VDI (Virtual Desktop Infrastructure)

Transkript

1 VDI (Virtual Desktop Infrastructure)

2 Agenda Virtualizace operačních systémů obecně Virtualizace desktopů obecně Virtualizace desktopů a Cisco Virtualizace (nejen) desktopů a síťová architektura Virtualizace (nejen) desktopů a bezpečnost Virtualizace desktopů ve WAN 2

3 Virtualizace operačních systémů obecně Co je to virtualizace? 3

4 Virtualizace a zase virtualizace client - server Storage virtualization Network Application virtualization virtualization Desktop Server virtualization virtualization Applications Data/Settings Mainframe OS Hardware

5 Co je to virtualizace? Virtualizace dovoluje běh více operačních systémů (virtuálních strojů) na jednom sdíleném hardware. Simulace Emulace Virtualizace Dřevěný mechanický simulátor koně z období první světové války (zdroj wikipedie) Emulátor Atari800Win Plus 5

6 Motivátory virtualizace Nízké zatížení serverů z dlouhodobého pohledu se většina serverů fláká a topí Stálý růst provozních nákladů náklady na elektřinu, chlazení, místo v DC Růst nákladů na správu neustále roste složitost systémů a infrastruktury, což vede k růstu nákladu na lidské zdroje Růst nákladů na zabezpečení redundance s růstem složitosti systémů roste složitost zajištění disaster recovery scénářů 6

7 Virtualizační vrstva Host OS-based virtualizace Bare-metal Hypervisor virtualizace 7

8 Co je to virtuální stroj (VM)? Z pohledu uživatele se jeví virtuální stroj jako obyčejný server s OS a aplikacemi Z pohledu hypervizoru se jeví virtuální stroj jako množina souborů *.vmx *.vmdk *-flat.vmdk *.nvram *.log *.vswp *.vmsd 8

9 Co přináší virtuální stroje? Virtuální stroj = množina souborů Nezávislost na fyzickém HW Možnost provozu více VM na jednom HW Potřeba méně HW, vytížení HW Snadná výměna / upgrade HW /starší OS Snadná záloha, kopírování Klonování Šablony Transport VA pomocí OVF Migrace Storage vmotion vmotion 9

10 Storage vmotion Živá migrace VM mezi různými datovými úložišti 10

11 vmotion Živá migrace VM mezi fyzickými servery bez přerušení provozu Sdílené úložiště, kompatibilní CPU, GE rozhraní určené pro vmotion 11

12 Snapshot virtuálního stroje Vytváření obrazů virtuálního stroje za běhu 12

13 Distributed Resource Scheduler (DRS) Skupina serverů tvořící cluster využívá vmotion k automatickému přesunu VM pro zajištění optimálního rozložení zátěže Možnost definovat pravidla přesunu VM 15

14 Distributed Power Management (DPM) Pomocí vmotion dochází k automatickému přesunu VM na část fyzických serverů a vypnutí těch nepoužívaných úspora nákladů na chlazení, napájení 16

15 High Availability (HA) V případě výpadku fyzického serveru dochází k automatickému restartu VM na jiných serverech Admision control zajišťuje dostatek HW zdrojů pro provedení HA 17

16 Fault Tolerance (FT) Synchronizace VM (primární a sekundární) na dvou různých fyzických serverech 18

17 Virtualizace desktopů obecně Co je to virtualizace? 19

18 VDI and beyond Internal Access Anywhere Any Device Anywhere Any Service Any Device Anywhere Virtual Enterprise Had to come into the office to access resources Access resources from anywhere with IT managed assets Access resources from anywhere with any device Services master the data. Services are device independent Enterprise becomes virtual, fully location and service independent

19 Co je to VDI? Umístění uživatelských desktopů do virtuálních strojů běžících centralizovaně na serveru/serverovém clusteru. Uživatelé ke svým desktopům přistupují vzdáleně přes LAN/WAN. 21

