D Ů V Ě Ř U J T E
S I L N Ý M
Cisco Borderless Network – AM
Roman Aprias Network Architect
Obsah ›
Úvod – – – – – –
›
Smart Business Architecture – – – – – –
›
Back to Core Tranformace trhu "Good Enough" přístup Architektura - uzavírání propasti mezi byznysem a technologiemi Nové specializace Borderless Network Proč potřebujeme referenční architekturu Co je SBA Pro jaké sítě je určena Jak se v SBA orientovat Quick Pricing Tool Cisco Commerce Workspace
Součástí Borderless Network – – – – – – – – –
Přepínače Směrovače Mobilita (wireless) SecureX (bezpečnost) Energywise Management Application Velocity Medianet IPv6
D Ů V Ě Ř U J T E
Cisco Back to core
S I L N Ý M
Cisco – základ úspěchu Interní inovace - 4700 udělených patentů - 3000 čekajících patentů - 16 000 inženýru - 5.2 miliard ročně na R&D - Proprietární technologie nebo budoucí standard?
Akvizice
Go-to-Market strategie - Ekosystém partnerů - Cisco akademie, systém certifikací
Network Core: Co znamená pro Cisco
Network Core: Co znamená pro Cisco
› Značka › Kvalita › Uznání
› Tradice › Kultura › Leadership a inovace
LAN Switching Revenue Share: Total L2+3 Managed 80%
16% 75,2% 70,4%
72,9%
72,5%
71,6%
69,7% 11,9%
12%
Competitor Share (bars)
71,8%
71,4%
10,6%
10,5%
10,5%
10%
68,8%
70%
11,9%
10,5%
10,3%
9,9%
60%
9,3%
50%
8%
6% 40% 4% 2,4%
2%
2,1% 1,7%
1,6% 1,3%
1,7% 1,4%
Q3CY09
Q4CY09
1,5% 1,2%
1,9% 1,8% 1,6%
2,4% 2,0% 1,8%
1,9% 1,8%
2,1% 2,0% 1,8%
2,3% 2,0% 2,0%
2,1% 2,0%1,9%
30%
1,3%
20%
0%
HP
Q1CY10
Q2CY10 Juniper
Q3CY10 Dell
Q4CY10
Q1CY11
Brocade
Q2CY11 Cisco
Q3CY11
Cisco Share (line)
14%
Total Enterprise Routing Revenue Share 10%
83,8%
83,0% 81,9%
85%
82,8%
81,9%
81,8% 80,4% 78,0%
77,6%
80%
75%
7,1% 6,1% 6,0%
6%
5,7%
5,6%
5,5%
5,4%
5,5%
5,5% 5,3%
5,0%
5,0%
70%
5,3%
65%
4% 3,4% 2,8%
2,8%
2,4%
2%
3,0%
3,2%
2,9% 2,9%
2,2%
2,5%
55% 1,7%
1,4%
1,1%
1,3%
60%
2,9% 2,6%
1,4%
3,4%
1,3%
1,3%
1,8%
1,3%
0,9%
50%
0%
45% Q3CY09
Q4CY09
Q1CY10
Juniper
Q2CY10 HP
Q3CY10 Huawei
Q4CY10
Q1CY11
OneAccess
Q2CY11 Cisco
Q3CY11
Cisco Share (line)
Competitor Share (bars)
8%
LAN Switching – Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 80,00%
Cisco HP
70,00%
Enterasys
60,00%
LG Ericsson/SMC Huawei
50,00%
Other Avaya
40,00%
D-Link Blade Networks Extreme
30,00%
Netgear
20,00%
ZTE Juniper
10,00%
Brocade
0,00%
Alcatel-Lucent
2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3
Routing – Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 100,00%
Enterprise
90,00%
Cisco
80,00%
Huawei
70,00%
Alcatel-Lucent
60,00%
Tellabs
50,00%
ZTE
40,00%
Other
30,00%
HP
20,00%
Avaya
10,00%
Bintec
0,00%
Lancom 2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3
Service Provider + Enterprise
120,00% Cisco 100,00%
Huawei Other
80,00%
ZTE HP
60,00%
Avaya 40,00%
Vanguard Siemens
20,00%
ZyXEL Bintec
0,00% 2009 Q32009 Q42010 Q12010 Q22010 Q32010 Q42011 Q12011 Q22011 Q3
Přístup k síti: DŘÍVE Omezené. Izolovaně fungující. Sestaveno účelově
Jednoduché
Omezená přenositelnost aplikací Ztráta flexibility
DATA
HLASOVÉ SLUŽBY
ZAŘÍZENÍ
Transformace trhu › 1.3 miliardy nových mobilních zařízení v příštích třech letech. › 60% veškerého provozu v Cisco sítích je video. Objem videa se čtyřnásobí do roku 2014 na 767 exabytů. › 66% zaměstnanců by vzalo méně placenou práci (10%), kdyby mohli pracovat odkudkoliv. › 59% zaměstnanců chce používat jejich osobní zařízení v práci
Hranice se posunují Mobile Worker Hranice Lokace
IT Consumerization Aplikace s externím Interní aplikace přístupem
Hranice zařízení
Video/Cloud Hranice Aplikace IaaS,SaaS
Vize: Organizace bez hranic Borderless Experience Bezpečnost
Spolehlivost
Video
Energie
KDOKOLI
COKOLI
KDEKOLI
KDYKOLI
TCO
Daná komplexnost sítě... Zvažte správný přístup k návrhu sítě NEDŮLEŽITÉ
Technologie pro přístup k síti
DŮLEŽITÉ
DŮLEŽITÉ
Porozumění požadavkům aplikací a požadavkům uživatelů v podniku
Využití těchto poznatků při určování vhodné topologie sítě
Odpovídající koncepce přístupu k síti umožní vašim uživatelům používat zabezpečené, spolehlivé a bezproblémové připojení k síti bez omezení místní infrastrukturou
„Dostatečně dobrá“ síť
nebo
Podniková síť nové generace
Jednoúčelová
Sjednocená (pevná/bezdrátová, kontrola energie)
Bezpečnost jako přívěšek
Integrovaná bezpečnost konec-konec
Neznalost aplikací a koncových zařízení
Aplikační inteligence a optimalizace, Inteligence koncových zařízení
Základní QoS
Media Aware Control pro podporu integrace videa a hlasu
Založená na standardech
Standardy + Inovace zavádějící nové standardy
Podpora základní zárukou
Záruka+ Inteligentní služby s integrovanou správou
Náklady na pořízení
Ochrana investic a ROI
Capex
Jak vyhodnotit náklady na síť: TCO ne CAPEX Neúplný pohled na IT náklady – zachytí pouze část nákladů na síť
Pohled za TCO
TCO
Důkladný pohled na IT náklady, zahrnuje služby, práce, šířku pásma, energie
Byznys přínosy za TCO úspory energie, spolehlivost sítě (uptime), produktivita uživatelů
Uzavírání propasti mezi Byznysem a Technologií Cisco strategie Architektury Byznys výzvy
Snížení nákladů na energie
Snížení TCO Zvýšení produktivity
Video
Zjednodušení Byznys procesů
Stálá mobilita
Kontinuita sítě
Zvýšení spokojenosti zákazníka
Efektivní správa
Škálování Byznysu
Inovace technoligií LAN Switching
Branch Routing
Wireless
Datacenter Switching
Datacenter Routing
›
› ›
Architecture
Specializace jsou framework pro ověření znalostí partnerů Pomáhají partnerům porozumět vizi a směru Cisca Obsahem směrují k architektuře Partnerům umožňují ukázat jejich kompetence a získat certifikace atd.
