Obsah› Úvod
– Back to Core– Tranformace trhu– "Good Enough" přístup– Architektura - uzavírání propasti mezi byznysem a technologiemi– Nové specializace– Borderless Network
› Smart Business Architecture– Proč potřebujeme referenční architekturu– Co je SBA– Pro jaké sítě je určena– Jak se v SBA orientovat– Quick Pricing Tool– Cisco Commerce Workspace
› Součástí Borderless Network– Přepínače– Směrovače– Mobilita (wireless)– SecureX (bezpečnost)– Energywise– Management– Application Velocity– Medianet– IPv6
Cisco – základ úspěchu
Interní inovace- 4700 udělených patentů- 3000 čekajících patentů- 16 000 inženýru- 5.2 miliard ročně na R&D- Proprietární technologie
nebo budoucí standard?
Akvizice
Go-to-Market strategie- Ekosystém partnerů- Cisco akademie, systém certifikací
Network Core: Co znamená pro Cisco
› Značka
› Kvalita
› Uznání
› Tradice
› Kultura
› Leadership a inovace
LAN Switching Revenue Share: Total L2+3 Managed
10,6% 10,5%
9,3%
10,5% 10,3% 10,5%
11,9% 11,9%
9,9%
1,3%1,7% 1,5%
1,8% 2,0%2,4%
2,1% 2,3% 2,1%1,6% 1,4% 1,2%
1,6%1,3%
1,8% 1,8% 2,0% 2,0%
2,4%2,1%
1,7% 1,9% 1,8% 1,9% 2,0% 2,0%1,9%
70,4%71,6%
75,2%72,5% 72,9%
71,4%69,7% 68,8%
71,8%
20%
30%
40%
50%
60%
70%
80%
0%
2%
4%
6%
8%
10%
12%
14%
16%
Q3CY09 Q4CY09 Q1CY10 Q2CY10 Q3CY10 Q4CY10 Q1CY11 Q2CY11 Q3CY11
Cis
co S
hare
(lin
e)
Com
petit
or S
hare
(ba
rs)
HP Juniper Dell Brocade Cisco
Total Enterprise Routing Revenue Share
5,7%5,4% 5,5% 5,6%
5,0%
5,5%5,3% 5,3%
6,1%
2,8% 2,8%3,0% 2,9%
3,4%
5,0%
5,5%
7,1%
6,0%
2,4% 2,2%
1,4%
2,9%2,6%
2,5%
2,9%
3,2%3,4%
1,4%1,1%
0,9%
1,3% 1,3% 1,3% 1,3%
1,7% 1,8%
81,9%83,0% 83,8%
81,9%82,8%
81,8%80,4%
78,0% 77,6%
45%
50%
55%
60%
65%
70%
75%
80%
85%
0%
2%
4%
6%
8%
10%
Q3CY09 Q4CY09 Q1CY10 Q2CY10 Q3CY10 Q4CY10 Q1CY11 Q2CY11 Q3CY11
Cis
co S
hare
(lin
e)
Com
petit
or S
hare
(ba
rs)
Juniper HP Huawei OneAccess Cisco
LAN Switching – Trend v ČR(Enterprise Switching, L2&L3 Managed Switches)
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3
Cisco
HP
Enterasys
LG Ericsson/SMCHuawei
Other
Avaya
D-Link
Blade NetworksExtreme
Netgear
ZTE
Juniper
Brocade
Alcatel-Lucent
Routing – Trend v ČR (Enterprise Switching, L2&L3 Managed Switches)
0,00%
10,00%
20,00%
30,00%
40,00%
50,00%
60,00%
70,00%
80,00%
90,00%
100,00%
2009 Q3 2009 Q4 2010 Q1 2010 Q2 2010 Q3 2010 Q4 2011 Q1 2011 Q2 2011 Q3
Cisco
Huawei
Alcatel-Lucent
Tellabs
ZTE
Other
HP
Avaya
Bintec
Lancom
0,00%
20,00%
40,00%
60,00%
80,00%
100,00%
120,00%
2009 Q32009 Q42010 Q12010 Q22010 Q32010 Q42011 Q12011 Q22011 Q3
Cisco
Huawei
Other
ZTE
HP
Avaya
Vanguard
Siemens
ZyXEL
Bintec
Enterprise
Service Provider + Enterprise
Přístup k síti: DŘÍVE
Omezené. Izolovan ě fungující.
Sestaveno účelově
Omezená přenositelnost aplikací
Ztráta flexibility
DATA HLASOVÉ SLUŽBY ZAŘÍZENÍ
Jednoduché
Transformace trhu› 1.3 miliardy nových mobilních zařízení v příštích třech letech.
› 60% veškerého provozu v Cisco sítích je video. Objem videa se čtyřnásobí do roku 2014 na 767 exabytů.
› 66% zaměstnanců by vzalo méně placenou práci (10%), kdyby mohli pracovat odkudkoliv.
