Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возможностей оборудования Сisco. Часть 1.
2 likes2,863 views
Документ описывает участие в Cisco Expo, где можно получить подарок Linksys E900, следуя определенным условиям. Основное внимание уделяется практике и рекомендациям по проектированию LAN-сетей с использованием оборудования Cisco, включая аспекты безопасности и отказоустойчивости. Приводятся детали настройки сетевых протоколов и технологий, а также лучшие практики для оптимизации сетевого управления.
![ Защита пользователя от ложных ответов на его DHCP запросы,
за счет механизма доверенных/недоверенных интерфейсов и
поддержки единой базы MAC-IP
Злоумышленник
DHCP Reply
DHCP Request Untrusted DHCP Request Trusted DHCP Reply
Клиент DHCP
MAC = 00:50:56:BA:13:DB сервер
IP Addr =10.4.80.10
DHCP Snooping Binding Table
MAC Address IP Address VLAN Interface
00:50:56:BA:13:DB 10.4.80.10 10 GigabitEthernet2/0/1
Глобальная конфигурация коммутатора: Конфигурация клиентского
интерфейса:
ip dhcp snooping vlan [data vlan], [voice vlan] ip dhcp snooping limit
no ip dhcp snooping information option rate 100
ip dhcp snooping
© 2012 Cisco and/or its affiliates. All rights reserved. 29](https://image.slidesharecdn.com/2-2-4ciscoexpo2012-121112041433-phpapp02/85/LAN-isco-1-29-320.jpg)
![ Защита от подмены MAC/IP (правильность ARP-запросов/ARP-
ответов), за счет динамического анализа пакетов в сети и соответствия
записям единой базы MAC-IP
Untrusted
Передаваемый MAC
Злоумышленник 00:10:10:10:10:10
Не совпадает
DHCP Snooping Binding Table
MAC Address IP Address VLAN Interface
00:50:56:BA:13:DB 10.4.80.10 10 GigabitEthernet2/0/1
Глобальная конфигурация коммутатора: Конфигурация клиентского
интерфейса:
ip arp inspection vlan [data vlan], ip arp inspection limit
[voice vlan] rate 100
© 2012 Cisco and/or its affiliates. All rights reserved. 30](https://image.slidesharecdn.com/2-2-4ciscoexpo2012-121112041433-phpapp02/85/LAN-isco-1-30-320.jpg)
![ Стек мастер – управляет работой стека
3750-X = 9 устройств, 2960-S/SF = 4 устройства
Выбирайте мастер на коммутаторе без uplink-портов
Первоначальный MAC мастера = стек MAC после сбоя (многие cross-стек
сервисы и протоколы привязаны к нему и могут restart)
switch [switch number] priority 15
stack-mac persistent timer 0
© 2012 Cisco and/or its affiliates. All rights reserved. 44](https://image.slidesharecdn.com/2-2-4ciscoexpo2012-121112041433-phpapp02/85/LAN-isco-1-44-320.jpg)
Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возможностей оборудования Сisco. Часть 1.
