VDI (Virtual Desktop Infrastructure)
Agenda • • • • • •
Virtualizace operačních systémů obecně Virtualizace desktopů obecně Virtualizace desktopů a Cisco Virtualizace (nejen) desktopů a síťová architektura Virtualizace (nejen) desktopů a bezpečnost Virtualizace desktopů ve WAN
|2
Virtualizace operačních systémů obecně
Co je to virtualizace? | 3
Virtualizace a zase virtualizace
client - server
Storage virtualization Network Application virtualization virtualization Desktop virtualization Server Applications virtualization Data/Settings OS
Mainframe
1960
Hardware
1990
2000
2010 |4
Co je to virtualizace? „Virtualizace dovoluje běh více operačních systémů (virtuálních strojů) na jednom sdíleném hardware.“ Simulace
Emulace
Dřevěný mechanický simulátor koně z období první světové války (zdroj wikipedie)
Emulátor Atari800Win Plus
Virtualizace
|5
Motivátory virtualizace Nízké zatížení serverů – z dlouhodobého pohledu se většina serverů „fláká“ a „topí“ Stálý růst provozních nákladů – náklady na elektřinu, chlazení, místo v DC Růst nákladů na správu – neustále roste složitost systémů a infrastruktury, což vede k růstu nákladu na lidské zdroje Růst nákladů na zabezpečení redundance – s růstem složitosti systémů roste složitost zajištění “disaster recovery“ scénářů
|6
Virtualizační vrstva
Host OS-based virtualizace
Bare-metal Hypervisor virtualizace
|7
Co je to virtuální stroj (VM)? Z pohledu uživatele se jeví virtuální stroj jako obyčejný server s OS a aplikacemi
Z pohledu hypervizoru se jeví virtuální stroj jako množina souborů *.vmx *.vmdk *-flat.vmdk *.nvram *.log *.vswp *.vmsd |8
Co přináší virtuální stroje? Virtuální stroj = množina souborů
Klonování
Nezávislost na fyzickém HW
Šablony
Možnost provozu více VM na jednom HW
Transport VA pomocí OVF
Potřeba méně HW, vytížení HW
Migrace
Snadná výměna / upgrade HW /starší OS
Storage vMotion
Snadná záloha, kopírování
vMotion
|9
Storage vMotion Živá migrace VM mezi různými datovými úložišti
| 10
vMotion Živá migrace VM mezi fyzickými servery bez přerušení provozu Sdílené úložiště, kompatibilní CPU, GE rozhraní určené pro vMotion
| 11
Snapshot virtuálního stroje Vytváření obrazů virtuálního stroje za běhu
| 12
Distributed Resource Scheduler (DRS) Skupina serverů tvořící „cluster“ využívá vMotion k automatickému přesunu VM pro zajištění optimálního rozložení zátěže Možnost definovat pravidla přesunu VM
| 15
Distributed Power Management (DPM) Pomocí vMotion dochází k automatickému přesunu VM na část fyzických serverů a vypnutí těch nepoužívaných – úspora nákladů na chlazení, napájení
| 16
High Availability (HA) V případě výpadku fyzického serveru dochází k automatickému restartu VM na jiných serverech Admision control zajišťuje dostatek HW zdrojů pro provedení HA
| 17
Fault Tolerance (FT) Synchronizace VM (primární a sekundární) na dvou různých fyzických serverech
| 18
Virtualizace desktopů obecně
Co je to virtualizace? | 19
VDI and beyond Internal Access
Had to come into the o ffice to access resources
1995
Anywhere
Access resources from anywhere with IT managed assets
2000
2005
Any Device Anywhere
Any Service Any Device Anywhere
Virtual Enterprise
Access resources from anywhere with any device
Services master the data. Services are device independent
Enterprise becomes virtual, fully location and service independent
2010 | 20
Co je to VDI? „Umístění uživatelských desktopů do virtuálních strojů běžících centralizovaně na serveru/serverovém clusteru. Uživatelé ke svým desktopům přistupují vzdáleně přes LAN/WAN. “
| 21
