Cisco Borderless Network AM

D Ů V Ě Ř U J T E

S I L N Ý M

Cisco Borderless Network – AM

Roman Aprias Network Architect

Obsah ›

Úvod – – – – – –

›

Smart Business Architecture – – – – – –

›

Back to Core Tranformace trhu "Good Enough" přístup Architektura - uzavírání propasti mezi byznysem a technologiemi Nové specializace Borderless Network Proč potřebujeme referenční architekturu Co je SBA Pro jaké sítě je určena Jak se v SBA orientovat Quick Pricing Tool Cisco Commerce Workspace

Součástí Borderless Network – – – – – – – – –

Přepínače Směrovače Mobilita (wireless) SecureX (bezpečnost) Energywise Management Application Velocity Medianet IPv6

D Ů V Ě Ř U J T E

Cisco Back to core

S I L N Ý M

Cisco – základ úspěchu Interní inovace - 4700 udělených patentů - 3000 čekajících patentů - 16 000 inženýru - 5.2 miliard ročně na R&D - Proprietární technologie nebo budoucí standard?

Akvizice

Go-to-Market strategie - Ekosystém partnerů - Cisco akademie, systém certifikací

Network Core: Co znamená pro Cisco

Network Core: Co znamená pro Cisco

› Značka › Kvalita › Uznání

› Tradice › Kultura › Leadership a inovace

LAN Switching Revenue Share: Total L2+3 Managed 80%

16% 75,2% 70,4%

72,9%

72,5%

71,6%

69,7% 11,9%

12%

Competitor Share (bars)

71,8%

71,4%

10,6%

10,5%

10,5%

10%

68,8%

70%

11,9%

10,5%

10,3%

9,9%

60%

9,3%

50%

8%

6% 40% 4% 2,4%

2%

2,1% 1,7%

1,6% 1,3%

1,7% 1,4%

Q3CY09

Q4CY09

1,5% 1,2%

1,9% 1,8% 1,6%

2,4% 2,0% 1,8%

1,9% 1,8%

2,1% 2,0% 1,8%

2,3% 2,0% 2,0%

2,1% 2,0%1,9%

30%

1,3%

20%

0%

HP

Q1CY10

Q2CY10 Juniper

Q3CY10 Dell

Q4CY10

Q1CY11

Brocade

Q2CY11 Cisco

Q3CY11

Cisco Share (line)

14%

Total Enterprise Routing Revenue Share 10%

83,8%

83,0% 81,9%

85%

82,8%

81,9%

81,8% 80,4% 78,0%

77,6%

80%

75%

7,1% 6,1% 6,0%

6%

5,7%

5,6%

5,5%

5,4%

5,5%

5,5% 5,3%

5,0%

5,0%

70%

5,3%

65%

4% 3,4% 2,8%

2,8%

2,4%

2%

3,0%

3,2%

2,9% 2,9%

2,2%

2,5%

55% 1,7%

1,4%

1,1%

1,3%

60%

2,9% 2,6%

1,4%

3,4%

1,3%

1,3%

1,8%

1,3%

0,9%

50%

0%

45% Q3CY09

Q4CY09

Q1CY10

Juniper

Q2CY10 HP

Q3CY10 Huawei

Q4CY10

Q1CY11

OneAccess

Q2CY11 Cisco

Q3CY11

Cisco Share (line)

Competitor Share (bars)

8%

LAN Switching – Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 80,00%

Cisco HP

70,00%

Enterasys

60,00%

LG Ericsson/SMC Huawei

50,00%

Other Avaya

40,00%

D-Link Blade Networks Extreme

30,00%

Netgear

20,00%

ZTE Juniper

10,00%

Brocade

0,00%

Alcatel-Lucent

2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3

Routing – Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 100,00%

Enterprise

90,00%

Cisco

80,00%

Huawei

70,00%

Alcatel-Lucent

60,00%

Tellabs

50,00%

ZTE

40,00%

Other

30,00%

HP

20,00%

Avaya

10,00%

Bintec

0,00%

Lancom 2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3

Service Provider + Enterprise

120,00% Cisco 100,00%

Huawei Other

80,00%

ZTE HP

60,00%

Avaya 40,00%

Vanguard Siemens

20,00%

ZyXEL Bintec

0,00% 2009 Q32009 Q42010 Q12010 Q22010 Q32010 Q42011 Q12011 Q22011 Q3

Přístup k síti: DŘÍVE Omezené. Izolovaně fungující. Sestaveno účelově

Jednoduché

Omezená přenositelnost aplikací Ztráta flexibility

DATA

HLASOVÉ SLUŽBY

ZAŘÍZENÍ

Transformace trhu › 1.3 miliardy nových mobilních zařízení v příštích třech letech. › 60% veškerého provozu v Cisco sítích je video. Objem videa se čtyřnásobí do roku 2014 na 767 exabytů. › 66% zaměstnanců by vzalo méně placenou práci (10%), kdyby mohli pracovat odkudkoliv. › 59% zaměstnanců chce používat jejich osobní zařízení v práci

Hranice se posunují Mobile Worker Hranice Lokace

IT Consumerization Aplikace s externím Interní aplikace přístupem

Hranice zařízení

Video/Cloud Hranice Aplikace IaaS,SaaS

Vize: Organizace bez hranic Borderless Experience Bezpečnost

Spolehlivost

Video

Energie

KDOKOLI

COKOLI

KDEKOLI

KDYKOLI

TCO

Daná komplexnost sítě... Zvažte správný přístup k návrhu sítě NEDŮLEŽITÉ

Technologie pro přístup k síti

DŮLEŽITÉ

DŮLEŽITÉ

Porozumění požadavkům aplikací a požadavkům uživatelů v podniku

Využití těchto poznatků při určování vhodné topologie sítě

Odpovídající koncepce přístupu k síti umožní vašim uživatelům používat zabezpečené, spolehlivé a bezproblémové připojení k síti bez omezení místní infrastrukturou

„Dostatečně dobrá“ síť

nebo

Podniková síť nové generace

Jednoúčelová

Sjednocená (pevná/bezdrátová, kontrola energie)

