Cisco Borderless Network AM

Transkript

1 D Ů V Ě Ř U J T E S I L N Ý M Cisco Borderless Network AM Roman Aprias Network Architect

2 Obsah Úvod Back to Core Tranformace trhu "Good Enough" přístup Architektura - uzavírání propasti mezi byznysem a technologiemi Nové specializace Borderless Network Smart Business Architecture Proč potřebujeme referenční architekturu Co je SBA Pro jaké sítě je určena Jak se v SBA orientovat Quick Pricing Tool Cisco Commerce Workspace Součástí Borderless Network Přepínače Směrovače Mobilita (wireless) SecureX (bezpečnost) Energywise Management Application Velocity Medianet IPv6

3 D Ů V Ě Ř U J T E S I L N Ý M Cisco Back to core

4 Cisco základ úspěchu Interní inovace udělených patentů čekajících patentů inženýru miliard ročně na R&D - Proprietární technologie nebo budoucí standard? Akvizice Go-to-Market strategie - Ekosystém partnerů - Cisco akademie, systém certifikací

5 Network Core: Co znamená pro Cisco

6 Network Core: Co znamená pro Cisco Značka Kvalita Uznání Tradice Kultura Leadership a inovace

7 LAN Switching Revenue Share: Total L2+3 Managed 16% 80% 14% 70,4% 71,6% 75,2% 72,5% 72,9% 71,4% 69,7% 68,8% 71,8% 70% 12% 11,9% 11,9% Competitor Share (bars) 10% 8% 6% 10,6% 10,5% 9,3% 10,5% 10,3% 10,5% 9,9% 60% 50% 40% Cisco Share (line) 4% 2% 1,6% 1,3% 2,4% 1,7% 1,4% 2,1% 1,7% 1,5% 1,2% 2,4% 2,3% 1,9% 2,0% 2,1% 2,1% 1,8% 1,8% 1,9% 2,0% 2,0% 2,0% 2,0% 1,8% 1,8% 1,9% 1,6% 1,3% 30% 0% Q3CY09 Q4CY09 Q1CY10 Q2CY10 Q3CY10 Q4CY10 Q1CY11 Q2CY11 Q3CY11 20% HP Juniper Dell Brocade Cisco

8 Total Enterprise Routing Revenue Share 10% 8% 81,9% 83,0% 83,8% 81,9% 82,8% 81,8% 80,4% 78,0% 77,6% 7,1% 85% 80% 75% Competitor Share (bars) 6% 4% 2% 5,7% 5,6% 5,4% 5,5% 5,5% 5,0% 5,0% 3,4% 3,0% 2,8% 2,8% 2,9% 2,9% 2,6% 2,4% 2,5% 2,2% 1,4% 1,4% 1,1% 0,9% 1,3% 1,3% 1,3% 6,1% 6,0% 5,5% 5,3% 5,3% 3,4% 3,2% 2,9% 1,7% 1,8% 1,3% 70% 65% 60% 55% 50% Cisco Share (line) 0% Q3CY09 Q4CY09 Q1CY10 Q2CY10 Q3CY10 Q4CY10 Q1CY11 Q2CY11 Q3CY11 45% Juniper HP Huawei OneAccess Cisco

9 LAN Switching Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% 2009 Q Q Q Q Q Q Q Q Q3 Cisco HP Enterasys LG Ericsson/SMC Huawei Other Avaya D-Link Blade Networks Extreme Netgear ZTE Juniper Brocade Alcatel-Lucent

10 Routing Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 120,00% 100,00% 80,00% 60,00% 40,00% 20,00% 0,00% Enterprise 100,00% 90,00% 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% 2009 Q32009 Q42010 Q12010 Q22010 Q32010 Q42011 Q12011 Q22011 Q3 Cisco Huawei Alcatel-Lucent Tellabs ZTE Other HP Avaya Bintec Lancom 2009 Q Q Q Q Q Q Q Q Q3 Cisco Huawei Other ZTE HP Avaya Vanguard Siemens ZyXEL Bintec Service Provider + Enterprise

11 Přístup ksíti: DŘÍVE Omezené. Izolovaně fungující. Jednoduché Sestaveno účelově Omezená přenositelnost aplikací Ztráta flexibility DATA HLASOVÉ SLUŽBY ZAŘÍZENÍ

12 Transformace trhu 1.3 miliardy nových mobilních zařízení v příštích třech letech. 60%veškerého provozu v Cisco sítích je video. Objem videa se čtyřnásobí do roku 2014 na 767 exabytů. 66% zaměstnanců by vzalo méně placenou práci (10%), kdyby mohli pracovat odkudkoliv. 59% zaměstnanců chce používat jejich osobní zařízení v práci

13 Hranice se posunují Hranice Lokace Mobile Worker Aplikace s externím přístupem Interní aplikace IT Consumerization Hranice zařízení Video/Cloud Hranice Aplikace IaaS,SaaS

14 Vize: Organizace bez hranic Borderless Experience Bezpečnost Spolehlivost Video Energie TCO KDOKOLI COKOLI KDEKOLI KDYKOLI

15 Daná komplexnost sítě... Zvažte správný přístup k návrhu sítě NEDŮLEŽITÉ DŮLEŽITÉ DŮLEŽITÉ Technologie pro přístup k síti Porozumění požadavkům aplikací a požadavkům uživatelů v podniku Využití těchto poznatků při určování vhodné topologie sítě Odpovídající koncepce přístupu k síti umožní vašim uživatelům používat zabezpečené, spolehlivé a bezproblémové připojení k síti bez omezení místní infrastrukturou

