő fontos eleme a technológiákon átívelő, a piaci kereslet-kínálati folyamatokat jobban követő, megoldás orientált szemlélet. Ennek egyik kimagasló példája az adatcentrumi switchek SFP+ Direct Attach szerver bekötésének lehetősége vagy a routerekben implementált sávszélesség optimalizáló modul kiterjedt funkcionalitása. De hogy ne csak általánosságokban írjuk le, hogy mit jósolnak az idei évre, íme egy kimutatás a 2010-es évre vonatkozóan. Az első kimutatás arról szól, hogy a megkérdezett cégvezetők a 10 legfontosabb idei projektnek mit gondolnak. Minél többször említették meg az adott területet, annál előkelőbb helyet foglal el a táblázatban.
Prioritás 1 2 3 4 4 6
Cégek által említett biztonsági területek az említések arányában Cégek által Említett területek említett 3Com megoldási javaslat területek aránya Behatolás megelőzés (Intrusion 47,5% TippingPoint és UTM eszközök Prevention) Patch menedzsment 46,1% IMC UAM - certificate alapú VLAN hozzárendelés Adatvesztés/lopás elleni védelem (Data 44,5% iNode kliens és SecCenter biztonsági Loss Prevention) menedzsment Antivírus 41,1% UTM eszközök Személyazonosság-kezelés (Identity 41,1% H3C Unified Network Access és IMC management) UAM Tűzfalak 37,4% F sorozatú tűzfalak és UTM eszközök, nagyteljesítményű moduláris tűzfal blade-ek
6
Sérülékenység vizsgálat
8
Hálózati hozzáférés szabályozás (Network Access Control)
5
37,4% 3rd party megoldásokkal (pl. Outpost24) 35,5% IMC EAD
8
Biztonsági információ és esemény kezelés Távoli elérés és site-to-site VPN
10
35,5% IMC (NTA, iTAS), SecCenter 31,2% Routerek, tűzfalak, UTM eszközök
Forrás: http://www.lsec.be/upload_directories/documents/100209_DataProtection/7_Hinderyckx_Stefaan_Di mensionData_OldWineinNewBottles_1002009.pdf, 4. oldal
A következő kimutatás azt ábrázolja, hogy a megkérdezett cégvezetők melyik projektet gondolják az év legfontosabb projektjének. Jól látható, hogy az első három helyezett terület az összes cég 45%-át fedi le, így talán érdemes ezekre fókuszálni.
Prioritás 1 2 3 4 5
Cégek által legfontosabbnak minősített biztonsági projekt Legfontosabbnak Említett területek minősített 3Com megoldási javaslat terület Személyazonosság-kezelés (Identity 20,5% H3C Unified Network Access és IMC management) UAM Adatvesztés/lopás elleni védelem 13,9% iNode kliens és SecCenter biztonsági (Data Loss Prevention) menedzsment Antivírus 10,6% UTM eszközök Tűzfalak 9,3% F sorozatú tűzfalak és UTM eszközök Behatolás megelőzés (Intrusion Prevention) Hálózati hozzáférés szabályozás (Network Access Control) Patch menedzsment
6 6 8
Biztonsági információ és esemény kezelés Erős felhasználói azonosítás Távoli elérés és site-to-site VPN
9 10
8,6% TippingPoint és UTM eszközök 7,3% IMC EAD 7,3% IMC UAM - certificate alapú VLAN hozzárendelés 5,3% IMC (NTA, iTAS), SecCenter 4,6% IMC UAM + OTP 4,0% Routerek, tűzfalak, UTM eszközök
http://www.lsec.be/upload_directories/documents/100209_DataProtection/7_Hinderyckx_Stef aan_DimensionData_OldWineinNewBottles_1002009.pdf, 5. oldal
6
Technológiai sarok Vezetéknélküli hálózatok, biztonság és a kontrolleres megoldások A vezetéknélküli hálózatok kiépítési kedve a piaci folyamatokat figyelve folyamatosan fel-le változik. A hírekben megjelenő pozitív és negatív teszteredmények, technológiai hírek (pl. 802.11n) és „független” szakértői hozzászólások alapján hol többen, hol kevesebben vásárolnak vezetéknélküli hálózati megoldásokat. A három fő kérdés a biztonság, a sebesség és az ár, mindegyik területről pár mondatban megemlékezünk. Biztonság. Nem érdemes vezetéknélküli hálózatokba fektetni, ha átjáróház lesz a hálózatunk, és minden arra tévedő járókelő a smartphone-járól képes feltörni a hálózatunkat. Igen, a vezetékes hozzáférés egy fokkal védettebb, hiszen legalább a fizikai közeg nincs kitéve veszélynek. A biztonsági kérdések háromféleképpen válaszolhatóak meg: -