Bezpečnost jako přívěšek

Integrovaná bezpečnost konec-konec

Neznalost aplikací a koncových zařízení

Aplikační inteligence a optimalizace, Inteligence koncových zařízení

Základní QoS

Media Aware Control pro podporu integrace videa a hlasu

Založená na standardech

Standardy + Inovace zavádějící nové standardy

Podpora základní zárukou

Záruka+ Inteligentní služby s integrovanou správou

Náklady na pořízení

Ochrana investic a ROI

Capex

Jak vyhodnotit náklady na síť: TCO ne CAPEX Neúplný pohled na IT náklady – zachytí pouze část nákladů na síť

Pohled za TCO

TCO

Důkladný pohled na IT náklady, zahrnuje služby, práce, šířku pásma, energie

Byznys přínosy za TCO úspory energie, spolehlivost sítě (uptime), produktivita uživatelů

Uzavírání propasti mezi Byznysem a Technologií Cisco strategie Architektury Byznys výzvy

Snížení nákladů na energie

Snížení TCO Zvýšení produktivity

Video

Zjednodušení Byznys procesů

Stálá mobilita

Kontinuita sítě

Zvýšení spokojenosti zákazníka

Efektivní správa

Škálování Byznysu

Inovace technoligií LAN Switching

Branch Routing

Wireless

Datacenter Switching

Datacenter Routing

›

› ›

Architecture

Specializace jsou framework pro ověření znalostí partnerů Pomáhají partnerům porozumět vizi a směru Cisca Obsahem směrují k architektuře Partnerům umožňují ukázat jejich kompetence a získat certifikace atd.

Data Center

April 2011

›

Collaboration

Borderless Networks Unified Computing Unified Fabric

Technology

Specializace

Data Center Networking Infrastructure

Unified Communications Data Center Storage Networking Unified Communications

Wireless LAN

Unified Communications Small Business

Entry

Foundation

Express

Security

Security

Routing & Switching

Advanced

Master

Architektura Borderless Network Architektura pro flexibilní poskytování sítě bez hranic

KONCOVÝ BOD BORDERLESS / SLUŽBY UŽIVATELŮM

Bezpečně, spolehlivě, bezproblémově: AnyConnect

ZÁSADY

SPRÁVA

Aplikační rozhraní

SLUŽBY BORDERLESS NETWORK SYSTÉMY BORDERLESS NETWORK

INFRASTRUKTURA BORDERLESS

Mobility: Cisco Motion

Unified Access

Bezdrátové připojení

Správa energie: EnergyWise

Zabezpečení: TrustSec

Core Fabric

Směrování

Výkon aplikací: App Velocity

Extended Edge

Přepínání

Optimalizace pro multimédia: Medianet

Extended Cloud

Aplikační síťové služby / Optimalizace

INTELIGENTNÍ PROFESIONÁLNÍ A TECHNICKÉ SLUŽBY: rychlejší zhodnocení řešení Borderless Networks

Zabezpečení

D Ů V Ě Ř U J T E

S I L N Ý M

Smart Business Architecture

Proč referenční architekturu?

Koncept

Design

Chci navrhnout a implementovat síť › Jak mám vědět co bude síť potřebovat v budoucnu a nemusel předělávat návrh a implementaci › Jak to udělat rychle? › Jak ji spravovat? › Jak to vše dát správně dohromady? Jaké platformy mám vybrat?

Jaké jsou best-practise?

Smart Business Architecture › Snadné nasazení – Konzistentní návrh přes všechny produkty

› Flexibilita a škálovatelnost – Navrženo tak, aby růst organizace neznamenal kompletní redesign

› Odolnost a bezpečnost – Provoz sítě musí zvládat výpadky a možné útoky

› Snadná správa – Konfigurace zařízení Network Management Systemem

› Připraveno na pokročilé technologie – Síť obsahuje všechny základní potřebné služby

› Investice Cisca – – – –

6000 hodin inženýrů 3 Laby s investicí $30M 8 Cisco partnerů pro validací třetí stranou Podílí se 14 partnerů jiných technologií

Síť střední velikosti (Midsize) Velikost


100 až 1000 připojených uživatelů

Vzdálené pobočky


Až 20 vzdálených poboček s průměrně 25 zaměstnanci

Hostované aplikace


Potřeba aplikací s externím rozhraním, hostované mimo.

Řešení


Bezpečnost: Korporátní zdroje
Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance
Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky
Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu
Možnosti migrace: Pro budoucí růst
Testované řešení: Validované třetí stranou

Síť střední velikosti › › ›

Cílem je 100 – 1000 připojených uživatelů (5 – 15 serverů) Headquarters CCNA technická úroveň Připravené vzory konfigurací Servers rozšiřitelné o specifické politiky Server Server Room Switch

Server Room Branch Router With IDS and Application Acceleration Branch Switch Wireless Access Point

WAN PSTN Internet

Application Acceleration Campus Router

Unified Communications Management Host

Room Stack Wireless LAN Controller Core Switch Stack

Firewall Core

Branch

Client Access Switch

Hardware and Software VPN Teleworker/ Mobile Worker

Wireless Access Point Access

Client Access Switch Stack

Podniková síť Velikost


2,000 až 10,000 připojených uživatelů

Vzdálené pobočky


Až 500 vzdálených poboček

Hostované aplikace


Potřeba aplikací s externím rozhraním, hostované mimo.

Serverovna


Aplikace organizace

Řešení


Bezpečnost: Korporátní zdroje
Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance
Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky
Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu
Možnosti migrace: Pro budoucí růst
Testované řešení: Validované třetí stranou

Podniková síť › › ›

Cílem je 2000 – 10 000 uživatel CCNA technická úroveň Připravené vzory konfigurací rozšiřitelné o specifické politiky

Hardware and Software VPN

Internet Edge Routers

Internet WAN Aggregation

Teleworker/ Mobile Worker WAN Wireless Access Point

Data Center

Email Security Appliance

Remote Access VPN

Guest WLAN

Application Acceleration

VPN

Wireless LAN Controller

Client Access Switch

Internet Edge

Firewall Internet Servers Web Security Appliance

Branch Router with Application Acceleration Core Switches

Remote Local Area Network Collapsed Distribution/ Core Switches

Distribution Switches Wireless LAN Controller

Regional Router

Client Access Switches

Application Acceleration

Regional Office

Building 1

Building 2

Building 3

Building 4

Navigace v SBA - přehled

www.cisco.com-go/sba

Navigace v SBA – Midsize Borderless Network

Seznam hardware › Part Number › Doporučené a otestované verze software Functional Area Branch router modules Branch Switch

Internet Edge Firewall Headquarters— Intrusion Prevention System Application Acceleration Headquarters CM Headquarters endpoint Wireless Access Points Wireless LAN Controller Unified Communications

Product Wide Area Acceleration Module Intrusion Prevention Module Catalyst 3750G Stackable 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Cisco Catalyst 3560G 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Adaptive Security Appliance ASA 5510 with the SSM-10 IPS Module Cisco Intrusion Prevention System 4200 Series

Part Numbers

Software Version

NME-WAE-502-K9 AIM-IPS-K9

4.1.5b 7.0(1)E3

WS-C3750G-24PS-S WS-C3750G-48PS-S WSC3560G-24PS-S WS-C3560G-48PS-S

12.2-50.SE2

ASA5510-AIP10-K9

WAVE 574 WAVE 274

IPS-4240-K9 (300 Mbps) IPS-4255-K9 (600 Mbps) IPS-4260-K9 (2 Gbps) WAVE-574-K9 WAVE-274-K9

1140 Fixed with Internal Antennas 1250 Ruggedized, External Ant. WLC 5508 Cisco Unified Communications Manager—MCS 7835 CMC Cisco Unity Connections MCS 7825 UCB

AIR-LAP1142N (Country-specific) AIR-AP1252AG (Country-specific) AIR-CT5508-12-K9 MCS7835I3-K9-CMC2 (2 required) MCS7825I4-K9UCB1

8.0.4.ED 7.0(1)E3 7.0(1)E3 4.1.5b

7.0.98.0 8.0(2c) 8.0(2c)

Quick Pricing Tool

www.cisco.com/go/qpt

Quick Pricing Tool – přehled SBA Midsize pouze

› Ušetření času při vytváření nabídky › Sníženi komplexnosti – Jednodušší Wizardi – Otázky na zodpovězeni bez technika – Různé velikosti řešení pro škálování budoucího růstu

› Vytvoření nabídky u zákazníka – Desktop aplikace umožňující offline práci

› Propojení na distributora

Cisco Commerce Workspace › Nový nástroj pro zpracování celého prodejního cyklu

www.cisco.com/go/ccw

Partner

Partner

Partner

DEAL

QUOTE

ORDER

Who’s Involved/ About the Deal/ Promotions

Qualify for some promotions*

Items/ Buy Method/ Discounts/Credits

Approve

Distribution pricing sent to disti and/or

Cisco Direct with deal ID

D Ů V Ě Ř U J T E

Přepínače

S I L N Ý M

Catalyst 4500E Supervisor 7 › Supervisor 7-E – – – – – – –

Větší kapacita, více portů, více route 848Gbps přepínací kapacita 4 x 10G Uplinks 384 10/100/1000 ports 3,6,7 and 10 slot chassis 96 SFP+ LC ports 256K Routes

› Supervisor 7L-E – – – – – –

520Gbps přepínací kapacita 2 x10G or 4 x 1G Uplinks 240 10/100/10000 ports 3,6 and 7 slot chassis 60 10G LC Fiber ports 64K Routes

› Vlastnosti – 48Gbps per slot (47xx karty) (4507R+E, 4510R+E) – Netflow – VSS (roadmapa) – Trustsec

Catalyst 4500-X Fixní agregační přepínač

› › › ›

16x nebo 32x 10GE + 8x 10GE volitelný uplink 800 Gbps propustnost Front-to-back/Back-to-front airflow Vlastnosti jako SUP7 (VSS*, Netflow atd.)

Catalyst 6500 instalovaná báze aneb proč Cisco stále investuje do 6500

› › › › › › ›

700,000+ chassis 1.2 mil supervisorů 110 mil portů 1.6 mil 10G optických portů 16 mil 1G optických portů 44,000+ zákazníků 2,800 vlastností

SUP2T, 6513-E

› › › ›

80G/slot na všech 13 slotech w/ Sup2T 2 Tbps výkon, 4 Tbps VSS Až 180x10GE portů 534x1GE portů nonXL (256K) a XL verze (1M)

SUP2T nové karty (všechny s DFC4) 69xx 80G/Slot

› 8 x 10G › 4 x 40G nebo 16 x 10G › MacSec, OTV a LISP ready

68xx 40G/Slot

› 24 x 1G SFP › 48 x 1G SFP a 10/100/1000 › 16 x 10G X2 a 10GBase-T

6500 Porovnání cen nových karet

Upgrade instalované báze na SUP2T

Nové servisní moduly

Nexus 7009 › › › ›

14 RU kompaktní chassis Možná náhrada 6500 336 10GE portů 550 Gbps/Slot (FAB2)

Nexus 7000 M vs F serie karty

M1, M2

F1, F2

Více funkcí, velké tabulky

Rychlejší, specializované funkce Levnější, nízká latence

Nexus 3000 Burzy, HFT, propojení superpočítačů, clustery atd.