16 Dostatečně dobrá síť nebo Podniková síť nové generace Jednoúčelová Sjednocená (pevná/bezdrátová, kontrola energie) Bezpečnost jako přívěšek Integrovaná bezpečnost konec-konec Neznalost aplikací a koncových zařízení Aplikační inteligence a optimalizace, Inteligence koncových zařízení Základní QoS Media Aware Control pro podporu integrace videa a hlasu Založená na standardech Standardy + Inovace zavádějící nové standardy Podpora základní zárukou Záruka+ Inteligentní služby s integrovanou správou Náklady na pořízení Ochrana investic a ROI

17 Jak vyhodnotit náklady na síť: TCO ne CAPEX Neúplný pohled na IT náklady zachytí pouze část nákladů na síť Důkladný pohled na IT náklady,zahrnuje služby, práce, šířku pásma, energie TCO Capex Pohled za TCO Byznys přínosy za TCO úspory energie, spolehlivost sítě (uptime), produktivita uživatelů

18 Uzavírání propasti mezi Byznysem a Technologií Cisco strategie Architektury Byznys výzvy Snížení TCO Snížení nákladů na energie Zvýšení produktivity Video Zjednodušení Byznys procesů Stálá mobilita Zvýšení spokojenosti zákazníka Kontinuita sítě Škálování Byznysu Efektivní správa Inovace technoligií LAN Switching Branch Routing Wireless Datacenter Switching Datacenter Routing

19 Specializace Collaboration Specializace jsou framework pro ověření znalostí partnerů Architecture Data Center Borderless Networks April 2011 Pomáhají partnerům porozumět vizi a směru Cisca Unified Computing Unified Fabric Obsahem směrují k architektuře Partnerům umožňují ukázat jejich kompetence a získat certifikace atd. Technology Data Center Networking Infrastructure Data Center Storage Networking Unified Communications Unified Communications Wireless LAN Unified Communications Security Security Small Business Foundation Routing & Switching Entry Express Advanced Master

20 Architektura Borderless Network Architektura pro flexibilní poskytování sítě bez hranic ZÁSADY SPRÁVA KONCOVÝ BOD BORDERLESS / SLUŽBY UŽIVATELŮM SLUŽBY BORDERLESS NETWORK Mobility: Cisco Motion Bezpečně, spolehlivě, bezproblémově: AnyConnect Správa energie: EnergyWise Zabezpečení: TrustSec Výkon aplikací: App Velocity Optimalizace pro multimédia: Medianet Aplikační rozhraní SYSTÉMY BORDERLESS NETWORK Unified Access Core Fabric Extended Edge Extended Cloud INFRASTRUKTURA BORDERLESS Bezdrátové připojení Směrování Přepínání Aplikační síťové služby / Optimalizace Zabezpečení INTELIGENTNÍ PROFESIONÁLNÍ A TECHNICKÉ SLUŽBY: rychlejší zhodnocení řešení Borderless Networks

21 D Ů V Ě Ř U J T E S I L N Ý M Smart Business Architecture

22 Proč referenční architekturu? Koncept Design

23 Chci navrhnout a implementovat síť Jak mám vědět co bude síť potřebovat v budoucnu a nemusel předělávat návrh a implementaci Jak to udělat rychle? Jak ji spravovat? Jak to vše dát správně dohromady? Jaké platformy mám vybrat? Jaké jsou best-practise?

24 Smart Business Architecture Snadné nasazení Konzistentní návrh přes všechny produkty Flexibilita a škálovatelnost Navrženo tak, aby růst organizace neznamenal kompletní redesign Odolnost a bezpečnost Provoz sítě musí zvládat výpadky a možné útoky Snadná správa Konfigurace zařízení Network Management Systemem Připraveno na pokročilé technologie Síť obsahuje všechny základní potřebné služby Investice Cisca 6000 hodin inženýrů 3 Laby s investicí $30M 8 Cisco partnerů pro validací třetí stranou Podílí se 14 partnerů jiných technologií

25 Síť střední velikosti (Midsize) Velikost Vzdálené pobočky Hostované aplikace Řešení 100 až 1000 připojených uživatelů Až 20 vzdálených poboček s průměrně 25 zaměstnanci Potřeba aplikací s externím rozhraním, hostované mimo. Bezpečnost: Korporátní zdroje Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu Možnosti migrace: Pro budoucí růst Testované řešení: Validované třetí stranou

26 Síť střední velikosti Cílem je připojených uživatelů (5 15 serverů) CCNA technická úroveň Připravené vzory konfigurací rozšiřitelné o specifické politiky Servers Server Room Switch Server Room Headquarters Server Room Stack Unified Communications Management Host Branch Router With IDS and Application Acceleration Branch Switch Wireless Access Point Branch WAN PSTN Internet Application Acceleration Campus Router Firewall Core Core Switch Stack Wireless LAN Controller Client Access Switch Client Access Switch Stack Hardware and Software VPN Teleworker/ Mobile Worker Wireless Access Point Access

27 Podniková síť Velikost Vzdálené pobočky 2,000 až 10,000 připojených uživatelů Až 500 vzdálených poboček Hostované aplikace Serverovna Řešení Potřeba aplikací s externím rozhraním, hostované mimo. Aplikace organizace Bezpečnost: Korporátní zdroje Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu Možnosti migrace: Pro budoucí růst Testované řešení: Validované třetí stranou

