Whitepaper
Jednotná komunikace a síťová infrastruktura – automatizace zabezpečení a správyThere Úvod Již na konci 90. let minulého století byl uveden do provozu první komerční komunikační systém na infrastruktuře Ethernet LAN: začala tím oficiálně éra IP telefonie (IPT). Technologie Voice over IP má již dávno svou testovací fázi za sebou a nyní je nejen velkým přínosem z hlediska produktivity, ale otevírá v celé řadě projektů nové možnosti pro služby s propojením hlasového a datového přenosu: jednotná komunikace (UC - Unified Communication) je na postupu! Protokol SIP (Session Initiation Protocol) zcela jasně vyhrál bitvu o prvenství a poskytuje solidní základ při plánování velkých i malých projektů. Díky protokolu SIP se nejdůležitější charakteristiky výkonu postupně stávají nezávislé na výrobci. SIP je peerto-peer protokol pro přenos multimediální komunikace a byl vyvinut s cílem integrovat celou řadu služeb jako je email, web, hlasová pošta, okamžitá výměna zpráv (instant messaging), pořádání konferencí (conferencing) a spolupráce (collaboration). Je navržen tak, aby byl nezávislý na transportním protokolu a může běžet na různých protokolech jako je UDP, TCP a SCTP. Je to rozšiřitelný protokol v textovém formátu, který byl vyvinut s cílem podpory celé řady různých médií. A díky tomu je ideální volbou pro jednotnou komunikaci. Je však třeba zdůraznit, že konvergence sítí do jediné sítě na protokolu IP klade velké požadavky na dostupnost a bezpečnost celkové infrastruktury. Dále při provozu UC prostředí, především při migraci z tradiční IP telefonie na VoIP, vyvstanou otázky týkající se automatického nasazení koncových zařízení, konfigurace sítě a koncových zařízení, a dalších služeb, jako je například sledování polohy (jednak za účelem odstraňování závad, ale i mimo jiné pro zjišťování polohy původu tísňových volání – problematika technologie E911 – funkce rozšířené prezence), které jsou všechny v prostředí TDM samozřejmostí.
Otevřené komunikační řešení pro identitu a záruku identity – OS LIA OS LIA je prvním řešením z dílny Siemens Enterprise Communications, které dokáže efektivně propojit správu sítě a hlasu v zákaznických sítích a které může splnit výše zmíněné požadavky: • Použitím dynamického přidělování parametrů QoS a zabezpečení (sítí VLAN a seznamů pro řízení přístupu ACL) na přístupovém portu nebo v přístupovém bodě zajišťuje OS LIA dostupnost aplikací v reálném čase a v důsledku toho i kontinuitu fungování podniku v IP prostředích • Správu závad zjednodušují nejen služby pro zjišťování polohy nabízené pro IP telefony, telefonní čísla, koncová zařízení a uživatele, ale i zjišťování stavu koncových zařízení v reálném čase. • Současné a budoucí požadavky dodržování předpisů a norem platné pro konvergentní sítě a IP infrastruktury jsou implementovány prostřednictvím zabezpečení přístupu do sítě, protokolování událostí a řízení verzí softwaru na koncových zařízeních. Řešení OS LIA se skládá ze tří hlavních komponent: softwaru HiPath DLS, sady produktů Enterasys NAC a Profesionálních služeb OpenScale.