20 Terminologie Desktop Virtualization Cisco Desktop Virtualization (DV) is Cisco s official terminology for what is often referred to as Virtual Desktop Infrastructure (VDI), VXI (Virtual Experience Infrastructure) Hosted Virtual Desktop Gartner Gartner refers to Desktop Virtualization as Hosted Virtual Desktops (HVD) Centralized Virtual Desktop IDC IDC refers to Virtual Desktop Infrastructure as Centralized Virtual Desktop (CVD) Virtual Desktop Infrastructure - VMware View VMware and other vendors use the term Virtualized Desktop Infrastructure (VDI) to refer to the overall hardware and software environment 22

21 Application OS Desktop VDI rozdělení kde dochází k výpočtům? Virtual Desktop Streaming Hosted Virtual Desktop Apps WinXP Synchronized Desktop Display Protocol Application Streaming Hosted Virtual Application WinXP Client-Based Computing Server-Based Computing 23

22 Motivátory VDI Vysoké náklady na správu desktopů náklady na řešení problémů s OS, náklady na výměnu desktopů Bezpečnost Windows 7 Rostoucí počet zařízení uživatelé chtějí používat více zařízení ( laptop, smartphone), uživatelé chtějí používat svoje zařízení (mac) Snaha o zrychlení nasazení aplikací 24

23 Dodavatelé VDI vmware Citrix Microsoft Other VMware View 43% Citrix XenDesktop 40% Microsoft RDVH 13% 4% Podíl na trhu: 2011, méně než 5K zaměstananců 25

24 Bloky tvořící VDI infrastrukturu 1 Connect to Connection Broker 2 Identify target VM 3 Query for user policy 4 Start target VM 5 Return VM to endpoint Connect VM to endpoint 6 7 Successful connection Thin Client Active Directory Smartphone/iPad Connection Broker Virtual Infrastructure Thick Client Authentication Display Protocol Virtual Infrastructure Management 26

25 Nejdůležitější komponenta = display protocol Displej protocol je klíčová komponenta pro kvalitní user experience vmware Citrix Microsoft Other PCoIP ICA/HDX RDP/ RemoteFX Pokud nemá display protocol žádné omezení (LAN), používá extrémní šířku pásma RDP+ Quest EOP HP RGS RHEV SPICE Oracle ALP Oracle AIP RDP v LAN = 60 Mbit/s i více!!!! RemoteFX v LAN = 50 Mbit/s i více 27

26 Display protokoly Řešení VMware View Microsoft RDS Citrix Xen Použité protokoly UDP PCoIP 4172 RDP 3389 TCP ICA 2598/1494 Doporučení HW s podporou PCoIP silně doporučen pro optimální user experience Žádná závislost na HW na klientské straně Model šifrování založený na standardech Žádná závislost na HW na klientské straně ani serverové straně Proprietární i standardizovaný model šifrování 28

27 VDI a zpoždění příklad PCoIP Klávesnice PC zpracování Zobrazení Stisk klávesy Sampling PCoIP Encode LAN to Host PCoIP Decode Window O/S & Application (Variable) Graphics Output PCoIP Encode LAN to Desktop PCoIP Decode LCD Response Změna obrazu PCoIP provoz PCoIP provoz <100 ms limit Encoding, Communicating and Decoding (ECD) = kompletní PCoIP provoz musí tvořit co nejmenší část 100 ms intervalu ECD doba musí být nezávislá na komplexnosti obrázku nebo CPU zatížení TERA1 hardware PCoIP ECD doba je menší než 20ms na typické LAN síti 29

28 PCoIP a komprimace 30

29 VDI koncová zařízení Zero vs. Thin vs. Thick Clients Thick client Thin client Zero client Existuje celá řada výrobců thin a zero clients nejvýznamnější jsou Wyse, IGEL a devonit 31

30 Thick Clients Z pohledu HW se jedná o standardní desktop nebo laptop Z pohledu OS je instalován standardní operační systém (windows XP, windows 7, Linux), ve kterém je instalován client software od dodavatele řešení VDI Výhodou Thick klientů je možnost pracovat offline 32