28 Podniková síť Cílem je uživatel CCNA technická úroveň Připravené vzory konfigurací rozšiřitelné o specifické Hardware and Software VPN Teleworker/ Mobile Worker Wireless Access Point Remote Client Access Switch Branch Router with Application Acceleration Collapsed Distribution/ Core Switches Internet WAN WAN Aggregation Application Acceleration Wireless LAN Controller Local Area Network Internet Edge Routers Remote Access VPN VPN Firewall Internet Edge Security Appliance Guest WLAN Internet Servers Web Security Appliance Core Switches Data Center politiky Wireless LAN Controller Regional Router Distribution Switches Application Acceleration Client Access Switches Regional Office Building 1 Building 2 Building 3 Building 4

29 Navigace v SBA- přehled

30 Navigace v SBA Midsize Borderless Network

31 Seznam hardware Part Number Doporučené a otestované verze software Functional Area Branch router modules Branch Switch Internet Edge Firewall Headquarters Intrusion Prevention System Application Acceleration Headquarters CM Headquarters endpoint Product Part Numbers Software Version Wide Area Acceleration Module Intrusion Prevention Module Catalyst 3750G Stackable 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Cisco Catalyst 3560G 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Adaptive Security Appliance ASA 5510 with the SSM-10 IPS Module Cisco Intrusion Prevention System 4200 Series NME-WAE-502-K9 AIM-IPS-K9 WS-C3750G-24PS-S WS-C3750G-48PS-S WS- C3560G-24PS-S WS-C3560G-48PS-S ASA5510-AIP10-K9 IPS-4240-K9 (300 Mbps) IPS-4255-K9 (600 Mbps) IPS-4260-K9 (2 Gbps) 4.1.5b 7.0(1)E SE ED 7.0(1)E3 7.0(1)E3 WAVE 574 WAVE 274 WAVE-574-K9 WAVE-274-K b Wireless Access Points 1140 Fixed with Internal Antennas 1250 Ruggedized, External Ant. AIR-LAP1142N (Country-specific) AIR-AP1252AG (Country-specific) Wireless LAN Controller WLC 5508 AIR-CT K Unified Communications Cisco Unified Communications Manager MCS 7835 MCS7835I3-K9-CMC2 (2 required) MCS7825I4-K9-8.0(2c) 8.0(2c) CMC Cisco Unity Connections MCS 7825 UCB UCB1

32 Quick Pricing Tool

33 Quick Pricing Tool přehled SBA Midsize pouze Ušetření času při vytváření nabídky Sníženi komplexnosti Jednodušší Wizardi Otázky na zodpovězeni bez technika Různé velikosti řešení pro škálování budoucího růstu Vytvoření nabídky u zákazníka Desktop aplikace umožňující offline práci Propojení na distributora

34 Cisco Commerce Workspace Nový nástroj pro zpracování celého prodejního cyklu Partner DEAL Who s Involved/ About the Deal/ Promotions Qualify for some promotions* Partner QUOTE Items/ Buy Method/ Discounts/Credits Approve Partner ORDER Distribution pricing sent to disti and/or Cisco Direct with deal ID

35 Přepínače D Ů V Ě Ř U J T E S I L N Ý M

36 Catalyst 4500E Supervisor 7 Supervisor 7-E Větší kapacita, více portů, více route 848Gbps přepínací kapacita 4 x 10G Uplinks /100/1000 ports 3,6,7 and 10 slot chassis 96 SFP+ LC ports 256K Routes Supervisor 7L-E 520Gbps přepínací kapacita 2 x10g or 4 x 1G Uplinks /100/10000 ports 3,6 and 7 slot chassis 60 10G LC Fiber ports 64K Routes Vlastnosti 48Gbps per slot (47xx karty) (4507R+E, 4510R+E) Netflow VSS (roadmapa) Trustsec

37 Catalyst 4500-X Fixní agregační přepínač 16x nebo 32x 10GE + 8x 10GE volitelný uplink 800 Gbps propustnost Front-to-back/Back-to-front airflow Vlastnosti jako SUP7 (VSS*, Netflow atd.)

38 Catalyst 6500 instalovaná báze aneb proč Cisco stále investuje do ,000+ chassis 1.2 mil supervisorů 110 mil portů 1.6 mil 10G optických portů 16 mil1g optických portů 44,000+ zákazníků 2,800 vlastností

39 SUP2T, 6513-E 80G/slot na všech13 slotechw/ Sup2T 2 Tbps výkon, 4 Tbps VSS Až 180x10GE portů 534x1GE portů nonxl (256K) a XL verze (1M)

40 SUP2T nové karty(všechny s DFC4) 69xx 80G/Slot 68xx 40G/Slot 8 x 10G 4 x 40G nebo 16 x 10G MacSec, OTV a LISP ready 24 x 1G SFP 48 x 1G SFP a 10/100/ x 10G X2 a 10GBase-T

41 6500 Porovnání cen nových karet

42 Upgrade instalované báze na SUP2T

43 Nové servisní moduly

44 Nexus RU kompaktní chassis Možná náhrada GE portů 550 Gbps/Slot (FAB2)

45 Nexus 7000 M vs F serie karty M1, M2 Více funkcí, velké tabulky F1, F2 Rychlejší, specializované funkce Levnější, nízká latence