a vezetéknélküli hálózatot védhetőnek tekintjük a legmodernebb technológiákkal (pl. dinamikus kulcsú védelem, többfaktoros authentikáció, vezetéknélküli IDS/IPS) Ezen első megközelítéshez csak egy olyan rendszerre van szükség, amely a WPA2 (AES128 legalább) titkosításon kívül képes dinamikus kulcsokat osztani a klienseknek, és meghatározott időközönként ezeket a kulcsokat automatikusan cserélni. Ez a jelenlegi tudásunk szerint a brute-force támadáson kívül mindenféle egyéb támadásnak ellenáll, a brute-force 1 napon belüli lefuttatásához pedig a Föld összes számítógépe nem lenne elegendő. A dinamikus kulcsok mellett fontos, hogy a vezetéknélküli hozzáférési pontok a belépő felhasználók forgalmait figyelni és korlátozni legyenek képesek, és amennyiben olyan erőforrást akar a számítógép elérni, amit nem lenne jogosult, arról riasztást tudjon küldeni. A dinamikus kulcsok mellett fontos, hogy a vezetéknélküli hozzáférési pontok a belépő felhasználók forgalmait figyelni és korlátozni legyenek képesek, és amennyiben olyan erőforrást akar a számítógép elérni, amit nem lenne jogosult, arról riasztást tudjon küldeni. A legköltséghatékonyabb megvalósítási mód a vezetéknélküli kontrolleres megoldás, amikor az AccessPointok FIT módban működnek, azaz az intelligenciát a kontroller tartalmazza. A kontroller vezérli a titkosítást, hozzáférés szabályzást, jelerősséget, stb. és az AccessPoint „csak” teljesíti a kontroller utasításait. A felhasználói forgalmak ilyenkor a kontrollerbe érkeznek be (úgynevezett CAPWAP vagy LWAPP csatornán keresztül), ezt a kontroller kicsomagolja és kiteszi a vezetékes hálózatra. A kontroller méretezésénél figyelni kell arra, hogy a kontroller által irányított összes AccessPoint forgalma meg fog érkezni és át fog haladni a kontrolleren, így annak elegendő teljesítménnyel kell rendelkeznie. Egyes AccessPointok képesek a forgalmakat ilyen kontrolleres környezetben is lokálisan végződtetni vagy a dinamikus kulcscserét elvégezni („local switching” a neve a H3C-nél),
7
-
-
azonban ilyenkor a központosított forgalomfigyelés, engedélyezés és riasztás lehetősége eltűnik, ezért ez csak indokolt esetben ajánlott. a vezetéknélküli hálózatot nyitottnak tekintjük, alapvető (pl. WEP) titkosítással látjuk el, és a felhasználók – mintha otthonról dolgoznának – VPN kapcsolatokat építenek ki a központi VPN koncentrátorig, és így jutnak be a belső hálózatba, a VPN koncentrátort a támadások ellen IPSsel védjük. Az AccessPointokat és a hálózatot le kell korlátozni, hogy a vezetéknélküli hálózatból csak IPSEC forgalom mehessen és csak a VPN koncentrátorba. Ennél a megoldásnál az AccessPointokat alapvető beállítással, akár kontroller nélkül telepítjük le, és központi VPN koncentrátort helyezünk le, amelyet a külső támadások ellen megfelelően védünk IPS-sel. A védelmet beépített IPS-sel is megoldhatjuk, ekkor UTM (Universal Threat Management) eszközökről beszélünk. Mind a VPN koncentrátor (nálunk a tűzfalak képesek VPN koncentrátorkánt működni), mind az IPS méretezésére oda kell figyelni, mivel itt is a átfolyik a vezetéknélküli hálózat teljes forgalma egyetlen eszközön. Layer3 hálózat (route-olt, pl. több telephelyes hálózat) esetén a megoldás kontroller nélkül csak MPLS képes router segítségével alkalmazható, egyébként a védett és védtelen forgalmak összekeverednek. a vezetéknélküli hálózatot védhetőnek tekintjük a legmodernebb technológiákkal, azonban ennek kiegészítésére a felhasználók VPN kapcsolatokat építenek ki a VPN koncentrátorig Ez a megoldás biztonsági szempontból és a működés rugalmasságát tekintve a legfejlettebb, a forgalmak egy helyen lépnek ki a vezetéknélküli hálózatból, a kontroller kimenő lábán, és az belemegy a közvetlenül mellette elhelyezkedő VPN koncentrátorba (amely egyben tűzfal is). A kapacitások méretezésére itt is figyelni kell, azonban a legnyugodtabb alvást ez teszi lehetővé.
