D Ů V Ě Ř U J T E S I L N Ý M Cisco Borderless Network AM Roman Aprias Network Architect
Obsah Úvod Back to Core Tranformace trhu "Good Enough" přístup Architektura - uzavírání propasti mezi byznysem a technologiemi Nové specializace Borderless Network Smart Business Architecture Proč potřebujeme referenční architekturu Co je SBA Pro jaké sítě je určena Jak se v SBA orientovat Quick Pricing Tool Cisco Commerce Workspace Součástí Borderless Network Přepínače Směrovače Mobilita (wireless) SecureX (bezpečnost) Energywise Management Application Velocity Medianet IPv6
D Ů V Ě Ř U J T E S I L N Ý M Cisco Back to core
Cisco základ úspěchu Interní inovace - 4700 udělených patentů - 3000 čekajících patentů - 16 000 inženýru - 5.2 miliard ročně na R&D - Proprietární technologie nebo budoucí standard? Akvizice Go-to-Market strategie - Ekosystém partnerů - Cisco akademie, systém certifikací
Network Core: Co znamená pro Cisco
Network Core: Co znamená pro Cisco Značka Kvalita Uznání Tradice Kultura Leadership a inovace
LAN Switching Revenue Share: Total L2+3 Managed 16% 80% 14% 70,4% 71,6% 75,2% 72,5% 72,9% 71,4% 69,7% 68,8% 71,8% 70% 12% 11,9% 11,9% Competitor Share (bars) 10% 8% 6% 10,6% 10,5% 9,3% 10,5% 10,3% 10,5% 9,9% 60% 50% 40% Cisco Share (line) 4% 2% 1,6% 1,3% 2,4% 1,7% 1,4% 2,1% 1,7% 1,5% 1,2% 2,4% 2,3% 1,9% 2,0% 2,1% 2,1% 1,8% 1,8% 1,9% 2,0% 2,0% 2,0% 2,0% 1,8% 1,8% 1,9% 1,6% 1,3% 30% 0% Q3CY09 Q4CY09 Q1CY10 Q2CY10 Q3CY10 Q4CY10 Q1CY11 Q2CY11 Q3CY11 20% HP Juniper Dell Brocade Cisco
Total Enterprise Routing Revenue Share 10% 8% 81,9% 83,0% 83,8% 81,9% 82,8% 81,8% 80,4% 78,0% 77,6% 7,1% 85% 80% 75% Competitor Share (bars) 6% 4% 2% 5,7% 5,6% 5,4% 5,5% 5,5% 5,0% 5,0% 3,4% 3,0% 2,8% 2,8% 2,9% 2,9% 2,6% 2,4% 2,5% 2,2% 1,4% 1,4% 1,1% 0,9% 1,3% 1,3% 1,3% 6,1% 6,0% 5,5% 5,3% 5,3% 3,4% 3,2% 2,9% 1,7% 1,8% 1,3% 70% 65% 60% 55% 50% Cisco Share (line) 0% Q3CY09 Q4CY09 Q1CY10 Q2CY10 Q3CY10 Q4CY10 Q1CY11 Q2CY11 Q3CY11 45% Juniper HP Huawei OneAccess Cisco
LAN Switching Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% 2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3 Cisco HP Enterasys LG Ericsson/SMC Huawei Other Avaya D-Link Blade Networks Extreme Netgear ZTE Juniper Brocade Alcatel-Lucent
Routing Trend v ČR (Enterprise Switching, L2&L3 Managed Switches) 120,00% 100,00% 80,00% 60,00% 40,00% 20,00% 0,00% Enterprise 100,00% 90,00% 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% 2009 Q32009 Q42010 Q12010 Q22010 Q32010 Q42011 Q12011 Q22011 Q3 Cisco Huawei Alcatel-Lucent Tellabs ZTE Other HP Avaya Bintec Lancom 2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3 Cisco Huawei Other ZTE HP Avaya Vanguard Siemens ZyXEL Bintec Service Provider + Enterprise
Přístup ksíti: DŘÍVE Omezené. Izolovaně fungující. Jednoduché Sestaveno účelově Omezená přenositelnost aplikací Ztráta flexibility DATA HLASOVÉ SLUŽBY ZAŘÍZENÍ
Transformace trhu 1.3 miliardy nových mobilních zařízení v příštích třech letech. 60%veškerého provozu v Cisco sítích je video. Objem videa se čtyřnásobí do roku 2014 na 767 exabytů. 66% zaměstnanců by vzalo méně placenou práci (10%), kdyby mohli pracovat odkudkoliv. 59% zaměstnanců chce používat jejich osobní zařízení v práci
Hranice se posunují Hranice Lokace Mobile Worker Aplikace s externím přístupem Interní aplikace IT Consumerization Hranice zařízení Video/Cloud Hranice Aplikace IaaS,SaaS
Vize: Organizace bez hranic Borderless Experience Bezpečnost Spolehlivost Video Energie TCO KDOKOLI COKOLI KDEKOLI KDYKOLI
Daná komplexnost sítě... Zvažte správný přístup k návrhu sítě NEDŮLEŽITÉ DŮLEŽITÉ DŮLEŽITÉ Technologie pro přístup k síti Porozumění požadavkům aplikací a požadavkům uživatelů v podniku Využití těchto poznatků při určování vhodné topologie sítě Odpovídající koncepce přístupu k síti umožní vašim uživatelům používat zabezpečené, spolehlivé a bezproblémové připojení k síti bez omezení místní infrastrukturou