31 Thin Clients Z pohledu HW se jedná o speciálně navržený desktop Z pohledu OS je instalován ořezaný OS (windows CE, linux distribuce) s instalovaným softwarovým klientem od dodavatele řešení VDI (vmware, citrix, microsoft,..) Výhodou Thin klientů je malá velikost, nízká spotřeba a přitom flexibilita v závislosti na použitém OS Nevýhodou je stále přítomný další OS na klientu, o který je nutné se starat 33

32 Zero Clients Jednoduchá zařízení bez OS v běžném slova smyslu (pouze základní firmware) Určené primárně pro nasazení pro VDI omezený set funkcí pro dané řešení VDI Jelikož není žádný OS minimální náklady na správu, žádné nebezpečí virů, bezpečnostních rizik Často optimalizovány HW pro daný typ display protokolu (pak je možné je použít pouze pro VDI od daného výrobce) 34

33 Zero Client - HW Thin Client PCoIP Zero client s TERADICI 35

34 Výzvy VDI Výrazná závislost na síťovém připojení Nutné investice do DC, většinou i koncových zařízení Není vhodné do každého prostředí a pro každého zákazníka Problémy s graficky náročnými aplikacemi a grafikou vůbec Zero clients podpora dot1x, ověření pomocí čipových karet Bezpečnost VDI ve WAN Zajištění multimediálního provozu ve VDI 36

35 Virtualizace desktopů a Cisco Co je to virtualizace? 37

36 Hairpin efekt Data Center Virtual Desktop Display Protocol Media Flow Thin Client Monolithic data flows - Voice/Video in the display protocol Signalling (SIP) Media Manager Signalling (SIP) WAN Multiple round trips - Media flow goes all the way back to data center and back Heavy processing on virtual desktop in data center Bandwidth explosion Virtual Desktop Media Flow Display Protocol Thin Client Display protocol and possible endpoint become unstable 38

37 VXI řešení Data Center Virtual Desktop Display Protocol Zero Client Unified Communications using desk phone control which allows RTP (UC media voice/video ) to flow outside the display protocol Signalling (CTI) UC Signalling Signaling of CUPC back to CUCM is still inside the display protocol CUCM Signalling (CTI) Virtual Desktop WAN UC Signalling Display Protocol Media Flow Zero Client QoS can be used on media Path is optimized Location Awareness and 911, Codex selection, CAC, SRST Reference, Time Zone, Dial- Plan 39

38 Cisco VXI Virtualizovaná architektura end-to-end Virtualized Data Center Applications /Desktop OS Cisco Collaboration Applications MS Office Desktop Virtualization Software Hypervisor Virtualization-Aware Borderless Network Cisco Identity Services Engine CDN = Cisco Products Virtualized Collaborative Workspace Cisco Virtualization Experience Clients AnyConnect Cisco VXC 6215 Thin Client WAAS Virtual Security Gateway Nexus 1000v Quad Unified CM Storage AnyConnect UCS ASA ACE Compute PoE Si Switching WAAS Routing End-to-End, Management and Optimization Cisco VXC 4000 PC Client Cisco VXC 22xx & 21xx Zero Client Cius Business Tablet VXI 2.5 System 40

39 VXI Validation Service VXI AS Cisco řešení pro VXI VXI Endpoints portfolio Cisco VXC 21xx and 22xx Cisco Cius Cisco VXC 4000 Cisco VXC 6215 Cisco VXCM UC Applications CUPC 8.5, CUCM 8.6, CUCILYNC, CUCIMOC Webex Connect 7.1 CUCI-Connect 8.5 Quad Collaboration Cisco Network WAAS 4.5.1, vwaas, Cat 3K, Cat 4K, Cat 6K UPoE ISR G2 Network Security ISE 1.0 SmartCards DMVPN Anyconnect 3.0 VXC VPN ASA Borderless Networks Data Center Compute UCS B250 M2, UCS B210 M2 UCS B230 M2, UCS C250, C210 Data Center Network Nexus 7000, Nexus 5000, Nexus 2000, Nexus 1000v VSG, ACE Storage EMC VNX NetApp FAS 3270 Optimization Atlantis Ilio Citrix IntelliCache Mcafee MOVE-AV 2.0 Trend Micro AV 7.5 Hypervisor Citrix XenServer 5.6, 6.0 VMware vsphere 5.0 Microsoft Hyper-V R2 FP1 Desktop Virtualization Citrix XenDesktop 4, 5, 5.5 Vmware View 4.6 and 5.0 XenApp 6 and 6.5 Profile/Image Mgmt AppSense UniDesk StratusSphere (LiquidWare) Data Center Virtualization VXI Technology Parnters 41