Ahogy a fentiekből is látszik, egyik biztonságos vezetéknélküli megoldás leírása nem arról szólt, hogy „végy 5 accesspointot és tedd ki találomra”, hanem komoly tervezést igényel.
Sebesség. A fenti három lehetőségnél minden egyes esetben kiemeltük a kapacitástervezés szükségességét. A 802.11n hálózatok elterjedésével, amely két stream-es átvitel esetén 40Mhz-es csatornaszélességnél 300Mbit/s sebességre képes, már 6-8 AccessPoint is túl tudja terhelni a kontrollert. Fontos tehát, hogy úgy válasszuk meg a
8
kontrollert és úgy helyezzük el a hálózatban, hogy azok ne jelentsenek szűk keresztmetszetet az átviteli útban. Az egy AccessPointra tehető felhasználók száma és azok klienskártyái is jelentősen befolyásolják az átvitel minőségét, sebességét (megjegyezzük, hogy a sebesség és a lefedni kívánt terület fordított arányban áll egymással). A 802.11n több sugárzó- és vevőantenna valamint párhuzamos stream kombinációt enged (ez a MIMO), egészen 4x4:4-ig (ahol az első szám a sugárzó antennák száma, a második a vevő antennák száma (amely fizikailag osztozhat részben vagy egészében a sugárzó antennákkal), a kettőspont utáni szám pedig a párhuzamos vezetéknélküli adatfolyamok száma). A vezetéknélküli termékek, legyen az AccessPoint vagy kliens kártya, ebben a számhármasban különböznek egymástól, amely az áraikon kívül a teljesítményüket is érinti. A H3C és 3Com termékek 2x3:2 vagy 3x3:2 konfigurációval érkeznek, azaz a használható sugárzóantenna számban különböznek. Példaként az különböző gyártók termékei az alábbi antennakonfigurációkat támogatják: 2x3 MIMO: -
3Com 9152 3Com 9552 Motorola AP-650 Cisco 114x Cisco 125x
3x3 MIMO nagyobb lefedettség (ugyanakkora lefedettségnél nagyobb sebesség a legtávolabbi ponton) érdekében: -
H3C 2610E-AGN H3C 2612-AGN H3C 2620-AGN H3C 2620E-AGN Cisco WAP4410N Motorola AP-7131 HP MSM 410 HP MSM 422
9
Ár. A kontrolleres megoldások – valljuk be – a hardver áron szoktak megbukni, és azon, hogy csak a hardver árat veszik figyelembe a megoldás teljes költségének számításánál. Ökölszabályként elmondható, hogy az AccessPointok árának 15-30%-a lesz a kontroller ára. Ez persze nagyban függ az AccessPointok mennyiségétől, bővíthetőségtől, kapacitástól, biztonsági funkcióktól. Ha azok között kell dönteni, hogy legyen biztonságos vezetéknélküli megoldás vagy ne legyen egyáltalán vezetéknélküli hálózatunk, akkor ha „igen” a válasz, már eleve érdemes a +30%-kal számolni a kontrollerre. A kontroller nélküli vállalati vezetéknélküli hálózatot úgy lehetne leírni, mint a letekert ablakú autót: nyáron a Balatonon jól érzés, de este az utcán parkolva csak az nem ül be, aki nem akar. Vannak olyan AccessPointok (mint például a 3Com 9152, 9552, H3C 2610E/2620E), amelyek képesek FIT és FAT módban is működni, vagyis ki- és bekapcsolható az intelligenciájuk. Amennyiben olyan AccessPointokat szeretnénk beszerezni, amelyek később képesek kontrolleres környezetben működni, úgy ezek a típusok ajánlottak. A kontrollerek által támogatott AccessPonint számok az alábbi táblázatban láthatóak összefoglalva:
További információk, mintakonfigurációk mind AccessPointokhoz mind kontrollerekhez a mellékletben találhatóak. Az ábrák az Atheros támogatásával születtek.