Dostatečně dobrá síť nebo Podniková síť nové generace Jednoúčelová Sjednocená (pevná/bezdrátová, kontrola energie) Bezpečnost jako přívěšek Integrovaná bezpečnost konec-konec Neznalost aplikací a koncových zařízení Aplikační inteligence a optimalizace, Inteligence koncových zařízení Základní QoS Media Aware Control pro podporu integrace videa a hlasu Založená na standardech Standardy + Inovace zavádějící nové standardy Podpora základní zárukou Záruka+ Inteligentní služby s integrovanou správou Náklady na pořízení Ochrana investic a ROI
Jak vyhodnotit náklady na síť: TCO ne CAPEX Neúplný pohled na IT náklady zachytí pouze část nákladů na síť Důkladný pohled na IT náklady,zahrnuje služby, práce, šířku pásma, energie TCO Capex Pohled za TCO Byznys přínosy za TCO úspory energie, spolehlivost sítě (uptime), produktivita uživatelů
Uzavírání propasti mezi Byznysem a Technologií Cisco strategie Architektury Byznys výzvy Snížení TCO Snížení nákladů na energie Zvýšení produktivity Video Zjednodušení Byznys procesů Stálá mobilita Zvýšení spokojenosti zákazníka Kontinuita sítě Škálování Byznysu Efektivní správa Inovace technoligií LAN Switching Branch Routing Wireless Datacenter Switching Datacenter Routing
Specializace Collaboration Specializace jsou framework pro ověření znalostí partnerů Architecture Data Center Borderless Networks April 2011 Pomáhají partnerům porozumět vizi a směru Cisca Unified Computing Unified Fabric Obsahem směrují k architektuře Partnerům umožňují ukázat jejich kompetence a získat certifikace atd. Technology Data Center Networking Infrastructure Data Center Storage Networking Unified Communications Unified Communications Wireless LAN Unified Communications Security Security Small Business Foundation Routing & Switching Entry Express Advanced Master
Architektura Borderless Network Architektura pro flexibilní poskytování sítě bez hranic ZÁSADY SPRÁVA KONCOVÝ BOD BORDERLESS / SLUŽBY UŽIVATELŮM SLUŽBY BORDERLESS NETWORK Mobility: Cisco Motion Bezpečně, spolehlivě, bezproblémově: AnyConnect Správa energie: EnergyWise Zabezpečení: TrustSec Výkon aplikací: App Velocity Optimalizace pro multimédia: Medianet Aplikační rozhraní SYSTÉMY BORDERLESS NETWORK Unified Access Core Fabric Extended Edge Extended Cloud INFRASTRUKTURA BORDERLESS Bezdrátové připojení Směrování Přepínání Aplikační síťové služby / Optimalizace Zabezpečení INTELIGENTNÍ PROFESIONÁLNÍ A TECHNICKÉ SLUŽBY: rychlejší zhodnocení řešení Borderless Networks
D Ů V Ě Ř U J T E S I L N Ý M Smart Business Architecture
Proč referenční architekturu? Koncept Design
Chci navrhnout a implementovat síť Jak mám vědět co bude síť potřebovat v budoucnu a nemusel předělávat návrh a implementaci Jak to udělat rychle? Jak ji spravovat? Jak to vše dát správně dohromady? Jaké platformy mám vybrat? Jaké jsou best-practise?
Smart Business Architecture Snadné nasazení Konzistentní návrh přes všechny produkty Flexibilita a škálovatelnost Navrženo tak, aby růst organizace neznamenal kompletní redesign Odolnost a bezpečnost Provoz sítě musí zvládat výpadky a možné útoky Snadná správa Konfigurace zařízení Network Management Systemem Připraveno na pokročilé technologie Síť obsahuje všechny základní potřebné služby Investice Cisca 6000 hodin inženýrů 3 Laby s investicí $30M 8 Cisco partnerů pro validací třetí stranou Podílí se 14 partnerů jiných technologií
Síť střední velikosti (Midsize) Velikost Vzdálené pobočky Hostované aplikace Řešení 100 až 1000 připojených uživatelů Až 20 vzdálených poboček s průměrně 25 zaměstnanci Potřeba aplikací s externím rozhraním, hostované mimo. Bezpečnost: Korporátní zdroje Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu Možnosti migrace: Pro budoucí růst Testované řešení: Validované třetí stranou
Síť střední velikosti Cílem je 100 1000 připojených uživatelů (5 15 serverů) CCNA technická úroveň Připravené vzory konfigurací rozšiřitelné o specifické politiky Servers Server Room Switch Server Room Headquarters Server Room Stack Unified Communications Management Host Branch Router With IDS and Application Acceleration Branch Switch Wireless Access Point Branch WAN PSTN Internet Application Acceleration Campus Router Firewall Core Core Switch Stack Wireless LAN Controller Client Access Switch Client Access Switch Stack Hardware and Software VPN Teleworker/ Mobile Worker Wireless Access Point Access