40 Cisco VXC Zero clients Cisco terminologie VXC (Virtualization Experience Clients) Dvě řady VXC 2200 (standalone) a VXC 2100 (Integrované s Cisco telefony 8900 a 9900) Obě dvě řady podporují POE napájení Cisco VXC 2200 Cisco VXC

41 CISCO VXC 2100 Series (Integrated) Zero Client Integrované s Cisco telefony 8961, 9971, 9951 VXC-2112 podporuje HDX/ICA, RDP VXC-2111 podporuje PCoIP Napájeno přes POE nebo externí zdroj PWR-CUBE-4 Cisco VXC 2100 Požadováno POE+ (30W, 802.3at) 43

42 CISCO VXC 2200 Series Zero Client Standalone VXC-2212 podporuje HDX/ICA, RDP VXC-2211 podporuje PCoIP Napájeno přes POE nebo externí zdroj PWR-CUBE-4 Cisco VXC 2200 Podporováno POE (15W, 802.3af) nebo POE+ (30W, 802.3at) Může být připojen do IP telefonu, což zajistí konektivitu ale nikoliv napájení (nutné použít externí zdroj) 44

43 CISCO VXC Zero Clients detailní porovnání Virtualization Experience Client Virtual Desktop / Protocol Input / Output Ports VXC 2111 VXC 2112 VXC 2211 VXC 2212 VMWare View PCoIP TCP & UDP TCP 4172 Citrix XenDesktop ICA TCP 1494 TCP 2598 TCP 80/RDP TCP 3389 VMWare View PCoIP TCP & UDP TCP 4172 Citrix XenDesktop ICA TCP 1494 TCP 2598 TCP 80/RDP TCP x USB1.1 2 x DVI-I (1920x1200) 1 x Analog Audio 4 x USB x DVI-D 1 x VGA (1920x1200) 1 x Analog Audio 4 x USB1.1 2 x DVI-I (1920x1200) 1 x RJ45, 1 x Analog Audio 4 x USB x DVI-D 1 x VGA (1920x1200) 1 x RJ45, 1 x Analog Audio 45

44 CISCO Thin Client VXC 6215 Thin Client Standalone SUSE Linux Enterprise operační systém Podporuje HDX/ICA ve VDI módu nebo v módu s integrací s UC, PCoIP/RDP ve VDI módu 46

45 CISCO Thin Client VXC 6215 Power On/Off tlačítko DVI-I Monitor Port Mini-jack sluchátka a mikrofón Dva USB 2.0 porty Napájení Display Port Monitor Port Dva USB 2.0 porty Dva USB 3.0 porty Ethernet Port (bez PoE) Kensington Lock Přední pohled Zadní pohled 47

46 Multimediální komunikace VXC 6215 Data Center HVD uživatel 1 VXC 6215 uživatel 1 Citrix Receiver Virtual Channel Broker Cisco Client (Unified Personal Communicator or UC Integration TM for Microsoft Lync) HVD Agent SIP Virtual Channel Broker VXC Software Appliance VXC Software Appliance Plugin Unified Presence 9971 uživatel 2 CTI Manager SIP Line Unified CM XMPP Signaling CTI Signaling SIP Signaling RTP Media (Voice, Video) Display Protocol API / Virtual Channel 48

47 CISCO Docked CIUS Simultaneous voice/video telephony and desktop virtualization Integrated Cisco Softphone Base supports POE (Requires 30 W) 1024 x 600 scaled up to display size Virtual Desktop 1024 x 600 Display Port Cisco Cius 49