10
SFP-k, SFP+-ok, XFP-k, kéteres és BiDi működésű optikai transceiverek Az optikai szálakat nem lehet közvetlenül a hálózati aktív eszközökbe dugni (jellemzően, persze kivételek azért akadnak). Ezeknek a moduloknak – transceivereknek – a segítségével illeszthetőek az optikai kábelek a switchekhez és a routerek egy részéhez. A modulok kialakítását tekintve többféle létezik: SFP, SFP+, XFP, XENPAK és további egyéb gyártó specifikus megoldások. A XENPAK kezd kimenni a divatból nagy fogyasztása és nagy helyigénye miatt, így ezzel a továbbiakban nem foglalkozunk. Fontos már az elején leszögezni, hogy míg a switchekbe harmadik gyártó például 48 portos réz moduljait nem szokták betenni, addig a 3rd party SFP-k és XFP-k piaca igen nagy, és előszeretettel csökkentenek költséget a rendszerintegrátorok a transceiverek árán. A kompatibilitás kérdése három körre bontható: -
EEPROM – azaz a transceiver szoftvere alapvetően kompatibilis-e a switch-csel elektronikai és optikai – azaz a jelszintek mind az elektronikai interface oldalán, mind az optikai vonal másik oldalán értelmezhetőek-e, visszaalakíthatóak-e menedzsment – azaz az aktív eszköz (pl. switch) nem csak hogy „látja-e” a transceivert, hanem működnek-e azok a menedzsment funkciók, amellyel a switch a vonalat és magát a transceivert kezeli (pl. DOM, BFD, DLDP, flapping, link up-down információk). Ezek nem feltétlenül akkor nyilvánulnak meg, amikor bedugjuk a transceivert a switchbe, mert akkor még az esetek 90%ában minden működni szokott, hanem fél év múlva, amikor az egyik optikai patchkábelt valaki kimozgatta
Fontos tehát, hogy olyan transceivert alkalmazzunk az aktív eszközeinkbe, amelyet a gyártó akínálatában ajánl, vagy amelyekkel a gyártó összetesztelte, esetleg a tesztelésről egy független szervezet tanúsítványt adott ki. A gyengébb minőségű kínai terméket a tokozásról is fel lehet ismerni:
11
Ha jobb minőségű terméket szeretnénk vásárolni, akkor az alábbi tokozást javasoljuk:
Emlékeztetőül: a 3Com és H3C SFP-k így néznek ki:
Mi a DOM? A DOM a Digital Optics Monitoring rövidítése. Bizonyos eszközökön, amennyiben támogatják ezt a funkciót lehetőség van a modulok paramétereinek futás közben történő ellenőrzésére. Ezek a paraméterek: -
Hőmérséklet Feszültség Áramerősség TX (transmit) power RX (recevice) power
12
Szabványban rögzített technológia, a szabvány angol nyelven itt tekinthető meg: ftp://ftp.seagate.com/sff/SFF-8472.PDF
Mi a DDM? Digital Diagnostics Monitoring. Funkciójában teljesen megegyező a DOM-mal. Mi a BiDi? A BiDi a bi-directional, azaz kétirányú rövidítése. Az optikai összeköttetés egy szálon valósul meg, azaz eret tudunk spórolni az átvitel során vagy ugyanannyi éren dupla akkora sávszélességet tudunk átvinni. Hagyományos összeköttetés esetén a Tx és Rx azonos hullámhosszon, de külön optikai szálon fut. Bidi megoldásnál a Tx és Rx kapcsolat azonos szálon de különböző hullámhosszokon jön létre.