Podniková síť Velikost Vzdálené pobočky 2,000 až 10,000 připojených uživatelů Až 500 vzdálených poboček Hostované aplikace Serverovna Řešení Potřeba aplikací s externím rozhraním, hostované mimo. Aplikace organizace Bezpečnost: Korporátní zdroje Přístup klientů: Pevný a bezdrátový přístup pro zaměstnance Přístup návštěvníků: Zabezpečený bezdrátový přístup pro návštěvníky Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu Možnosti migrace: Pro budoucí růst Testované řešení: Validované třetí stranou
Podniková síť Cílem je 2000 10 000 uživatel CCNA technická úroveň Připravené vzory konfigurací rozšiřitelné o specifické Hardware and Software VPN Teleworker/ Mobile Worker Wireless Access Point Remote Client Access Switch Branch Router with Application Acceleration Collapsed Distribution/ Core Switches Internet WAN WAN Aggregation Application Acceleration Wireless LAN Controller Local Area Network Internet Edge Routers Remote Access VPN VPN Firewall Internet Edge Email Security Appliance Guest WLAN Internet Servers Web Security Appliance Core Switches Data Center politiky Wireless LAN Controller Regional Router Distribution Switches Application Acceleration Client Access Switches Regional Office Building 1 Building 2 Building 3 Building 4
Navigace v SBA- přehled www.cisco.com-go/sba
Navigace v SBA Midsize Borderless Network
Seznam hardware Part Number Doporučené a otestované verze software Functional Area Branch router modules Branch Switch Internet Edge Firewall Headquarters Intrusion Prevention System Application Acceleration Headquarters CM Headquarters endpoint Product Part Numbers Software Version Wide Area Acceleration Module Intrusion Prevention Module Catalyst 3750G Stackable 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Cisco Catalyst 3560G 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Adaptive Security Appliance ASA 5510 with the SSM-10 IPS Module Cisco Intrusion Prevention System 4200 Series NME-WAE-502-K9 AIM-IPS-K9 WS-C3750G-24PS-S WS-C3750G-48PS-S WS- C3560G-24PS-S WS-C3560G-48PS-S ASA5510-AIP10-K9 IPS-4240-K9 (300 Mbps) IPS-4255-K9 (600 Mbps) IPS-4260-K9 (2 Gbps) 4.1.5b 7.0(1)E3 12.2-50.SE2 8.0.4.ED 7.0(1)E3 7.0(1)E3 WAVE 574 WAVE 274 WAVE-574-K9 WAVE-274-K9 4.1.5b Wireless Access Points 1140 Fixed with Internal Antennas 1250 Ruggedized, External Ant. AIR-LAP1142N (Country-specific) AIR-AP1252AG (Country-specific) Wireless LAN Controller WLC 5508 AIR-CT5508-12-K9 7.0.98.0 Unified Communications Cisco Unified Communications Manager MCS 7835 MCS7835I3-K9-CMC2 (2 required) MCS7825I4-K9-8.0(2c) 8.0(2c) CMC Cisco Unity Connections MCS 7825 UCB UCB1
Quick Pricing Tool www.cisco.com/go/qpt
Quick Pricing Tool přehled SBA Midsize pouze Ušetření času při vytváření nabídky Sníženi komplexnosti Jednodušší Wizardi Otázky na zodpovězeni bez technika Různé velikosti řešení pro škálování budoucího růstu Vytvoření nabídky u zákazníka Desktop aplikace umožňující offline práci Propojení na distributora
Cisco Commerce Workspace Nový nástroj pro zpracování celého prodejního cyklu www.cisco.com/go/ccw Partner DEAL Who s Involved/ About the Deal/ Promotions Qualify for some promotions* Partner QUOTE Items/ Buy Method/ Discounts/Credits Approve Partner ORDER Distribution pricing sent to disti and/or Cisco Direct with deal ID
Přepínače D Ů V Ě Ř U J T E S I L N Ý M
Catalyst 4500E Supervisor 7 Supervisor 7-E Větší kapacita, více portů, více route 848Gbps přepínací kapacita 4 x 10G Uplinks 384 10/100/1000 ports 3,6,7 and 10 slot chassis 96 SFP+ LC ports 256K Routes Supervisor 7L-E 520Gbps přepínací kapacita 2 x10g or 4 x 1G Uplinks 240 10/100/10000 ports 3,6 and 7 slot chassis 60 10G LC Fiber ports 64K Routes Vlastnosti 48Gbps per slot (47xx karty) (4507R+E, 4510R+E) Netflow VSS (roadmapa) Trustsec
Catalyst 4500-X Fixní agregační přepínač 16x nebo 32x 10GE + 8x 10GE volitelný uplink 800 Gbps propustnost Front-to-back/Back-to-front airflow Vlastnosti jako SUP7 (VSS*, Netflow atd.)