› 59% zaměstnanců chce používat jejich osobní zařízení v práci
Hranice se posunují
IT Consumerization
Hranice zařízení
Mobile Worker
Hranice Lokace
Video/Cloud
IaaS,SaaS
Hranice Aplikace
Aplikace s externím přístupem
Interní aplikace
Vize: Organizace bez hranicBorderless Experience
KDOKOLI COKOLI
KDYKOLIKDEKOLI
Bezpečnost Spolehlivost Video Energie TCO
Daná komplexnost sítě...Zvažte správný přístup k návrhu sítě
Využití těchto poznatků při
určování vhodné topologie sítě
Technologie pro přístup k síti
Porozuměnípožadavkům
aplikacía požadavkům
uživatelů v podniku
NEDŮLEŽITÉ DŮLEŽITÉ DŮLEŽITÉ
Odpovídající koncepce přístupu k síti umožní vašim uživatelům používat zabezpečené, spolehlivé a bezproblémové připojení k síti bez omezení místní
infrastrukturou
„Dostatečně dobrá“ síť Podniková síť nové generace
Aplika ční inteligence a optimalizace,Inteligence koncových za řízení
Neznalost aplikací a koncových zařízení
Media Aware Control pro podporu integrace videa a hlasu
Základní QoS
Záruka+ Inteligentní služby s integrovanou správouPodpora základní zárukou
Integrovaná bezpe čnost konec-konecBezpečnost jako p řívěšek
Ochrana investic a ROINáklady na po řízení
Standardy + Inovace zavád ějící nové standardy
Založená na standardech
Jednoú čelová Sjednocená (pevná/bezdrátová, kontrola energie)
nebo
Jak vyhodnotit náklady na síť: TCO ne CAPEX
Neúplný pohled na IT náklady – zachytí pouze část nákladů na síť
Důkladný pohled na IT náklady, zahrnuje služby, práce, šířku pásma, energie
Byznys přínosy za TCOúspory energie, spolehlivost sítě (uptime), produktivita uživatelů
Cap
ex
TCO
Po
hle
d z
a TC
O
BranchRouting
Wireless Datacenter Switching
Datacenter Routing
Snížení nákladůna energie
Byznys výzvy
SníženíTCO
VideoZvýšení
produktivity
Stálámobilita
ZjednodušeníByznys procesů
Kontinuitasítě
Zvýšení spokojenostizákazníka
Efektivníspráva
ŠkálováníByznysu
Uzavírání propasti mezi Byznysem a TechnologiíCisco strategie Architektury
Inovace technoligií
LAN Switching
Specializace
Entry
Foundation
UnifiedCommunications
Express
Small Business
Security
Unified Communications
Master
Security
Wireless LAN
Unified Communications
Data Center Networking Infrastructure
Advanced
Ap
ril 2011
Data Center
Collaboration
Borderless NetworksArc
hit
ectu
re
Routing &Switching
Data CenterStorage Networking
Unified Computing
Unified Fabric
Tech
no
logy
› Specializace jsou framework pro ověření znalostí partnerů
› Pomáhají partnerům porozumět vizi a směru Cisca
› Obsahem směrují k architektuře
› Partnerům umožňují ukázat jejich kompetence a získat certifikace atd.
Architektura Borderless Network
Architektura pro flexibilní poskytování sítě bez hranic
INFRASTRUKTURA BORDERLESS
Aplikační síťové služby /
OptimalizacePřepínání ZabezpečeníSměrování
Bezdrátovépřipojení
SYSTÉMY BORDERLESS NETWORK
SLUŽBY BORDERLESS NETWORK
KONCOVÝ BOD BORDERLESS / SLUŽBY UŽIVATELŮM Bezpečně, spolehlivě, bezproblémově: AnyConnect
Mobility: Cisco Motion
Výkon aplikací: App Velocity
Správa energie: EnergyWise
Optimalizace pro multimédia: Medianet
Zabezpečení: TrustSec
Core Fabric
Extended Cloud
Extended Edge
Unified Access
ZÁSADY
SPRÁVA
INTELIGENTNÍ PROFESIONÁLNÍ A TECHNICKÉ SLUŽBY: rychlejší zhodnocení řešení Borderless Networks
Aplika ční rozhraní
Chci navrhnout a implementovat síť
› Jak mám vědět co bude síť potřebovat v budoucnu a nemusel předělávat návrh a implementaci
› Jak to udělat rychle?
› Jak ji spravovat?
› Jak to vše dát správně dohromady?
Jaké platformy mám vybrat? Jaké jsou best-practise?
Smart Business Architecture› Snadné nasazení
– Konzistentní návrh přes všechny produkty
› Flexibilita a škálovatelnost– Navrženo tak, aby růst organizace neznamenal kompletní redesign
› Odolnost a bezpečnost– Provoz sítě musí zvládat výpadky a možné útoky
› Snadná správa– Konfigurace zařízení Network Management Systemem
› Připraveno na pokročilé technologie– Síť obsahuje všechny základní potřebné služby
› Investice Cisca– 6000 hodin inženýrů– 3 Laby s investicí $30M– 8 Cisco partnerů pro validací třetí stranou– Podílí se 14 partnerů jiných technologií
Síť střední velikosti (Midsize)
Velikost
Vzdálené pobočky
Hostované aplikace
Řešení
� 100 až 1000 připojených uživatelů
� Až 20 vzdálených poboček s průměrně 25 zaměstnanci
� Potřeba aplikací s externím rozhraním, hostované mimo.
� Bezpečnost: Korporátní zdroje
� Přístup klient ů: Pevný a bezdrátový přístup pro zaměstnance
� Přístup návšt ěvníků: Zabezpečený bezdrátový přístup pro návštěvníky
� Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu
� Možnosti migrace: Pro budoucí růst
� Testované řešení: Validované třetí stranou
Síť střední velikosti
› Cílem je 100 – 1000 připojených uživatelů (5 – 15 serverů)
› CCNA technická úroveň
› Připravené vzory konfigurací
rozšiřitelné o specifické politiky
Hardware and Software VPN
Teleworker/Mobile Worker
Branch
Branch Router With IDS and Application Acceleration
Branch Switch
Wireless Access Point
Wireless Access Point
Server Room
Core
Access
Client Access Switch Client Access
Switch Stack
ServersUnified Commu-nications Manage-ment HostServer
Room Stack
Server Room Switch
Wireless LAN Controller
Core Switch Stack
Campus Router
Firewall
Application Acceleration
Headquarters
Internet
WAN
PSTN
Podniková síť
Velikost
Vzdálené pobočky
Hostované aplikace
Řešení
� 2,000 až 10,000 připojených uživatelů
� Až 500 vzdálených poboček
� Potřeba aplikací s externím rozhraním, hostované mimo.