Mi az SFP, GBIC, X2, XENPAK, XFP, SFP+ között a különbség? A nevek alapvetően a tokozási formára utalnak, azonban a sebességet is meghatározzák. Nem elsősorban a tokozás határozza meg a sebességet, azonban vannak tokozások, amelyek csak bizonyos sebességhez készítenek. Ilyenek a 10Gigabites modulok is: Xenpak, X2, XFP. Az SFP+ olyan 10Gigabites modult jelent, amely fizikailag SFP tokozású. A 3Com H3C switchekben lévő SFP+ portokba (pl. S5800-on) dughatunk 1Gigabites SFP-t és 10Gigabites SFP+-t is, amely nagyban csökkenti az 1G10G migrációs költségeket. Fontos megjegyezni, hogy az XFP és az SFP+ egyaránt jövőtálló 10G-s megoldások. Az XFP egy helyen múlja felül az SFP+-t: helyigényes megoldások (pl. DWDM, CWDM és CX4 transceiverek) körében. A szerverek bekötésére 10G-n nagyon sokan használnak CX4 portokat, azonban SFP+ interface-en SFP+ DA kábellel a költségek kifejezetten jól csökkenthetőek: az SFP+ képes switchet ugyanis csak egy SFP+ DA kábellel össze kell kötni a szerver SFP+ DA-képes hálózati kártyájával, így mindkét oldalon megspóroljuk a transceiver árát. Az SFP+ DA kábel tulajdonképpen egy olyan réz kábel, amelynek mindkét vége SFP+ csatlakozókban végződik, és 10G átvitelére alkalmas.
13
Lehet eltérő sebességű modulokat ugyanazon a linken használni? (pl. egy 100 Mbit/s modult együtt egy 1Gigabit/s modullal?) A rövid válasz, hogy nem. A hosszabb pedig, hogy bizonyos esetekben igen. Ezek az ún. multispeed modulok. Fontos tudni azonban, hogy a multispeed modulok bár önmagukban képesek különböző sebességen működni, szükséges az is, hogy az adott hálózati aktív eszköz támogassa a multispeed funkciót (pl. 3Com 4210, 4500G, 4800G, S7900, H3C S5500, S7500E, stb.). Ilyen eszköz kevés van és jellemzően drágább, mint az egysebességes társai.
Mi a különbség a singlemode (SMF) és a multimode (MMF) között? Technológiai különbség van, abban, hogy a fény milyen úton jut át az optikai szálon. Alapvetően a multimódusú kábeleket rövidebb távolságokra lehet használni. Illesztési és egyéb technológiai műveletekre kevésbé érzékeny. Nagyobb távolságokat csak monomódusú kábellel hidalnak át.
Mi az a sötét szál? A sötét szál olyan optikai szál, ami szolgáltatás nélkül van továbbadva. (nincs megvilágítva, azaz sötét; innen az elnevezés). Jellemzően bérelt vonali összeköttetés kiváltására használják.
Optikai sávszélesség bérlése Ebben az esetben nem dedikált vonalat kapunk, hanem jellemzően végponti berendezésekkel egy számunkra fekete dobozként működő gigabites vagy nagyobb sebességű linket.
Ethernet vagy egyéb? Ha csak IP alapú technikával dolgozunk, akkor tökéletesen elég az Ethernet. Fiber Channel és egyéb protokollok továbbítása Ethernet felett már összetettebb kérdés. Véleményünk szerint az Etherneté a jövő, minden protokoll fejlesztése abba az irányba halad, hogy Ethernet felett továbbítani lehessen, így érdemes Ethernet eszközökbe és megoldásokba ruházni.