- 1. Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900. Как получить подарок: • внимательно слушать лекции по технологиям Cisco • посещать демонстрации, включенные в основную программу • пройти тесты на проверку знаний Тесты будут открыты: с 15:00 25 октября по 16:30 26 октября www.ceq.com.ua © 2012 Cisco and/or its affiliates. All rights reserved. 1
- 2. Cisco Expo 2012 Лучшие практики и рекомендуемые дизайны по построению LAN-сетей на базе возможностей оборудования Сisco Максим Порицкий cистемный инженер, CCIE R&S mporitsk@cisco.com © 2012 Cisco and/or its affiliates. All rights reserved. 2
- 3. Введение в LAN Рекомендации по настройке и лучшие практики (L1, L2, L3-уровни) Рекомендации по настройке и лучшие практики (безопасность) Рекомендации по настройке и лучшие практики (протоколы, сервисы) Уникальный совокупный функционал Позиционирование оборудования в LAN © 2012 Cisco and/or its affiliates. All rights reserved. 3
- 4. © 2012 Cisco and/or its affiliates. All rights reserved. 4
- 5. © 2012 Cisco and/or its affiliates. All rights reserved. 5
- 6. Обеспечение работы бизнеса: Обеспечение отказоустойчивого и доступного сервиса Быстрая восстанавливаемость сервисов Оптимизация использования сервисов Безопасность использования сервисов Обеспечение разных типов доступа (проводного и беспроводного) к сервисам © 2012 Cisco and/or its affiliates. All rights reserved. 6
- 7. Иерархичность (hierarchy) – роли и задачи Модульность (modularity) - специфический функционал Восстанавливаемость (resiliency) – способность противостоять ошибочным или злоумышленным воздействиям Адаптация (Flexibility) - способность модификации, наращиваемости без существенных изменений сети © 2012 Cisco and/or its affiliates. All rights reserved. 7
- 8. Центральный, критичный элемент LAN Si Si Объединение модулей, высокоскоростная коммутация/маршрутизация Нет сервисов, серверов/пользователей Si Si Высокая отказоустойчивость модернизация (HW, SW) нет простоя сервиса © 2012 Cisco and/or its affiliates. All rights reserved. 8
- 9. Граничный элемент между ядром и доступом Агрегация соединений от уровня доступа и Si Si подключение к ядру Функционал: Применение сетевых политик к трафику Si Si Изоляция проблем уровня доступа Суммаризация маршрутов, быстрая сходимость Балансировка нагрузки Резервирования шлюза по умолчанию для уровня доступа © 2012 Cisco and/or its affiliates. All rights reserved. 9
- 10. Граничный элемент между сетевой инфраструктурой и пользовательскими устройствами Si Si Подключение пользовательских устройств Функционал: Si Si Автообнаружение и автоконфигурациия устройств Обеспечение идентификации и безопасного доступа Обеспечение качества обслуживания для разного трафика и приложений Другие интеллектуальные сетевые сервисы © 2012 Cisco and/or its affiliates. All rights reserved. 10
- 11. Ядро и Ядро распределение Доступ Si Si Si Si Небольшой удаленный Распределение офис Доступ Si Si Небольшой центральный офис Удаленный офис Доступ • Типовые дизайны SBA Центральный • Важность и требования дизайн офис © 2012 Cisco and/or its affiliates. All rights reserved. 11
- 12. L 2 Access L3 Access VSS Отдельный функциональный блок, интегрируемый в кампус Si Si Si Si Специфическая общедоступная функциональность (WAN, DC, Internet) Si Si Характеристики: Простота эксплуатации Si Si Si Si Si Si Изолированность нет распространения проблем Высокая доступность WAN Data Center Internet Прогнозируемость – модернизация (HW, SW) – контролируемый процесс Масштабируемость © 2012 Cisco and/or its affiliates. All rights reserved. 12
- 13. Способность противостоять ошибочным или злоумышленным воздействиям Широкий спектр технологий: Технологии безопасности Обнаружение и реагирование на несвойственное поведения сети Технологии качество обслуживания разного трафика и приложений Интеллектуальные сетевые сервисы © 2012 Cisco and/or its affiliates. All rights reserved. 13