� Bezpečnost: Korporátní zdroje
� Přístup klient ů: Pevný a bezdrátový přístup pro zaměstnance
� Přístup návšt ěvníků: Zabezpečený bezdrátový přístup pro návštěvníky
� Optimalizace: Snížení nákladů na WAN konektivitu optimalizací provozu
� Možnosti migrace: Pro budoucí růst
� Testované řešení: Validované třetí stranou
Serverovna � Aplikace organizace
Podniková síť
› Cílem je 2000 –10 000 uživatel
› CCNA technická úroveň
› Připravené vzory konfigurací
rozšiřitelné o
specifické
politiky
WAN
Local Area Network
Regional Office
Remote
Teleworker/Mobile Worker
Internet
Hardware and Software VPN
Wireless Access Point
Client Access Switch
Branch Router with Application Acceleration
Collapsed Distribution/Core Switches
Wireless LAN Controller
Regional Router
Application Acceleration
Building 1 Building 2 Building 3 Building 4
Distribution Switches
Core Switches
WAN Aggregation
Application Acceleration
Wireless LAN
Controller
VPN
Remote Access VPN
Internet Edge Routers
Email Security Appliance
Guest WLAN
Firewall Internet Servers
Web Security Appliance
Internet Edge Data Center
Client Access
Switches
Seznam hardware
Functional Area Product Part Numbers Software Version
Branch router modules Wide Area Acceleration Module Intrusion Prevention Module
NME-WAE-502-K9 AIM-IPS-K9 4.1.5b 7.0(1)E3
Branch Switch Catalyst 3750G Stackable 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image Cisco Catalyst 3560G 24 & 48 Ethernet 10/100/1000 ports with PoE, 4 SFP ports, and IP Base Image
WS-C3750G-24PS-S WS-C3750G-48PS-S WS-C3560G-24PS-S WS-C3560G-48PS-S
12.2-50.SE2
Internet Edge Firewall Adaptive Security Appliance ASA 5510 with the SSM-10 IPS Module
ASA5510-AIP10-K9 8.0.4.ED 7.0(1)E3
Headquarters— Intrusion Prevention System
Cisco Intrusion Prevention System 4200 Series IPS-4240-K9 (300 Mbps) IPS-4255-K9 (600 Mbps) IPS-4260-K9 (2 Gbps)
7.0(1)E3
Application Acceleration Headquarters CM Headquarters endpoint
WAVE 574 WAVE 274 WAVE-574-K9 WAVE-274-K9 4.1.5b
Wireless Access Points 1140 Fixed with Internal Antennas 1250 Ruggedized, External Ant.
AIR-LAP1142N (Country-specific) AIR-AP1252AG (Country-specific)
Wireless LAN Controller WLC 5508 AIR-CT5508-12-K9 7.0.98.0 Unified Communications Cisco Unified Communications Manager—MCS 7835
CMC Cisco Unity Connections MCS 7825 UCB MCS7835I3-K9-CMC2 (2 required) MCS7825I4-K9-UCB1
8.0(2c) 8.0(2c)
› Part Number
› Doporučené a otestované verze software
Quick Pricing Tool – přehledSBA Midsize pouze
› Ušetření času při vytváření nabídky
› Sníženi komplexnosti– Jednodušší Wizardi
– Otázky na zodpovězeni bez technika
– Různé velikosti řešení pro škálování budoucího růstu
› Vytvoření nabídky u zákazníka– Desktop aplikace umožňující offline práci
› Propojení na distributora
Cisco Commerce Workspace
› Nový nástroj pro zpracování celého prodejního cyklu
www.cisco.com/go/ccw
ORDER
Cisco Directwith deal ID
Distribution pricing sent to disti
and/or
PartnerPartnerPartnerPartnerPartnerPartnerPartnerPartner PartnerPartnerPartnerPartner
Approve
for some promotions*
QualifyItems/
Buy Method/
Discounts/Credits
QUOTE
Who’s Involved/
About the Deal/
Promotions
DEAL
Catalyst 4500E Supervisor 7
› Supervisor 7-E– Větší kapacita, více portů, více route– 848Gbps přepínací kapacita– 4 x 10G Uplinks– 384 10/100/1000 ports– 3,6,7 and 10 slot chassis– 96 SFP+ LC ports– 256K Routes
› Supervisor 7L-E– 520Gbps přepínací kapacita– 2 x10G or 4 x 1G Uplinks– 240 10/100/10000 ports– 3,6 and 7 slot chassis– 60 10G LC Fiber ports– 64K Routes
› Vlastnosti– 48Gbps per slot (47xx karty)
(4507R+E, 4510R+E)
– Netflow
– VSS (roadmapa)
– Trustsec
Catalyst 4500-XFixní agregační přepínač
› 16x nebo 32x 10GE + 8x 10GE volitelný uplink
› 800 Gbps propustnost
› Front-to-back/Back-to-front airflow
› Vlastnosti jako SUP7 (VSS*, Netflow atd.)
Catalyst 6500 instalovaná bázeaneb proč Cisco stále investuje do 6500
› 700,000+ chassis
› 1.2 mil supervisorů
› 110 mil portů
› 1.6 mil 10G optických portů
› 16 mil 1G optických portů
› 44,000+ zákazníků
› 2,800 vlastností
SUP2T, 6513-E
› 80G/slot na všech 13 slotech w/ Sup2T
› 2 Tbps výkon, 4 Tbps VSS
› Až 180x10GE portů 534x1GE portů
› nonXL (256K) a XL verze (1M)
SUP2T nové karty (všechny s DFC4)69xx 80G/Slot 68xx 40G/Slot
› 8 x 10G
› 4 x 40G nebo 16 x 10G
› MacSec, OTV a LISP ready
› 24 x 1G SFP
› 48 x 1G SFP a 10/100/1000
› 16 x 10G X2 a 10GBase-T
Nexus 7000 M vs F serie karty
M1, M2Více funkcí, velké tabulky
F1, F2Rychlejší, specializované funkceLevnější, nízká latence
Nexus 3000Burzy, HFT, propojení superpočítačů, clustery atd.