Catalyst 6500 instalovaná báze aneb proč Cisco stále investuje do 6500 700,000+ chassis 1.2 mil supervisorů 110 mil portů 1.6 mil 10G optických portů 16 mil1g optických portů 44,000+ zákazníků 2,800 vlastností
SUP2T, 6513-E 80G/slot na všech13 slotechw/ Sup2T 2 Tbps výkon, 4 Tbps VSS Až 180x10GE portů 534x1GE portů nonxl (256K) a XL verze (1M)
SUP2T nové karty(všechny s DFC4) 69xx 80G/Slot 68xx 40G/Slot 8 x 10G 4 x 40G nebo 16 x 10G MacSec, OTV a LISP ready 24 x 1G SFP 48 x 1G SFP a 10/100/1000 16 x 10G X2 a 10GBase-T
6500 Porovnání cen nových karet
Upgrade instalované báze na SUP2T
Nové servisní moduly
Nexus 7009 14 RU kompaktní chassis Možná náhrada 6500 33610GE portů 550 Gbps/Slot (FAB2)
Nexus 7000 M vs F serie karty M1, M2 Více funkcí, velké tabulky F1, F2 Rychlejší, specializované funkce Levnější, nízká latence
Nexus 3000 Burzy, HFT, propojení superpočítačů, clustery atd. Ultra nízká latence L3 směrování 1G/10G/40G Konektivita Twinax QSFP+ to QSFP+ QSFP+ na 4 x SFP+ chobotnice Optika modul SR4
Směrovače D Ů V Ě Ř U J T E S I L N Ý M
Softwarové vs Hardwarové zařízení Univerzální vs specializovaná zařízení Univerzální např. směrovače do poboček Všechny vlastnosti zařízení jsou implementovány v SW na univerzálním CPU (podobný jako např. v PC) Není tedy problém s jakkoukoliv novou funkcionalitou Výkonnost zařízení je dána rychlostí CPU a bývá omezená (běžně směrovače max. rychlosti 1Gbps) Podpora nové funkcionality znamená změnu v SW Zapínání vlastností znamená pokles výkonnosti Specializovaná např. páteřní směrovače Internetu Požadavek na obrovskou výkonnost a propustnost (až Tbps) Realizované na specializovaný HW obvodech Ty většinou podporují vlastnosti dané jejich návrhem v době výroby Pokud se na to při výrobě nemyslelo, novou vlastnost většinou už později přidat nejde Nové vlastnosti většinou už nebudou podporovat Zapínaní vlastností nemá vliv na výkonnost
Služby integrované ve směrovači Snížení nákladů asložitosti infrastruktury pobočky Zář 2004 Říj 2009 Překryvná zařízení Integrované služby Virtualizované služby Počítače Síť Úložiště Spolupráce Bezdrátová síť LAN Optimalizace sítě WAN/aplikací Zabezpečovací zařízení Zařízení pro hlasové služby Základní příčina vysokých nákladů a komplexnosti Tradiční pobočka Více zařízení Nákladný provoz Složitá správa Směrovač ISR S podporou hlasových a bezdrátových služeb, videa, optimalizace sítě WAN, přepínač Úspora celkových nákladů na vlastnictví (TCO) Pobočka Empowered Jedno zařízení Nižší celkové náklady na vlastnictví (TCO) Menší složitost Směrovač ISR G2 Integrované moduly Service Ready Engine a služby na vyžádání Zvýšení úspory celkových nákladů na vlastnictví (TCO) až na 75 % Pobočka Borderless Flexibilní infrastruktura Nejnižší celkové náklady na vlastnictví (TCO) Ochrana investic
Integrated Services Routers 11 miliónu prodaných směrovačů
Pozicování ISR G2
UCS Express App OS App OS SRE-V Hypervisor SRE Blade CIMCE App OS IOS, MGF Backplane Switch App OS SRE-V Hypervisor SRE Blade Platforma pro aplikace Microsoft Windows Server certified Virtualizace serveru Cisco SRE Virtualization powered by VMware vsphere Hypervisor TM (ESXi) Dedikovaný blade management Cisco Integrated Management Controller Stejný management pro UCS rodinu Víceúčelové x86 blade Cisco Service Ready Engine modules Až 4 server bladevisr G2 Integrace do jednoho síťového zařízení Všechna zařízení v jednom ISR G2 chassis Multi-Gigabit Fabric backplane přepínač
Malá kancelář v racku ISR G2 UCS-E Bezserverová pobočka Datové centrum / Cloud Štíhlá pobočka Datové centrum / Cloud Pobočka s plným rozsahem služeb Datové centrum / Cloud Pobočka WAN/internet Pobočka WAN/internet Pobočka WAN/internet Bez místních serverů Plná závislost na síti WAN Jednoduchost, nízké náklady Bez záruk služeb 1 2 místní servery Plná závislost na síti WAN kromě provozně kritických aplikací Všechny servery místní Bez závislosti na síti WAN Složitost, vysoké náklady Záruky služeb
Malá kancelář v racku ISR G2
Bezpečnost ISR směrovačů Řešení pro zabezpečené sítě Kontinuita podnikání Zabezpečená hlasová komunikace Zabezpečená mobilita Dodržování předpisů Integrovaná správa hrozeb 011111101010101 Rozšířený firewall Filtrování obsahu Prevence napadení Pružné porovnávání paketů Řízení přístupu v síti 802.1x Zabezpečení infrastruktury sítě Bezpečné připojení Správa a instrumentace GET VPN DMVPN Easy VPN SSL VPN Profesionální konfigurace CCP Přístup na základě rolí NetFlow IP SLA
End-of-Sale a End-of-Support Legacy směrovače a ISR
ISR G3