Data Center
April 2011
›
Collaboration
Borderless Networks Unified Computing Unified Fabric
Technology
Specializace
Data Center Networking Infrastructure
Unified Communications Data Center Storage Networking Unified Communications
Wireless LAN
Unified Communications Small Business
Entry
Foundation
Express
Security
Security
Routing & Switching
Advanced
Master
Architektura Borderless Network Architektura pro flexibilní poskytování sítě bez hranic
KONCOVÝ BOD BORDERLESS / SLUŽBY UŽIVATELŮM
Bezpečně, spolehlivě, bezproblémově: AnyConnect
ZÁSADY
SPRÁVA
Aplikační rozhraní
SLUŽBY BORDERLESS NETWORK SYSTÉMY BORDERLESS NETWORK
INFRASTRUKTURA BORDERLESS
Mobility: Cisco Motion
Unified Access
Bezdrátové připojení
Správa energie: EnergyWise
Zabezpečení: TrustSec
Core Fabric
Směrování
Výkon aplikací: App Velocity
Extended Edge
Přepínání
Optimalizace pro multimédia: Medianet
Extended Cloud
Aplikační síťové služby / Optimalizace
INTELIGENTNÍ PROFESIONÁLNÍ A TECHNICKÉ SLUŽBY: rychlejší zhodnocení řešení Borderless Networks
Zabezpečení
D Ů V Ě Ř U J T E
S I L N Ý M
Smart Business Architecture
Proč referenční architekturu?
Koncept
Design
Chci navrhnout a implementovat síť › Jak mám vědět co bude síť potřebovat v budoucnu a nemusel předělávat návrh a implementaci › Jak to udělat rychle? › Jak ji spravovat? › Jak to vše dát správně dohromady? Jaké platformy mám vybrat?
Jaké jsou best-practise?
Smart Business Architecture › Snadné nasazení – Konzistentní návrh přes všechny produkty
› Flexibilita a škálovatelnost – Navrženo tak, aby růst organizace neznamenal kompletní redesign
› Odolnost a bezpečnost – Provoz sítě musí zvládat výpadky a možné útoky
› Snadná správa – Konfigurace zařízení Network Management Systemem
› Připraveno na pokročilé technologie – Síť obsahuje všechny základní potřebné služby
› Investice Cisca – – – –
6000 hodin inženýrů 3 Laby s investicí $30M 8 Cisco partnerů pro validací třetí stranou Podílí se 14 partnerů jiných technologií
Síť střední velikosti (Midsize) Velikost
100 až 1000 připojených uživatelů
Vzdálené pobočky
Až 20 vzdálených poboček s průměrně 25 zaměstnanci
Hostované aplikace
Potřeba aplikací s externím rozhraním, hostované mimo.
Řešení
Bezpečnost: Korporátní zdroje Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu Možnosti migrace: Pro budoucí růst Testované řešení: Validované třetí stranou
Síť střední velikosti › › ›
Cílem je 100 – 1000 připojených uživatelů (5 – 15 serverů) Headquarters CCNA technická úroveň Připravené vzory konfigurací Servers rozšiřitelné o specifické politiky Server Server Room Switch
Server Room Branch Router With IDS and Application Acceleration Branch Switch Wireless Access Point
WAN PSTN Internet
Application Acceleration Campus Router
Unified Communications Management Host
Room Stack Wireless LAN Controller Core Switch Stack
Firewall Core
Branch
Client Access Switch
Hardware and Software VPN Teleworker/ Mobile Worker
Wireless Access Point Access
Client Access Switch Stack
Podniková síť Velikost
2,000 až 10,000 připojených uživatelů
Vzdálené pobočky
Až 500 vzdálených poboček
Hostované aplikace
Potřeba aplikací s externím rozhraním, hostované mimo.