48 CISCO VXC 4000 SW for Thick Client Software for Thick Client Zpřístupňuje UC vlastnosti pro virtuální desktopy Podporované OS: winxp, Win7 Podporovaná VDI řešení: view od vmware, Xendesktop od citrixu 50

49 CISCO VXC-M manager Mgmt software pro správu velkého množství zero/thin klientů Správa VXC 2x11 (PCoIP), 2x12(ICA) a VXC6215 Není určeno pro správu VXC4000 správa přes CUCM Použití pro upgrade firmware a konfiguraci, remote restart 51

50 CISCO VXC Clients naming convention Cisco Virtualization Experience Client 2000 Brand Family Series w Series Form Factor HW Generation Qualifier Optional: Wifi Series: Zero (2), Soft (4), Thin (6), Not Applicable (0) Form Factor: Integrated (1); Standalone (2); Not Applicable (0) HW Generation: Gen 1 (1); Gen 2 (2); Not Applicable (0) Qualifier: PCoIP (1); ICA (2); Multi-protocol (5), Not Applicable (0) Optional: Wifi (w) 2000 Series Zero Client 4000 Series Software Appliance 6000 Series Thin Client 52

51 CISCO VXC Clients operační systémy Wyse ThinOS použito ve VXC-2212 a 2112, podporuje Citrix ICA/HDX a RDP 7 display protocol. Firmware je možné upgradovat manuálně (potřeba FTP server) nebo pomocí VXC-M. Poslední verze Release ( ) ThreadX Použito ve VXC-2111 a VXC-2211, založeno na Teradici čipu. Podporuje PCoIP (RDP je dostupné, ale nepodporované). Firmware je možné upgradovat manuálně (potřeba FTP server) nebo pomocí VXC-M. Poslední verze Release 4.0 ( ) SUSE Linux Enterprise Použito ve VXC-6215 Podporuje RDP 7, PCoIP Vmware view 4.X a 5.0 a Citrix XenDesktop 4.X a 5.0 pouze ve VDI módu Podporuje Citrix XenDesktop 5.5 ve VDI módu s integrací UC s add-on software appliance instalované přes VXC-M. Podpora Vmware view bude podporovat UC integraci v druhé půli roku

52 Cisco VXC clients - použití Task Workers (basic productivity apps) VXC 2000 (zero client) Campus Workers (office professional, variety of apps, personalization, rich media) VXC 6215 (thin client) Mobile Workers (mobile desktop access, variety of apps, personalization, rich media) CIUS (tablet) VXC 4000 (PC software) enables Windows PCs for Contractors, Work-at-home employees, BYOD use cases *Not all Users are VDI Users (i.e. High Compute) Use Wyse to fill gaps in Portfolio Remote Workers (wide variety) CIUS (tablet) VXC 2000 (zero client) VXC 6215 (thin client) 54

53 Virtualizace (nejen) desktopů a síťová architektura Co je to virtualizace? 55

54 Síťová architektura před a po virtualizaci 56

55 Co přináší změna síťové architektury? Posunutí přístupové vrstvy do vswitche v hypervizoru Původní přístupové přepínače na jednom portu agregují provoz z mnoha virtuálních serverů Změna v síťové administraci Lokální provoz mezi virtuálními servery mimo kontrolu administrátorů Výrazné narušení stávajících bezpečnostních modelů Snížené možnosti monitorování provozu Změna umístění virtuálního serveru za provozu (vmotion) 57

56 Řešení Řešení = Nexus 1000V 58

57 Co je to Nexus 1000V? Softwarový přepínač pro virtualizační platformy 59

58 Nexus 1000V - vlastnosti Distribuovaný přepínač založený na NX-OS Cisco CLI, SNMP, XML API Odděluje administrační role (port profile) Řízení kvality služeb (QOS) Obecná bezpečnost (ACL, port security) Monitorování provozu virtuálních serverů (čítače, Netflow, SPAN, ERSPAN) Vysoká dostupnost (NSF) Bezpečnost pro VDI (DHCP snooping, IP source guard, dynamic ARP inspection) 60