46 Nexus 3000 Burzy, HFT, propojení superpočítačů, clustery atd. Ultra nízká latence L3 směrování 1G/10G/40G Konektivita Twinax QSFP+ to QSFP+ QSFP+ na 4 x SFP+ chobotnice Optika modul SR4

47 Směrovače D Ů V Ě Ř U J T E S I L N Ý M

48 Softwarové vs Hardwarové zařízení Univerzální vs specializovaná zařízení Univerzální např. směrovače do poboček Všechny vlastnosti zařízení jsou implementovány v SW na univerzálním CPU (podobný jako např. v PC) Není tedy problém s jakkoukoliv novou funkcionalitou Výkonnost zařízení je dána rychlostí CPU a bývá omezená (běžně směrovače max. rychlosti 1Gbps) Podpora nové funkcionality znamená změnu v SW Zapínání vlastností znamená pokles výkonnosti Specializovaná např. páteřní směrovače Internetu Požadavek na obrovskou výkonnost a propustnost (až Tbps) Realizované na specializovaný HW obvodech Ty většinou podporují vlastnosti dané jejich návrhem v době výroby Pokud se na to při výrobě nemyslelo, novou vlastnost většinou už později přidat nejde Nové vlastnosti většinou už nebudou podporovat Zapínaní vlastností nemá vliv na výkonnost

49 Služby integrované ve směrovači Snížení nákladů asložitosti infrastruktury pobočky Zář 2004 Říj 2009 Překryvná zařízení Integrované služby Virtualizované služby Počítače Síť Úložiště Spolupráce Bezdrátová síť LAN Optimalizace sítě WAN/aplikací Zabezpečovací zařízení Zařízení pro hlasové služby Základní příčina vysokých nákladů a komplexnosti Tradiční pobočka Více zařízení Nákladný provoz Složitá správa Směrovač ISR S podporou hlasových a bezdrátových služeb, videa, optimalizace sítě WAN, přepínač Úspora celkových nákladů na vlastnictví (TCO) Pobočka Empowered Jedno zařízení Nižší celkové náklady na vlastnictví (TCO) Menší složitost Směrovač ISR G2 Integrované moduly Service Ready Engine a služby na vyžádání Zvýšení úspory celkových nákladů na vlastnictví (TCO) až na 75 % Pobočka Borderless Flexibilní infrastruktura Nejnižší celkové náklady na vlastnictví (TCO) Ochrana investic

50 Integrated Services Routers 11 miliónu prodaných směrovačů

51 Pozicování ISR G2

52 UCS Express App OS App OS SRE-V Hypervisor SRE Blade CIMCE App OS IOS, MGF Backplane Switch App OS SRE-V Hypervisor SRE Blade Platforma pro aplikace Microsoft Windows Server certified Virtualizace serveru Cisco SRE Virtualization powered by VMware vsphere Hypervisor TM (ESXi) Dedikovaný blade management Cisco Integrated Management Controller Stejný management pro UCS rodinu Víceúčelové x86 blade Cisco Service Ready Engine modules Až 4 server bladevisr G2 Integrace do jednoho síťového zařízení Všechna zařízení v jednom ISR G2 chassis Multi-Gigabit Fabric backplane přepínač

53 Malá kancelář v racku ISR G2 UCS-E Bezserverová pobočka Datové centrum / Cloud Štíhlá pobočka Datové centrum / Cloud Pobočka s plným rozsahem služeb Datové centrum / Cloud Pobočka WAN/internet Pobočka WAN/internet Pobočka WAN/internet Bez místních serverů Plná závislost na síti WAN Jednoduchost, nízké náklady Bez záruk služeb 1 2 místní servery Plná závislost na síti WAN kromě provozně kritických aplikací Všechny servery místní Bez závislosti na síti WAN Složitost, vysoké náklady Záruky služeb

54 Malá kancelář v racku ISR G2

55 Bezpečnost ISR směrovačů Řešení pro zabezpečené sítě Kontinuita podnikání Zabezpečená hlasová komunikace Zabezpečená mobilita Dodržování předpisů Integrovaná správa hrozeb Rozšířený firewall Filtrování obsahu Prevence napadení Pružné porovnávání paketů Řízení přístupu v síti 802.1x Zabezpečení infrastruktury sítě Bezpečné připojení Správa a instrumentace GET VPN DMVPN Easy VPN SSL VPN Profesionální konfigurace CCP Přístup na základě rolí NetFlow IP SLA

56 End-of-Sale a End-of-Support Legacy směrovače a ISR

57 ISR G3

58 ASR1000 Čistokrevný směrovač Podpora spousty funkcí a rozhraní IOS XE, Linux middleware QuantumFlow procesor 5 letý vývoj Masivně paralelní 40 více vláknových jader Architektura navržena pro škálování > 100Gbit/sec Nízká latence Připojení externího kryptovacího engine

59 7200 a její nástupce ASR ASR $ 22000$ 1.8Gpbs (bez služeb) 2.5Gbps (služby) Upgrade na 5Gbps 15 let, prodaných 7200 Důležitá data: July 14, 2011: internal announcement Sept 30, 2011: external announcement Sept 29, 2012: End of Sale Sept 29, 2015: End of Software Maintenance Sept 29, 2017: Last day of support

60 Mobilita (Wireless) D Ů V Ě Ř U J T E S I L N Ý M

61 WIFI a očekávání Když se studenti vrátili tento rok, kdyby jste chtěli odhat kolik studentů bude používat WIFI tipl bych 40%. Byl jsem ohromen, 85% studentů používá WIFI. Scott Ksander, Purdue University