Serverovna
Aplikace organizace
Řešení
Bezpečnost: Korporátní zdroje Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu Možnosti migrace: Pro budoucí růst Testované řešení: Validované třetí stranou
Podniková síť › › ›
Cílem je 2000 – 10 000 uživatel CCNA technická úroveň Připravené vzory konfigurací rozšiřitelné o specifické politiky
Hardware and Software VPN
Internet Edge Routers
Internet WAN Aggregation
Teleworker/ Mobile Worker WAN Wireless Access Point
Data Center
Email Security Appliance
Remote Access VPN
Guest WLAN
Application Acceleration
VPN
Wireless LAN Controller
Client Access Switch
Internet Edge
Firewall Internet Servers Web Security Appliance
Branch Router with Application Acceleration Core Switches
Remote Local Area Network Collapsed Distribution/ Core Switches
Distribution Switches Wireless LAN Controller
Regional Router
Client Access Switches
Application Acceleration
Regional Office
Building 1
Building 2
Building 3
Building 4
Navigace v SBA - přehled
www.cisco.com-go/sba
Navigace v SBA – Midsize Borderless Network
Seznam hardware › Part Number › Doporučené a otestované verze software Functional Area Branch router modules Branch Switch
Internet Edge Firewall Headquarters— Intrusion Prevention System Application Acceleration Headquarters CM Headquarters endpoint Wireless Access Points Wireless LAN Controller Unified Communications
Product Wide Area Acceleration Module Intrusion Prevention Module Catalyst 3750G Stackable 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Cisco Catalyst 3560G 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Adaptive Security Appliance ASA 5510 with the SSM-10 IPS Module Cisco Intrusion Prevention System 4200 Series
Part Numbers
Software Version
NME-WAE-502-K9 AIM-IPS-K9
4.1.5b 7.0(1)E3
WS-C3750G-24PS-S WS-C3750G-48PS-S WSC3560G-24PS-S WS-C3560G-48PS-S
12.2-50.SE2
ASA5510-AIP10-K9
WAVE 574 WAVE 274
IPS-4240-K9 (300 Mbps) IPS-4255-K9 (600 Mbps) IPS-4260-K9 (2 Gbps) WAVE-574-K9 WAVE-274-K9
1140 Fixed with Internal Antennas 1250 Ruggedized, External Ant. WLC 5508 Cisco Unified Communications Manager—MCS 7835 CMC Cisco Unity Connections MCS 7825 UCB
AIR-LAP1142N (Country-specific) AIR-AP1252AG (Country-specific) AIR-CT5508-12-K9 MCS7835I3-K9-CMC2 (2 required) MCS7825I4-K9UCB1
8.0.4.ED 7.0(1)E3 7.0(1)E3 4.1.5b
7.0.98.0 8.0(2c) 8.0(2c)
Quick Pricing Tool
www.cisco.com/go/qpt
Quick Pricing Tool – přehled SBA Midsize pouze
› Ušetření času při vytváření nabídky › Sníženi komplexnosti – Jednodušší Wizardi – Otázky na zodpovězeni bez technika – Různé velikosti řešení pro škálování budoucího růstu
› Vytvoření nabídky u zákazníka – Desktop aplikace umožňující offline práci
› Propojení na distributora
Cisco Commerce Workspace › Nový nástroj pro zpracování celého prodejního cyklu
www.cisco.com/go/ccw
Partner
Partner
Partner
DEAL
QUOTE
ORDER
Who’s Involved/ About the Deal/ Promotions
Qualify for some promotions*
Items/ Buy Method/ Discounts/Credits
Approve
Distribution pricing sent to disti and/or
Cisco Direct with deal ID
D Ů V Ě Ř U J T E
Přepínače
S I L N Ý M
Catalyst 4500E Supervisor 7 › Supervisor 7-E – – – – – – –
Větší kapacita, více portů, více route 848Gbps přepínací kapacita 4 x 10G Uplinks 384 10/100/1000 ports 3,6,7 and 10 slot chassis 96 SFP+ LC ports 256K Routes
› Supervisor 7L-E – – – – – –
520Gbps přepínací kapacita 2 x10G or 4 x 1G Uplinks 240 10/100/10000 ports 3,6 and 7 slot chassis 60 10G LC Fiber ports 64K Routes
› Vlastnosti – 48Gbps per slot (47xx karty) (4507R+E, 4510R+E) – Netflow – VSS (roadmapa) – Trustsec
Catalyst 4500-X Fixní agregační přepínač
› › › ›
16x nebo 32x 10GE + 8x 10GE volitelný uplink 800 Gbps propustnost Front-to-back/Back-to-front airflow Vlastnosti jako SUP7 (VSS*, Netflow atd.)
Catalyst 6500 instalovaná báze aneb proč Cisco stále investuje do 6500
› › › › › › ›
700,000+ chassis 1.2 mil supervisorů 110 mil portů 1.6 mil 10G optických portů 16 mil 1G optických portů 44,000+ zákazníků 2,800 vlastností
SUP2T, 6513-E
› › › ›
80G/slot na všech 13 slotech w/ Sup2T 2 Tbps výkon, 4 Tbps VSS Až 180x10GE portů 534x1GE portů nonXL (256K) a XL verze (1M)
SUP2T nové karty (všechny s DFC4) 69xx 80G/Slot
› 8 x 10G › 4 x 40G nebo 16 x 10G › MacSec, OTV a LISP ready
68xx 40G/Slot
› 24 x 1G SFP › 48 x 1G SFP a 10/100/1000 › 16 x 10G X2 a 10GBase-T
6500 Porovnání cen nových karet
Upgrade instalované báze na SUP2T
Nové servisní moduly
Nexus 7009 › › › ›
14 RU kompaktní chassis Možná náhrada 6500 336 10GE portů 550 Gbps/Slot (FAB2)
Nexus 7000 M vs F serie karty
M1, M2
F1, F2
Více funkcí, velké tabulky
Rychlejší, specializované funkce Levnější, nízká latence
Nexus 3000 Burzy, HFT, propojení superpočítačů, clustery atd.