59 Nexus 1000V port profile n1000v# show port-profile name WebServers port-profile WebServers description: status: enabled capability uplink: no system vlans: port-group: WebServers config attributes: switchport mode access switchport access vlan 110 no shutdown evaluated config attributes: switchport mode access switchport access vlan 110 no shutdown assigned interfaces: Veth10 Port management VLAN PVLAN Port-channel ACL Netflow Port Security QOS 61

60 Nexus 1000V port profile, migrace za provozu Port profile zůstává spojen s VM i při migrace za provozu (vmotion) 62

61 Nexus 1000V multivendor VM VM VM VM VM VM VM VM Nexus 1000V VSM Nexus 1000V VEM VMware vsphere Nexus 1000V VSM Nexus 1000V VEM Windows 8 Hyper-V VMware vcenter Microsoft s Service Console Virtual Machine Manager 63

62 New New ew Nexus 1000V release 2.1 Změna licenčního modelu rozdělení na edice Essential a Advanced L2 funkce VLANy, privátní VLANy, multicast, IGMP v2,v3 snooping, vpc, LACP Essential edice Advanced edice ANO ANO Advanced vlastnosti QOS, ACL, VXLAN ANO ANO vpath ANO ANO SPAN, ERSPAN, Syslog, Netflow v9, SNMP, RADIUS Bezpečnost DHCP snooping, IP source guard, Dynamic ARP inspection ANO NE ANO ANO VMware vtracker, vcenter Server Plug-in ANO ANO Cisco TrustSec NE ANO Cisco VSG NE ANO GPL 0$ 695$ 64

63 Virtualizace (nejen) desktopů a bezpečnost Co je to virtualizace? 65

64 VDI oblasti z pohledu bezpečnosti First hop security zajištění stejné úrovně bezpečnosti v DC jako u standardních desktopů v LAN Nexus 1000V DHCP snooping, Dynamic ARP inspection, IP source guard Zajištění bezpečnosti při komunikaci v rámci virtuálního prostředí Nexus 1000V + VSG Zajištění bezpečného vzdáleného přístupu na virtuální desktop ASA, ASA 1000V + Anyconnect

65 VDI oblasti z pohledu bezpečnosti Zajištění bezpečného přístupu do LAN sítě rozlišení BYOD zařízení, enterprise zařízení a následné umožnění připojení na VDI ISE, případně ISE + AnyConnect Zajištění ochrany proti virům ve VDI Nutné hledat řešení u dodavatelů antivirového sw TRENDmicro, McAfee Zajištění bezpečného ověření uživatelů pomocí SmartCards Podpora nebo instalace middleware od dodavatele SmartCard řešení 67

66 Virtual Service Nodes Přesměrování provozu pomocí VLAN do externích, fyzických zařízení (FW) Využití virtuálních síťových služeb Web Server App Server Database Server Web Server App Server Database Server Hypervisor Hypervisor VLANs Virtual Contexts VSN VSN Virtual Service Nodes Virtual Service Nodes - VSN 68

67 Multi-tenant virtuální prostředí 69

68 Umístění VSN Stand-alone VSN VSN 1 VSN 2 VM VM VSN 1 VSN 2 VM VM Podpora jakéhokoliv vswitche Příklad: vwaas, CSR 1000v Hypervisor Hypervisor VSN integrované s N1KV Založeno na funkcionalitě vpath Příklad vwaas, VSG, ASA 1000V VM VM VM VM VM VM vpath Nexus 1000V Hypervisor Hypervisor VSN VSN VSN VSN Hypervisor Server(y) pro VSN 70

69 vpath vpath je jednou z funkcí přepínače Nexus 1000v (od verze 1.4) Umožňuje odklonění provozu (steering) do VSN VSN může obsluhovat více serverů, VSN může být na jiném příp. dedikovaném serveru Virtual Security Gateway VM VM VM VM 4 1 Nexus 1000V Initial Packet Flow 2 vpath Flow Access Control (policy evaluation) 3 Decision Caching 71