- 14. Способность модификации, наращиваемости без существенных изменений сети Поэтапные изменения без влияния на всю сеть Широкая функциональность оборудования Возможность обеспечить требования завтрашнего бизнеса © 2012 Cisco and/or its affiliates. All rights reserved. 14
- 15. © 2012 Cisco and/or its affiliates. All rights reserved. 15
- 16. Для уменьшения времени сходимости и его прогнозируемости: Используйте 1Г и 10Г оптические соединения point-to-point между коммутаторами для уменьшения времени сходимости IEEE 802.3ae (10Г) и 802.3z (1Г) имеют встроенные механизмы обнаружения сбоев (локальных/удаленных каналов связи/узла) Настройка параметров уведомления о падении канала (debounce timer): 1/10Г оптика = 10мс, 10/100М, 1/10Г медь = 300мс Настройка дополнительных задержек (carrier timer) о падении канала = 0 мс © 2012 Cisco and/or its affiliates. All rights reserved. 16
- 17. Для уменьшения времени сходимости и его прогнозируемости: Используйте физические интерфейсы L3 вместо L2 интерфейсов ассоциированных с L3 SVI L3 L2 Si Si Si Si 1. Link Down 1. Link Down 2. Interface Down 2. Interface Down 3. Routing Update 3. Autostate (ряд проверок, ~ 8 мсек ~ 150–200 мсек синх. с STP) потери потери 4. SVI Down 5. Routing Update 21:38:37.042 UTC: %LINEPROTO-5-UPDOWN: Line 21:32:47.813 UTC: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet3/1, changed protocol on Interface GigabitEthernet2/1, changed state state to down to down 21:38:37.050 UTC: %LINK-3-UPDOWN: Interface 21:32:47.821 UTC: %LINK-3-UPDOWN: Interface GigabitEthernet3/1, changed state to down GigabitEthernet2/1, changed state to down 21:38:37.050 UTC: IP-EIGRP(Default-IP-Routing- 21:32:48.069 UTC: %LINK-3-UPDOWN: Interface Vlan301, Table:100): Callback: route_adjust changed state to down GigabitEthernet3/1 21:32:48.069 UTC: IP-EIGRP(Default-IP-Routing- Table:100): Callback: route, adjust Vlan301 © 2012 Cisco and/or its affiliates. All rights reserved. 17
- 18. L2 L2/L3 Si Si Si Si L2 L2 Vlan 30 Vlan 30 Vlan 30 Vlan 10 Vlan 20 Vlan 30 При распространения VLAN-ов по При ограничение конкретных всей сети сходимость STP/RSTP VLAN-ов коммутаторами менее прогнозируема доступа, сходимость STP/RSTP прогнозируема © 2012 Cisco and/or its affiliates. All rights reserved. 18
- 19. L2 Набор встроенных улучшений: UplinkFast Si Si BackboneFast L2 PortFast Loop Guard Root Guard BPDU Guard Vlan 10 Vlan 20 Vlan 30 Vlan 30 Vlan 30 Vlan 30 При необходимости распространения VLAN-ов по всей сети используйте Rapid PVST+ для улучшения сходимость © 2012 Cisco and/or its affiliates. All rights reserved. 19
- 20. LoopGuard L2 LoopGuard – защита от петель (из-за однонаправленных коммуникаций*), Si Si вызванных программным сбоем (например, STP) L2 Работает на базе STP BPDU Не получив BPDU “loop-inconsistent” (blocked) состояние Автоматическое восстановление Наибольший эффект при включении на всей сети * - порты в UP, AB=ok, BA=not ok © 2012 Cisco and/or its affiliates. All rights reserved. 20
- 21. UDLD Si UDLD – защита от петель (из-за Передача Передача однонаправленных коммуникаций*), Прием вызванных аппаратным сбоем / ошибкой коммутации Передача Передача Прием Работает на базе UDLD протокола (L2 + L1 OSI) Не получив UDLD packets (device ID / port ID) “disabled” cостояние Ручное или автоматическое Si (errdisable) восстановление Эффективно работает на всех Передача Передача оптических коммуникациях Прием * - порты в UP, AB=ok, BA=not ok © 2012 Cisco and/or its affiliates. All rights reserved. 21
- 22. RootGuard ROOT L2 RootGuard – защита от появления неавторизированного Root Si Si коммутатора Работает на базе STP BPDU L2 Получил лучшее BPDU (lower bridge ID) “root-inconsistent” (blocked) состояние Автоматическое восстановление Попытка стать ROOT © 2012 Cisco and/or its affiliates. All rights reserved. 22