62 Bezdrát přehled Management and Control(Cisco Prime) NCS ISE Mobility Service Engine Enterprise Deployment Branch Controllers 5508 WISM ISM/SM Carpeted Outdoor i Rugged r e

63 Rádiové spektrum Spektrum může být alokováno pro specifické uživatele Civil, Vláda, Armáda, Komerce, Televize, Radar, Mobilní telefony, rádia atd. Nelicencované nebo průmyslové, vědecké, zdravotní pásma Nelicencované nebo licencované pravidly Ve většině zemí nevyžadují licenci, můžou vyžadovat registraci Rádiové frekvence jsou sdílený zdroj Každá země ma vládní agenturu pro regulaci Mezinárodně spravuje ITU

64 Záleží na non-wifi interferenci? Studie na toto téma prokázaly... Snížení dosahu Snížení kvality hovoru Nedivatelné video... dramatickou ztrátu v kvalitě mobilních bezdrátových služeb při interferenci

65 Spektrální analýza Cisco CleanAir Typický WIFI chipset

66 CleanAir Vážnost interference AIR Quality Index Lokalizace WCS, MSE Akce Wireless LAN Controller POOR GOOD Udržování kvality spektra Vizualizace a troubleshooting CH 1 CH 11

67 Bezdrátová bezpečnost IP and Application Attacks & Exploits Traditional IDS/IPS Layer 3-7 WiFi Protocol Attacks & Exploits wips Layer 2 RF Signaling Attacks & Exploits CleanAir Layer 1 Monitoruje zranitelnosti neviditelné stávajícím systémům Rouge AP Detekuje nové nedetekovatelné Rogue/Clients WiFi Rušičky 2.4 GHz 5 GHz Lokalizuje a umožní rychlé odstranění rušiček

68 Wireless IPS (wips) WCS Průzkum, Crack, DoS Detekce útoku Klasifikace/alert Akce Obrana proti útokům Man in the Middle Attacks MAC Spoofing Fake AP Attacks Denial of Service RF Jamming De-auth, De-association, CTS/RTS Flood Active WEP Cracks (ChopChop, ARP Replay) Forézní schopnosti Anomaly detection engine detekce Zero Day útoků

69 ClientLink a/g X Síla signálu n a/g Klientské spojení není optimální, vytváří nepokrytá místa

70 ClientLink a/g Úprava signálu n Inovace v Cisco AP čipu Nedostupné v běžných AP ClientLink upravuje signál a vylepšuje výkon a pokrytí pro a/g Devices

71 D Ů V Ě Ř U J T E S I L N Ý M SecureX Bezpečnost

72 Hacking? ANONYMOUS Script kiddie Hacker vs Cracker DDoS útoky Vlády Odposlouchavání Kevin Mitnick Sociální inženýrství

73 Temná strana WEBu 80% Webu je nekategorizováno, vysoce dynamické nebo nedosažitelné vyhledávacími roboty Botnety Dynamický obsah Zaheslované stránky Uživatelsky generovaný obsah Krátkodobé stránky Známý WEB 20% pokryto v seznamech URL

74 Útoky přes Web 54% malware nákaz je kvůli iframe a exploitum Cross-site scripting a SQL Injection jsou TOP útočící metody 83% všech stránek má alespoň 1 vážnou zranitelnost Přes 70%procent kompromitovaných stránek jsou legitimní Nové zranitelnosti v Adobe PDF a Flash

75 New York Time oběť útoku přes reklamu Zdánlivě legitimní reklama přidává škodlivý kód, který způsobí přesměrování Cíl: protection-check07.com Scareware Cisco Web Rep Score: -9.3 Default Action: BLOCK NYT stránka funguje, škodlivé přesměrování je blokováno Full-screen pop-up simuluje reálný AV program, nutí uživatele si koupit plnou verzi, aby vyčistili počítač

76 Monitoring, databáze a korelace Cisco SenderBase Největší světová monitorující síť Reputace Informace o konkrétní IP adrese zákazníků globálně 8 z 10 TOP poskytovatelů Přes 500GB dat za den 500 zdrojů třetích stran 300 milionu chráněných uživatelů

77 Ironport ová bezpečnost Webová bezpečnost Management Leadership 42 ze 100 největších společností 8 z 10 největších ISP Armáda US 600+ partnerů Infrastruktura Ironportu je v 75 zemích

78 Řízení přístupu

79 Cisco ScanSafe Cloud Služby Konzistentní, vynutitelná, výkonná Webová bezpečnost, nezávisle kde a jak se uživatelé připojují do Internetu.

80 Bezpečnost v LAN

81 Co je to Trustsec? Může být matoucí Můžeme považovat za NAC nové generace Zahrnuje vše co má něco společného s identitou IEEE 802.1X (Dot1x) Cisco NAC Appliance Profiling Technologies Guest Services Secure Group Access (SGA) MACSec (802.1AE) Access Control Server (ACS) Identity Services Engine (ISE)

82 Takže Trustsec = Identita? Ano, ale jako systém nebo řešení identity Politiky definované na serverech jsou jenom tak dobré jako zařízení je vynucující politiky (přepínače, WLC, firewally atd.) Co je to Identita? Rozumět tomu KDO/CO/KDE/KDY a JAK uživatel nebo zařízení přistupuje do sítě Proč je identita důležitá Autentizace = Nedovolit se dostat outsiderum dovnitř Autorizace = Udržet insidery v mezích, personalizace sítě Evidence = Zvýšení dohledu nad sítí