ASR1000 Čistokrevný směrovač Podpora spousty funkcí a rozhraní IOS XE, Linux middleware QuantumFlow procesor 5 letý vývoj Masivně paralelní 40 více vláknových jader Architektura navržena pro škálování > 100Gbit/sec Nízká latence Připojení externího kryptovacího engine
7200 a její nástupce ASR1000 7201 ASR1001 24000$ 22000$ 1.8Gpbs (bez služeb) 2.5Gbps (služby) Upgrade na 5Gbps 15 let, 600000 prodaných 7200 Důležitá data: July 14, 2011: internal announcement Sept 30, 2011: external announcement Sept 29, 2012: End of Sale Sept 29, 2015: End of Software Maintenance Sept 29, 2017: Last day of support
Mobilita (Wireless) D Ů V Ě Ř U J T E S I L N Ý M
WIFI a očekávání Když se studenti vrátili tento rok, kdyby jste chtěli odhat kolik studentů bude používat WIFI tipl bych 40%. Byl jsem ohromen, 85% studentů používá WIFI. Scott Ksander, Purdue University
Bezdrát přehled Management and Control(Cisco Prime) NCS ISE Mobility Service Engine 3310 3355 Enterprise Deployment Branch Controllers 5508 WISM2 2500 ISM/SM Carpeted Outdoor 1040 1140 3500i Rugged 1310-1410 r5005 1520 1550 1260 3500e
Rádiové spektrum Spektrum může být alokováno pro specifické uživatele Civil, Vláda, Armáda, Komerce, Televize, Radar, Mobilní telefony, rádia atd. Nelicencované nebo průmyslové, vědecké, zdravotní pásma Nelicencované nebo licencované pravidly Ve většině zemí nevyžadují licenci, můžou vyžadovat registraci Rádiové frekvence jsou sdílený zdroj Každá země ma vládní agenturu pro regulaci Mezinárodně spravuje ITU
Záleží na non-wifi interferenci? Studie na toto téma prokázaly... http://www.cisco.com/en/us/products/ps9393/prod_white_papers_list.html Snížení dosahu Snížení kvality hovoru Nedivatelné video... dramatickou ztrátu v kvalitě mobilních bezdrátových služeb při interferenci
Spektrální analýza Cisco CleanAir Typický WIFI chipset
CleanAir Vážnost interference 63 97 100 AIR Quality Index 90 20 35 Lokalizace WCS, MSE Akce Wireless LAN Controller POOR GOOD Udržování kvality spektra Vizualizace a troubleshooting CH 1 CH 11
Bezdrátová bezpečnost IP and Application Attacks & Exploits Traditional IDS/IPS Layer 3-7 WiFi Protocol Attacks & Exploits wips Layer 2 RF Signaling Attacks & Exploits CleanAir Layer 1 Monitoruje zranitelnosti neviditelné stávajícím systémům Rouge AP Detekuje nové nedetekovatelné Rogue/Clients WiFi Rušičky 2.4 GHz 5 GHz Lokalizuje a umožní rychlé odstranění rušiček
Wireless IPS (wips) WCS Průzkum, Crack, DoS Detekce útoku Klasifikace/alert Akce Obrana proti útokům Man in the Middle Attacks MAC Spoofing Fake AP Attacks Denial of Service RF Jamming De-auth, De-association, CTS/RTS Flood Active WEP Cracks (ChopChop, ARP Replay) Forézní schopnosti Anomaly detection engine detekce Zero Day útoků
ClientLink 802.11a/g X Síla signálu 802.11n 802.11a/g Klientské spojení není optimální, vytváří nepokrytá místa
ClientLink 802.11a/g Úprava signálu 802.11n Inovace v Cisco AP čipu Nedostupné v běžných AP ClientLink upravuje signál a vylepšuje výkon a pokrytí pro 802.11a/g Devices
D Ů V Ě Ř U J T E S I L N Ý M SecureX Bezpečnost
Hacking? ANONYMOUS Script kiddie Hacker vs Cracker DDoS útoky Vlády Odposlouchavání Kevin Mitnick Sociální inženýrství
Temná strana WEBu 80% Webu je nekategorizováno, vysoce dynamické nebo nedosažitelné vyhledávacími roboty Botnety Dynamický obsah Zaheslované stránky Uživatelsky generovaný obsah Krátkodobé stránky Známý WEB 20% pokryto v seznamech URL
Útoky přes Web 54% malware nákaz je kvůli iframe a exploitum Cross-site scripting a SQL Injection jsou TOP útočící metody 83% všech stránek má alespoň 1 vážnou zranitelnost Přes 70%procent kompromitovaných stránek jsou legitimní Nové zranitelnosti v Adobe PDF a Flash
New York Time oběť útoku přes reklamu Zdánlivě legitimní reklama přidává škodlivý kód, který způsobí přesměrování Cíl: protection-check07.com Scareware Cisco Web Rep Score: -9.3 Default Action: BLOCK NYT stránka funguje, škodlivé přesměrování je blokováno Full-screen pop-up simuluje reálný AV program, nutí uživatele si koupit plnou verzi, aby vyčistili počítač
Monitoring, databáze a korelace Cisco SenderBase Největší světová monitorující síť Reputace Informace o konkrétní IP adrese 20 000+ zákazníků globálně 8 z 10 TOP poskytovatelů Přes 500GB dat za den 500 zdrojů třetích stran 300 milionu chráněných uživatelů
Ironport Emailová bezpečnost Webová bezpečnost Management Leadership 42 ze 100 největších společností 8 z 10 největších ISP Armáda US 600+ partnerů Infrastruktura Ironportu je v 75 zemích
Řízení přístupu
Cisco ScanSafe Cloud Služby Konzistentní, vynutitelná, výkonná Webová bezpečnost, nezávisle kde a jak se uživatelé připojují do Internetu.
Bezpečnost v LAN
Co je to Trustsec? Může být matoucí Můžeme považovat za NAC nové generace Zahrnuje vše co má něco společného s identitou IEEE 802.1X (Dot1x) Cisco NAC Appliance Profiling Technologies Guest Services Secure Group Access (SGA) MACSec (802.1AE) Access Control Server (ACS) Identity Services Engine (ISE)
Takže Trustsec = Identita? Ano, ale jako systém nebo řešení identity Politiky definované na serverech jsou jenom tak dobré jako zařízení je vynucující politiky (přepínače, WLC, firewally atd.) Co je to Identita? Rozumět tomu KDO/CO/KDE/KDY a JAK uživatel nebo zařízení přistupuje do sítě Proč je identita důležitá Autentizace = Nedovolit se dostat outsiderum dovnitř Autorizace = Udržet insidery v mezích, personalizace sítě Evidence = Zvýšení dohledu nad sítí
802.1x Přidaná hodnota sítě, prvky obsahují Implementace musí být pečlivě připravená U enterprise zákazníků spíše organizační oříšek než technický
MACSec (802.1AE) Hop-by-hop zajištění utajení a integrity Síť stále vidí do provozu a může aplikovat jakoukoliv inteligenci Podpora v HW, žádny dopad na výkonnost nebo zpoždění Podpora: Nexus 7000, SUP7 a nové karty na 4500, SUP2T a nové karty na 6500, některé fixní přepínače vaná data Nešifrované Šifrovaná data Nešifrované Šifrovaná data TrustSec /802.1AE TrustSec /802.1AE TrustSec /802.1AE Dešifrování na vstupu Šifrování na výstupu Dešifrování Šifrování Provoz je uvnitř systému nešifrovaný a přístupný pro všechny operace
Identity Services Engine Policy server Konzolidované SW balíky a služby Správa relací Flexibilní nasazení služeb ACS NAC Manager NAC Profiler NAC Server ISE User ID Access Rights All-in-One HA Pair Admin Console M&T NAC Guest Location Device (& IP/MAC) Distributed PDPs Zjednodušené nasazení a administrace Rozšiřitelné politiky Sledování aktivních uživatelů a zařízení Skupinový přístup Optimalizované a škálovatelné služby Monitorování a troubleshooting SGT Public Private Staff Guest Permit Permit Permit Deny Správa politik Zjednodušená kontrola Reporting, logování, snadná lokace problému
Přístup na základě politik Informace o identitě Jiné podmínky Přístupové oprávnění Identita: Network Administrator Čas a datum Konzultant Human Resources Identita: Full-Time Zaměstnanec + Lokace Finance Marketing Identita: Návštěva Typ přístupu Návštěva Zakázání přístupu
Anyconnect SSL VPN 802.1x supplicant Scansafe konektor Přijatelné použití Řízení přístupu Prevence ztráty dat Nekonfigurovatelná zařízení, riziko ztráty dat a nedostatečná dostupnost Bezproblémové, stabilní služby umožňující použití flexibilních zásad zabezpečení
Energywise D Ů V Ě Ř U J T E S I L N Ý M
Spotřeba energie = Operational Costs Úspora nákladů růst cen energií penetrace IT Video aplikace Další důvody regulační nařízení (např. EPBD2) vládní nařízení Green iniciativy
Trendy v IT infrastruktuře Chytrá infrastruktura monitorování spotřeby, reporting, řízení Každé zařízení může být více Green Vypnout nebo snížit spotřebu Otevřený přístup ke všem zařízením i ne-it IP protocol Značná úspora nákladů Splnění nařízení (nebude postih) Snížení emise skleníkových plynů
Power over Ethernet Rozvíjející se trend k napájení zařízení přes PoE Původně IT (IP telefony, později AP,...) Nyní (Virtual Desktop Infrastructure) VDI, Videokonference, kamery Ne IT zařízení (přístupové systémy, světýlka,...) 2003: IEEE 802.3af PoE -~15W 2009: IEEE 802.3at PoE+ ~30W 2011: Cisco UPOE (Universal PoE) ~60W
A vyplatí se to všude? Kde je největší příležitost? Vertikála Příležitost Důvody Školství Vysoká Večery, víkendy, svátky a prázdniny Maloobchod Vysoká Hodně poboček Veřejný sektor Vysoká Většinou fixní pracovní doba Hotely Vysoká Nezaplněné hotelové pokoje Realitky Vysoká Přidané služby v managementu budov Finance Vysoká Mimo pracovní dobu úspory, pobočky, banky, pojišťovny atd. Zdravotnictví Střední 24x7provoz znamená méněpříležitosti, přesto existují administrativní části atd. Manufaktura Střední Záleží na businessu. Většinou 24x7 provoz Transport Střední Záleží na businessu. Letiště např. 24x7x365
... asi to bude chtít nějakou kalkulačku Revenue kalkulačka http://www.cisco.com/go/energywise/
Building Management trendy Propojení dvou světů na různých komunikačních protokolech GW od výrobců, kteří jsou v budovách doma
Energywise architektura
Energywise management
Energywise koncové zařízení
Zelené iniciativy Czech Green Building Council (CZGDBC, Česká rada pro šetrné budovy) Duben 2011: Cisco se stává členem CZGBC První IT/networking členská firma v České republice!!! CZGBC je nezisková organizace, jejímž cílem je vytvořit legislativní, tržní a kulturní prostředí, přispívající k rozvoji staveb šetrných k životnímu prostředí. Květen 2011: Cisco je sponzorem konference Šetrné budovy (Green Buildings) 2011 26. května 2011 (www.setrnebudovy.cz) Společná prezentace se Schneider-Electric Listopad 2011: V rámci CZGBC založena technologická pracovní skupina Cisco + Schneider Electric Cisco je členem USGBC od r. 2008 www.czgbc.org Viz také EU regulations (EU 20-20-20, EPBD II) Certifikační systémy budov LEEDS, BREEAM, atd.