Terminologie • Desktop Virtualization – Cisco • Desktop Virtualization (DV) is Cisco’s official terminology for what is often referred to as Virtual Desktop Infrastructure (VDI), VXI (Virtual Experience Infrastructure) • Hosted Virtual Desktop – Gartner • Gartner refers to Desktop Virtualization as Hosted Virtual Desktops (HVD) • Centralized Virtual Desktop – IDC • IDC refers to Virtual Desktop Infrastructure as Centralized Virtual Desktop (CVD) • Virtual Desktop Infrastructure - VMware View • VMware and other vendors use the term Virtualized Desktop Infrastructure (VDI) to refer to the overall hardware and software environment
| 22
VDI rozdělení – kde dochází k „výpočtům“? OS Desktop
Virtual Desktop Streaming Apps WinXP
Synchronized Desktop
Display Protocol
Application Streaming
Application
Hosted Virtual Desktop
Hosted Virtual Application
WinXP
Client-Based Computing
Server-Based Computing
| 23
Motivátory VDI Vysoké náklady na správu desktopů – náklady na řešení problémů s OS, náklady na výměnu desktopů
Bezpečnost
Windows 7
Rostoucí počet zařízení – uživatelé chtějí používat více zařízení ( laptop, smartphone), uživatelé chtějí používat svoje zařízení (mac) Snaha o zrychlení nasazení aplikací
| 24
Dodavatelé VDI vmware
Citrix
VMware View
Citrix XenDesktop
43%
Microsoft
Other
Microsoft RDVH
40% 13% 4%
Podíl na trhu: 2011, méně než 5K zaměstananců | 25
Bloky tvořící VDI infrastrukturu to 1 Connect Connection
2 Identify
target VM
3
Query for user policy
Broker
4
Start target VM
5
Return VM to endpoint
6
Connect VM to endpoint
7
Successful connection
Thin Client Active Directory
Smartphone/iPad
Connection Broker
Virtual Infrastructure
Authentication Thick Client
Virtual Infrastructure Management
Display Protocol | 26
Nejdůležitější komponenta = display protocol Displej protocol je klíčová komponenta pro kvalitní „user experience“
vmware
Citrix
PCoIP
ICA/HDX
Microsoft
RDP/ RemoteFX
Pokud nemá display protocol žádné omezení (LAN), používá extrémní šířku pásma
Other
RDP+ Quest EOP HP RGS RHEV SPICE Oracle ALP Oracle AIP
RDP v LAN = 60 Mbit/s i více!!!! RemoteFX v LAN = 50 Mbit/s i více
| 27
Display protokoly
Řešení
Použité protokoly
VMware View PCoIP 4172 UDP
Doporučení
• HW s podporou PCoIP „silně doporučen“ pro optimální user experience
Microsoft RDS RDP 3389
Citrix Xen ICA 2598/1494
TCP • Žádná závislost na HW na klientské straně • Model šifrování založený na standardech
• Žádná závislost na HW na klientské straně ani serverové straně • Proprietární i standardizovaný model šifrování
| 28
VDI a zpoždění – příklad PCoIP Klávesnice
LCD Response
LAN to Desktop
PCoIP Decode
PCoIP provoz
PCoIP Encode
Window O/S & Application (Variable)
Zobrazení Graphics Output
PCoIP Decode
LAN to Host
PCoIP Encode
Sampling
Stisk klávesy
PC zpracování
Změna obrazu
PCoIP provoz
<100 ms limit • Encoding, Communicating and Decoding (ECD) = kompletní PCoIP provoz musí tvořit co nejmenší část 100 ms intervalu • ECD doba musí být nezávislá na komplexnosti obrázku nebo CPU zatížení • TERA1 hardware PCoIP™ ECD doba je menší než 20ms na typické LAN síti
| 29
PCoIP a komprimace
| 30
VDI koncová zařízení – Zero vs. Thin vs. Thick Clients • Thick client • Thin client • Zero client • Existuje celá řada výrobců thin a zero clients – nejvýznamnější jsou Wyse, IGEL a devonIT
| 31
Thick Clients • Z pohledu HW se jedná o standardní desktop nebo laptop • Z pohledu OS je instalován standardní operační systém (windows XP, windows 7, Linux), ve kterém je instalován client software od dodavatele řešení VDI
• Výhodou Thick klientů je možnost pracovat offline
| 32
Thin Clients • Z pohledu HW se jedná o speciálně navržený desktop • Z pohledu OS je instalován „ořezaný“ OS (windows CE, linux distribuce) s instalovaným softwarovým klientem od dodavatele řešení VDI (vmware, citrix, microsoft,..)
• Výhodou Thin klientů je malá velikost, nízká spotřeba a přitom flexibilita v závislosti na použitém OS • Nevýhodou je stále přítomný další OS na klientu, o který je nutné se starat | 33
Zero Clients • Jednoduchá zařízení bez OS v běžném slova smyslu (pouze základní firmware) • Určené primárně pro nasazení pro VDI – omezený set funkcí pro dané řešení VDI • Jelikož není žádný OS – minimální náklady na správu, žádné nebezpečí virů, bezpečnostních rizik • Často optimalizovány HW pro daný typ display protokolu (pak je možné je použít pouze pro VDI od daného výrobce)
| 34
Zero Client - HW Thin Client
PCoIP Zero client s TERADICI
| 35
Výzvy VDI Výrazná závislost na síťovém připojení Nutné investice do DC, většinou i koncových zařízení Není vhodné do každého prostředí a pro každého zákazníka Problémy s graficky náročnými aplikacemi a grafikou vůbec Zero clients – podpora dot1x, ověření pomocí čipových karet Bezpečnost VDI ve WAN
Zajištění multimediálního provozu ve VDI | 36
Virtualizace desktopů a Cisco
Co je to virtualizace? | 37
Hairpin efekt Data Center Virtual Desktop
Display Protocol Media Flow Thin Client
• Multiple round trips - Media flow goes all the way back to data center and back
Signalling (SIP) Media Manager
WAN
• Heavy processing on virtual desktop in data center
Signalling (SIP)
Virtual Desktop
• Monolithic data flows Voice/Video in the display protocol
• Bandwidth explosion
Media Flow Display Protocol
Thin Client
• Display protocol and possible endpoint become unstable
| 38
VXI řešení Data Center
Zero Client
Virtual Desktop
• Signaling of CUPC back to CUCM is still inside the display protocol
UC Signalling Signalling (CTI)
WAN
UC Signalling
Virtual Desktop
Media Flow Zero Client
Signalling (CTI)
desk phone control which allows • RTP (UC media “voice/video”) to flow outside the display protocol
Display Protocol
CUCM
• Unified Communications using
• QoS can be used on media • Path is optimized • Location Awareness and 911, Codex selection, CAC, SRST Reference, Time Zone, DialPlan
Display Protocol
| 39
Cisco VXI – Virtualizovaná architektura end-to-end = Cisco Products
Virtualized Data Center
Virtualization-Aware Borderless Network
Applications /Desktop OS Cisco Collaboration Applications
MS Office
Cisco Virtualization Experience Clients
Cisco® Identity Services Engine
Desktop Virtualization Software
Virtualized Collaborative Workspace
AnyConnect Cisco VXC 6215 Thin Client
CDN Hypervisor WAAS WAAS
Cisco VXC 4000 PC Client
AnyConnect
Quad
UCS Nexus 1000v
PoE
Routing
ASA Si
Virtual Security Gateway
Unified
ACE
CM
Compute
Cisco VXC 22xx & 21xx Zero Client
Switching End-to-End, Management and Optimization
Storage
Cius Business Tablet
VXI 2.5 System | 40
VXI Validation Service VXI AS
Cisco řešení pro VXI VXI Endpoints portfolio
UC Applications
• • • • •
CUPC 8.5, CUCM 8.6, CUCILYNC, CUCIMOC Webex Connect 7.1 CUCI-Connect 8.5 Quad
Cisco VXC 21xx and 22xx Cisco Cius Cisco VXC 4000 Cisco VXC 6215 Cisco VXCM
Cisco Network
Network Security
WAAS 4.5.1, vWAAS, Cat 3K, Cat 4K, Cat 6K UPoE ISR G2
Data Center Compute UCS B250 M2, UCS B210 M2 UCS B230 M2, UCS C250, C210 Data Center Network Nexus 7000, Nexus 5000, Nexus 2000, Nexus 1000v VSG, ACE
Collaboration
Anyconnect 3.0 VXC VPN ASA
ISE 1.0 SmartCards DMVPN
Borderless Networks
Hypervisor Citrix XenServer 5.6, 6.0 VMware vSphere 5.0 Microsoft Hyper-V R2 FP1
Storage EMC VNX NetApp FAS 3270
Data Center Virtualization
Desktop Virtualization Citrix XenDesktop 4, 5, 5.5 Vmware View 4.6 and 5.0 XenApp 6 and 6.5
Optimization Atlantis Ilio Citrix IntelliCache Mcafee MOVE-AV 2.0 Trend Micro AV 7.5
Profile/Image Mgmt AppSense UniDesk StratusSphere (LiquidWare)
VXI Technology Parnters
| 41
Cisco VXC Zero clients Cisco terminologie – VXC (Virtualization Experience Clients) Dvě řady – VXC 2200 (standalone) a VXC 2100 (Integrované s Cisco telefony 8900 a 9900) Obě dvě řady podporují POE napájení
Cisco VXC 2200
Cisco VXC 2100
| 42
CISCO VXC 2100 Series (Integrated) • Zero Client
• Integrované s Cisco telefony 8961, 9971, 9951 • VXC-2112 podporuje HDX/ICA, RDP • VXC-2111 podporuje PCoIP
Cisco VXC 2100
• Napájeno přes POE nebo externí zdroj PWR-CUBE-4 • Požadováno POE+ (30W, 802.3at)
| 43
CISCO VXC 2200 Series • Zero Client
• Standalone • VXC-2212 podporuje HDX/ICA, RDP • VXC-2211 podporuje PCoIP Cisco VXC 2200
• Napájeno přes POE nebo externí zdroj PWR-CUBE-4 • Podporováno POE (15W, 802.3af) nebo POE+ (30W, 802.3at) • Může být připojen do IP telefonu, což zajistí konektivitu ale nikoliv napájení (nutné použít externí zdroj)
| 44
CISCO VXC Zero Clients – detailní porovnání Virtualization Experience Client
Virtual Desktop / Protocol
Input / Output Ports
VXC 2111
VMWare View PCoIP TCP & UDP 50002 TCP 4172
4 x USB1.1 2 x DVI-I (1920x1200) 1 x Analog Audio
VXC 2112
Citrix XenDesktop ICA TCP 1494 TCP 2598 TCP 80/RDP TCP 3389
4 x USB 2.0 1 x DVI-D 1 x VGA (1920x1200) 1 x Analog Audio
VXC 2211
VMWare View PCoIP TCP & UDP 50002 TCP 4172
4 x USB1.1 2 x DVI-I (1920x1200) 1 x RJ45, 1 x Analog Audio
VXC 2212
Citrix XenDesktop ICA TCP 1494 TCP 2598 TCP 80/RDP TCP 3389
4 x USB 2.0 1 x DVI-D 1 x VGA (1920x1200) 1 x RJ45, 1 x Analog Audio
| 45
CISCO Thin Client – VXC 6215 • Thin Client
• Standalone • SUSE Linux Enterprise operační systém • Podporuje HDX/ICA ve VDI módu nebo v módu s integrací s UC, PCoIP/RDP ve VDI módu
| 46
CISCO Thin Client – VXC 6215
DVI-I Monitor Port
Power On/Off tlačítko
Display Port Monitor Port Dva USB 2.0 porty
Mini-jack sluchátka a mikrofón
Dva USB 3.0 porty
Dva USB 2.0 porty
Napájení
Přední pohled
Ethernet Port (bez PoE) Kensington Lock
Zadní pohled
| 47
Multimediální komunikace VXC 6215 Data Center
VXC 6215 – uživatel 1 Citrix Receiver
HVD – uživatel 1 Virtual Channel Broker
Cisco Client
HVD Agent
(Unified Personal Communicator or UC IntegrationTM for Microsoft Lync)
Unified Presence CTI Manager
SIP Line
Unified CM
SIP
Virtual Channel Broker
VXC Software Appliance
VXC Software Appliance Plugin
9971 – uživatel 2
XMPP Signaling CTI Signaling SIP Signaling RTP Media (Voice, Video) Display Protocol API / Virtual Channel
| 48
CISCO Docked CIUS Simultaneous voice/video telephony and desktop virtualization – Integrated Cisco Softphone Base supports POE (Requires 30 W)
Virtual Desktop
1024 x 600 scaled up to display size
1024 x 600 Display Port
Cisco Cius | 49
CISCO VXC 4000 SW for Thick Client • Software for Thick Client • Zpřístupňuje UC vlastnosti pro virtuální desktopy
• Podporované OS: winXP, Win7 • Podporovaná VDI řešení: view od vmware, Xendesktop od citrixu
| 50
CISCO VXC-M manager • Mgmt software pro správu velkého množství zero/thin klientů
• Správa VXC 2x11 (PCoIP), 2x12(ICA) a VXC6215 • Není určeno pro správu VXC4000 – správa přes CUCM • Použití pro upgrade firmware a konfiguraci, remote restart
| 51
CISCO VXC Clients naming convention Cisco Brand
Virtualization Experience Client 2000 Series
Family
2212w Series Form Factor HW Generation Qualifier Optional: Wifi • Series: Zero (2), Soft (4), Thin (6), Not Applicable (0) • Form Factor: Integrated (1); Standalone (2); Not Applicable (0) • HW Generation: Gen 1 (1); Gen 2 (2); Not Applicable (0) • Qualifier: PCoIP (1); ICA (2); Multi-protocol (5), Not Applicable (0) • Optional: Wifi (w)
2000 Series – Zero Client 4000 Series – Software Appliance 6000 Series – Thin Client
| 52
CISCO VXC Clients operační systémy •
Wyse ThinOS použito ve VXC-2212 a 2112, podporuje Citrix ICA/HDX a RDP 7 display protocol. Firmware je možné upgradovat manuálně (potřeba FTP server) nebo pomocí VXC-M. Poslední verze Release 7.1.118 (14.6.2012)
•
ThreadX Použito ve VXC-2111 a VXC-2211, založeno na Teradici čipu. Podporuje PCoIP (RDP je dostupné, ale nepodporované). Firmware je možné upgradovat manuálně (potřeba FTP server) nebo pomocí VXC-M. Poslední verze Release 4.0 (14.8.2012)
•
SUSE Linux Enterprise Použito ve VXC-6215 Podporuje RDP 7, PCoIP Vmware view 4.X a 5.0 a Citrix XenDesktop 4.X a 5.0 pouze ve VDI módu Podporuje Citrix XenDesktop 5.5 ve VDI módu s integrací UC s add-on software appliance instalované přes VXC-M. Podpora Vmware view bude podporovat UC integraci v druhé půli roku 2012 | 53
Cisco VXC clients - použití Task Workers (basic productivity apps) • VXC 2000 (zero client)
Campus Workers (office professional, variety of apps, personalization, rich media) • VXC 6215 (thin client)
Mobile Workers (mobile desktop access, variety of apps, personalization, rich media) • CIUS (tablet)
VXC 4000 (PC software) enables Windows PCs for Contractors, Work-at-home employees, BYOD use cases
*Not all Users are VDI Users (i.e. High Compute) Use Wyse to fill gaps in Portfolio
Remote Workers (wide variety) • CIUS (tablet) • VXC 2000 (zero client) • VXC 6215 (thin client)
| 54
Virtualizace (nejen) desktopů a síťová architektura
Co je to virtualizace? | 55
Síťová architektura před a po virtualizaci
| 56
Co přináší změna síťové architektury? • Posunutí přístupové vrstvy do vSwitche v hypervizoru • Původní přístupové přepínače na jednom portu agregují provoz z mnoha virtuálních serverů • Změna v síťové administraci • Lokální provoz mezi virtuálními servery mimo kontrolu administrátorů • Výrazné narušení stávajících bezpečnostních modelů
• Snížené možnosti monitorování provozu • Změna umístění virtuálního serveru za provozu (vMotion) | 57
Řešení
Řešení = Nexus 1000V
| 58
Co je to Nexus 1000V? • Softwarový přepínač pro virtualizační platformy
| 59
Nexus 1000V - vlastnosti • Distribuovaný přepínač založený na NX-OS • Cisco CLI, SNMP, XML API • Odděluje administrační role (port profile) • Řízení kvality služeb (QOS) • Obecná bezpečnost (ACL, port security) • Monitorování provozu virtuálních serverů (čítače, Netflow, SPAN, ERSPAN) • Vysoká dostupnost (NSF)
• Bezpečnost pro VDI (DHCP snooping, IP source guard, dynamic ARP inspection)
| 60
Nexus 1000V – port profile n1000v# show port-profile name WebServers port-profile WebServers description: status: enabled capability uplink: no system vlans: port-group: WebServers config attributes: switchport mode access switchport access vlan 110 no shutdown evaluated config attributes: switchport mode access switchport access vlan 110 no shutdown assigned interfaces: Veth10
Port management VLAN PVLAN Port-channel
ACL Netflow Port Security QOS | 61
Nexus 1000V – port profile, migrace za provozu
• Port profile zůstává spojen s VM i při migrace za provozu (vMotion)
| 62
Nexus 1000V – multivendor
VM
VM
VM
VM
VM
Nexus 1000V VEM
Nexus 1000V VSM
VM
VM
VM
Nexus 1000V VEM
VMware vSphere
Nexus 1000V VSM
Windows 8 Hyper-V
VMware vCenter Microsoft’s Service Console Virtual Machine Manager
| 63
Nexus 1000V – release 2.1 • Změna licenčního modelu – rozdělení na edice Essential a Advanced
Essential edice Advanced edice L2 funkce – VLANy, privátní VLANy, multicast, IGMP v2,v3 snooping, vPC, LACP
ANO
Advanced vlastnosti – QOS, ACL, VXLAN
ANO
ANO
vPath
ANO
ANO
SPAN, ERSPAN, Syslog, Netflow v9, SNMP, RADIUS
ANO
ANO
NE
ANO
ANO
ANO
NE
ANO
NE
ANO
0$
695$
Bezpečnost – DHCP snooping, IP source guard, Dynamic ARP inspection
NewVMware vTracker, vCenter Server Plug-in New Cisco TrustSec New Cisco VSG GPL
ANO
| 64
Virtualizace (nejen) desktopů a bezpečnost
Co je to virtualizace? | 65
VDI oblasti z pohledu bezpečnosti • First hop security – zajištění stejné úrovně bezpečnosti v DC jako u standardních desktopů v LAN Nexus 1000V – DHCP snooping, Dynamic ARP inspection, IP source guard
• Zajištění bezpečnosti při komunikaci v rámci virtuálního prostředí
Nexus 1000V + VSG
• Zajištění bezpečného vzdáleného přístupu na virtuální desktop
ASA, ASA 1000V + Anyconnect 3.0
| 66
VDI oblasti z pohledu bezpečnosti • Zajištění bezpečného přístupu do LAN sítě – rozlišení BYOD zařízení, enterprise zařízení a následné umožnění připojení na VDI ISE, případně ISE + AnyConnect
• Zajištění ochrany proti virům ve VDI
Nutné hledat řešení u dodavatelů antivirového sw – TRENDmicro, McAfee
• Zajištění bezpečného ověření uživatelů pomocí SmartCards
Podpora nebo instalace middleware od dodavatele SmartCard řešení
| 67
Virtual Service Nodes
Přesměrování provozu pomocí VLAN do externích, fyzických zařízení (FW) Web Server
App Server
Hypervisor
Database Server
Využití virtuálních síťových služeb
Web Server
App Server
Database Server
Hypervisor
VLANs
Virtual Contexts
VSN VSN Virtual Service Nodes Virtual Service Nodes - VSN
| 68
Multi-tenant virtuální prostředí
| 69
Umístění VSN
• Stand-alone VSN
VSN 1
• Podpora jakéhokoliv vSwitche • Příklad: vWAAS, CSR 1000v
• VSN integrované s N1KV • Založeno na funkcionalitě vPath • Příklad vWAAS, VSG, ASA 1000V
VSN 2
VM
VSN 1
VM
Hypervisor
VM
VM
VM
VSN 2
VM
VM
Hypervisor
VM
VM
VM
vPath
Nexus 1000V Hypervisor Hypervisor
VSN VSN 1 1
VSN VSN 2 2
Hypervisor Server(y) pro VSN
| 70
vPath • vPath je jednou z funkcí přepínače Nexus 1000v (od verze 1.4) • Umožňuje odklonění provozu (steering) do VSN • VSN může obsluhovat více serverů, VSN může být na jiném příp. dedikovaném serveru