83 802.1x Přidaná hodnota sítě, prvky obsahují Implementace musí být pečlivě připravená U enterprise zákazníků spíše organizační oříšek než technický

84 MACSec (802.1AE) Hop-by-hop zajištění utajení a integrity Síť stále vidí do provozu a může aplikovat jakoukoliv inteligenci Podpora v HW, žádny dopad na výkonnost nebo zpoždění Podpora: Nexus 7000, SUP7 a nové karty na 4500, SUP2T a nové karty na 6500, některé fixní přepínače vaná data Nešifrované Šifrovaná data Nešifrované Šifrovaná data TrustSec /802.1AE TrustSec /802.1AE TrustSec /802.1AE Dešifrování na vstupu Šifrování na výstupu Dešifrování Šifrování Provoz je uvnitř systému nešifrovaný a přístupný pro všechny operace

85 Identity Services Engine Policy server Konzolidované SW balíky a služby Správa relací Flexibilní nasazení služeb ACS NAC Manager NAC Profiler NAC Server ISE User ID Access Rights All-in-One HA Pair Admin Console M&T NAC Guest Location Device (& IP/MAC) Distributed PDPs Zjednodušené nasazení a administrace Rozšiřitelné politiky Sledování aktivních uživatelů a zařízení Skupinový přístup Optimalizované a škálovatelné služby Monitorování a troubleshooting SGT Public Private Staff Guest Permit Permit Permit Deny Správa politik Zjednodušená kontrola Reporting, logování, snadná lokace problému

86 Přístup na základě politik Informace o identitě Jiné podmínky Přístupové oprávnění Identita: Network Administrator Čas a datum Konzultant Human Resources Identita: Full-Time Zaměstnanec + Lokace Finance Marketing Identita: Návštěva Typ přístupu Návštěva Zakázání přístupu

87 Anyconnect SSL VPN 802.1x supplicant Scansafe konektor Přijatelné použití Řízení přístupu Prevence ztráty dat Nekonfigurovatelná zařízení, riziko ztráty dat a nedostatečná dostupnost Bezproblémové, stabilní služby umožňující použití flexibilních zásad zabezpečení

88 Energywise D Ů V Ě Ř U J T E S I L N Ý M

89 Spotřeba energie = Operational Costs Úspora nákladů růst cen energií penetrace IT Video aplikace Další důvody regulační nařízení (např. EPBD2) vládní nařízení Green iniciativy

90 Trendy v IT infrastruktuře Chytrá infrastruktura monitorování spotřeby, reporting, řízení Každé zařízení může být více Green Vypnout nebo snížit spotřebu Otevřený přístup ke všem zařízením i ne-it IP protocol Značná úspora nákladů Splnění nařízení (nebude postih) Snížení emise skleníkových plynů

91 Power over Ethernet Rozvíjející se trend k napájení zařízení přes PoE Původně IT (IP telefony, později AP,...) Nyní (Virtual Desktop Infrastructure) VDI, Videokonference, kamery Ne IT zařízení (přístupové systémy, světýlka,...) 2003: IEEE 802.3af PoE -~15W 2009: IEEE 802.3at PoE+ ~30W 2011: Cisco UPOE (Universal PoE) ~60W

92 A vyplatí se to všude? Kde je největší příležitost? Vertikála Příležitost Důvody Školství Vysoká Večery, víkendy, svátky a prázdniny Maloobchod Vysoká Hodně poboček Veřejný sektor Vysoká Většinou fixní pracovní doba Hotely Vysoká Nezaplněné hotelové pokoje Realitky Vysoká Přidané služby v managementu budov Finance Vysoká Mimo pracovní dobu úspory, pobočky, banky, pojišťovny atd. Zdravotnictví Střední 24x7provoz znamená méněpříležitosti, přesto existují administrativní části atd. Manufaktura Střední Záleží na businessu. Většinou 24x7 provoz Transport Střední Záleží na businessu. Letiště např. 24x7x365

93 ... asi to bude chtít nějakou kalkulačku Revenue kalkulačka

94 Building Management trendy Propojení dvou světů na různých komunikačních protokolech GW od výrobců, kteří jsou v budovách doma

95 Energywise architektura

96 Energywise management

97 Energywise koncové zařízení

98 Zelené iniciativy Czech Green Building Council (CZGDBC, Česká rada pro šetrné budovy) Duben 2011: Cisco se stává členem CZGBC První IT/networking členská firma v České republice!!! CZGBC je nezisková organizace, jejímž cílem je vytvořit legislativní, tržní a kulturní prostředí, přispívající k rozvoji staveb šetrných k životnímu prostředí. Květen 2011: Cisco je sponzorem konference Šetrné budovy (Green Buildings) května 2011 ( Společná prezentace se Schneider-Electric Listopad 2011: V rámci CZGBC založena technologická pracovní skupina Cisco + Schneider Electric Cisco je členem USGBC od r Viz také EU regulations (EU , EPBD II) Certifikační systémy budov LEEDS, BREEAM, atd.