› Ultra nízká latence
› L3 směrování
› 1G/10G/40G
› Konektivita
– Twinax – QSFP+ to QSFP+
– QSFP+ na 4 x SFP+ chobotnice
– Optika – modul SR4
Softwarové vs Hardwarové zařízení› Univerzální vs specializovaná zařízení
› Univerzální – např. směrovače do poboček
› Všechny vlastnosti zařízení jsou implementovány v SW na univerzálním CPU (podobný jako např. v PC)
› Není tedy problém s jakkoukoliv novou funkcionalitou
› Výkonnost zařízení je dána rychlostí CPU a bývá omezená (běžně směrovače max. rychlosti 1Gbps)
› Podpora nové funkcionality znamená změnu v SW
› Zapínání vlastností znamená pokles výkonnosti
› Specializovaná – např. páteřní směrovače Internetu
› Požadavek na obrovskou výkonnost a propustnost (až Tbps)
› Realizované na specializovaný HW obvodech
› Ty většinou podporují vlastnosti dané jejich návrhem v době výroby
› Pokud se na to při výrobě nemyslelo, novou vlastnost většinou už později přidat nejde
› Nové vlastnosti většinou už nebudou podporovat
› Zapínaní vlastností nemá vliv na výkonnost
Služby integrované ve směrovači Snížení nákladů a složitosti infrastruktury pobočky
Zabezpečovací za řízení
Bezdrátová sí ť LAN
Zařízení pro hlasové služby
Optimalizace sít ě WAN/aplikací
Překryvná za řízení Integrované služby Virtualizované služby
S podporou hlasových a bezdrátových služeb, videa,
optimalizace sít ě WAN, přepínač
Integrované moduly Service Ready Engine a služby na vyžádání
Směrovač ISR Směrovač ISR G2
Zář2004
Říj2009
Síť SpoluprácePočítače Úložišt ě
Pobočka Empowered Pobo čka Borderless
Úspora celkových náklad ů na
vlastnictví (TCO)
Zvýšení úspory celkových náklad ů na vlastnictví (TCO)
až na 75 %
Tradi ční pobo čka
Základní p říčina vysokých náklad ů a komplexnosti
� Více zařízení
� Nákladný provoz
� Složitá správa
� Jedno za řízení
� Nižší celkové náklady
na vlastnictví (TCO)
� Menší složitost
� Flexibilní infrastruktura
� Nejnižší celkové náklady
na vlastnictví (TCO)
� Ochrana investic
UCS Express
Platforma pro aplikace� Microsoft Windows Server certified
Virtualizace serveru� Cisco SRE Virtualization powered by VMware
vSphere HypervisorTM (ESXi)
Dedikovaný blade management� Cisco Integrated Management Controller
� Stejný management pro UCS rodinu
Víceúčelové x86 blade� Cisco Service Ready Engine modules
� Až 4 server blade v ISR G2
Integrace do jednoho síťového zařízení� Všechna zařízení v jednom ISR G2 chassis
� Multi-Gigabit Fabric backplane přepínač
IOS, MGF Backplane Switch
SRE Blade
SRE-V Hypervisor
OS
App
OS
App
CIMCE SRE Blade
SRE-V Hypervisor
OS
App
OS
App
Malá kancelář v racku – ISR G2
Bezserverová pobočkaBezserverová pobočka Štíhlá pobočkaŠtíhlá pobočka Pobočka s plným rozsahem služebPobočka s plným rozsahem služeb
Datové centrum /Cloud
WAN/internet
Pobočka
� Bez místních serverů� Plná závislost na síti WAN� Jednoduchost, nízké
náklady� Bez záruk služeb
� Bez místních serverů� Plná závislost na síti WAN� Jednoduchost, nízké
náklady� Bez záruk služeb
� 1–2 místní servery� Plná závislost na síti
WAN kromě provozně kritických aplikací
� 1–2 místní servery� Plná závislost na síti
WAN kromě provozně kritických aplikací
� Všechny servery místní� Bez závislosti na síti WAN� Složitost, vysoké náklady� Záruky služeb
� Všechny servery místní� Bez závislosti na síti WAN� Složitost, vysoké náklady� Záruky služeb
Datové centrum /Cloud
WAN/internet
Pobočka
Datové centrum /Cloud
WAN/internet
Pobočka
UCS-E
Bezpečnost ISR směrovačů
Profesionální konfigurace CCP
NetFlow IP SLAPřístup na základě rolí
Správa a instrumentace
Řešení pro zabezpe čené sítě
Zabezpečená hlasová komunikace
Dodržování předpisů
Zabezpečená mobilita
Kontinuita podnikání
Řízení přístupu v síti
Prevence napadení
Integrovaná správa hrozeb
Filtrování obsahu
802.1x Zabezpečení infrastruktury sítě
Pružné porovnávání paketů
011111101010101011111101010101
Bezpečné připojení
GET VPN DMVPN Easy VPN SSL VPN
Rozšířený firewall
ASR1000› Čistokrevný směrovač
› Podpora spousty funkcí a rozhraní
› IOS XE, Linux middleware
› QuantumFlow procesor– 5 letý vývoj
– Masivně paralelní 40 více vláknových jader
– Architektura navržena pro škálování > 100Gbit/sec
– Nízká latence
– Připojení externího kryptovacího engine
7200 a její nástupce ASR1000
› 15 let, 600 000 prodaných 7200
› Důležitá data:– July 14, 2011: internal announcement
– Sept 30, 2011: external announcement
– Sept 29, 2012: End of Sale
– Sept 29, 2015: End of Software Maintenance
– Sept 29, 2017: Last day of support
7201 ASR1001
24 000$ 22 000$
1.8Gpbs (bez služeb) 2.5Gbps (služby)
Upgrade na 5Gbps
WIFI a očekávání
Když se studenti vrátili tento rok, kdyby jste chtěli odhat kolik studentů bude používat WIFI – tipl bych 40%. Byl jsem ohromen, 85% studentů používá WIFI.
Scott Ksander, Purdue University
Bezdrát přehled
Mobility Service Engine
3310 3355
Carpeted
1040 1140 3500i
Rugged
1260 3500e
Outdoor
1310 - 1410
15501520r5005
Branch ControllersEnterprise Deployment
5508 WISM2ISM/SM2500
Management and Control (Cisco Prime)
ISENCS
Rádiové spektrum
› Spektrum může být alokováno pro specifické uživatele– Civil, Vláda, Armáda, Komerce,
– Televize, Radar, Mobilní telefony, rádia atd.