70 Bezpečnost ve virtuálním prostředí VSG (a ASA 1000V) FWSM ASA-SM Virtual Security Internal Security Zone based dynamický VM context based controls Segmenty/VLANy Aplikační inspekce Virtual Contexts ASA 55xx ASA 55xx Internet Edge Filtrování externího provozu Aplikační inspekce VPN access, Threat mitigation 72

71 VSG (Virtual Security Gateway) a vasa 1000v Virtual Security Gateway ASA 1000V Zone based intra-tenant segmentace VM External / multi-tenant edge deployment Obdoba zone based FW pro virtuální prostředí Logická segmentace virtuálních strojů do bezpečnostních zón Nastavená pravidla následují virtuální stroj při jeho přesunech Administrace v rukou bezpečnostního týmu od verze 2.1 součástí Nexus 1000v Advanced edice a nebude se prodávat samostatně Stavový virtuální FW pro filtraci provozu na hranici virtuálního prostředí NAT, DHCP, IPSec VPN site-to-site, default gateway, static routing Administrace v rukou bezpečnostního týmu 73

72 Umístění VSG a ASA1000v ve virtuálním prostředí 74

73 VSG a vasa 1000v - požadavky Virtual Security Gateway ASA 1000V Požadavky: CPU 1 nebo 2 vcpu Paměť 2 GB Disk 3 GB Síťová rozhraní 3 vnic rozhraní Požadavky: CPU 1 fyzické jádro, 1 vcpu Paměť 1,5 GB Disk 2,5GB Síťová rozhraní 4 vnic rozhraní Výkonnost (Nehalem X GHz dual quad-core): Maximum současných sessions Maximu spojení za sekundu Propustnost VPN 200 Mbps Maximální počet VPN tunelů

74 Scénáře zabezpečení VXI Access Security Remote/Home User Campus Branch One Branch Two Anyconnect w/ Split Tunnel Cat4K WAE WAAS Express Voice/Video VXI Network Internet Secure Display Traffic ISR-G2 ASA Campus škálu Web zařízení Data Center ASA a Anyconnect poskytují jednotný mechanismus zabezpečení pro širokou Trustsec dovoluje zajistit přístupdo DC Network aplikací na základě definovaných Cisco ACE politik UPoE a PoE+ napájení Secure VXI v kombinaci Data Center s Energywise zajišťují úsporu N1K energií App Data Base Využití VSG ISE zajišťuje ověření zařízení, že jsou ve shodě s bezpečnostními politikami N1K 802.1x zajišťuje autentikaci zařízení a uživatelů WAAS DC BYOD zařízením je dovoleno přistupovat pouze na k VSG VDI aplikacím DMVPN Contractor dovoluje Employee bezpečný, dynamický Finance a přímý přístup pobočka-pobočka WAAS a ISR zvyšují výkon přes WAN pomocí optimalizace provozu McAfee MOVE-AV 76

75 AnyConnect 3.0 AnyConnect je podporovaný na velkém množství zařízení Thick clients windows, MAC, Linux Apple ios 4 - včetně iphone ipad a CIUS podporují Anyconnect 2.5 Cisco VXC koncová zařezení zatím bez podpory Always On nebo On-Demand VPN Auto Re-Connect Podpora digitálních certifikátů VXC 6215 Výběr optimální gateway Podpora pro VDI aplikace / sw klienty CIUS VXC 22xx VXC 21xx ipad VXC

76 Mobilní konzultant používající VDI Možnost 1 AnyConnect Client nainstalován na koncovém zař

77 Mobilní konzultant používající VDI Možnost 2 SSL VPN pomocí webového prohlížeče

78 Mobilní konzultant používající VDI Option 2 Možnost 2 SSL VPN pomocí webového prohlížeče 4 81

79 Mobilní konzultant používající VDI Možnost 3 Použití AnyConnect na ipadu nebo Cisco CIUS 1 Spuštění aplikace AnyConnect Připojení do virtuálního dekstopu 5 Spuštění VDI klienta = Citrix Zapnout Anyconnect VPN = ON 82