› › › ›

Ultra nízká latence L3 směrování 1G/10G/40G Konektivita – Twinax – QSFP+ to QSFP+ – QSFP+ na 4 x SFP+ chobotnice – Optika – modul SR4

D Ů V Ě Ř U J T E

Směrovače

S I L N Ý M

Softwarové vs Hardwarové zařízení › Univerzální vs specializovaná zařízení › › › › › › › › › › › › ›

Univerzální – např. směrovače do poboček Všechny vlastnosti zařízení jsou implementovány v SW na univerzálním CPU (podobný jako např. v PC) Není tedy problém s jakkoukoliv novou funkcionalitou Výkonnost zařízení je dána rychlostí CPU a bývá omezená (běžně směrovače max. rychlosti 1Gbps) Podpora nové funkcionality znamená změnu v SW Zapínání vlastností znamená pokles výkonnosti Specializovaná – např. páteřní směrovače Internetu Požadavek na obrovskou výkonnost a propustnost (až Tbps) Realizované na specializovaný HW obvodech Ty většinou podporují vlastnosti dané jejich návrhem v době výroby Pokud se na to při výrobě nemyslelo, novou vlastnost většinou už později přidat nejde Nové vlastnosti většinou už nebudou podporovat Zapínaní vlastností nemá vliv na výkonnost

Služby integrované ve směrovači Snížení nákladů a složitosti infrastruktury pobočky Zář 2004

Překryvná zařízení

Říj 2009

Integrované služby

Virtualizované služby Počítače Síť

Úložiště Spolupráce

Bezdrátová síť LAN Optimalizace sítě WAN/aplikací Zabezpečovací zařízení Zařízení pro hlasové služby

Základní příčina vysokých nákladů a komplexnosti

Směrovač ISR S podporou hlasových a bezdrátových služeb, videa, optimalizace sítě WAN, přepínač

Úspora celkových nákladů na vlastnictví (TCO)

Směrovač ISR G2 Integrované moduly Service Ready Engine a služby na vyžádání

Zvýšení úspory celkových nákladů na vlastnictví (TCO) až na 75 %

Tradiční pobočka

Pobočka Empowered

Pobočka Borderless


Více zařízení


Jedno zařízení


Flexibilní infrastruktura


Nákladný provoz


Nižší celkové náklady


Nejnižší celkové náklady


Složitá správa

na vlastnictví (TCO)
Menší složitost

na vlastnictví (TCO)
Ochrana investic

Integrated Services Routers 11 miliónu prodaných směrovačů

Pozicování ISR G2

UCS Express App

App

App

App

Platforma pro aplikace

OS

OS

OS

OS


Microsoft Windows Server certified

SRE-V Hypervisor

SRE-V Hypervisor

SRE Blade

CIMCE

SRE Blade

IOS, MGF Backplane Switch

Virtualizace serveru
Cisco SRE Virtualization powered by VMware vSphere HypervisorTM (ESXi)

Dedikovaný blade management
Cisco Integrated Management Controller
Stejný management pro UCS rodinu

Víceúčelové x86 blade
Cisco Service Ready Engine modules
Až 4 server blade v ISR G2

Integrace do jednoho síťového zařízení
Všechna zařízení v jednom ISR G2 chassis
Multi-Gigabit Fabric backplane přepínač

Malá kancelář v racku – ISR G2 UCS-E

Bezserverová pobočka Datové centrum / Cloud

WAN/internet Pobočka


Bez místních serverů
Plná závislost na síti WAN
Jednoduchost, nízké náklady
Bez záruk služeb

Pobočka s plným rozsahem služeb

Štíhlá pobočka Datové centrum / Cloud

Datové centrum / Cloud

WAN/internet

WAN/internet

Pobočka

Pobočka


1–2 místní servery
Plná závislost na síti WAN kromě provozně kritických aplikací







Všechny servery místní Bez závislosti na síti WAN Složitost, vysoké náklady Záruky služeb

Malá kancelář v racku – ISR G2

Bezpečnost ISR směrovačů

Řešení pro zabezpečené sítě

Kontinuita podnikání

Zabezpečená hlasová komunikace

Zabezpečená mobilita

Dodržování předpisů

Integrovaná správa hrozeb 011111101010101

Rozšířený firewall

Filtrování obsahu

Prevence napadení

Bezpečné připojení

GET VPN

DMVPN

Easy VPN

Pružné porovnávání paketů

Řízení přístupu v síti

802.1x

Zabezpečení infrastruktury sítě

Správa a instrumentace

SSL VPN

Profesionální konfigurace CCP

Přístup na základě rolí

NetFlow

IP SLA

End-of-Sale a End-of-Support Legacy směrovače a ISR

ISR G3

ASR1000 › › › ›

Čistokrevný směrovač Podpora spousty funkcí a rozhraní IOS XE, Linux middleware QuantumFlow procesor – – – – –

5 letý vývoj Masivně paralelní 40 více vláknových jader Architektura navržena pro škálování > 100Gbit/sec Nízká latence Připojení externího kryptovacího engine

7200 a její nástupce ASR1000 7201 24 000$ 1.8Gpbs (bez služeb) › 15 let, 600 000 prodaných 7200 › Důležitá data: – – – – –

July 14, 2011: internal announcement Sept 30, 2011: external announcement Sept 29, 2012: End of Sale Sept 29, 2015: End of Software Maintenance Sept 29, 2017: Last day of support

ASR1001 22 000$ 2.5Gbps (služby) Upgrade na 5Gbps

D Ů V Ě Ř U J T E

Mobilita (Wireless)

S I L N Ý M

WIFI a očekávání

Když se studenti vrátili tento rok, kdyby jste chtěli odhat kolik studentů bude používat WIFI – tipl bych 40%. Byl jsem ohromen, 85% studentů používá WIFI. Scott Ksander, Purdue University

Bezdrát přehled

Management and Control (Cisco Prime)

NCS

ISE

Mobility Service Engine

3310

3355

Enterprise Deployment

5508

Branch Controllers

WISM2

Outdoor

Carpeted

1040

ISM/SM

2500

1140

3500i

1310 - 1410

Rugged r5005

1260

3500e

1520

1550

Rádiové spektrum › Spektrum může být alokováno pro specifické uživatele – Civil, Vláda, Armáda, Komerce, – Televize, Radar, Mobilní telefony, rádia atd.