Energywise LAN síť Energywise je součástí Cisco přepínačů Přidaná hodnota už existující sítě Kompetetivní výhoda oproti konkurenci Cisco Catalyst 2900 Series Cisco Catalyst 3560-E & Cisco Catalyst 3560 Cisco Catalyst 3750-E & Cisco Catalyst 3750 Cisco Catalyst 4500 EtherSwitch Modules Cisco Integrated Services Routers G2 Cisco Catalyst 2960-S Cisco Catalyst 3750-X and Cisco Catalyst 3560-X
Management D Ů V Ě Ř U J T E S I L N Ý M
Sítě jsou dnes velmi komplexní
První možnost návrhu, nasazení a provozu vaší sítě Geeky the Geek Komplexní Manuální Náchylné na chyby
Cisco Prime pro Enterprise Jednotný Look & Feel a integrace nástrojů přes všechny produkty
Case Study: LMS pro nasazení Energywise IT chce nasadit Energywise pro monitorování a šetření nákladů 1. Definování politiky 2. Připravení sítě 3. Konfigurace sítě 4. Aplikování politiky 5. Monitorování úspor Monitorování nákladů Rychlé nasazení služby Snížení chyb při nasazování Okamžitý ROI Automatická konfigurace
Case Study: Collaboration Manager pro troubleshooting videa Uživatel má problém s video přenosem při Telepresence mezi centrálou a pobočkou. Provozní oddělení musí najít a odstranit problém. 1. Identifikace a vybrání relace 2. Zjištění stavu relace 3. Průzkum a vizualizace cesty média 4. Rychlé izolování příčiny problému 5. Náprava problému Rychlé izolování a troubleshooting služby Vylepšení kvality služby a uživatelské zkušenosti
Case Study: NAM pro řešení problému s výkonem aplikací Uživatelé si stěžují na pomalou odezvu aplikací 1. Identifikace aplikací s vysokou odezvou 2. Analýza výkonu aplikace v čase 3. Zaměření se na problémové časy 4. Identifikace TOP N ovlivněných klientů a serverů 5. Analýza aktivity serveru 6. Vyřešení problémů Možnost zjištění chování síťového provozu Optimalizace a troubleshooting sítě a výkonu aplikací
D Ů V Ě Ř U J T E S I L N Ý M Application Velocity Výkonnost aplikací
Problémy s výkonností WAN/Internet DC/Cloud Business aplikace, mobilní aplikace, video Nedostatek viditelnosti a kontrola Nové aplikací (mobilní, video, VDI...) Různé modely nasazení (lokální hosting, DC, cloud) Využití šířky pásma Zbytečné využití Non business aplikace Neefektivní transport aplikací Zpoždění, zvyšující s odezva aplikací Spolehlivost sítě Výpadky Zahlcení WAN může být překážkou konsolidace
Application Velocity Viditelnost a kontrola Průzkum síťového provozu s rozeznáním jednotlivých aplikací Viditelnost na úrovni vnitřku paketů Monitoring využití aplikací a anomálií Reporty pro plánování kapacity Prioritizace business kritických aplikací Klíčové produkty IOS NBAR, Flexible Netflow (směrovače, některé přepínače) Network Analysis Module NAM Appliance, servisní modul, virtuální modul QoS Kategorizace provozu a aplikování politik
Application Velocity Akcelerace a optimalizace Některé protokoly byly navržene pouze pro běh na LAN Optimalizace protokolů aplikací zvyšující rychlost Komprese snižující objem provozu Cache často používaných souborů šetřící pásmo Klíčové produkty WAAS appliance, SRE, Express, virtual
Application Velocity Síťová a aplikační flexibilita (agility) Centralizace většiny IT, hostování vybraných aplikací na pobočce Windows služby Speciální aplikace Vykonnost pro vybrané lokální aplikace Business continuity Klíčové produkty: UCS-Express, WAAS-VB, Performance Routing, Webex node
Medianet Optimalizace multimédií D Ů V Ě Ř U J T E S I L N Ý M
Služby Medianet Transformace služeb přenosu hlasu a obrazu na pobočkách Bez rezervace zdrojů, snížení kvality přenosu hlasu a videa Kontextově orientovaný, prioritní, vysoce kvalitní přenos hlasu a videa Schůze ředitele Jednání vedení Sportovní událost Schůze ředitele Jednání vedení Sportovní událost Medianet inteligentní síť optimalizována pro náročná média, kombinuje inteligenci v Mediích Detekce a optimalizace různych médií a aplikaci (telepresence, video dohled, sdílení desktopu, streamovani atd.) Koncových zařízeních Automaticky detekuje a nakonfiguruje Síti Umí se adaptovat na změny v zařízeních, připojeních a dostupnosti služeb
Cisco Medianet příklad
IPv6 D Ů V Ě Ř U J T E S I L N Ý M
Od studené války k dnešnímu Internetu 1969 Arpanet 1972 První emailový program 1973 TCP/IP 1984 První komerčně úspěšný směrovač 1990 Končí Arpanet 1986 NSFNET 1987 Vzniká pojem Internet 1989 CERN hypertext, www 1993 První www prohlížeč, zdarma 1994 Komercionalizace Internetu 1996 250 milionů uživatelů 2003 600 milionů 2005 900 milionů 2009 1,8 miliardy 2010 přes 2 miliardy
Proč potřebujeme IP? Přirovnání k poštovnímu systému (nebo telefonní...)