Virtual Security Gateway
VM
VM
VM
VM
4 vPath
Nexus 1000V
1
Initial Packet Flow
3
Decision Caching 2
Flow Access Control (policy evaluation) | 71
Bezpečnost ve virtuálním prostředí
VSG (a ASA 1000V)
FWSM ASA-SM
ASA 55xx
ASA 55xx
• Zone based • dynamický Virtual • VM context based Security controls
• Segmenty/VLANy • Aplikační inspekce Internal • Virtual Contexts
Security • Filtrování externího Internet provozu • Aplikační inspekce Edge • VPN access, Threat mitigation | 72
VSG (Virtual Security Gateway) a vASA 1000v
• • •
• •
Virtual Security Gateway
ASA 1000V
Zone based intra-tenant segmentace VM
External / multi-tenant edge deployment
Obdoba zone based FW pro virtuální prostředí Logická segmentace virtuálních strojů do bezpečnostních zón Nastavená pravidla následují virtuální stroj při jeho přesunech Administrace v rukou bezpečnostního týmu od verze 2.1 součástí Nexus 1000v Advanced edice a nebude se prodávat samostatně
•
• •
Stavový virtuální FW pro filtraci provozu na hranici virtuálního prostředí NAT, DHCP, IPSec VPN site-to-site, default gateway, static routing Administrace v rukou bezpečnostního týmu
| 73
Umístění VSG a ASA1000v ve virtuálním prostředí
| 74
VSG a vASA 1000v - požadavky
Virtual Security Gateway Požadavky: • CPU –1 nebo 2 vCPU • Paměť – 2 GB • Disk – 3 GB • Síťová rozhraní – 3 vNIC rozhraní
ASA 1000V Požadavky: • CPU – 1 fyzické jádro, 1 vCPU • Paměť – 1,5 GB • Disk – 2,5GB • Síťová rozhraní – 4 vNIC rozhraní Výkonnost (Nehalem X5550 2.67 GHz dual quad-core): • Maximum současných sessions – 200 000 • Maximu spojení za sekundu – 10 000 • Propustnost VPN – 200 Mbps • Maximální počet VPN tunelů - 750 | 75
Scénáře zabezpečení VXI Access Security
VXI Network
•
Remote/Home User
Internet Anyconnect w/ Split Tunnel
Campus
•
Využití VSG ISE zajišťuje ověření zařízení, že jsou ve shodě s bezpečnostními N1K politikami
•
802.1x zajišťuje autentikaci zařízení a uživatelů
•
Trustsec dovoluje zajistit přístupdo DC Network aplikací na základě definovaných Cisco ACE politik
•
Secure VXI Data Center s UPoE a PoE+ napájení v kombinaci N1K energií Energywise zajišťují úsporu
•
BYOD zařízením je dovoleno přistupovat pouze na k VSG VDI aplikacím
•
Contractor Finance Employee DMVPN dovoluje bezpečný, dynamický a přímý přístup pobočka-pobočka
•
WAAS a ISR zvyšují výkon přes WAN pomocí optimalizace provozu McAfee MOVE-AV
Secure Display Traffic
ASA
Cat4K
Campus
Branch One
Branch Two
WAAS Express
Voice/Video
WAE
ISR-G2
Data Center ASA a Anyconnect poskytují jednotný mechanismus zabezpečení pro širokou App Web zařízení Data Base škálu
WAAS DC
| 76
AnyConnect 3.0 • AnyConnect je podporovaný na velkém množství zařízení • • • •
Thick clients – windows, MAC, Linux Apple iOS 4 - včetně iPhone iPad a CIUS podporují Anyconnect 2.5 Cisco VXC koncová zařezení zatím bez podpory
• Always On nebo On-Demand VPN • Auto Re-Connect • Podpora digitálních certifikátů • Výběr optimální gateway • Podpora pro VDI aplikace / sw klienty
VXC 6215
CIUS
iPad
VXC 22xx
VXC 21xx
VXC 4000
| 78
Mobilní konzultant používající VDI • Možnost 1 – AnyConnect Client nainstalován na koncovém zař.