› Nelicencované nebo průmyslové, vědecké, zdravotní pásma – Nelicencované nebo „licencované pravidly“ – Ve většině zemí nevyžadují licenci, můžou vyžadovat registraci

› Rádiové frekvence jsou sdílený zdroj – Každá země ma vládní agenturu pro regulaci – Mezinárodně spravuje ITU

Záleží na non-Wifi interferenci? Studie na toto téma prokázaly... http://www.cisco.com/en/US/products/ps9393/prod_white_papers_list.html

Snížení dosahu

Snížení kvality hovoru

Nedivatelné video

... dramatickou ztrátu v kvalitě mobilních bezdrátových služeb při interferenci

Spektrální analýza Cisco CleanAir

Typický WIFI chipset

CleanAir 97

Vážnost interference

AIR Quality Index

100 63 90 20 35

Lokalizace

Akce

WCS, MSE

Wireless LAN Controller

GOOD

POOR

Udržování kvality spektra

Vizualizace a troubleshooting

CH 1

CH 11

Bezdrátová bezpečnost IP and Application Attacks & Exploits

WiFi Protocol Attacks & Exploits

RF Signaling Attacks & Exploits

Traditional IDS/IPS

wIPS

CleanAir

Layer 3-7

Layer 2

Layer 1

Monitoruje zranitelnosti neviditelné stávajícím systémům

Rouge AP Detekuje nové „nedetekovatelné“ Rogue/Clients

WiFi Rušičky

2.4 GHz

5 GHz

Lokalizuje a umožní rychlé odstranění rušiček

Wireless IPS (wIPS)

WCS

Detekce útoku Průzkum, Crack, DoS

Klasifikace/alert

› Obrana proti útokům – – – –

Man in the Middle Attacks MAC Spoofing Fake AP Attacks Denial of Service • RF Jamming • De-auth, De-association, CTS/RTS Flood – Active WEP Cracks (ChopChop, ARP Replay)

› Forézní schopnosti › Anomaly detection engine – detekce Zero Day útoků

Akce

ClientLink 802.11a/g

X

Síla signálu

802.11n

802.11a/g Klientské spojení není optimální, vytváří nepokrytá místa

ClientLink 802.11a/g

Úprava signálu


Inovace v Cisco AP čipu 802.11n


Nedostupné v běžných AP

ClientLink upravuje signál a vylepšuje výkon a pokrytí pro 802.11a/g Devices

D Ů V Ě Ř U J T E

SecureX Bezpečnost

S I L N Ý M

Hacking? ANONYMOUS Script kiddie Hacker vs Cracker

DDoS útoky Vlády

Odposlouchavání

Kevin Mitnick Sociální inženýrství

Temná strana WEBu 80% Webu je nekategorizováno, vysoce dynamické nebo nedosažitelné vyhledávacími roboty • • • • •

Botnety Dynamický obsah Zaheslované stránky Uživatelsky generovaný obsah Krátkodobé stránky

Známý WEB 20% pokryto v seznamech URL

Útoky přes Web › 54% malware nákaz je kvůli iframe a exploitum › Cross-site scripting a SQL Injection jsou TOP útočící metody › 83% všech stránek má alespoň 1 vážnou zranitelnost › Přes 70% procent kompromitovaných stránek jsou legitimní › Nové zranitelnosti v Adobe PDF a Flash

New York Time – oběť útoku přes reklamu Zdánlivě legitimní reklama přidává škodlivý kód, který způsobí přesměrování Cíl: protection-check07.com

Scareware

Cisco Web Rep Score: -9.3 Default Action: BLOCK NYT stránka funguje, škodlivé přesměrování je blokováno

Full-screen pop-up simuluje reálný AV program, nutí uživatele si koupit plnou verzi , aby vyčistili počítač

Monitoring, databáze a korelace Cisco SenderBase Největší světová monitorující síť

Reputace Informace o konkrétní IP adrese

20 000+ zákazníků globálně 8 z 10 TOP poskytovatelů Přes 500GB dat za den 500 zdrojů třetích stran

300 milionu chráněných uživatelů

Ironport › › › ›

Emailová bezpečnost Webová bezpečnost Management Leadership – – – – –

42 ze 100 největších společností 8 z 10 největších ISP Armáda US 600+ partnerů Infrastruktura Ironportu je v 75 zemích

Řízení přístupu

Cisco ScanSafe Cloud Služby

Konzistentní, vynutitelná, výkonná Webová bezpečnost, nezávisle kde a jak se uživatelé připojují do Internetu.

Bezpečnost v LAN

Co je to Trustsec? › Může být matoucí › Můžeme považovat za NAC nové generace › Zahrnuje vše co má něco společného s identitou – – – – – – – –

IEEE 802.1X (Dot1x) Cisco NAC Appliance Profiling Technologies Guest Services Secure Group Access (SGA) MACSec (802.1AE) Access Control Server (ACS) Identity Services Engine (ISE)

Takže Trustsec = Identita? › Ano, ale jako systém nebo řešení identity – Politiky definované na serverech jsou jenom tak dobré jako zařízení je vynucující politiky (přepínače, WLC, firewally atd.)

› Co je to Identita? – Rozumět tomu KDO/CO/KDE/KDY a JAK uživatel nebo zařízení přistupuje do sítě

› Proč je identita důležitá – Autentizace = Nedovolit se dostat outsiderum dovnitř – Autorizace = Udržet insidery v mezích, personalizace sítě – Evidence = Zvýšení dohledu nad sítí

802.1x

› Přidaná hodnota sítě, prvky obsahují › Implementace musí být pečlivě připravená › U enterprise zákazníků spíše organizační oříšek než technický

MACSec (802.1AE) › › › ›

Hop-by-hop zajištění utajení a integrity Síť stále vidí do provozu a může aplikovat jakoukoliv inteligenci Podpora v HW, žádny dopad na výkonnost nebo zpoždění Podpora: Nexus 7000, SUP7 a nové karty na 4500, SUP2T a nové karty na 6500, některé fixní přepínače

ovaná data

Nešifrované TrustSec /802.1AE

Šifrovaná data TrustSec /802.1AE

Dešifrování na vstupu

Šifrování na výstupu

Dešifrování

Nešifrované

Šifrovaná data TrustSec /802.1AE

Šifrování

Provoz je uvnitř systému nešifrovaný a přístupný pro všechny operace

Identity Services Engine – Policy server Konzolidované SW balíky a služby

NAC Manager

ACS

Správa relací Flexibilní nasazení služeb

User ID

Access Rights All-in-One HA Pair

NAC Profiler

Admin Console

M&T

ISE

NAC Server NAC Guest

Zjednodušené nasazení a administrace

Location

Distributed PDPs Device (& IP/MAC)