80 Zabezpečení přístupu do sítě pomocí ISE 1 EAP Authentication ISE ISE Enterprise Asset Same-SSID CAPWAP 2 Accept with VLAN 20 1 Accept with VLAN 30 VLAN 20 VXI Data Center Personal Device 2 EAP Authentication 802.1Q Trunk VLAN 30 Internet Data Containment in personal devices using ISE Device Profiling Simplified, Scalable Access Policy Corporate device with AD credential and certificate (EAP-TLS), is corporate access to the network Bring Your Own Devices (BYOD) will be given only limited access (Auth example: PEAP MSCHAPv2) 83

81 Virtualizace desktopů ve WAN Co je to virtualizace? 84

82 Kvalita VDI ve WAN může být snížena Pobočka Uživatel může pozorovat nekvalitní obraz (pixely) Zdroj videa Video na virtuálním desktopu může způsobit přetížení serveru nebo dostupné šířky pásma Branch Router T1 Zvýšení šířky pásma nemusí být dostatečné řešení Campus Data Center Uživatelé v LAN nepozorují zhoršení obrazu 85

83 Aplikace QoS na display protokol Pobočka Zdroj videa Pobočkový Router T1 Routing Protocol Video Display Protocol Data Center Protocols in the virtual desktop environment appear monochrome to QoS Lack of flow differentiation prevents prioritization within a display protocol stream Video stream competes with other flows in class (e.g.: P2P) 86

84 Aplikace QoS na VXI End User Workspace Campus or WAN Network Data Center Network Printer Cisco UCM Virtual Desktop Display Protocols (ICA, RDP, PCoIP) Network Print Traffic Desktop Display Protocol (ICA, PCoIP, RDP) Telephony Signaling (SCCP, SIP) Telephony Media (RTP, srtp) Cisco UCS with Service VMs (like print server) Locally Attached Printer VMWare/Citrix Cisco Unified Communications Endpoint (SCCP, SIP, RTP, SRTP) Cisco UCS with Virtual Desktops Local DC flows (Storage, Hypervisor management, etc) not shown 87

85 Redukce potřebné šířky pásma pomocí WAAS Poznámka: PCoIP nemůže být optimalizován pomocí WAAS. 88

86 CWAAS 4.5 optimalizace Citrix ICA AO WAAS dokáže optimalizovat zašifrovaný a komprimovaný provoz ICA spojení pro všechny verze XenDesktop a XenApp (nejsou vyžadovány žádné změny na ICA klientech, VDI desktopech nebo DC infrastruktuře) Obsahuje funkcionalitu DRE (Data redundancy elimination), která zajišťuje jednosměrný caching provozu ICA spojení, což zvyšuje škálovatelnost a výkon aplikací Head quarters Branch Office Edge Router Citrix HVD ICA client Display Protocol Branch WAE WAN Acceleration for Display Protocol Data Center WAE 89

87 Seconds (s) Kbps Cisco WAAS optimalizovaný pro Citrix Up to 70% Faster % 30 faster Response Time Up to 2X+ More Users % savings 2x users Bandwidth Consumption WAAS je vložen transparentně do zašifrované ICA/CGP (Common Gateway Protocol) komunikace. WAAS provádí optimalizaci pomocí inline komprese. WAAS provádí TCP flow optimalizace pro zajištění maximálního využití šířky pásma. WAAS provádí optimalizaci pomocí deduplikace dat napříč uživateli a je context-aware 90

88 ICA AO konfigurace pomocí WAAS CM 91

89 ICA AO konfigurace pomocí WAAS CM 92

90 Kde se můžete dozvědět více? Co je to virtualizace? 93

91 Kde se můžete dozvědět více? DCNX1K Implementing the Cisco Nexus 1000V 3 denní školení Kompletní informace k nexusu 1000v včetně instalace a konfigurace X9 Základy virtualizace X10 Základy virtualizace desktopů 1 denní školení X11 Využití MS nástrojů při nasazení VMware View 2 denní školení 94

92 PRAHA BRATISLAVA BUDAPEST