3Com hírek – 2010. január – 3. szám Tartalom 5800-as és 5820X sorozatú switchekbe szerelhető Wireless Controller modul – 256 AP-ig skálázható nagyteljesítményű rendszer – 2. oldal
802.1X – a sokoldalú authentikáció. Alapvető védelem a hálózat számára már viszonylag egyszerű konfigurációval is – 4. oldal
A Multiple Spanning-tree konfigurációja, amellyel akár más gyártó eszközeivel is hatékony spanningtree-t tudunk felépíteni, csak pár parancs távolságra van – 5.oldal
Mivel tud többet egy switch, mint egy virágtartó? Miért érdemes a beállítható funkciókat valóban be is állítani? – 3. oldal
Ajánló – mi jöhet még?! – utolsó oldal
Bevezető Megújultunk. Ennek látható eredménye, hogy tavaly ősszel új, magyar hírek szekció keletkezett, amely elérhető egyelőre e-mailen, weben és partneri FTP-n keresztül (részletek hátul). Segítségével az aktualitások és fókuszban lévő újdonságok gyorsabban és érthetőbben jutnak el a tervezőkhöz, rendszerintegrátorokhoz, megkönnyítve a termékválasztást. A munkához sok sikert és spanning-treeben kószáló bitet kíván a magyar csapat: Takács Gergely
[email protected] +36 30 250-8070 Kereskedelmi képviselet vezető, a sales
1
Rab Gergely
[email protected] +36 20 9123-475 A műszakis
3Com H3C újdonságok Heti hírlevél 2009-ben havonként adtunk ki hírleveleket, ez 2010-ben az egyszerűbb áttekinthetőség érdekében kétheti rendszerességre változik. A régi hírlevelek az aktuálisakkal együtt a http://www.comteq.hu/nl oldalon megtalálhatóak, sőt, a keresési funkció is működik még a csatolmányok között is – érdemes kipróbálni Minden észrevételt, témajavaslatot szívesen várunk a
[email protected] címre.
S5800 FlexChassis switch Wireless Controller Module A nyáron bejelentett adatcentrumi switch család Top of Rack vagy End of Row legkisebb tagja az 5800-as és 5820X széria. A széria tagjai közül kettő (S5820X-28C és S5800-60CPWR) OSN|M modul slottal rendelkezik, ahova a már ismert Firewall/VPN modulon felül Wireless Controller modul tehető. Az OSN|M slottal nem rendelkező 5800-as switchek is képesek WLAN Controller modult fogadni, azonban ez csak a kisebb kapacitású, maximálisan 64 aktív Access Pointig bővíthető modul lehet. A modul a támogatott Access Pointok számától, szükséges bővítő helytől, illetve a hátlapra kapcsolódás sebességétől függően kétféle lehet: Modulnév Alapból támogatott AP Maximálisan aktív AP Switchenként támogatott modul Hátlapi sebesség Támogatott eszközök
LSWM1WC20 (0231A98V)
LSWM1WCM10 (0231A94G) 32 64 64 256 2 1 2Gbit/s 10Gbit/s minden 5800, amelyben expansion module S5820X-28C slot található S5800-60C-PWR
További információk a mellékletben és az alábbi linken érhetőek el: http://www.h3c.com/portal/Products___Solutions/Products/
2
és
Technológiai sarok Virágtartó vs switch Már régóta tudjuk, hogy az eszközök nem azok, aminek látszanak: egy kődarabból lehet fejszét, kést, tűzkövet készíteni, switchből tudunk routert, tűzfalat, wireless controllert és virágtartót fabrikálni – a megoldásainknak csak a képzeletünk szabhat határt. Az, hogy egy switchet csak bekapcsolunk, nem állítunk be semmit rajta (csak legfeljebb rá), és gyakorlatilag egy virágtartó szintjére degradáljuk, még kisvállalati megoldásnak sem nevezhető. Egy kisvállalatnál is fontos, hogy a gépek stabilan működjenek, a kommunikáció ne szakadozzon, az AccessPointot feltörő alkalmi script-kiddie ne juthasson hozzá a céges pénzügyi rendszerhez, vagy egy ügyfelünknek megengedett Internet hozzáférés ne okozza a teljes hálózat megállását egy véletlen vírusnak köszönhetően. Még mondhatnánk számos példát, ami miatt érdemes foglalkozni a beállításokkal – a 3Com 4800G switch például több mint 3900 paranccsal rendelkezik, amely jellemzők szintjén elég lenyűgözően hangzik, a Baseline switchek alig 1000-es nagyságrendű funkcióhalmazt gyúrtak webes menüs szerkezetbe (amely utóbbi azonban kezelés, funkciók, teljesítmény és bővíthetőség tekintetében elmarad az enterprise switch kategóriától). Ha mindezek hasznát tekintjük, és azt az 1-2 órás extra energiát, amely egy kisvállalat esetén a konfigurálásához kell (vagy nagyvállalatnál néhány nap) a következő hasznokat hozhatja: -
-
-
-
-
3
stabil alaphálózat – olyan hálózat, amely nem szorul havonta javításra, változtatásra, átszervezésre, megerősítésre, a felette futó szerverek, gépek, nyomtatók biztos alapot kapnak menedzselhető hálózat, amely a perifériákon tapasztalható hibákat, anomáliákat jelenti egy központi menedzsment irányába (lsd. IMC Lite – ingyenes monitoring illetve a Standard és Enterprise változat a nagyvállalati switcheken túl a Baseline-okat és Cisco switcheket is képes a monitorozáson túl menedzselni), ezáltal a hibabehatárolás töredék időre csökken központilag menedzselhető felhasználók és jelszavak (RADIUS-on vagy TACACS-on keresztül) szerver és uplink kapcsolatok hatékony kihasználása: a spanning-tree letiltja az ugyanabba az irányba menő párhuzamos kapcsolatokat, azonban a 3Com XRN és IRF2.0 technológiák a spanning-tree-t feleslegessé teszik, és így az összes párhuzamos link egyszerre kihasználható 802.1x támogatás RADIUS integrálhatósággal és guest VLAN-nal a hálózatra kapcsolt gépek biztonsága érdekében. Csak azok a gépek érik el a belső hálózatot, amely előtt felhasználó ül és belépett az operációs rendszerén keresztül a switchbe is. ismeretlen munkaállomások izolálása, vagy csak Internet irányba engedése
-
-
jogosulatlan DHCP szerverek kiszűrése a véletlen félrekonfigurálások és szándékos támadásokkal szemben QoS konfigurálása például a peer-to-peer forgalmak háttérbe szorítása, a multimédia forgalom előnyben részesítése vagy a tűzjelző rendszer szirénájának és hangrendszerének kizárólagos továbbítása érdekében broadcastok visszaszorítása a gépek processzorának védelme érdekében tűzfal szabályok a hálózati vírus és féregfertőzések megállítása/lassítása érdekében szerver terhelésvédelem (pl. levelezés sebességének korlátozása a file megnyitások felgyorsítása érdekében) PoE táp teljesítmény szabályozás az alacsonyabb fogyasztás érdekében teljeskörű egyszerű távoli menedzsment a switch konfigurálásától a rajta átmenő forgalmak monitorozásáig (pl. sFlow)
Ha a stackelhető switchek felső kategóriáját, illetve a moduláris switcheket tekintjük, megjelenik a Lossless Ethernet támogatása (amely különösen előnyös ATA over Ethernet, iSCSI és egyéb Ethernet feletti block-os IO diszk műveletek esetén), MPLS támogatás (amely nagyobb hálózatok forgalmainak biztonságos szétválasztását teszi lehetővé nem csak Layer2-n, hanem efelett is), RRPP, amely a hálózat helyreállási idejét csökkenti le 250ms vagy 50ms alá. Nem szeretnénk túl sokat belelátni egy egyszerű switch konfigurációjába, azonban a javasolt minimális beállítások elvégzése a felhasználó számára stabilitást, a karbantartók számára kiszámítható működést és gyors hibaelhárítást tesz lehetővé, ezért ajánljuk, hogy mindenki éljen a lehetőségekkel.
802.1x áttekintés A 802.1X olyan hálózati azonosítási szabvány, amely a hálózatra felcsatlakozni kívánó gépeket és felhasználókat azonosítja azelőtt, hogy a hálózati kommunikációt megkezdhetnék ténylegesen. Ezáltal egy vendég vagy egy támadó mindaddig egyetlen csomagot sem juttathat a hálózatba (így vírust és DHCP szerver választ sem), amíg a switch és a switch mögötti authentikációs Forrás: http://en.wikipedia.org/wiki/IEEE_802.1X szerver (pl. AD, LDAP vagy lokális adatbázis) nem hitelesítette. A hitelesítés a következő információk alapján történhet: -
4
MAC cím vagy MAC cím család felhasználói név és jelszó certificate
A három szereplő a Supplicant (vagyis a gépünk), az Authenticator (vagyis a switch) és az Authentikációs szerver (vagyis egy címtár vagy RADIUS szerver). A switcheink a konfiguráció megkönnyítése érdekében háromféle parancskészlettel és konfigurációs lehetőséggel rendelkeznek, amely közül az authentikáció komplexitásának megfelelően választani kell: -
MAC authentikáció (csak MAC cím alapján authentikál) - egyszerű dot1x (alapvető 802.1x authentickáció a fenti három hitelesítési paraméter és guest VLAN támogatásával) – közepesen komplex port-security (legkomplexebb authentikáció a dot1x kiegészítésére, számos kényelmi funkcióval) - bonyolult
Az authentikáció beállítása a fenti besorolások alapján akár igen bonyolult is lehet, ami nem a parancsok számában, hanem a RADIUS szerverrel történő együttműködés kialakításában és a rendszertervezésre szánt időben mérhető. RADIUS szervernek ajánljuk az IMC és annak kötelező kiegészítő moduljaként az UAM használatát, mivel ezzel a bevezetési idő jelentősen lecsökkenthető. További információk a mellékletben és a konfigurációs kézikönyvekben találhatóak.
Gyakorlati tanácsok MST konfigurálás többgyártós környezetben A Per VLAN Spanning-tree szerelmeseinek és a Rapid Spanning-tree kiábrándultjainak ismét jó hírünk van: ha nem kerülhető el a spanning-tree a hálózatban (például azért, mert nem homogén 3Com a hálózat) konfigurálhatunk MSTP-t vagy rövidebben MST-t is. Az MST a Multiple Spanning-tree Protocol rövidítése, amelyet azért hívtak életre és szabványosítottak, mert az 1998-ban szabványosított Rapid spanning-tree bár gyors volt, de egyszerre csak egy feszítőfát tudott kezelni, ezért az összes VLAN egy switchelt hálózatban ugyanazt a feszítőfát használta: ennek eredményeként olyan redundáns linkek maradtak a hálózatban, amelyet nem lehetett kihasználni. A Cisco a saját egyedi megoldása, a Rapid Per VLAN Spanning-tree (R-PVST) irányába ment, amely azonban csak a VLAN 1-ben kompatibilis a szabványos spanning-tree implementációkkal, és ezzel párhuzamosan szabványosították 2003-ban az MST-t. Az MST eltérően az R-PVST-től nem minden VLAN-on futtat egyedi feszítőfákat (ezzel
5
elkerülve a felesleges forgalmat és erőforrás felhasználást), hanem MST példányokat (instance-okat) hoz létre, és ezekhez rendeli hozzá a VLAN-okat. Az instance-okat számmal jelöljük. A 0. instance különös jelentőségű, ebben az MST saját feszítőfája, a CIST fut, amelyen az MST menedzsment BDPU-k is közlekednek. Minden instance saját feszítőfával rendelkezik, amely vagy megegyezik másik instance feszítőfájával vagy nem (a port költségek függvényében). Egyetlen egy fontos elvet kell betartani: az MST paramétereknek mindkét oldalon meg kell egyezniük, különösen a VLAN-instance szám összerendelések, régió név és revízió szám tekintetében. Következzen egy különösen bonyolult példakonfiguráció (a revision-t nem fontos beállítani): [Sysname] stp region-configuration [Sysname-mst-region] instance 1 vlan 2 [Sysname-mst-region] region-name proba [Sysname-mst-region] revision-level 5 [Sysname-mst-region] active region-configuration
Ajánló Következő hírlevelünkből: -
3Com H3C újdonságok UDLD, DLDP, BFD QoS switchelt és route-olt hálózatokban Forgalmak szétválasztása végponttól végpontig - MPLS SFP, SFP+, XFP, BiDi SFP-k és XFP-k Egy beruházás haszna és az eszközjellemzők – esettanulmány
Fel- és leiratkozás:
[email protected] küldött levéllel Webes letöltés
http://www.comteq.hu/nl
6
FTP hozzáférés: szerver: ftp12.maxer.hu bejelentkezés: comteq_hu_3community jelszó: comit