› › › ›
Ultra nízká latence L3 směrování 1G/10G/40G Konektivita – Twinax – QSFP+ to QSFP+ – QSFP+ na 4 x SFP+ chobotnice – Optika – modul SR4
D Ů V Ě Ř U J T E
Směrovače
S I L N Ý M
Softwarové vs Hardwarové zařízení › Univerzální vs specializovaná zařízení › › › › › › › › › › › › ›
Univerzální – např. směrovače do poboček Všechny vlastnosti zařízení jsou implementovány v SW na univerzálním CPU (podobný jako např. v PC) Není tedy problém s jakkoukoliv novou funkcionalitou Výkonnost zařízení je dána rychlostí CPU a bývá omezená (běžně směrovače max. rychlosti 1Gbps) Podpora nové funkcionality znamená změnu v SW Zapínání vlastností znamená pokles výkonnosti Specializovaná – např. páteřní směrovače Internetu Požadavek na obrovskou výkonnost a propustnost (až Tbps) Realizované na specializovaný HW obvodech Ty většinou podporují vlastnosti dané jejich návrhem v době výroby Pokud se na to při výrobě nemyslelo, novou vlastnost většinou už později přidat nejde Nové vlastnosti většinou už nebudou podporovat Zapínaní vlastností nemá vliv na výkonnost
Služby integrované ve směrovači Snížení nákladů a složitosti infrastruktury pobočky Zář 2004
Překryvná zařízení
Říj 2009
Integrované služby
Virtualizované služby Počítače Síť
Úložiště Spolupráce
Bezdrátová síť LAN Optimalizace sítě WAN/aplikací Zabezpečovací zařízení Zařízení pro hlasové služby
Základní příčina vysokých nákladů a komplexnosti
Směrovač ISR S podporou hlasových a bezdrátových služeb, videa, optimalizace sítě WAN, přepínač
Úspora celkových nákladů na vlastnictví (TCO)
Směrovač ISR G2 Integrované moduly Service Ready Engine a služby na vyžádání
Zvýšení úspory celkových nákladů na vlastnictví (TCO) až na 75 %
Tradiční pobočka
Pobočka Empowered
Pobočka Borderless
Více zařízení
Jedno zařízení
Flexibilní infrastruktura
Nákladný provoz
Nižší celkové náklady
Nejnižší celkové náklady
Složitá správa
na vlastnictví (TCO) Menší složitost
na vlastnictví (TCO) Ochrana investic
Integrated Services Routers 11 miliónu prodaných směrovačů
Pozicování ISR G2
UCS Express App
App
App
App
Platforma pro aplikace
OS
OS
OS
OS
Microsoft Windows Server certified
SRE-V Hypervisor
SRE-V Hypervisor
SRE Blade
CIMCE
SRE Blade
IOS, MGF Backplane Switch
Virtualizace serveru Cisco SRE Virtualization powered by VMware vSphere HypervisorTM (ESXi)
Dedikovaný blade management Cisco Integrated Management Controller Stejný management pro UCS rodinu
Víceúčelové x86 blade Cisco Service Ready Engine modules Až 4 server blade v ISR G2
Integrace do jednoho síťového zařízení Všechna zařízení v jednom ISR G2 chassis Multi-Gigabit Fabric backplane přepínač
Malá kancelář v racku – ISR G2 UCS-E
Bezserverová pobočka Datové centrum / Cloud
WAN/internet Pobočka
Bez místních serverů Plná závislost na síti WAN Jednoduchost, nízké náklady Bez záruk služeb
Pobočka s plným rozsahem služeb
Štíhlá pobočka Datové centrum / Cloud
Datové centrum / Cloud
WAN/internet
WAN/internet
Pobočka
Pobočka
1–2 místní servery Plná závislost na síti WAN kromě provozně kritických aplikací
Všechny servery místní Bez závislosti na síti WAN Složitost, vysoké náklady Záruky služeb
Malá kancelář v racku – ISR G2
Bezpečnost ISR směrovačů
Řešení pro zabezpečené sítě
Kontinuita podnikání
Zabezpečená hlasová komunikace
Zabezpečená mobilita
Dodržování předpisů
Integrovaná správa hrozeb 011111101010101
Rozšířený firewall
Filtrování obsahu
Prevence napadení
Bezpečné připojení
GET VPN
DMVPN
Easy VPN
Pružné porovnávání paketů
Řízení přístupu v síti
802.1x
Zabezpečení infrastruktury sítě
Správa a instrumentace
SSL VPN
Profesionální konfigurace CCP
Přístup na základě rolí
NetFlow
IP SLA
End-of-Sale a End-of-Support Legacy směrovače a ISR
ISR G3
ASR1000 › › › ›
Čistokrevný směrovač Podpora spousty funkcí a rozhraní IOS XE, Linux middleware QuantumFlow procesor – – – – –
5 letý vývoj Masivně paralelní 40 více vláknových jader Architektura navržena pro škálování > 100Gbit/sec Nízká latence Připojení externího kryptovacího engine
7200 a její nástupce ASR1000 7201 24 000$ 1.8Gpbs (bez služeb) › 15 let, 600 000 prodaných 7200 › Důležitá data: – – – – –
July 14, 2011: internal announcement Sept 30, 2011: external announcement Sept 29, 2012: End of Sale Sept 29, 2015: End of Software Maintenance Sept 29, 2017: Last day of support
ASR1001 22 000$ 2.5Gbps (služby) Upgrade na 5Gbps
D Ů V Ě Ř U J T E
Mobilita (Wireless)
S I L N Ý M
WIFI a očekávání
Když se studenti vrátili tento rok, kdyby jste chtěli odhat kolik studentů bude používat WIFI – tipl bych 40%. Byl jsem ohromen, 85% studentů používá WIFI. Scott Ksander, Purdue University
Bezdrát přehled
Management and Control (Cisco Prime)
NCS
ISE
Mobility Service Engine
3310
3355
Enterprise Deployment
5508
Branch Controllers
WISM2
Outdoor
Carpeted
1040
ISM/SM
2500
1140
3500i
1310 - 1410
Rugged r5005
1260
3500e
1520
1550
Rádiové spektrum › Spektrum může být alokováno pro specifické uživatele – Civil, Vláda, Armáda, Komerce, – Televize, Radar, Mobilní telefony, rádia atd.