› Nelicencované nebo průmyslové, vědecké, zdravotní pásma– Nelicencované nebo „licencované
pravidly“
– Ve většině zemí nevyžadují licenci,
můžou vyžadovat registraci
› Rádiové frekvence jsou sdílený zdroj– Každá země ma vládní agenturu pro regulaci
– Mezinárodně spravuje ITU
Záleží na non-Wifi interferenci?
Studie na toto téma prokázaly...
http://www.cisco.com/en/US/products/ps9393/prod_white_papers_list.html
Snížení dosahu Snížení kvality hovoru Nedivatelné video
... dramatickou ztrátu v kvalitě mobilních bezdrátových služeb při interferenci
CleanAir
Akce
Wireless LAN Controller
Udržování kvality spektra
GOODPOOR
CH 1 CH 11
Lokalizace
WCS, MSE
Vizualizace a troubleshooting
100
63
35
97
90
20
AIR Quality Index
Vážnost interference
Bezdrátová bezpečnost
IP and ApplicationAttacks & Exploits
WiFi ProtocolAttacks & Exploits
RF SignalingAttacks & Exploits
Traditional IDS/IPSLayer 3-7
wIPSLayer 2
CleanAirLayer 1
Monitoruje zranitelnosti neviditelné stávajícím systémům
Rouge AP
Detekuje nové „nedetekovatelné“ Rogue/Clients
WiFi Rušičky
Lokalizuje a umožní rychlé odstranění rušiček
2.4GHz
5GHz
Wireless IPS (wIPS)
Průzkum, Crack, DoSDetekce útoku Klasifikace/alert
WCS
Akce
› Obrana proti útokům– Man in the Middle Attacks– MAC Spoofing– Fake AP Attacks– Denial of Service
• RF Jamming• De-auth, De-association, CTS/RTS Flood
– Active WEP Cracks (ChopChop, ARP Replay)
› Forézní schopnosti› Anomaly detection engine – detekce Zero Day útoků
ClientLink
802.11a/g
802.11n
Síla signáluX
802.11a/g Klientské spojení není optimální, vytváří nepokrytá místa
Úprava signálu
802.11a/g
802.11n
� Inovace v Cisco AP čipu
� Nedostupné v běžných AP
ClientLink upravuje signál a vylepšuje výkon a pokrytípro 802.11a/g Devices
ClientLink
Hacking?
Kevin MitnickSociální inženýrství
ANONYMOUS
DDoS útoky
Script kiddie
Hacker vs Cracker
Odposlouchavání
Vlády
Známý WEB20% pokryto v seznamech URL
80% Webu je nekategorizováno, vysoce dynamické nebo nedosažitelné vyhledávacími roboty
• Botnety• Dynamický obsah• Zaheslované stránky• Uživatelsky generovaný obsah• Krátkodobé stránky
Temná strana WEBu
Útoky přes Web
› 54% malware nákaz je kvůli iframe a exploitum
› Cross-site scripting a SQL Injection jsou TOP útočící metody
› 83% všech stránek má alespoň 1 vážnou zranitelnost
› Přes 70% procent kompromitovaných stránek jsou legitimní
› Nové zranitelnosti v Adobe PDF a Flash
New York Time – oběť útoku přes reklamu
Zdánlivě legitimní reklama přidává škodlivý kód, který způsobí přesměrování
Cíl: protection-check07.com
Scareware
Full-screen pop-up simuluje reálný AV program, nutí uživatele si koupit plnou verzi , aby vyčistili počítač
Cisco Web Rep Score: -9.3Default Action: BLOCK
NYT stránka funguje, škodlivé přesměrování je blokováno
Monitoring, databáze a korelace
20 000+ zákazníků globálně
8 z 10 TOP poskytovatelů Přes 500GB dat za den
500 zdrojů třetích stran 300 milionu chráněných uživatelů
Cisco SenderBaseNejvětší světová monitorující síť
ReputaceInformace o konkrétní IP adrese
Ironport
› Emailová bezpečnost
› Webová bezpečnost
› Management
› Leadership
– 42 ze 100 největších společností
– 8 z 10 největších ISP
– Armáda US
– 600+ partnerů
– Infrastruktura Ironportu je v 75zemích
Cisco ScanSafe Cloud Služby
Konzistentní, vynutitelná, výkonná Webová bezpečnost, nezávisle kde a jak se uživatelé připojují do Internetu.
Co je to Trustsec?
› Může být matoucí
› Můžeme považovat za NAC nové generace
› Zahrnuje vše co má něco společného s identitou
– IEEE 802.1X (Dot1x)
– Cisco NAC Appliance
– Profiling Technologies
– Guest Services
– Secure Group Access (SGA)
– MACSec (802.1AE)
– Access Control Server (ACS)
– Identity Services Engine (ISE)
Takže Trustsec = Identita?
› Ano, ale jako systém nebo řešení identity– Politiky definované na serverech jsou jenom tak dobré jako
zařízení je vynucující politiky (přepínače, WLC, firewally atd.)