Jak nám mohli dojít IP adresy? Teoreticky 4 miliardy IP adres Prakticky 250 miliónu koncových zařízení Šetření IP adresami (různé mechanismy viz dále) Zdroj grafu: http://www.potaroo.net
Odkud se berou? A kdytedydošly? Registrátoři Únor 2011 došly adresy IANA Každý region alokuje jinou rychlostí Regionálním registrátorům došly nebo brzo dojdou Poskytovatelé podle toho jak mají nasysleno Zákazníci Poskytovatelé Zdroj grafu: http://www.potaroo.net
Kdo je na tom nejhůře? Asie Pacifik Přidělené bloky nevystačili ani 2 měsíce APNICu došly adresy kromě posledního bloku /8 Pro ten uplatněna speciální alokační politika (každý pouze 1024 adres, 7000 AUD v prvním roce na poplatcích) APNIC odmítá žádosti o alokace Evropa Méně než tři volné bloky Zpřísněná pravidla Vyčerpání může nastat kolem přelomu letošního roku Co bude dále Rozdílné docházení adres v regionech nerovnováha, šedý trh Obchod v rámci regionů výhoda pro ARIN (velké alokace z počátku Internetu) Vzrůstající cena IPv4 adres Špatná obchodovatelnost štěpení bloků Fragmentace IPv4 prostoru narůstání globálních směrovacích tabulek
Nová verze IP? 1991 Studie o vyčerpání IP adres při současném tempu do roku 2008 Dostatek času na vývoj nového protokolu (odstranit nedostatky současného IP)... 1995 První IPv6 (IPng) standardy Mechanismy pro šetření IP adresami Nové vlastnosti implementovány do IPv4... Nedostatek motivace IPv6 ROI?, IPv4 zisky teď, IPv6 nikdo nechce... Adresami šetříme a máme jich přece dost Nové aplikace (peer-to-peer)... 2011 Jejda, ony už došly Je IPv6 dozrálé? Kdo je připraven? Co výrobci zařízení?
IPv6, máme dost adres? Nebude se problém znovu opakovat? IPv6 =2 128 = 340,282,366,920,938,463,463,374,607,431,768,211,456 2 128 7 miliard = 48 kvadriliard adres na člověka Populace 7 miliard lidí 48 kvadriliard 100 miliard = 486 biliard adres na každou buňku mozku člověka na zemi Mozek má typicky asi 100 miliard buněk Nejvyšší pojmenovaná jednotka dle SI soustavy je 2 51 oktiliarda
IPv6, máme problém vyřešen? Ideální řešení, pojďme všichni naráz zapnout IPv6... Nekompatibilita mezi IPv4 a IPv6, zařízení si mezi sebou nepopovídají Hi, I want to send you packet??? IPv4 您 好, 我 想 給 你 包??? IPv6 Zařízení bez podpory IPv6, některé ani nikdy podporovat nebudou Servery, služby, aplikace nepřipravené na IPv6 Administrátoři... nejsou připraveni IPv6, co to je? Takovou hnusnou dlouhou adresu se učit nechci (2001:0DB8:0000:0000:FFFF:0000:0000:0ADC) Některé věci fungují jinak než jsme zvyklí v IPv4
IPv6, máme problém vyřešen? Chytré řešení, pojďme používat oba protokoly Nové zařízení budou dostávat oboje adresy Při komunikaci si vyberou, který protokol použijí Odborně nazýváno DUAL STACK IPv4 IPv4 IPv6 IPv6 Realita... Poskytovatel: zákazníku dostaneš dvě adresy Registrátor adres: ehm, je mi líto, ale IPv4 adresy přece došly Čekali jsme příliš dlouho. Co mohlo být bezbolestné, teď úplně jednoduché nebude. Nastupují improvizace Masivní několikanásobné překlady adres, za cílem efektivnějšího využití IPv4 adres Překlady adres mezi IPv4 a IPv6 (NAT64) Tunelování IPv6 ostrůvků přes IPv4 Plus k tomu všemu zamozřejmě DUAL STACK Atd...
Podpora IPv6 na zařízeních Škálování a limity zařízení Specializovaná zařízení mají HW paměti určité velikosti Musí v současné chvílí pojmout IPv4 a IPv6 sítě IPv6 sítí zvládne méně než IPv4 (4 x delší adresa) Může vzniknout potřeba licence na provoz IPv6 vlastností Co umí nějaká vlastnost v IPv4 nemusí umět v IPv6 Obecně Páteřní zařízení podporují IPv6 vlastnosti velmi dobře Koncová zařízení na tom bývají hůře Firewally, load-balancery atd. záleží podle výrobce IPv6 Ready Logo testy a kompatibilita zařízení Fáze I. Základní podpora (silver) Fáze II. Kompletní podpora (gold)
Kroky k nasazení IPv6 1. Analýza externích a interních aplikací a služeb pro IPv6 2. Definování týmu, který bude pracovat na nasazení IPv6 3. Analýza současného stavu připravenosti na nasazení IPv6 4. Plánování vzdělávání v IPv6 5. Získání IPv6 adres 6. Volba architektury a postupu nasazení IPv6, příprava designu 7. Implementace pilotního projektu, testování 8. Definice bezpečnostní politiky 9. Specifikace vyjímek z IPv6
Jaký je stav v ČR? (* nikomu nehrozí v případě nedodržení žádný postih, ani neexistují páky, jak příslušné úřady přinutit k poslušnosti) Dle usnesení*vlády ČR číslo 727 musí ministři zajistit zpřístupnění služeb/portálů na IPv6 již do konce roku 2010 a všechny obnovované aktivní prvky musí již nyní umět IPv6. Podniková sféra spíše vyčkává, někdy požadována podpora IPv6 při obnově NIC.CZ 2010 -nárust domén s podporou IPv6 NIX 2011 - nárust provozu v Českém Internetu Zdroj grafu: www.nix.cz/cz/ipv6 Zdroj grafu: http://labs.nic.cz/page/844/