› Nelicencované nebo průmyslové, vědecké, zdravotní pásma – Nelicencované nebo „licencované pravidly“ – Ve většině zemí nevyžadují licenci, můžou vyžadovat registraci
› Rádiové frekvence jsou sdílený zdroj – Každá země ma vládní agenturu pro regulaci – Mezinárodně spravuje ITU
Záleží na non-Wifi interferenci? Studie na toto téma prokázaly... http://www.cisco.com/en/US/products/ps9393/prod_white_papers_list.html
Snížení dosahu
Snížení kvality hovoru
Nedivatelné video
... dramatickou ztrátu v kvalitě mobilních bezdrátových služeb při interferenci
Spektrální analýza Cisco CleanAir
Typický WIFI chipset
CleanAir 97
Vážnost interference
AIR Quality Index
100 63 90 20 35
Lokalizace
Akce
WCS, MSE
Wireless LAN Controller
GOOD
POOR
Udržování kvality spektra
Vizualizace a troubleshooting
CH 1
CH 11
Bezdrátová bezpečnost IP and Application Attacks & Exploits
WiFi Protocol Attacks & Exploits
RF Signaling Attacks & Exploits
Traditional IDS/IPS
wIPS
CleanAir
Layer 3-7
Layer 2
Layer 1
Monitoruje zranitelnosti neviditelné stávajícím systémům
Rouge AP Detekuje nové „nedetekovatelné“ Rogue/Clients
WiFi Rušičky
2.4 GHz
5 GHz
Lokalizuje a umožní rychlé odstranění rušiček
Wireless IPS (wIPS)
WCS
Detekce útoku Průzkum, Crack, DoS
Klasifikace/alert
› Obrana proti útokům – – – –
Man in the Middle Attacks MAC Spoofing Fake AP Attacks Denial of Service • RF Jamming • De-auth, De-association, CTS/RTS Flood – Active WEP Cracks (ChopChop, ARP Replay)
› Forézní schopnosti › Anomaly detection engine – detekce Zero Day útoků
Akce
ClientLink 802.11a/g
X
Síla signálu
802.11n
802.11a/g Klientské spojení není optimální, vytváří nepokrytá místa
ClientLink 802.11a/g
Úprava signálu
Inovace v Cisco AP čipu 802.11n
Nedostupné v běžných AP
ClientLink upravuje signál a vylepšuje výkon a pokrytí pro 802.11a/g Devices
D Ů V Ě Ř U J T E
SecureX Bezpečnost
S I L N Ý M
Hacking? ANONYMOUS Script kiddie Hacker vs Cracker
DDoS útoky Vlády
Odposlouchavání
Kevin Mitnick Sociální inženýrství
Temná strana WEBu 80% Webu je nekategorizováno, vysoce dynamické nebo nedosažitelné vyhledávacími roboty • • • • •
Botnety Dynamický obsah Zaheslované stránky Uživatelsky generovaný obsah Krátkodobé stránky
Známý WEB 20% pokryto v seznamech URL
Útoky přes Web › 54% malware nákaz je kvůli iframe a exploitum › Cross-site scripting a SQL Injection jsou TOP útočící metody › 83% všech stránek má alespoň 1 vážnou zranitelnost › Přes 70% procent kompromitovaných stránek jsou legitimní › Nové zranitelnosti v Adobe PDF a Flash
New York Time – oběť útoku přes reklamu Zdánlivě legitimní reklama přidává škodlivý kód, který způsobí přesměrování Cíl: protection-check07.com
Scareware
Cisco Web Rep Score: -9.3 Default Action: BLOCK NYT stránka funguje, škodlivé přesměrování je blokováno
Full-screen pop-up simuluje reálný AV program, nutí uživatele si koupit plnou verzi , aby vyčistili počítač
Monitoring, databáze a korelace Cisco SenderBase Největší světová monitorující síť
Reputace Informace o konkrétní IP adrese
20 000+ zákazníků globálně 8 z 10 TOP poskytovatelů Přes 500GB dat za den 500 zdrojů třetích stran
300 milionu chráněných uživatelů
Ironport › › › ›
Emailová bezpečnost Webová bezpečnost Management Leadership – – – – –
42 ze 100 největších společností 8 z 10 největších ISP Armáda US 600+ partnerů Infrastruktura Ironportu je v 75 zemích
Řízení přístupu
Cisco ScanSafe Cloud Služby
Konzistentní, vynutitelná, výkonná Webová bezpečnost, nezávisle kde a jak se uživatelé připojují do Internetu.
Bezpečnost v LAN
Co je to Trustsec? › Může být matoucí › Můžeme považovat za NAC nové generace › Zahrnuje vše co má něco společného s identitou – – – – – – – –
IEEE 802.1X (Dot1x) Cisco NAC Appliance Profiling Technologies Guest Services Secure Group Access (SGA) MACSec (802.1AE) Access Control Server (ACS) Identity Services Engine (ISE)
Takže Trustsec = Identita? › Ano, ale jako systém nebo řešení identity – Politiky definované na serverech jsou jenom tak dobré jako zařízení je vynucující politiky (přepínače, WLC, firewally atd.)