Enterasys Whitepaper
Stránka 2
Služba pro instalaci HiPath (DLS) DLS představuje aplikaci pro správu komunikačního systému HiPath, jež nabízí pracovníkům služby integrované řešení pro správu IP zařízení (IP telefonů a IP klientů) v sítích HiPath. Tento nástroj pro správu zahrnuje funkce jako je nasazení softwaru, správu konfigurace, správu inventáře, správu zabezpečení a speciální služby pro koncové uživatele jako je plug & play a mobilita. Funkce plug & play služby DLS umožňuje automatický převod všech parametrů, které IP zařízení při aktivaci potřebuje. Prostřednictvím funkce mobilita lze zajistit, aby získala mobilitu i osobní konfigurace i osobní data uživatele (například přiřazení kláves, telefonní seznam, seznam volání, vyzváněcí tón, spořič obrazovky, atd.). Uživatelská data jsou službou DLS uložena a zpřístupněna na telefonu, na který se mobilní uživatel přihlásí. S pomocí OS LIA může služba DLS také dynamicky nakonfigurovat koncová zařízení IP nezávisle na místě jejich instalace – i tuto činnost lze s funkcí mobilita provádět.
Řízení přístupu do sítě Enterasys (NAC) Řízení přístupu do sítě Enterasys (Enterasys Network Access Control) je komplexní řešení používané před připojením i po něm, založené na otevřených standardech a použitelné v sítích různých výrobců. S pomocí zařízení Enterasys NAC (kontroléru NAC a/nebo brány NAC) mohou administrátoři IT zajistit, aby k požadovaným síťovým službám měli přístup uživatelé i zařízení: v závislosti na uživateli (roli), zařízení, času, místu, konfiguraci zařízení a metodě autentizace uživatele. Díky řešení OS LIA Enterasys NAC management systém posílá data o místě pobytu účastníka, která shromažďuje právě pomocí NAC, službě DLS prostřednictvím webových služeb. Služba DLS dodává systému NAC data o identitě povolených koncových zařízení.
Profesionální služby Součástí řešení OS LIA jsou i profesionální služby OpenScale, které zajišťují, aby konzultace a implementace projektu byly prováděny efektivně ke spokojenosti zákazníka.
Základní technologie NAC pro správu koncových zařízení a uživatelů Mnoho uživatelů chce zpočátku jenom vědět, kdo a co je k jejich infrastruktuře připojeno: „zjišťování aktiv“ a odpovídající monitorování zařízení jsou funkce, které Enterasys NAC přináší automaticky. Zde je třeba zdůraznit hloubku detailu a příležitosti k přístupu k datům. Na základě toho lze provádět oddělování hostů (konzultantů, partnerů v oblasti vývoje, atd.) a jejich vlastních zaměstnanců nejen prostřednictvím firemních počítačů a notebooků, ale i jiných zařízení jako jsou telefony VoIP, kamerové systémy a další zařízení pro správu provozoven. Protože jsou povolená koncová zařízení VOIP/UC vybavena službou DLS, je tento krok také plně automatizován i pro počáteční rollout! Zajímavé rozšíření standardních informací nabízené bez použití softwarových agentů, např. MAC/IP/jméno hostitele/OS/přepínač/port/čas, je umožněno integrací protokolu Kerberos, tedy standardního protokolu pro autentizaci uživatelů v prostředí Active Directory společnosti Microsoft. Nicméně aktuálně přihlášeného uživatele je stále ještě možné zjistit a uložit jej do databáze NAC i bez síťové autentizace jako 802.1x. Tyto informace jsou rovněž zaprotokolovány síťovými komponenty a mohou být dále následně využívány jako doplňkové a cenné informace pro softwarově založenou implementaci UC na „normálních“ stolních počítačích a noteboocích.
Enterasys Whitepaper
Stránka 3
To má za následek, že vyhledávání (nových) zařízení v síti se stává věcí minulosti. Dnes probíhá zjišťování těchto zařízení automaticky a je detekován a dokumentován i jejich pohyb. Všechny nástroje, které si uživatel za tímto účelem opatřil, může bez obav vypnout. Nakonec bychom se měli zmínit o tom, že se zkrátila doba potřebná na odstraňování závad a na volání na helpdesk, protože uživatelské informace jsou již integrovány. Odpadá i nekonečný kolotoč opakovaných dotazů, které byly nutné ke zjištění údajů o zařízení uživatele, a stačí, když se uživatel představí a řekne, co ho trápí.
Výchozím bodem pro využívání a výměnu dat mezi řešením NAC a jinými firemními databázemi (včetně DLS) jsou otevřená rozhraní. V tomto bodě vstupuje do hry architektura SOA (Service Oriented Architecture), která prosazuje rozdělení monolitických aplikací, jež zbytečně obsahují stejné funkce jako je správa uživatelů, na flexibilní modulární aplikace. Komunikace k získání dat, potřebných od příslušných aplikací, probíhá prostřednictvím webových služeb. Po určitou dobu se již používá jazyk XML (eXtensible Markup Language) ve spojení s popisem rozhraní používajícího jazyk WDSL (Web Services Description Language). Použití webových služeb jako rozhraní pro správu NAC přináší rozmanité možnosti pro automatizovanou výměnu a synchronizaci dříve detekovaných koncových zařízení se statickým inventářem a databázemi uživatelů. Jak již bylo zmíněno, jedním příkladem je řešení OS LIA používané nejen k inventarizaci, monitorování, konfiguraci sítě a koncových systémů, ale i pro služby na základě prezence/místa jako je E.911 (pohotovostní určení polohy) nebo přizpůsobené displeje na koncových systémech (například informace o první reakci podle budovy/podlaží), dále také k autentizaci a autorizaci povolených zařízení v infrastruktuře sítě, pevné i bezdrátové. Synchronizace dat mezi dvěma systémy se spouští na základě událostí, a tak je dokonce i řešení NAC vždy informováno o telefonním čísle, které platí pro určitý telefon (opět velmi užitečné pro opravování závad nebo vyhledávání zařízení).
Enterasys Whitepaper
Stránka 4
Výše popsaná koncepce svázanosti i automatizované autorizace, která by samozřejmě měla zahrnovat i parametry kvality služby, může být postupně rozšířena na všechna koncová zařízení v rámci konkrétního řešení NAC. Po autentizaci a volitelném vyhodnocení může být v každém místě infrastruktury zavedeno ověřování zařízení z hlediska slabých bodů a/nebo konfigurace, jedna autorizace (=zásada) může být zavedena okamžitě v každém místě infrastruktury. U síťové konfigurace úplně odpadají manuální činnosti – že to neplatí pro vlastní fyzické rozmístění koncových zařízení, je snad samozřejmé… Další využití těchto funkcí lze najít v oblasti virtualizace serverů, pro niž se témata mobility a adaptivních konfigurací sítě stala velmi důležitá. Vysokou přidanou hodnotu představuje i integrace do databází CMDB (Configuration Management Databases) v souladu s požadavky ITIL. Toto umožňuje otevřená architektura systému pro správu Enterasys bez jakéhokoli další práce.
Shrnutí V UC prostředí nemusí být zabezpečení a efektivní správa sítě nutně ve vzájemném rozporu: pokud použijeme správné řešení na bázi otevřených rozhraní a dále inteligentní integraci do stávajících a nových pracovních toků, může řešení NAC značně přispět ke snížení provozních nákladů na infrastrukturu UC.
Autor: Markus Nispel, viceprezident architektury řešení u společnosti Enterasys, divize pro sítě a zabezpečení společnosti Siemens Enterprise Communications GmbH & Co KG
Kontaktujte nás Pro více informací nás navštivte na webových stránkách www.enterasys.com
© 2007 Enterasys Networks, Inc. Všechna práva rezervována. Enterasys je registrovanou obchodní značkou. Secure Networks je obchodní značka Enterasys Networks. Všechny ostatní produkty nebo služby zde odkazované jsou identifikovatelné obchodními značkami či servisními značkami příslušných společností či organizací. Upozornění: Enterasys Networks si vyhrazuje právo měnit specifikace bez předchozího upozornění. Prosím kontaktujte obchodního zástupce či partnera pro potvrzení aktuálního stavu. 08/10
Enterasys Whitepaper
Stránka 5