4
1
2
3
| 79
Mobilní konzultant používající VDI • Možnost 2 – SSL VPN pomocí webového prohlížeče
1
2
3
| 80
Mobilní konzultant používající VDI • Option 2 – Možnost 2 – SSL VPN pomocí webového prohlížeče 4
| 81
Mobilní konzultant používající VDI • Možnost 3 – Použití AnyConnect na iPadu nebo Cisco CIUS Připojení do virtuálního dekstopu
1 Spuštění aplikace AnyConnect
5
Spuštění VDI klienta = Citrix
2
3
Zapnout Anyconnect VPN = ON
4 | 82
Zabezpečení přístupu do sítě pomocí ISE ISE
ISE
1 EAP Authentication 2 Accept with VLAN 20 Enterprise Asset
1 Accept with VLAN 30 VXI Data Center
VLAN 20 CAPWAP
Same-SSID
802.1Q TrunkVLAN 30 Personal Device
2 EAP Authentication
•
Data Containment in personal devices using ISE
•
Device Profiling
•
Simplified, Scalable Access Policy
•
Corporate device with AD credential and certificate (EAP-TLS), is corporate access to the network
•
Bring Your Own Devices (BYOD) will be given only limited access (Auth example: PEAP MSCHAPv2)
Internet
| 83
Virtualizace desktopů ve WAN
Co je to virtualizace? | 84
Kvalita VDI ve WAN může být snížena Zdroj videa
Video na virtuálním desktopu může způsobit přetížení serveru nebo dostupné šířky pásma
Pobočka Uživatel může pozorovat nekvalitní obraz (pixely)
T1
Branch Router
Data Center
Zvýšení šířky pásma nemusí být dostatečné řešení
Campus Uživatelé v LAN nepozorují zhoršení obrazu
| 85
Aplikace QoS na display protokol Pobočka Zdroj videa
Pobočkový Router T1
Data Center Protocols in the virtual desktop environment appear “monochrome” to QoS
Routing Protocol
Lack of flow differentiation prevents prioritization within a display protocol stream Video Display Protocol
Video stream competes with other flows in class – (e.g.: P2P)
| 86
Aplikace QoS na VXI End User Workspace
Campus or WAN Network
Data Center
Network Printer
Cisco UCM Network Print Traffic
Virtual Desktop Display Protocols (ICA, RDP, PCoIP)
Desktop Display Protocol (ICA, PCoIP, RDP)
Telephony Signaling (SCCP, SIP) Telephony Media (RTP, sRTP)
Cisco UCS with Service VMs (like print server)
VMWare/Citrix
Locally Attached Printer
Cisco UCS with Virtual Desktops Cisco Unified Communications Endpoint (SCCP, SIP, RTP, SRTP) Local DC flows (Storage, Hypervisor management, etc) not shown
| 87
Redukce potřebné šířky pásma pomocí WAAS
Poznámka: PCoIP nemůže být optimalizován pomocí WAAS. | 88
CWAAS 4.5 optimalizace Citrix ICA AO •
WAAS dokáže optimalizovat zašifrovaný a komprimovaný provoz ICA spojení pro všechny verze XenDesktop a XenApp (nejsou vyžadovány žádné změny na ICA klientech, VDI desktopech nebo DC infrastruktuře)
•
Obsahuje funkcionalitu DRE (Data redundancy elimination), která zajišťuje jednosměrný caching provozu ICA spojení, což zvyšuje škálovatelnost a výkon aplikací Head quarters Branch Office Display Protocol
Edge Router
Citrix HVD
WAN Acceleration for Display Protocol
ICA client Branch WAE
Data Center WAE
| 89
Cisco WAAS optimalizovaný pro Citrix Up to 70% Faster
Up to 2X+ More Users
60
Seconds (s)
40 30 20
70% faster
10 0
Response Time
WAAS je vložen transparentně do zašifrované ICA/CGP (Common Gateway Protocol) komunikace. WAAS provádí TCP flow optimalizace pro zajištění maximálního využití šířky pásma.
Kbps
50
140 120 100 80 60 40 20 0
60% savings 2x users
Bandwidth Consumption
WAAS provádí optimalizaci pomocí inline komprese.
WAAS provádí optimalizaci pomocí deduplikace dat napříč uživateli a je context-aware
| 90
ICA AO konfigurace pomocí WAAS CM
| 91
ICA AO konfigurace pomocí WAAS CM
| 92
Kde se můžete dozvědět více?
Co je to virtualizace? | 93
Kde se můžete dozvědět více? • DCNX1K – Implementing the Cisco Nexus 1000V • 3 denní školení • Kompletní informace k nexusu 1000v včetně instalace a konfigurace
• X9 – Základy virtualizace • X10 – Základy virtualizace desktopů • 1 denní školení
• X11 – Využití MS nástrojů při nasazení VMware View • 2 denní školení
| 94
www.alef.com
PRAHA | BRATISLAVA | BUDAPEST