99 Energywise LAN síť Energywise je součástí Cisco přepínačů Přidaná hodnota už existující sítě Kompetetivní výhoda oproti konkurenci Cisco Catalyst 2900 Series Cisco Catalyst 3560-E & Cisco Catalyst 3560 Cisco Catalyst 3750-E & Cisco Catalyst 3750 Cisco Catalyst 4500 EtherSwitch Modules Cisco Integrated Services Routers G2 Cisco Catalyst 2960-S Cisco Catalyst 3750-X and Cisco Catalyst 3560-X

100 Management D Ů V Ě Ř U J T E S I L N Ý M

101 Sítě jsou dnes velmi komplexní

102 První možnost návrhu, nasazení a provozu vaší sítě Geeky the Geek Komplexní Manuální Náchylné na chyby

103 Cisco Prime pro Enterprise Jednotný Look & Feel a integrace nástrojů přes všechny produkty

104 Case Study: LMS pro nasazení Energywise IT chce nasadit Energywise pro monitorování a šetření nákladů 1. Definování politiky 2. Připravení sítě 3. Konfigurace sítě 4. Aplikování politiky 5. Monitorování úspor Monitorování nákladů Rychlé nasazení služby Snížení chyb při nasazování Okamžitý ROI Automatická konfigurace

105 Case Study: Collaboration Manager pro troubleshooting videa Uživatel má problém s video přenosem při Telepresence mezi centrálou a pobočkou. Provozní oddělení musí najít a odstranit problém. 1. Identifikace a vybrání relace 2. Zjištění stavu relace 3. Průzkum a vizualizace cesty média 4. Rychlé izolování příčiny problému 5. Náprava problému Rychlé izolování a troubleshooting služby Vylepšení kvality služby a uživatelské zkušenosti

106 Case Study: NAM pro řešení problému s výkonem aplikací Uživatelé si stěžují na pomalou odezvu aplikací 1. Identifikace aplikací s vysokou odezvou 2. Analýza výkonu aplikace v čase 3. Zaměření se na problémové časy 4. Identifikace TOP N ovlivněných klientů a serverů 5. Analýza aktivity serveru 6. Vyřešení problémů Možnost zjištění chování síťového provozu Optimalizace a troubleshooting sítě a výkonu aplikací

107 D Ů V Ě Ř U J T E S I L N Ý M Application Velocity Výkonnost aplikací

108 Problémy s výkonností WAN/Internet DC/Cloud Business aplikace, mobilní aplikace, video Nedostatek viditelnosti a kontrola Nové aplikací (mobilní, video, VDI...) Různé modely nasazení (lokální hosting, DC, cloud) Využití šířky pásma Zbytečné využití Non business aplikace Neefektivní transport aplikací Zpoždění, zvyšující s odezva aplikací Spolehlivost sítě Výpadky Zahlcení WAN může být překážkou konsolidace

109 Application Velocity Viditelnost a kontrola Průzkum síťového provozu s rozeznáním jednotlivých aplikací Viditelnost na úrovni vnitřku paketů Monitoring využití aplikací a anomálií Reporty pro plánování kapacity Prioritizace business kritických aplikací Klíčové produkty IOS NBAR, Flexible Netflow (směrovače, některé přepínače) Network Analysis Module NAM Appliance, servisní modul, virtuální modul QoS Kategorizace provozu a aplikování politik

110 Application Velocity Akcelerace a optimalizace Některé protokoly byly navržene pouze pro běh na LAN Optimalizace protokolů aplikací zvyšující rychlost Komprese snižující objem provozu Cache často používaných souborů šetřící pásmo Klíčové produkty WAAS appliance, SRE, Express, virtual

111 Application Velocity Síťová a aplikační flexibilita (agility) Centralizace většiny IT, hostování vybraných aplikací na pobočce Windows služby Speciální aplikace Vykonnost pro vybrané lokální aplikace Business continuity Klíčové produkty: UCS-Express, WAAS-VB, Performance Routing, Webex node

112 Medianet Optimalizace multimédií D Ů V Ě Ř U J T E S I L N Ý M

113 Služby Medianet Transformace služeb přenosu hlasu a obrazu na pobočkách Bez rezervace zdrojů, snížení kvality přenosu hlasu a videa Kontextově orientovaný, prioritní, vysoce kvalitní přenos hlasu a videa Schůze ředitele Jednání vedení Sportovní událost Schůze ředitele Jednání vedení Sportovní událost Medianet inteligentní síť optimalizována pro náročná média, kombinuje inteligenci v Mediích Detekce a optimalizace různych médií a aplikaci (telepresence, video dohled, sdílení desktopu, streamovani atd.) Koncových zařízeních Automaticky detekuje a nakonfiguruje Síti Umí se adaptovat na změny v zařízeních, připojeních a dostupnosti služeb

114 Cisco Medianet příklad

115 IPv6 D Ů V Ě Ř U J T E S I L N Ý M

116 Od studené války k dnešnímu Internetu 1969 Arpanet 1972 První ový program 1973 TCP/IP 1984 První komerčně úspěšný směrovač 1990 Končí Arpanet 1986 NSFNET 1987 Vzniká pojem Internet 1989 CERN hypertext, www 1993 První www prohlížeč, zdarma 1994 Komercionalizace Internetu milionů uživatelů milionů milionů ,8 miliardy 2010 přes 2 miliardy

117 Proč potřebujeme IP? Přirovnání k poštovnímu systému (nebo telefonní...)

118 Jak nám mohli dojít IP adresy? Teoreticky 4 miliardy IP adres Prakticky 250 miliónu koncových zařízení Šetření IP adresami (různé mechanismy viz dále) Zdroj grafu:

119 Odkud se berou? A kdytedydošly? Registrátoři Únor 2011 došly adresy IANA Každý region alokuje jinou rychlostí Regionálním registrátorům došly nebo brzo dojdou Poskytovatelé podle toho jak mají nasysleno Zákazníci Poskytovatelé Zdroj grafu:

120 Kdo je na tom nejhůře? Asie Pacifik Přidělené bloky nevystačili ani 2 měsíce APNICu došly adresy kromě posledního bloku /8 Pro ten uplatněna speciální alokační politika (každý pouze 1024 adres, 7000 AUD v prvním roce na poplatcích) APNIC odmítá žádosti o alokace Evropa Méně než tři volné bloky Zpřísněná pravidla Vyčerpání může nastat kolem přelomu letošního roku Co bude dále Rozdílné docházení adres v regionech nerovnováha, šedý trh Obchod v rámci regionů výhoda pro ARIN (velké alokace z počátku Internetu) Vzrůstající cena IPv4 adres Špatná obchodovatelnost štěpení bloků Fragmentace IPv4 prostoru narůstání globálních směrovacích tabulek

121 Nová verze IP? 1991 Studie o vyčerpání IP adres při současném tempu do roku 2008 Dostatek času na vývoj nového protokolu (odstranit nedostatky současného IP) První IPv6 (IPng) standardy Mechanismy pro šetření IP adresami Nové vlastnosti implementovány do IPv4... Nedostatek motivace IPv6 ROI?, IPv4 zisky teď, IPv6 nikdo nechce... Adresami šetříme a máme jich přece dost Nové aplikace (peer-to-peer) Jejda, ony už došly Je IPv6 dozrálé? Kdo je připraven? Co výrobci zařízení?

122 IPv6, máme dost adres? Nebude se problém znovu opakovat? IPv6 =2 128 = 340,282,366,920,938,463,463,374,607,431,768,211, miliard = 48 kvadriliard adres na člověka Populace 7 miliard lidí 48 kvadriliard 100 miliard = 486 biliard adres na každou buňku mozku člověka na zemi Mozek má typicky asi 100 miliard buněk Nejvyšší pojmenovaná jednotka dle SI soustavy je 2 51 oktiliarda

123 IPv6, máme problém vyřešen? Ideální řešení, pojďme všichni naráz zapnout IPv6... Nekompatibilita mezi IPv4 a IPv6, zařízení si mezi sebou nepopovídají Hi, I want to send you packet??? IPv4 您 好, 我 想 給 你 包??? IPv6 Zařízení bez podpory IPv6, některé ani nikdy podporovat nebudou Servery, služby, aplikace nepřipravené na IPv6 Administrátoři... nejsou připraveni IPv6, co to je? Takovou hnusnou dlouhou adresu se učit nechci (2001:0DB8:0000:0000:FFFF:0000:0000:0ADC) Některé věci fungují jinak než jsme zvyklí v IPv4

124 IPv6, máme problém vyřešen? Chytré řešení, pojďme používat oba protokoly Nové zařízení budou dostávat oboje adresy Při komunikaci si vyberou, který protokol použijí Odborně nazýváno DUAL STACK IPv4 IPv4 IPv6 IPv6 Realita... Poskytovatel: zákazníku dostaneš dvě adresy Registrátor adres: ehm, je mi líto, ale IPv4 adresy přece došly Čekali jsme příliš dlouho. Co mohlo být bezbolestné, teď úplně jednoduché nebude. Nastupují improvizace Masivní několikanásobné překlady adres, za cílem efektivnějšího využití IPv4 adres Překlady adres mezi IPv4 a IPv6 (NAT64) Tunelování IPv6 ostrůvků přes IPv4 Plus k tomu všemu zamozřejmě DUAL STACK Atd...

125 Podpora IPv6 na zařízeních Škálování a limity zařízení Specializovaná zařízení mají HW paměti určité velikosti Musí v současné chvílí pojmout IPv4 a IPv6 sítě IPv6 sítí zvládne méně než IPv4 (4 x delší adresa) Může vzniknout potřeba licence na provoz IPv6 vlastností Co umí nějaká vlastnost v IPv4 nemusí umět v IPv6 Obecně Páteřní zařízení podporují IPv6 vlastnosti velmi dobře Koncová zařízení na tom bývají hůře Firewally, load-balancery atd. záleží podle výrobce IPv6 Ready Logo testy a kompatibilita zařízení Fáze I. Základní podpora (silver) Fáze II. Kompletní podpora (gold)

126 Kroky k nasazení IPv6 1. Analýza externích a interních aplikací a služeb pro IPv6 2. Definování týmu, který bude pracovat na nasazení IPv6 3. Analýza současného stavu připravenosti na nasazení IPv6 4. Plánování vzdělávání v IPv6 5. Získání IPv6 adres 6. Volba architektury a postupu nasazení IPv6, příprava designu 7. Implementace pilotního projektu, testování 8. Definice bezpečnostní politiky 9. Specifikace vyjímek z IPv6

127 Jaký je stav v ČR? (* nikomu nehrozí v případě nedodržení žádný postih, ani neexistují páky, jak příslušné úřady přinutit k poslušnosti) Dle usnesení*vlády ČR číslo 727 musí ministři zajistit zpřístupnění služeb/portálů na IPv6 již do konce roku 2010 a všechny obnovované aktivní prvky musí již nyní umět IPv6. Podniková sféra spíše vyčkává, někdy požadována podpora IPv6 při obnově NIC.CZ nárust domén s podporou IPv6 NIX nárust provozu v Českém Internetu Zdroj grafu: Zdroj grafu: