Koncept novodobých LAN sítí v pojetí výrobce Cisco Systems

Bezpečnost, mobilita, IoT, cloud. Požadavky na prostředí lokálních sítí se neustále mění. Leader na trhu, společnost Cisco Systems přichází s uceleným konceptem budování a provozu moderních lokálních sítí.

Cisco Systems přichází s uceleným konceptem budování a provozu moderních lokálních sítí, spočívajícím v:

  • představení produktové řady přepínačů Catalyst 9000,
  • uvedení architektury Digital Network Architecture (DNA),
  • doporučení řešit bezpečnost bezprostředně v síti, mj. pomocí technologií Stealthwatch a Identity Services Engine (ISE),
  • zavedení obchodního modelu prodeje SW licencí Cisco ONE,
  • ukládání, aktivaci a správě licencí pomocí Smart Account účtů.


Současnost LAN sítí

Dnešní lokální sítě lze charakterizovat:

  • stále rostoucím objemem pevných i mobilních dat, daným zejména:
    • nárůstem celkového počtu zařízení v síti,
    • dostupností vysokorychlostních rozhraní v lokálních sítích,
    • nasazením inovovaných technologií v bezdrátových sítích,
  • exponenciálním růstem počtu IoT zařízení, která přináší nové požadavky:
    • na konfiguraci a správu velkého počtu zařízení,
    • bezpečnost v síti,
    • zajištění nepřetržitého napájení nebo velmi přesné synchronizace času pro určité typy IoT zařízení,
  • dynamickým růstem objemu šifrovaného provozu,
  • množstvím hackerských útoků různého typu, často vedených zevnitř sítě, skrytých v šifrovaném provozu atd.,
  • přechodem ke cloudovým službám,
  • mobilitou uživatelů,
  • potřebou detailních informací o provozu v síti,
  • nárůstem zařízení napájených prostřednictvím datové sítě,
  • potřebou zjednodušení konfigurace a správy sítě,
  • potřebou efektivního plánování a ochrany vložených investic.

Catalyst 9000

Produktová řada Catalyst 9000 je nejnovější generací přepínačů Catalyst výrobce Cisco Systems pro budování lokálních sítí. Jedná se o fixní i modulární přepínače s neblokující architekturou a s podporou komunikačních rozhraní do rychlosti až 100 Gbps. Aktuálně dostupné jsou modely Catalyst 9300 a 9400 pro řešení přístupové vrstvy a Catalyst 9500 pro páteřní a agregační vrstvu.

Přepínače jsou připraveny pro začlenění do architektury Digital Network Architecture (DNA). V případě potřeby je možné je zahrnout pod Cisco Prime management.


Catalyst 9000 je vhodnou alternativou pro všechny zákazníky, kteří:

  • zvažují přechod na 5 Gbps (přístupová vrstva) a 100 Gbps (páteřní vrstva),
  • zaujímají zodpovědný postoj k řešení bezpečnosti svého síťového prostředí,
  • stali se v minulosti obětí hackerských útoků,
  • potřebují podrobné informace o provozu v síti,
  • připravují nasazení většího počtu IoT zařízení,
  • potřebují aplikační rozhraní ke svým síťovým prostředkům,
  • plánují migraci z důvodu ukončení podpory stávajících aktivních prvků,
  • efektivně řídí náklady na pořízení a provoz síťového prostředí.

Vybrané vlastnosti přepínačů Catalyst 9000

  • Fixní a modulární přepínače s neblokující architekturou.
  • UADP 2.0 ASIC procesor.
  • Operační systém IOS XE.
  • Otevřená softwarově definovaná architektura (SD-Access).
  • Podpora vysokorychlostních rozhraní o kapacitě až 100 Gbps (v závislosti na konkrétním modelu zařízení).
  • Optimalizovaná platforma pro 802.11ac Wave2 AP.
  • X86 CPU a SSD pro provoz aplikací.
  • Encrypted Traffic Analytics (ETA) pro detekci anomálií a útoků, včetně útoků v šifrovaném provozu, a to bez nutnosti dešifrování dat.
  • Hardwarově řešená podpora Flexible NetFlow (FNF) s podporou až 512 000 flow/s (v závislosti na konkrétním modelu zařízení).
  • Precision Time Protocol (PTP) pro velmi přesnou synchronizaci času (IEEE 1588 v2).
  • UPoE, Perpetual PoE a Fast PoE pro zajištění nepřetržitého PoE napájení.

Licence základního SW

  • Network Essentials se základní funkcionalitou nebo Network Advantage s podporou pokročilých směrovacích protokolů, segmentace sítě, vysoké dostupnosti, integrace IoT řešení a bezpečnosti.
  • Trvalá (perpetual) licence, platná po dobu životnosti HW, svázaná s HW.

Základní záruka výrobce

  • Network Essentials se základní funkcionalitou nebo Network Advantage s podporou pokročilých směrovacích protokolů, segmentace sítě, vysoké dostupnosti, integrace IoT řešení a bezpečnosti.
  • Trvalá (perpetual) licence, platná po dobu životnosti HW, svázaná s HW.

Rozšířená záruka výrobce (maintenance)

  • Prostřednictvím programu Smart Net.
  • Podmínka poskytování servisních služeb s garantovanou dobou opravy.

Catalyst 9000 představuje první řadu přepínačů prodejných pouze v novém obchodním modelu Cisco ONE s časově omezenou (term) licencí.

Přepínače je tak možné přímo vybavit licencemi Digital Network Architecture (DNA), Stealthwatch a Identity Services Engine (ISE).

Zároveň zde dochází k oddělení HW a licencí SW, které jsou nyní přenositelné. Nutnou podmínkou pro přenositelnost licence je aktivní maintenance výrobce a zohlednění zařazení zařízení do skupin dle výkonu (device tiering).

  • Cisco ONE je nový obchodní model prodeje SW licencí.
  • Zavádí časově omezené, přenositelné licence.
  • Sdružuje licence do balíčků SW sestavených tak, aby odpovídaly typickým potřebám zákazníka.
  • Přináší zjednodušení a zrychlení nákupního procesu.
  • Zajišťuje okamžitý přístup k novým verzím SW bez dodatečných nákladů.
  • Umožňuje efektivní plánování investic.

Cisco ONE model není omezen pouze na přepínače řady Catalyst 9000, podporovány jsou rovněž řady přepínačů Catalyst 3000, 4000 a 6000. Stejně tak se neomezuje pouze na přepínané LAN sítě, ale pokrývá prvky WLAN sítí, datových center a WAN.


Způsob licencování Cisco ONE

  • Časově omezená (term) licence prodejná formou předplatného (subscription), přenositelná.
  • Aktivační období je volitelně na 3, 5 nebo 7 let.
  • SW maintenance je součástí subscription.

Licence Digital Network Architecture (DNA)

  • DNA Essentials se základní funkcionalitou nebo DNA Advantage s podporou pokročilé automatizace, telemetrických funkcí, Encrypted Traffic Analytics (ETA), patch managementu a analytických funkcí.

Licence Cisco ONE

  • Balíček Cisco ONE Advantage obsahuje licence DNA Advantage, ISE Plus a Stealthwatch.

S rostoucím počtem uživatelů, aplikací a zařízení různého typu je stále těžší udržet konzistenci nastavení sítě. Manuální konfigurace jsou složité, zdlouhavé a často při nich dochází k chybám. Virtualizace a automatizace tak přináší potřebné zjednodušení a zrychlení procesu konfigurace a správy zařízení v síti.

  • Digital Network Architecture (DNA) je technologie pro virtualizaci, automatizaci a správu sítě.
  • Pomocí SD-Access vytváří skupinu (fabriku) zařízení s možností jednotné konfigurace a správy.
  • Umožňuje automatizovanou end-to-end segmentaci sítě pro oddělení uživatelů, zařízení a aplikací a definici politik pro přístup do sítě.
  • Přináší zjednodušení konfigurace a správy sítě.
  • Zjednodušuje a zrychluje proces řízení změn.
  • Pomáhá udržet konzistenci nastavení sítě.
  • Zvyšuje produktivitu.

Digital Network Architecture (DNA) vyžaduje implementaci DNA Center appliance (HW), volitelně i v režimu vysoké dostupnosti.


 

Řada hackerských útoků je dnes vedena zevnitř sítě, častěji se skrývají v šifrovaném provozu (https). Do sítě se připojuje stále větší množství zařízení různého typu, včetně „jednoduchých“ IoT zařízení. Samozřejmostí je podpora mobility uživatelů v rámci sítě.

Zajištění bezpečného provozu sítě je za těchto podmínek prioritou a nutností.

 

Stealthwatch

Stealthwatch je komplexní řešení pro zajištění vizibility a bezpečnosti sítě.

  • Stealthwatch zajišťuje nepřetržité sledování provozu na síti, analýzu provozu a detekci bezpečnostních hrozeb.
  • Opírá se o hardwarovou podporu Flexible NetFlow (FNF) přepínačů.
  • Ve spolupráci s funkcionalitou Encrypted Traffic Analytics (ETA) umožňuje detekci anomálií a útoků v šifrovaném provozu, a to bez nutnosti dešifrování dat.
  • Sleduje aktuální provoz na síti a porovnává ho s běžným chováním sítě.
  • K pokročilým analýzám využívá cloudovou službu Cognitive Analytics a dokáže tak odhalit i útoky, které prošly běžnou bezpečnostní kontrolou.

Základní konfigurace vyžaduje implementaci Stealthwatch Management Console a Flow Collectoru (HW nebo virtuální).

Identity Services Engine (ISE)

Identity Services Engine (ISE) je bezpečnostní řešení pro ověřování identity a řízení přístupu k síti.

  • Identity Services Engine (ISE) zajišťuje autentizaci, autorizaci, logování, posturing, profiling, device on-boarding a guest access.
  • Definuje pravidla přístupu uživatelů do sítě na základě rolí a profilů.
  • Určuje požadavky na koncová zařízení, např. na instalaci opravný balíčků, aktualizaci antivirové/antispamové ochrany, konfiguraci registrů atd.
  • Prosazuje bezpečnostní politiku v síti.
  • Poskytuje informace o vizibilitě sítě – kdo je připojen, z jakého zařízení, jaké požívá aplikace atd.

Vyžaduje implementaci Identity Services Engine appliance (HW nebo virtuální).


Smart Account

S přechodem na Cisco ONE vzniká potřeba evidence a správy licencí SW. K tomu slouží tzv. Smart Account účet.

Existují dva typy účtů. End Customer Smart Account umožňuje koncovému zákazníkovi (konzumentovi licencí) ukládat, aktivovat a spravovat zakoupené licence. Partner Holding Smart Account slouží pouze jako dočasné úložiště licencí do doby jejich převedení na cílový End Customer Smart Account.

Partner může řídit, po přidělení oprávnění, End Customer Smart Account svého zákazníka.

Koncový zákazník si může ke svému End Customer Smart Account účtu zřídit libovolný počet oddělených virtuálních účtů, ať už z důvodu vnitřních potřeb organizace nebo pro své dodavatele.

  • Smart Account účet slouží pro ukládání, aktivaci a správu Cisco ONE licencí.
  • Přináší zjednodušení procesu SW inventory.

Smart Account

  • End Customer Smart Account.
  • Partner Holding Smart Account.