› Co je to Identita?– Rozumět tomu KDO/CO/KDE/KDY a JAK uživatel nebo
zařízení přistupuje do sítě
› Proč je identita důležitá– Autentizace = Nedovolit se dostat outsiderum dovnitř
– Autorizace = Udržet insidery v mezích, personalizace sítě
– Evidence = Zvýšení dohledu nad sítí
802.1x
› Přidaná hodnota sítě, prvky obsahují
› Implementace musí být pečlivě připravená
› U enterprise zákazníků spíše organizační oříšek než technický
MACSec (802.1AE)
Šifrovaná data Nešifrované Šifrovaná data Nešifrované Šifrovaná dataTrustSec /802.1AE TrustSec /802.1AE TrustSec /802.1AE
Dešifrování na vstupu Dešifrování ŠifrováníŠifrování na výstupu
Provoz je uvnitř systému nešifrovaný a přístupný pro všechny operace
› Hop-by-hop zajištění utajení a integrity
› Síť stále vidí do provozu a může aplikovat jakoukoliv inteligenci
› Podpora v HW, žádny dopad na výkonnost nebo zpoždění
› Podpora: Nexus 7000, SUP7 a nové karty na 4500, SUP2T a nové karty na 6500, některé fixní přepínače
Identity Services Engine – Policy serverKonzolidované SW balíky
a služby
Zjednodušené nasazení a administrace
ACS
NAC Profiler
NAC Guest
NAC Manager
NAC Server ISE
Location
User ID Access Rights
Správa relací
Sledování aktivních uživatel ů a zařízení
Flexibilní nasazení služeb
Optimalizované a škálovatelné služby
AdminConsole
Distributed PDPs
M&TAll-in-One
HA Pair
Rozši řitelné politiky
Správa politik
Skupinový p řístup
Zjednodušená kontrola
Monitorování a troubleshooting
Reporting, logování, snadná lokace problému
SGT Public Private
Staff
Guest
Permit
Deny
Permit
Permit
Device (& IP/MAC)
Přístup na základě politik
+
Informace o identitě
Identita:
NetworkAdministrator
Identita:
Full-TimeZaměstnanec
Identita:
Návštěva
Přístupové oprávnění
Konzultant
Human Resources
Finance
Marketing
Zakázání přístupu
Návštěva
Jiné podmínky
Čas a datum
Typ přístupu
Lokace
Anyconnect› SSL VPN
› 802.1x supplicant
› Scansafe konektor
Přijatelné použití
����Řízení přístupu
����Prevence ztráty dat
����
Bezproblémové, stabilní služby umožňující použití flexibilních
zásad zabezpečeníNekonfigurovatelná zařízení, riziko
ztráty dat a nedostatečná dostupnost
Spotřeba energie = Operational Costs
› Úspora nákladů
– růst cen energií
– penetrace IT
– Video aplikace
› Další důvody
– regulační nařízení (např. EPBD2)
– vládní nařízení
– Green iniciativy
Trendy v IT infrastruktuře
› Chytrá infrastruktura– monitorování spotřeby, reporting, řízení
› Každé zařízení může být více „Green“– Vypnout nebo snížit spotřebu
› Otevřený přístup ke všem zařízením i ne-IT– IP protocol
› Značná úspora nákladů
› Splnění nařízení (nebude postih)
› Snížení emise skleníkových plynů
Power over Ethernet
› Rozvíjející se trend k napájení zařízení přes PoE
› Původně IT (IP telefony, později AP,...)
› Nyní (Virtual Desktop Infrastructure) VDI, Videokonference, kamery
› Ne IT zařízení (přístupové systémy, světýlka, ...)
2003: IEEE 802.3af PoE - ~15W
2009: IEEE 802.3at PoE+ ~30W
2011: Cisco UPOE (Universal PoE) ~60W
A vyplatí se to všude ? Kde je největší příležitost?
Vertikála Příležitost Důvody
Školství Vysoká Večery, víkendy, svátky a prázdniny
Maloobchod Vysoká Hodně poboček
Veřejný sektor Vysoká Většinou fixní pracovní doba
Hotely Vysoká Nezaplněné hotelové pokoje
Realitky Vysoká Přidané služby v managementu budov
Finance Vysoká Mimo pracovní dobu úspory, pobočky, banky, pojišťovny atd.
Zdravotnictví Střední 24x7 provoz znamená méně příležitosti, přesto existují administrativní části atd.
Manufaktura Střední Záleží na businessu. Většinou 24x7 provoz
Transport Střední Záleží na businessu. Letiště např. 24x7x365
Building Management trendy
› Propojení dvou světů na různých komunikačních protokolech
› GW od výrobců, kteří jsou v budovách „doma“
Zelené iniciativy
› Czech Green Building Council (CZGDBC, Česká rada pro šetrné budovy)› Duben 2011:
– Cisco se stává členem CZGBC– První IT/networking členská firma v České republice !!!– CZGBC je nezisková organizace, jejímž cílem je vytvořit legislativní, tržní a kulturní
prostředí, přispívající k rozvoji staveb šetrných k životnímu prostředí.
› Květen 2011: – Cisco je sponzorem konference Šetrné budovy (Green Buildings) 2011 – 26. května
2011 (www.setrnebudovy.cz) – Společná prezentace se Schneider-Electric
› Listopad 2011: – V rámci CZGBC založena technologická pracovní skupina Cisco + Schneider Electric
› Cisco je členem USGBC od r. 2008– www.czgbc.org– Viz také
• EU regulations (EU 20-20-20, EPBD II)• Certifikační systémy budov – LEEDS, BREEAM, atd.
Energywise LAN síť
Cisco Catalyst 4500Cisco Catalyst 3560-E &Cisco Catalyst 3560
Cisco Catalyst 3750-E &Cisco Catalyst 3750
Cisco ® Catalyst ® 2900 Series
EtherSwitch Modules Cisco Integrated Services Routers G2
Cisco Catalyst 2960-S Cisco Catalyst 3750-X and Cisco Catalyst 3560-X
› Energywise je součástí Cisco přepínačů
› Přidaná hodnota už existující sítě
› Kompetetivní výhoda oproti konkurenci
První možnost návrhu, nasazení a provozu vaší sítě
Geeky the Geek› Komplexní
› Manuální
› Náchylné na chyby
Case Study: LMS pro nasazení Energywise
IT chce nasadit Energywise pro monitorování a šetření nákladů
1. Definování politiky2. Připravení sítě3. Konfigurace sítě4. Aplikování politiky5. Monitorování úspor
• Rychlé nasazení služby• Snížení chyb při nasazování• Okamžitý ROI
Monitorování nákladů
Automatická konfigurace
Case Study: Collaboration Manager pro troubleshooting videaUživatel má problém s video přenosem při Telepresence mezi centrálou a pobočkou. Provozní oddělení musí najít a odstranit
problém.