› Co je to Identita? – Rozumět tomu KDO/CO/KDE/KDY a JAK uživatel nebo zařízení přistupuje do sítě
› Proč je identita důležitá – Autentizace = Nedovolit se dostat outsiderum dovnitř – Autorizace = Udržet insidery v mezích, personalizace sítě – Evidence = Zvýšení dohledu nad sítí
802.1x
› Přidaná hodnota sítě, prvky obsahují › Implementace musí být pečlivě připravená › U enterprise zákazníků spíše organizační oříšek než technický
MACSec (802.1AE) › › › ›
Hop-by-hop zajištění utajení a integrity Síť stále vidí do provozu a může aplikovat jakoukoliv inteligenci Podpora v HW, žádny dopad na výkonnost nebo zpoždění Podpora: Nexus 7000, SUP7 a nové karty na 4500, SUP2T a nové karty na 6500, některé fixní přepínače
ovaná data
Nešifrované TrustSec /802.1AE
Šifrovaná data TrustSec /802.1AE
Dešifrování na vstupu
Šifrování na výstupu
Dešifrování
Nešifrované
Šifrovaná data TrustSec /802.1AE
Šifrování
Provoz je uvnitř systému nešifrovaný a přístupný pro všechny operace
Identity Services Engine – Policy server Konzolidované SW balíky a služby
NAC Manager
ACS
Správa relací Flexibilní nasazení služeb
User ID
Access Rights All-in-One HA Pair
NAC Profiler
Admin Console
M&T
ISE
NAC Server NAC Guest
Zjednodušené nasazení a administrace
Location
Distributed PDPs Device (& IP/MAC)
Sledování aktivních uživatelů a zařízení
Rozšiřitelné politiky Skupinový přístup
Správa politik
SGT
Public
Private
Staff
Permit
Permit
Guest
Permit
Deny
Zjednodušená kontrola
Optimalizované a škálovatelné služby
Monitorování a troubleshooting
Reporting, logování, snadná lokace problému
Přístup na základě politik
Informace o identitě
Jiné podmínky
Konzultant
Identita:
Network Administrator Identita:
Full-Time Zaměstnanec
Přístupové oprávnění
Čas a datum
+
Human Resources Finance
Lokace
Identita:
Marketing Návštěva
Návštěva Typ přístupu
Zakázání přístupu
Anyconnect › SSL VPN › 802.1x supplicant › Scansafe konektor
Přijatelné použití
Řízení přístupu
Prevence ztráty dat
Nekonfigurovatelná zařízení, riziko ztráty dat a nedostatečná dostupnost
Bezproblémové, stabilní služby umožňující použití flexibilních zásad zabezpečení
D Ů V Ě Ř U J T E
Energywise
S I L N Ý M
Spotřeba energie = Operational Costs
› Úspora nákladů – růst cen energií – penetrace IT – Video aplikace
› Další důvody – regulační nařízení (např. EPBD2) – vládní nařízení – Green iniciativy
Trendy v IT infrastruktuře › Chytrá infrastruktura – monitorování spotřeby, reporting, řízení
› Každé zařízení může být více „Green“ – Vypnout nebo snížit spotřebu
› Otevřený přístup ke všem zařízením i ne-IT – IP protocol
› Značná úspora nákladů › Splnění nařízení (nebude postih) › Snížení emise skleníkových plynů
Power over Ethernet › Rozvíjející se trend k napájení zařízení přes PoE › Původně IT (IP telefony, později AP,...) › Nyní (Virtual Desktop Infrastructure) VDI, Videokonference, kamery › Ne IT zařízení (přístupové systémy, světýlka, ...) 2003: IEEE 802.3af PoE - ~15W 2009: IEEE 802.3at PoE+ ~30W 2011: Cisco UPOE (Universal PoE) ~60W
A vyplatí se to všude ? Kde je největší příležitost? Vertikála
Příležitost
Důvody
Školství
Vysoká
Večery, víkendy, svátky a prázdniny
Maloobchod
Vysoká
Hodně poboček
Veřejný sektor
Vysoká
Většinou fixní pracovní doba
Hotely
Vysoká
Nezaplněné hotelové pokoje
Realitky
Vysoká
Přidané služby v managementu budov
Finance
Vysoká
Mimo pracovní dobu úspory, pobočky, banky, pojišťovny atd.
Zdravotnictví
Střední
24x7 provoz znamená méně příležitosti, přesto existují administrativní části atd.
Manufaktura
Střední
Záleží na businessu. Většinou 24x7 provoz
Transport
Střední
Záleží na businessu. Letiště např. 24x7x365
... asi to bude chtít nějakou kalkulačku › Revenue kalkulačka http://www.cisco.com/go/energywise/
Building Management trendy › Propojení dvou světů na různých komunikačních protokolech
›
GW od výrobců, kteří jsou v budovách „doma“
Energywise architektura
Energywise management
Energywise koncové zařízení
Zelené iniciativy › ›
Czech Green Building Council (CZGDBC, Česká rada pro šetrné budovy) Duben 2011: – Cisco se stává členem CZGBC – První IT/networking členská firma v České republice !!! – CZGBC je nezisková organizace, jejímž cílem je vytvořit legislativní, tržní a kulturní prostředí, přispívající k rozvoji staveb šetrných k životnímu prostředí.
›
Květen 2011: – Cisco je sponzorem konference Šetrné budovy (Green Buildings) 2011 – 26. května 2011 (www.setrnebudovy.cz) – Společná prezentace se Schneider-Electric
›
Listopad 2011: – V rámci CZGBC založena technologická pracovní skupina Cisco + Schneider Electric
›
Cisco je členem USGBC od r. 2008 – www.czgbc.org – Viz také • EU regulations (EU 20-20-20, EPBD II) • Certifikační systémy budov – LEEDS, BREEAM, atd.
Energywise LAN síť › Energywise je součástí Cisco přepínačů › Přidaná hodnota už existující sítě › Kompetetivní výhoda oproti konkurenci
Cisco® Catalyst® 2900 Series
EtherSwitch Modules
Cisco Catalyst 3560-E & Cisco Catalyst 3560
Cisco Integrated Services Routers G2
Cisco Catalyst 3750-E & Cisco Catalyst 3750
Cisco Catalyst 2960-S
Cisco Catalyst 4500
Cisco Catalyst 3750-X and Cisco Catalyst 3560-X
D Ů V Ě Ř U J T E
Management
S I L N Ý M
Sítě jsou dnes velmi komplexní
První možnost návrhu, nasazení a provozu vaší sítě Geeky the Geek › Komplexní › Manuální › Náchylné na chyby
Cisco Prime pro Enterprise Jednotný Look & Feel a integrace nástrojů přes všechny produkty
Case Study: LMS pro nasazení Energywise IT chce nasadit Energywise pro monitorování a šetření nákladů 1. 2. 3. 4. 5.
Definování politiky Připravení sítě Konfigurace sítě Aplikování politiky Monitorování úspor Monitorování nákladů
• Rychlé nasazení služby • Snížení chyb při nasazování • Okamžitý ROI
Automatická konfigurace
Case Study: Collaboration Manager pro troubleshooting videa Uživatel má problém s video přenosem při Telepresence mezi centrálou a pobočkou. Provozní oddělení musí najít a odstranit problém. 1. 2. 3. 4. 5.
Identifikace a vybrání relace Zjištění stavu relace Průzkum a vizualizace cesty média Rychlé izolování příčiny problému Náprava problému
• Rychlé izolování a troubleshooting služby • Vylepšení kvality služby a uživatelské zkušenosti
Case Study: NAM pro řešení problému s výkonem aplikací Uživatelé si stěžují na pomalou odezvu aplikací 1. 2. 3. 4. 5. 6.
Identifikace aplikací s vysokou odezvou Analýza výkonu aplikace v čase Zaměření se na problémové časy Identifikace TOP N ovlivněných klientů a serverů Analýza aktivity serveru Vyřešení problémů
• Možnost zjištění chování síťového provozu • Optimalizace a troubleshooting sítě a výkonu aplikací
D Ů V Ě Ř U J T E
Application Velocity Výkonnost aplikací
S I L N Ý M
Problémy s výkonností › Nedostatek viditelnosti a kontrola
DC/Cloud
– Nové aplikací (mobilní, video, VDI...) – Různé modely nasazení (lokální hosting, DC, cloud)
› Využití šířky pásma WAN/Internet
– Zbytečné využití • Non business aplikace • Neefektivní transport aplikací
– Zpoždění, zvyšující s odezva aplikací
› Spolehlivost sítě Business aplikace, mobilní aplikace, video
– Výpadky – Zahlcení
› WAN může být překážkou konsolidace
Application Velocity Viditelnost a kontrola › › › › › ›
Průzkum síťového provozu s rozeznáním jednotlivých aplikací Viditelnost na úrovni vnitřku paketů Monitoring využití aplikací a anomálií Reporty pro plánování kapacity Prioritizace business kritických aplikací Klíčové produkty – IOS – NBAR, Flexible Netflow (směrovače, některé přepínače) – Network Analysis Module NAM – Appliance, servisní modul, virtuální modul – QoS – Kategorizace provozu a aplikování politik
Application Velocity Akcelerace a optimalizace
› › › › ›
Některé protokoly byly navržene pouze pro běh na LAN Optimalizace protokolů aplikací zvyšující rychlost Komprese snižující objem provozu Cache často používaných souborů šetřící pásmo Klíčové produkty – WAAS appliance, SRE, Express, virtual
Application Velocity Síťová a aplikační flexibilita (agility)
› Centralizace většiny IT, hostování vybraných aplikací na pobočce – Windows služby – Speciální aplikace
› Vykonnost pro vybrané lokální aplikace › Business continuity › Klíčové produkty: – UCS-Express, WAAS-VB, – Performance Routing, Webex node
D Ů V Ě Ř U J T E
Medianet Optimalizace multimédií
S I L N Ý M
Služby Medianet Transformace služeb přenosu hlasu a obrazu na pobočkách Bez rezervace zdrojů, snížení kvality přenosu hlasu a videa
Schůze ředitele
Jednání vedení
Sportovní událost
Kontextově orientovaný, prioritní, vysoce kvalitní přenos hlasu a videa
Schůze ředitele
Jednání Sportovní vedení událost
Medianet – inteligentní síť optimalizována pro náročná média, kombinuje inteligenci v – Mediích – Detekce a optimalizace různych médií a aplikaci (telepresence, video dohled, sdílení desktopu, streamovani atd.) – Koncových zařízeních – Automaticky detekuje a nakonfiguruje – Síti – Umí se adaptovat na změny v zařízeních, připojeních a dostupnosti služeb
Cisco Medianet příklad
D Ů V Ě Ř U J T E
IPv6
S I L N Ý M
Od studené války k dnešnímu Internetu
1972 První emailový program
1969 Arpanet
1984 První komerčně úspěšný směrovač
1973 TCP/IP
1990 Končí Arpanet
1986 NSFNET
1987 Vzniká pojem Internet
1996 250 milionů uživatelů
1989 CERN hypertext, www
2003 600 milionů
2005 900 milionů
1993 První www prohlížeč, zdarma
2009 1,8 miliardy
1994 Komercionalizace Internetu
2010 přes 2 miliardy
Proč potřebujeme IP? › Přirovnání k poštovnímu systému (nebo telefonní ...)
Jak nám mohli dojít IP adresy? › Teoreticky 4 miliardy IP adres › Prakticky 250 miliónu koncových zařízení › Šetření IP adresami (různé mechanismy viz dále)
Zdroj grafu: http://www.potaroo.net
Odkud se berou? A kdy tedy došly?
›
Únor 2011 – došly adresy IANA Každý region alokuje jinou rychlostí Regionálním registrátorům došly nebo brzo dojdou Poskytovatelé podle toho jak mají nasysleno
Zákazníci
Poskytovatelé
Registrátoři
› › ›
Zdroj grafu: http://www.potaroo.net
Kdo je na tom nejhůře? › Asie Pacifik – Přidělené bloky nevystačili ani 2 měsíce – APNICu došly adresy kromě posledního bloku /8 – Pro ten uplatněna speciální alokační politika • (každý pouze 1024 adres, 7000 AUD v prvním roce na poplatcích)
– APNIC odmítá žádosti o alokace
› Evropa – Méně než tři volné bloky – Zpřísněná pravidla – Vyčerpání může nastat kolem přelomu letošního roku
› Co bude dále – Rozdílné docházení adres v regionech – nerovnováha, šedý trh – Obchod v rámci regionů – výhoda pro ARIN (velké alokace z počátku Internetu) – Vzrůstající cena IPv4 adres – Špatná obchodovatelnost – štěpení bloků – Fragmentace IPv4 prostoru – narůstání globálních směrovacích tabulek
Nová verze IP? › 1991 – Studie o vyčerpání IP adres při současném tempu do roku 2008 › Dostatek času na vývoj nového protokolu (odstranit nedostatky současného IP) ... › 1995 – První IPv6 (IPng) standardy › Mechanismy pro šetření IP adresami › Nové vlastnosti implementovány do IPv4 ... › Nedostatek motivace › IPv6 ROI?, IPv4 zisky teď, IPv6 nikdo nechce.... › Adresami šetříme a máme jich přece dost › Nové aplikace (peer-to-peer) ... › 2011 – Jejda, ony už došly › Je IPv6 dozrálé? Kdo je připraven? Co výrobci zařízení?
IPv6, máme dost adres? › ›
Nebude se problém znovu opakovat? IPv6 = 2128 = 340,282,366,920,938,463,463,374,607,431,768,211,456
2128 = 7 miliard
48 kvadriliard adres na člověka
Populace 7 miliard lidí
48 kvadriliard 100 miliard
Mozek má typicky asi 100 miliard buněk
486 biliard adres na = každou buňku mozku člověka na zemi
Nejvyšší pojmenovaná jednotka dle SI soustavy je 251 oktiliarda
IPv6, máme problém vyřešen? › Ideální řešení, pojďme všichni naráz zapnout IPv6.... – Nekompatibilita mezi IPv4 a IPv6, zařízení si mezi sebou nepopovídají Hi, I want to send you packet ???