14
Gyakorlati tanácsok Firewall blade, F sorozatú tűzfal és UTM (Unified Threat Management) tűzfal konfigurálása A H3C tűzfal termékek, ahogyan a switch, router és egyéb termékek, ugyancsak a Comware operációs rendszerre épülnek. A konfiguráció megkezdése előtt érdemes tudni pár hasznos dolgot, amelyeket az alábbiakban összefoglalunk. -
-
-
-
Meg kell határozni a virtualizálás fokát – azaz egy fizikai tűzfalon egy logikai tűzfalat szeretnénk vagy többet Ki kell alakítani a zónákat. Alapkiépítésben 5 zónát találunk az eszközökben: Local (saját forgalom), Management (out-of-band management, nem route-olható forgalom), Trust, Untrust, DMZ Meg kell határozni a zónák preferenciáját. Alapbeállításként a Trust zóna 85-ös, a DMZ 59-es és az Untrust zóna 5-ös preferenciájú. A számok egymáshoz viszonyított értéke megszabja, hogy az adott irányban előzetes szabályozás nélkül folyhat-e forgalom (pl. a Trust-ból a DMZ-be igen, de a DMZ-ből a Trust-ba nem indulhat forgalom) A zónákhoz fizikai interface-(eke)t vagy VLAN-(oka)t rendelünk, mivel a szabályokat a zónákra alakítjuk ki és nem az interface-ekre. Ezáltal több interface is tartozhat ugyanabba a zónába, azonban egy tag-eletlen interface és egy VLAN csak egy zónába tartozhat Amikor majd a jövőben tűzfal policy-kat életbe léptetünk, az a meglévő session-öket nem befolyásolja, csak az újonnan felépülőket. A H3C tűzfalak nem csupán csomagszűrők, hanem alkalmazás-szintű állapotkövető csomagszűrők (ASPF)
Feltételezve, hogy a 10GE interface-en a 200-as és a 250-es tag-elt VLAN-ban, valamint a natív VLAN-ban (1-es) jön az adat, a következő alap konfigurációt kell kialakítani (feltéve, hogy egyben NAT-olni is akarunk): # acl number 3000 rule 0 permit ip source 10.200.1.0 0.0.0.255 # vlan 1 # interface Ten-GigabitEthernet0/0 port link-mode route nat outbound 3000 nat server protocol tcp global 151.104.63.177 any inside 10.200.1.177 any ip address 151.104.63.135 255.255.255.192 # interface Ten-GigabitEthernet0/0.200 vlan-type dot1q vid 200
15
ip address 10.200.1.1 255.255.255.0 # interface Ten-GigabitEthernet0/0.250 vlan-type dot1q vid 250 ip address 10.250.1.1 255.255.255.0 # ip route-static 0.0.0.0 0.0.0.0 151.104.63.129 #
A további konfigurációt a beállított menedzsment IP címen (alapból a 192.168.0.1) tudjuk megtenni webes felületen, a fenti konfigurációban a 151.104.63.135 címet kell használni a http-s felkapcsolódásra. A 10GE interface-t az Untrust zónába tesszük:
16
A belső VLAN-jainkat (200-ast és a 250-est) a Trust zónába tesszük:
… és akkor most jön az igazi okosság A zónák közötti forgalom engedélyezéshez meg kell határozni egy szabálysokasággal definiált „Interzone policy”-t. A forrás és cél tekintetében vagy az elpre definiált objektumokat (pl. any_address) használjuk fel, vagy mi magunk is megadhatunk objektumokat, objektumcsoportokat (pl. internal_servers):
17
A „filter action”-nál megadjuk, hogy el szereténk-e dobni a csomagot vagy engedélyezni szeretnénk a forgalmat.
További információk a mellékletben illetve a következő linken: http://www.h3c.com/portal/Technical_Support___Documents/Technical_Documents/Security_Product s/H3C_SecPath_U200_Series_UTM_Products/
18
Ajánló Következő hírleveleinkből: -
3Com H3C újdonságok QoS route-olt hálózatokban Egy beruházás haszna és az eszközjellemzők – esettanulmány Power over Ethernet história Ethernet alapú storage hálózatok méretezése
Fel- és leiratkozás:
[email protected] küldött levéllel Webes letöltés, valamint mellékletek elérhetősége:
http://www.comteq.hu/nl
19
FTP hozzáférés: szerver: ftp12.maxer.hu bejelentkezés: comteq_hu_3community jelszó: comit