1. Identifikace a vybrání relace2. Zjištění stavu relace3. Průzkum a vizualizace cesty média4. Rychlé izolování příčiny problému5. Náprava problému
• Rychlé izolování a troubleshooting služby• Vylepšení kvality služby a uživatelské zkušenosti
Case Study: NAM pro řešení problému s výkonem aplikacíUživatelé si stěžují na pomalou odezvu aplikací
1. Identifikace aplikací s vysokou odezvou2. Analýza výkonu aplikace v čase3. Zaměření se na problémové časy4. Identifikace TOP N ovlivněných klientů a serverů5. Analýza aktivity serveru6. Vyřešení problémů
• Možnost zjištění chování síťového provozu• Optimalizace a troubleshooting sítě a výkonu aplikací
Problémy s výkonností
DC/Cloud
WAN/Internet
Business aplikace, mobilní aplikace, video
› Nedostatek viditelnosti a kontrola
– Nové aplikací (mobilní, video, VDI...)
– Různé modely nasazení (lokální hosting, DC, cloud)
› Využití šířky pásma
– Zbytečné využití
• Non business aplikace
• Neefektivní transport aplikací
– Zpoždění, zvyšující s odezva aplikací
› Spolehlivost sítě
– Výpadky
– Zahlcení
› WAN může být překážkou konsolidace
Application VelocityViditelnost a kontrola
› Průzkum síťového provozu s rozeznáním jednotlivých aplikací
› Viditelnost na úrovni vnitřku paketů
› Monitoring využití aplikací a anomálií
› Reporty pro plánování kapacity
› Prioritizace business kritických aplikací
› Klíčové produkty
– IOS – NBAR, Flexible Netflow (směrovače, některé přepínače)
– Network Analysis Module NAM – Appliance, servisní modul, virtuální modul
– QoS – Kategorizace provozu a aplikování politik
› Některé protokoly byly navržene pouze pro běh na LAN
› Optimalizace protokolů aplikací zvyšující rychlost
› Komprese snižující objem provozu
› Cache často používaných souborů šetřící pásmo
› Klíčové produkty
– WAAS appliance, SRE, Express, virtual
Application VelocityAkcelerace a optimalizace
› Centralizace většiny IT, hostování vybraných aplikací na pobočce
– Windows služby
– Speciální aplikace
› Vykonnost pro vybrané lokální aplikace
› Business continuity
› Klíčové produkty:
– UCS-Express, WAAS-VB,
– Performance Routing, Webex node
Application VelocitySíťová a aplikační flexibilita (agility)
Služby Medianet Transformace služeb přenosu hlasu a obrazu na pobočkách
Schůze ředitele
Jednání vedení
Sportovní událost
Schůze ředitele
Jednání vedení
Sportovní událost
Kontextově orientovaný, prioritní, vysoce kvalitní přenos hlasu a videa
Bez rezervace zdrojů, snížení kvality přenosu hlasu a videa
Medianet – inteligentní síť optimalizována pro náročná média, kombinuje inteligenci v– Mediích – Detekce a optimalizace různych médií a aplikaci (telepresence, video
dohled, sdílení desktopu, streamovani atd.)– Koncových zařízeních – Automaticky detekuje a nakonfiguruje– Síti – Umí se adaptovat na změny v zařízeních, připojeních a dostupnosti služeb
Od studené války k dnešnímu Internetu
1969Arpanet
1973TCP/IP
1984První komerčně
úspěšný směrovač
1993První www
prohlížeč, zdarma
1972První emailový
program
1989CERN
hypertext, www1986NSFNET
1987Vzniká pojem
Internet
1990Končí Arpanet
1994Komercionalizace
Internetu
1996 250 milionů uživatelů
2003 600 milionů
2005 900 milionů
2009 1,8 miliardy
2010přes 2 miliardy
Jak nám mohli dojít IP adresy?› Teoreticky 4 miliardy IP adres
› Prakticky 250 miliónu koncových zařízení
› Šetření IP adresami (různé mechanismy viz dále)
Zdroj grafu: http://www.potaroo.net
Odkud se berou? A kdy tedy došly?
Reg
istr
áto
řiPo
skyt
ova
telé
Záka
zníc
i
Zdroj grafu: http://www.potaroo.net
› Únor 2011 – došly adresy IANA
› Každý region alokuje jinou rychlostí
› Regionálním registrátorům došly nebo brzo dojdou
› Poskytovatelé podle toho jak mají nasysleno
Kdo je na tom nejhůře?› Asie Pacifik
– Přidělené bloky nevystačili ani 2 měsíce
– APNICu došly adresy kromě posledního bloku /8
– Pro ten uplatněna speciální alokační politika• (každý pouze 1024 adres, 7000 AUD v prvním roce na poplatcích)
– APNIC odmítá žádosti o alokace
› Evropa– Méně než tři volné bloky
– Zpřísněná pravidla
– Vyčerpání může nastat kolem přelomu letošního roku
› Co bude dále– Rozdílné docházení adres v regionech – nerovnováha, šedý trh
– Obchod v rámci regionů – výhoda pro ARIN (velké alokace z počátku Internetu)
– Vzrůstající cena IPv4 adres
– Špatná obchodovatelnost – štěpení bloků
– Fragmentace IPv4 prostoru – narůstání globálních směrovacích tabulek
Nová verze IP?› 1991 – Studie o vyčerpání IP adres při současném tempu do
roku 2008
› Dostatek času na vývoj nového protokolu (odstranit nedostatky současného IP)
...
› 1995 – První IPv6 (IPng) standardy
› Mechanismy pro šetření IP adresami
› Nové vlastnosti implementovány do IPv4
...
› Nedostatek motivace
› IPv6 ROI?, IPv4 zisky teď, IPv6 nikdo nechce....
› Adresami šetříme a máme jich přece dost
› Nové aplikace (peer-to-peer)
...
› 2011 – Jejda, ony už došly
› Je IPv6 dozrálé? Kdo je připraven? Co výrobci zařízení?
IPv6, máme dost adres?› Nebude se problém znovu opakovat?
› IPv6 = 2128 = 340,282,366,920,938,463,463,374,607,431,768,211,456
Populace 7 miliard lidí
2128
7 miliard
48 kvadriliard adres na člověka
48 kvadriliard
100 miliard
486 biliard adres na každou buňku mozku člověka na zemi
Mozek má typicky asi 100 miliard buněk
=
=
Nejvyšší pojmenovaná jednotka dle SI soustavy je 251 oktiliarda
IPv6, máme problém vyřešen?› Ideální řešení, pojďme všichni naráz zapnout IPv6....
– Nekompatibilita mezi IPv4 a IPv6, zařízení si mezi sebou nepopovídají
– Zařízení bez podpory IPv6, některé ani nikdy podporovat nebudou
– Servery, služby, aplikace nepřipravené na IPv6
– Administrátoři.... nejsou připraveni
• IPv6, co to je?
• Takovou hnusnou dlouhou adresu se učit nechci (2001:0DB8:0000:0000:FFFF:0000:0000:0ADC)
• Některé věci fungují jinak než jsme zvyklí v IPv4
IPv4 IPv6
Hi, I want to send you packet
???
您好,我想給你包???
› Chytré řešení, pojďme používat oba protokoly– Nové zařízení budou dostávat oboje adresy
– Při komunikaci si vyberou, který protokol použijí
– Odborně nazýváno DUAL STACK
› Realita....– Poskytovatel: „zákazníku dostaneš dvě adresy“
– Registrátor adres: „ehm, je mi líto, ale IPv4 adresy přece došly“
– Čekali jsme příliš dlouho. Co mohlo být bezbolestné, teď úplně jednoduché nebude.
– Nastupují improvizace• Masivní několikanásobné překlady adres, za cílem efektivnějšího využití IPv4 adres
• Překlady adres mezi IPv4 a IPv6 (NAT64)
• Tunelování IPv6 ostrůvků přes IPv4
• Plus k tomu všemu zamozřejmě DUAL STACK
• Atd....
IPv6, máme problém vyřešen?
IPv4
IPv6
IPv4
IPv6
Podpora IPv6 na zařízeních› Škálování a limity zařízení
– Specializovaná zařízení mají HW paměti určité velikosti
– Musí v současné chvílí pojmout IPv4 a IPv6 sítě
– IPv6 sítí zvládne méně než IPv4 (4 x delší adresa)
– Může vzniknout potřeba licence na provoz IPv6 vlastností
– Co umí nějaká vlastnost v IPv4 nemusí umět v IPv6
› Obecně
– Páteřní zařízení podporují IPv6 vlastnosti velmi dobře
– Koncová zařízení na tom bývají hůře
– Firewally, load-balancery atd. záleží podle výrobce
› IPv6 Ready Logo – testy a kompatibilita zařízení
– Fáze I. Základní podpora (silver)
– Fáze II. Kompletní podpora (gold)
Kroky k nasazení IPv6
1. Analýza externích a interních aplikací a služeb pro IPv6
2. Definování týmu, který bude pracovat na nasazení IPv6
3. Analýza současného stavu připravenosti na nasazení IPv6
4. Plánování vzdělávání v IPv6
5. Získání IPv6 adres
6. Volba architektury a postupu nasazení IPv6, příprava designu
7. Implementace pilotního projektu, testování
8. Definice bezpečnostní politiky
9. Specifikace vyjímek z IPv6
Jaký je stav v ČR?› Dle usnesení* vlády ČR číslo 727 musí ministři zajistit zpřístupnění
služeb/portálů na IPv6 již do konce roku 2010 a všechny obnovované aktivní prvky musí již nyní umět IPv6.
› Podniková sféra spíše vyčkává, někdy požadována podpora IPv6 při obnově
Zdroj grafu: www.nix.cz/cz/ipv6
Zdroj grafu: http://labs.nic.cz/page/844/
NIC.CZ 2010 - nárust domén s podporou IPv6
NIX 2011 - nárust provozu v Českém Internetu
(* nikomu nehrozí v případě nedodržení žádný postih, ani neexistují páky, jak příslušné úřady přinutit k poslušnosti)
Problémy protokolů› IPv4
– Kvůli nasazení CGN a postupné zhoršující se směrovatelnosti IPv4 bude IPv6 po čase spolehlivější protokol – hlavně pro služby, které hodně komunikují (otevírají hodně portů)
– Lepší spolehlivost P2P služeb na IPv6
› IPv6– Někteří klienti mají špatně nastavené IPv6
– White screen of death
– To brání velkým hráčům, aby samostatně zapnuli IPv6
– Např. Google – zpřístupňuje IPv6 jen vybraným ISP na základě žádosti
– Preference v OS
Závěr – Rizika› Problém s nedostatek adres už nastal a je reálný, některé kontinenty už
budou brzy bez jakýchkoliv IPv4 adres
› IPv6 bude vládnout Internetu – ať se nám to líbí nebo ne
› IPv6 není nadstavba nebo volitelná vlastnost – je to klíčová součást infrastruktury
› Nástup IPv6 může být rychlejší než se teď zdá, závisí na majoritních poskytovatelích obsahu
› Co hrozí v případě nečinnosti?– Dojdou adresy pro zákazníky, zhoršená kvalita datových služeb na IPv4. Boom chytrých
telefonů s datovými službami, potřebují adresy.
– Bezpečnostní rizika, možnost automatického vystavení uživatelských počítačů do IPv6 Internetu bez firewallu
– Některé mechanismy v IPv4 fungují jinak než IPv6, potřeba vzdělávání administrátorů a získávání zkušeností zabere čas. Potřeba osvěty, vzdělávání, diskuze.
– Zařízení nemusí IPv6 podporovat, nečekané nebo zbytečné investice
– Zákazníci mohou IPv6 vyžadovat (a už vyžadují např. státní správa)
› IT oddělení veřejných a podnikových zákazníků musí zahrnout IPv6 jako klíčový element jejich IT strategie
Závěr - Příležitosti› IPv6 je největší upgrade ve 40 leté historii Internetu
› Netřeba nikoho moc nutit, každého teď toto téma zajímá
› Proč začít teď?– Ještě je čas na přípravu (kdo je připraven, není překvapen)
– Lze implementovat řízeně a po krocích
– Nikdo z poskytovatelů nečeká a už implementuje
– Kontinuita nabízených služeb zákazníkům
– Odstranění všech zmiňovaných rizik