Sledování aktivních uživatelů a zařízení

Rozšiřitelné politiky Skupinový přístup

Správa politik

SGT

Public

Private

Staff

Permit

Permit

Guest

Permit

Deny

Zjednodušená kontrola

Optimalizované a škálovatelné služby

Monitorování a troubleshooting

Reporting, logování, snadná lokace problému

Přístup na základě politik

Informace o identitě

Jiné podmínky

Konzultant

Identita:

Network Administrator Identita:

Full-Time Zaměstnanec

Přístupové oprávnění

Čas a datum

+

Human Resources Finance

Lokace

Identita:

Marketing Návštěva

Návštěva Typ přístupu

Zakázání přístupu

Anyconnect › SSL VPN › 802.1x supplicant › Scansafe konektor

Přijatelné použití

 Řízení přístupu

 Prevence ztráty dat



Nekonfigurovatelná zařízení, riziko ztráty dat a nedostatečná dostupnost

Bezproblémové, stabilní služby umožňující použití flexibilních zásad zabezpečení

D Ů V Ě Ř U J T E

Energywise

S I L N Ý M

Spotřeba energie = Operational Costs

› Úspora nákladů – růst cen energií – penetrace IT – Video aplikace

› Další důvody – regulační nařízení (např. EPBD2) – vládní nařízení – Green iniciativy

Trendy v IT infrastruktuře › Chytrá infrastruktura – monitorování spotřeby, reporting, řízení

› Každé zařízení může být více „Green“ – Vypnout nebo snížit spotřebu

› Otevřený přístup ke všem zařízením i ne-IT – IP protocol

› Značná úspora nákladů › Splnění nařízení (nebude postih) › Snížení emise skleníkových plynů

Power over Ethernet › Rozvíjející se trend k napájení zařízení přes PoE › Původně IT (IP telefony, později AP,...) › Nyní (Virtual Desktop Infrastructure) VDI, Videokonference, kamery › Ne IT zařízení (přístupové systémy, světýlka, ...) 2003: IEEE 802.3af PoE - ~15W 2009: IEEE 802.3at PoE+ ~30W 2011: Cisco UPOE (Universal PoE) ~60W

A vyplatí se to všude ? Kde je největší příležitost? Vertikála

Příležitost

Důvody

Školství

Vysoká

Večery, víkendy, svátky a prázdniny

Maloobchod

Vysoká

Hodně poboček

Veřejný sektor

Vysoká

Většinou fixní pracovní doba

Hotely

Vysoká

Nezaplněné hotelové pokoje

Realitky

Vysoká

Přidané služby v managementu budov

Finance

Vysoká

Mimo pracovní dobu úspory, pobočky, banky, pojišťovny atd.

Zdravotnictví

Střední

24x7 provoz znamená méně příležitosti, přesto existují administrativní části atd.

Manufaktura

Střední

Záleží na businessu. Většinou 24x7 provoz

Transport

Střední

Záleží na businessu. Letiště např. 24x7x365

... asi to bude chtít nějakou kalkulačku › Revenue kalkulačka http://www.cisco.com/go/energywise/

Building Management trendy › Propojení dvou světů na různých komunikačních protokolech

›

GW od výrobců, kteří jsou v budovách „doma“

Energywise architektura

Energywise management

Energywise koncové zařízení

Zelené iniciativy › ›

Czech Green Building Council (CZGDBC, Česká rada pro šetrné budovy) Duben 2011: – Cisco se stává členem CZGBC – První IT/networking členská firma v České republice !!! – CZGBC je nezisková organizace, jejímž cílem je vytvořit legislativní, tržní a kulturní prostředí, přispívající k rozvoji staveb šetrných k životnímu prostředí.

›

Květen 2011: – Cisco je sponzorem konference Šetrné budovy (Green Buildings) 2011 – 26. května 2011 (www.setrnebudovy.cz) – Společná prezentace se Schneider-Electric

›

Listopad 2011: – V rámci CZGBC založena technologická pracovní skupina Cisco + Schneider Electric

›

Cisco je členem USGBC od r. 2008 – www.czgbc.org – Viz také • EU regulations (EU 20-20-20, EPBD II) • Certifikační systémy budov – LEEDS, BREEAM, atd.

Energywise LAN síť › Energywise je součástí Cisco přepínačů › Přidaná hodnota už existující sítě › Kompetetivní výhoda oproti konkurenci

Cisco® Catalyst® 2900 Series

EtherSwitch Modules

Cisco Catalyst 3560-E & Cisco Catalyst 3560

Cisco Integrated Services Routers G2

Cisco Catalyst 3750-E & Cisco Catalyst 3750

Cisco Catalyst 2960-S

Cisco Catalyst 4500

Cisco Catalyst 3750-X and Cisco Catalyst 3560-X

D Ů V Ě Ř U J T E

Management

S I L N Ý M

Sítě jsou dnes velmi komplexní

První možnost návrhu, nasazení a provozu vaší sítě Geeky the Geek › Komplexní › Manuální › Náchylné na chyby

Cisco Prime pro Enterprise Jednotný Look & Feel a integrace nástrojů přes všechny produkty

Case Study: LMS pro nasazení Energywise IT chce nasadit Energywise pro monitorování a šetření nákladů 1. 2. 3. 4. 5.

Definování politiky Připravení sítě Konfigurace sítě Aplikování politiky Monitorování úspor Monitorování nákladů

• Rychlé nasazení služby • Snížení chyb při nasazování • Okamžitý ROI

Automatická konfigurace

Case Study: Collaboration Manager pro troubleshooting videa Uživatel má problém s video přenosem při Telepresence mezi centrálou a pobočkou. Provozní oddělení musí najít a odstranit problém. 1. 2. 3. 4. 5.

Identifikace a vybrání relace Zjištění stavu relace Průzkum a vizualizace cesty média Rychlé izolování příčiny problému Náprava problému

• Rychlé izolování a troubleshooting služby • Vylepšení kvality služby a uživatelské zkušenosti

Case Study: NAM pro řešení problému s výkonem aplikací Uživatelé si stěžují na pomalou odezvu aplikací 1. 2. 3. 4. 5. 6.

Identifikace aplikací s vysokou odezvou Analýza výkonu aplikace v čase Zaměření se na problémové časy Identifikace TOP N ovlivněných klientů a serverů Analýza aktivity serveru Vyřešení problémů

• Možnost zjištění chování síťového provozu • Optimalizace a troubleshooting sítě a výkonu aplikací

D Ů V Ě Ř U J T E

Application Velocity Výkonnost aplikací

S I L N Ý M

Problémy s výkonností › Nedostatek viditelnosti a kontrola

DC/Cloud

– Nové aplikací (mobilní, video, VDI...) – Různé modely nasazení (lokální hosting, DC, cloud)

› Využití šířky pásma WAN/Internet

– Zbytečné využití • Non business aplikace • Neefektivní transport aplikací

– Zpoždění, zvyšující s odezva aplikací

› Spolehlivost sítě Business aplikace, mobilní aplikace, video

– Výpadky – Zahlcení

› WAN může být překážkou konsolidace

Application Velocity Viditelnost a kontrola › › › › › ›

Průzkum síťového provozu s rozeznáním jednotlivých aplikací Viditelnost na úrovni vnitřku paketů Monitoring využití aplikací a anomálií Reporty pro plánování kapacity Prioritizace business kritických aplikací Klíčové produkty – IOS – NBAR, Flexible Netflow (směrovače, některé přepínače) – Network Analysis Module NAM – Appliance, servisní modul, virtuální modul – QoS – Kategorizace provozu a aplikování politik

Application Velocity Akcelerace a optimalizace

› › › › ›

Některé protokoly byly navržene pouze pro běh na LAN Optimalizace protokolů aplikací zvyšující rychlost Komprese snižující objem provozu Cache často používaných souborů šetřící pásmo Klíčové produkty – WAAS appliance, SRE, Express, virtual

Application Velocity Síťová a aplikační flexibilita (agility)

› Centralizace většiny IT, hostování vybraných aplikací na pobočce – Windows služby – Speciální aplikace

› Vykonnost pro vybrané lokální aplikace › Business continuity › Klíčové produkty: – UCS-Express, WAAS-VB, – Performance Routing, Webex node

D Ů V Ě Ř U J T E

Medianet Optimalizace multimédií

S I L N Ý M

Služby Medianet Transformace služeb přenosu hlasu a obrazu na pobočkách Bez rezervace zdrojů, snížení kvality přenosu hlasu a videa

Schůze ředitele

Jednání vedení

Sportovní událost

Kontextově orientovaný, prioritní, vysoce kvalitní přenos hlasu a videa

Schůze ředitele

Jednání Sportovní vedení událost

Medianet – inteligentní síť optimalizována pro náročná média, kombinuje inteligenci v – Mediích – Detekce a optimalizace různych médií a aplikaci (telepresence, video dohled, sdílení desktopu, streamovani atd.) – Koncových zařízeních – Automaticky detekuje a nakonfiguruje – Síti – Umí se adaptovat na změny v zařízeních, připojeních a dostupnosti služeb

Cisco Medianet příklad

D Ů V Ě Ř U J T E

IPv6

S I L N Ý M

Od studené války k dnešnímu Internetu

1972 První emailový program

1969 Arpanet

1984 První komerčně úspěšný směrovač

1973 TCP/IP

1990 Končí Arpanet

1986 NSFNET

1987 Vzniká pojem Internet

1996 250 milionů uživatelů

1989 CERN hypertext, www

2003 600 milionů

2005 900 milionů

1993 První www prohlížeč, zdarma

2009 1,8 miliardy

1994 Komercionalizace Internetu

2010 přes 2 miliardy

Proč potřebujeme IP? › Přirovnání k poštovnímu systému (nebo telefonní ...)

Jak nám mohli dojít IP adresy? › Teoreticky 4 miliardy IP adres › Prakticky 250 miliónu koncových zařízení › Šetření IP adresami (různé mechanismy viz dále)

Zdroj grafu: http://www.potaroo.net

Odkud se berou? A kdy tedy došly?

›

Únor 2011 – došly adresy IANA Každý region alokuje jinou rychlostí Regionálním registrátorům došly nebo brzo dojdou Poskytovatelé podle toho jak mají nasysleno

Zákazníci

Poskytovatelé

Registrátoři

› › ›

Zdroj grafu: http://www.potaroo.net

Kdo je na tom nejhůře? › Asie Pacifik – Přidělené bloky nevystačili ani 2 měsíce – APNICu došly adresy kromě posledního bloku /8 – Pro ten uplatněna speciální alokační politika • (každý pouze 1024 adres, 7000 AUD v prvním roce na poplatcích)

– APNIC odmítá žádosti o alokace

› Evropa – Méně než tři volné bloky – Zpřísněná pravidla – Vyčerpání může nastat kolem přelomu letošního roku

› Co bude dále – Rozdílné docházení adres v regionech – nerovnováha, šedý trh – Obchod v rámci regionů – výhoda pro ARIN (velké alokace z počátku Internetu) – Vzrůstající cena IPv4 adres – Špatná obchodovatelnost – štěpení bloků – Fragmentace IPv4 prostoru – narůstání globálních směrovacích tabulek

Nová verze IP? › 1991 – Studie o vyčerpání IP adres při současném tempu do roku 2008 › Dostatek času na vývoj nového protokolu (odstranit nedostatky současného IP) ... › 1995 – První IPv6 (IPng) standardy › Mechanismy pro šetření IP adresami › Nové vlastnosti implementovány do IPv4 ... › Nedostatek motivace › IPv6 ROI?, IPv4 zisky teď, IPv6 nikdo nechce.... › Adresami šetříme a máme jich přece dost › Nové aplikace (peer-to-peer) ... › 2011 – Jejda, ony už došly › Je IPv6 dozrálé? Kdo je připraven? Co výrobci zařízení?

IPv6, máme dost adres? › ›

Nebude se problém znovu opakovat? IPv6 = 2128 = 340,282,366,920,938,463,463,374,607,431,768,211,456

2128 = 7 miliard

48 kvadriliard adres na člověka

Populace 7 miliard lidí

48 kvadriliard 100 miliard

Mozek má typicky asi 100 miliard buněk

486 biliard adres na = každou buňku mozku člověka na zemi

Nejvyšší pojmenovaná jednotka dle SI soustavy je 251 oktiliarda

IPv6, máme problém vyřešen? › Ideální řešení, pojďme všichni naráz zapnout IPv6.... – Nekompatibilita mezi IPv4 a IPv6, zařízení si mezi sebou nepopovídají Hi, I want to send you packet ???

IPv4

您好，我想給 你包 ???

IPv6

– Zařízení bez podpory IPv6, některé ani nikdy podporovat nebudou – Servery, služby, aplikace nepřipravené na IPv6 – Administrátoři.... nejsou připraveni • IPv6, co to je? • Takovou hnusnou dlouhou adresu se učit nechci (2001:0DB8:0000:0000:FFFF:0000:0000:0ADC) • Některé věci fungují jinak než jsme zvyklí v IPv4

IPv6, máme problém vyřešen? ›

Chytré řešení, pojďme používat oba protokoly – Nové zařízení budou dostávat oboje adresy – Při komunikaci si vyberou, který protokol použijí – Odborně nazýváno DUAL STACK

IPv4 IPv4 IPv6

›

IPv6

Realita.... – – – –

Poskytovatel: „zákazníku dostaneš dvě adresy“ Registrátor adres: „ehm, je mi líto, ale IPv4 adresy přece došly“ Čekali jsme příliš dlouho. Co mohlo být bezbolestné, teď úplně jednoduché nebude. Nastupují improvizace • • • • •

Masivní několikanásobné překlady adres, za cílem efektivnějšího využití IPv4 adres Překlady adres mezi IPv4 a IPv6 (NAT64) Tunelování IPv6 ostrůvků přes IPv4 Plus k tomu všemu zamozřejmě DUAL STACK Atd....

Podpora IPv6 na zařízeních › Škálování a limity zařízení – Specializovaná zařízení mají HW paměti určité velikosti – Musí v současné chvílí pojmout IPv4 a IPv6 sítě – IPv6 sítí zvládne méně než IPv4 (4 x delší adresa) – Může vzniknout potřeba licence na provoz IPv6 vlastností – Co umí nějaká vlastnost v IPv4 nemusí umět v IPv6 › Obecně – Páteřní zařízení podporují IPv6 vlastnosti velmi dobře – Koncová zařízení na tom bývají hůře – Firewally, load-balancery atd. záleží podle výrobce › IPv6 Ready Logo – testy a kompatibilita zařízení – Fáze I. Základní podpora (silver) – Fáze II. Kompletní podpora (gold)

Kroky k nasazení IPv6 1. 2. 3. 4. 5. 6. 7. 8. 9.

Analýza externích a interních aplikací a služeb pro IPv6 Definování týmu, který bude pracovat na nasazení IPv6 Analýza současného stavu připravenosti na nasazení IPv6 Plánování vzdělávání v IPv6 Získání IPv6 adres Volba architektury a postupu nasazení IPv6, příprava designu Implementace pilotního projektu, testování Definice bezpečnostní politiky Specifikace vyjímek z IPv6

Jaký je stav v ČR? ›

›

(* nikomu nehrozí v případě nedodržení žádný postih, ani neexistují páky, jak příslušné úřady přinutit k poslušnosti)

Dle usnesení* vlády ČR číslo 727 musí ministři zajistit zpřístupnění služeb/portálů na IPv6 již do konce roku 2010 a všechny obnovované aktivní prvky musí již nyní umět IPv6. Podniková sféra spíše vyčkává, někdy požadována podpora IPv6 při obnově

NIC.CZ 2010 - nárust domén s podporou IPv6

NIX 2011 - nárust provozu v Českém Internetu

Zdroj grafu: http://labs.nic.cz/page/844/ Zdroj grafu: www.nix.cz/cz/ipv6

Problémy protokolů › IPv4 – Kvůli nasazení CGN a postupné zhoršující se směrovatelnosti IPv4 bude IPv6 po čase spolehlivější protokol – hlavně pro služby, které hodně komunikují (otevírají hodně portů) – Lepší spolehlivost P2P služeb na IPv6

› IPv6 – – – –

Někteří klienti mají špatně nastavené IPv6 White screen of death To brání velkým hráčům, aby samostatně zapnuli IPv6 Např. Google – zpřístupňuje IPv6 jen vybraným ISP na základě žádosti – Preference v OS

World IPv6 Launch

http://www.worldipv6launch.org/

Závěr – Rizika › › › › ›

Problém s nedostatek adres už nastal a je reálný, některé kontinenty už budou brzy bez jakýchkoliv IPv4 adres IPv6 bude vládnout Internetu – ať se nám to líbí nebo ne IPv6 není nadstavba nebo volitelná vlastnost – je to klíčová součást infrastruktury Nástup IPv6 může být rychlejší než se teď zdá, závisí na majoritních poskytovatelích obsahu Co hrozí v případě nečinnosti? – Dojdou adresy pro zákazníky, zhoršená kvalita datových služeb na IPv4. Boom chytrých telefonů s datovými službami, potřebují adresy. – Bezpečnostní rizika, možnost automatického vystavení uživatelských počítačů do IPv6 Internetu bez firewallu – Některé mechanismy v IPv4 fungují jinak než IPv6, potřeba vzdělávání administrátorů a získávání zkušeností zabere čas. Potřeba osvěty, vzdělávání, diskuze. – Zařízení nemusí IPv6 podporovat, nečekané nebo zbytečné investice – Zákazníci mohou IPv6 vyžadovat (a už vyžadují např. státní správa)

›

IT oddělení veřejných a podnikových zákazníků musí zahrnout IPv6 jako klíčový element jejich IT strategie

Závěr - Příležitosti › IPv6 je největší upgrade ve 40 leté historii Internetu › Netřeba nikoho moc nutit, každého teď toto téma zajímá › Proč začít teď? – – – – –

Ještě je čas na přípravu (kdo je připraven, není překvapen) Lze implementovat řízeně a po krocích Nikdo z poskytovatelů nečeká a už implementuje Kontinuita nabízených služeb zákazníkům Odstranění všech zmiňovaných rizik

Dotazy?