IPv4
您好,我想給 你包 ???
IPv6
– Zařízení bez podpory IPv6, některé ani nikdy podporovat nebudou – Servery, služby, aplikace nepřipravené na IPv6 – Administrátoři.... nejsou připraveni • IPv6, co to je? • Takovou hnusnou dlouhou adresu se učit nechci (2001:0DB8:0000:0000:FFFF:0000:0000:0ADC) • Některé věci fungují jinak než jsme zvyklí v IPv4
IPv6, máme problém vyřešen? ›
Chytré řešení, pojďme používat oba protokoly – Nové zařízení budou dostávat oboje adresy – Při komunikaci si vyberou, který protokol použijí – Odborně nazýváno DUAL STACK
IPv4 IPv4 IPv6
›
IPv6
Realita.... – – – –
Poskytovatel: „zákazníku dostaneš dvě adresy“ Registrátor adres: „ehm, je mi líto, ale IPv4 adresy přece došly“ Čekali jsme příliš dlouho. Co mohlo být bezbolestné, teď úplně jednoduché nebude. Nastupují improvizace • • • • •
Masivní několikanásobné překlady adres, za cílem efektivnějšího využití IPv4 adres Překlady adres mezi IPv4 a IPv6 (NAT64) Tunelování IPv6 ostrůvků přes IPv4 Plus k tomu všemu zamozřejmě DUAL STACK Atd....
Podpora IPv6 na zařízeních › Škálování a limity zařízení – Specializovaná zařízení mají HW paměti určité velikosti – Musí v současné chvílí pojmout IPv4 a IPv6 sítě – IPv6 sítí zvládne méně než IPv4 (4 x delší adresa) – Může vzniknout potřeba licence na provoz IPv6 vlastností – Co umí nějaká vlastnost v IPv4 nemusí umět v IPv6 › Obecně – Páteřní zařízení podporují IPv6 vlastnosti velmi dobře – Koncová zařízení na tom bývají hůře – Firewally, load-balancery atd. záleží podle výrobce › IPv6 Ready Logo – testy a kompatibilita zařízení – Fáze I. Základní podpora (silver) – Fáze II. Kompletní podpora (gold)
Kroky k nasazení IPv6 1. 2. 3. 4. 5. 6. 7. 8. 9.
Analýza externích a interních aplikací a služeb pro IPv6 Definování týmu, který bude pracovat na nasazení IPv6 Analýza současného stavu připravenosti na nasazení IPv6 Plánování vzdělávání v IPv6 Získání IPv6 adres Volba architektury a postupu nasazení IPv6, příprava designu Implementace pilotního projektu, testování Definice bezpečnostní politiky Specifikace vyjímek z IPv6
Jaký je stav v ČR? ›
›
(* nikomu nehrozí v případě nedodržení žádný postih, ani neexistují páky, jak příslušné úřady přinutit k poslušnosti)
Dle usnesení* vlády ČR číslo 727 musí ministři zajistit zpřístupnění služeb/portálů na IPv6 již do konce roku 2010 a všechny obnovované aktivní prvky musí již nyní umět IPv6. Podniková sféra spíše vyčkává, někdy požadována podpora IPv6 při obnově
NIC.CZ 2010 - nárust domén s podporou IPv6
NIX 2011 - nárust provozu v Českém Internetu
Zdroj grafu: http://labs.nic.cz/page/844/ Zdroj grafu: www.nix.cz/cz/ipv6
Problémy protokolů › IPv4 – Kvůli nasazení CGN a postupné zhoršující se směrovatelnosti IPv4 bude IPv6 po čase spolehlivější protokol – hlavně pro služby, které hodně komunikují (otevírají hodně portů) – Lepší spolehlivost P2P služeb na IPv6
› IPv6 – – – –
Někteří klienti mají špatně nastavené IPv6 White screen of death To brání velkým hráčům, aby samostatně zapnuli IPv6 Např. Google – zpřístupňuje IPv6 jen vybraným ISP na základě žádosti – Preference v OS
World IPv6 Launch
http://www.worldipv6launch.org/
Závěr – Rizika › › › › ›
Problém s nedostatek adres už nastal a je reálný, některé kontinenty už budou brzy bez jakýchkoliv IPv4 adres IPv6 bude vládnout Internetu – ať se nám to líbí nebo ne IPv6 není nadstavba nebo volitelná vlastnost – je to klíčová součást infrastruktury Nástup IPv6 může být rychlejší než se teď zdá, závisí na majoritních poskytovatelích obsahu Co hrozí v případě nečinnosti? – Dojdou adresy pro zákazníky, zhoršená kvalita datových služeb na IPv4. Boom chytrých telefonů s datovými službami, potřebují adresy. – Bezpečnostní rizika, možnost automatického vystavení uživatelských počítačů do IPv6 Internetu bez firewallu – Některé mechanismy v IPv4 fungují jinak než IPv6, potřeba vzdělávání administrátorů a získávání zkušeností zabere čas. Potřeba osvěty, vzdělávání, diskuze. – Zařízení nemusí IPv6 podporovat, nečekané nebo zbytečné investice – Zákazníci mohou IPv6 vyžadovat (a už vyžadují např. státní správa)
›
IT oddělení veřejných a podnikových zákazníků musí zahrnout IPv6 jako klíčový element jejich IT strategie
Závěr - Příležitosti › IPv6 je největší upgrade ve 40 leté historii Internetu › Netřeba nikoho moc nutit, každého teď toto téma zajímá › Proč začít teď? – – – – –
Ještě je čas na přípravu (kdo je připraven, není překvapen) Lze implementovat řízeně a po krocích Nikdo z poskytovatelů nečeká a už implementuje Kontinuita nabízených služeb zákazníkům Odstranění všech zmiňovaných rizik
Dotazy?