- 23. BPDUGuard L2 BPDUGuard – защита от появления неавторизированного коммутатора Si Si Работает на базе STP BPDU L2 Получил BPDU “error-disabled” (blocked) cостояние Ручное или автоматическое (errdisable) восстановление Попытка добавить коммутатор © 2012 Cisco and/or its affiliates. All rights reserved. 23
- 24. PortFast L2 PortFast – ускоренный переход интерфейса в состояние UP, минуя Si Si “listening and learning” Используется на блоке портов для L2 подключения конечных пользовательских устройств © 2012 Cisco and/or its affiliates. All rights reserved. 24
- 25. L2 L3 Si Si Si Si L2 L2 Vlan 30 Vlan 30 Vlan 30 Vlan 10 Vlan 20 Vlan 30 Соединения уровня 2 между Соединения уровня 3 между коммутаторами распределения коммутаторами распределения Распространения VLAN-ов по Ограничение конкретных VLAN-ов всей сети коммутаторами доступа Присутствуют петли уровня 2 Нет петель уровня 2 Есть заблокированные Нет заблокированных соединений соединения © 2012 Cisco and/or its affiliates. All rights reserved. 25
- 26. L3 L3 Si Si Si VSS Si L3 L3 Vlan 10 Vlan 20 Vlan 30 Vlan 10 Vlan 20 Vlan 30 © 2012 Cisco and/or its affiliates. All rights reserved. 26
- 27. © 2012 Cisco and/or its affiliates. All rights reserved. 27
- 28. Ограничение трафика на основе MAC-адресов (по кол-ву или разрешенному пулу) с заданием соответствующей политики на порту коммутатора Передаваемые MAC Злоумышлен 00:10:10:10:10:10 00:10:10:10:10:11 ник 00:10:10:10:10:12 Конфигурация на клиентском интерфейсе: 00:10:10:10:10:13 00:10:10:10:10:14 00:10:10:10:10:15 switchport port-security 00:10:10:10:10:16 switchport port-security maximum 11 00:10:10:10:10:17 switchport port-security aging time 2 00:10:10:10:10:18 switchport port-security aging type 00:10:10:10:10:19 00:10:10:10:10:1A inactivity 00:10:10:10:10:1B switchport port-security violation restrict Превышение порога © 2012 Cisco and/or its affiliates. All rights reserved. 28
- 29. Защита пользователя от ложных ответов на его DHCP запросы, за счет механизма доверенных/недоверенных интерфейсов и поддержки единой базы MAC-IP Злоумышленник DHCP Reply DHCP Request Untrusted DHCP Request Trusted DHCP Reply Клиент DHCP MAC = 00:50:56:BA:13:DB сервер IP Addr =10.4.80.10 DHCP Snooping Binding Table MAC Address IP Address VLAN Interface 00:50:56:BA:13:DB 10.4.80.10 10 GigabitEthernet2/0/1 Глобальная конфигурация коммутатора: Конфигурация клиентского интерфейса: ip dhcp snooping vlan [data vlan], [voice vlan] ip dhcp snooping limit no ip dhcp snooping information option rate 100 ip dhcp snooping © 2012 Cisco and/or its affiliates. All rights reserved. 29
- 30. Защита от подмены MAC/IP (правильность ARP-запросов/ARP- ответов), за счет динамического анализа пакетов в сети и соответствия записям единой базы MAC-IP Untrusted Передаваемый MAC Злоумышленник 00:10:10:10:10:10 Не совпадает DHCP Snooping Binding Table MAC Address IP Address VLAN Interface 00:50:56:BA:13:DB 10.4.80.10 10 GigabitEthernet2/0/1 Глобальная конфигурация коммутатора: Конфигурация клиентского интерфейса: ip arp inspection vlan [data vlan], ip arp inspection limit [voice vlan] rate 100 © 2012 Cisco and/or its affiliates. All rights reserved. 30
- 31. Защита от подмены IP на L2 интерфейсах, за счет динамического анализа пакетов в сети и соответствия записям единой базы MAC-IP IP Pkt Source Addr 10.4.80.22 Злоумышленник Не совпадает DHCP Snooping Binding Table MAC Address IP Address VLAN Interface 00:50:56:BA:13:DB 10.4.80.10 10 GigabitEthernet2/0/1 Конфигурация клиентского интерфейса: ip verify source © 2012 Cisco and/or its affiliates. All rights reserved. 31
- 32. © 2012 Cisco and/or its affiliates. All rights reserved. 32
- 33. Измените номер native VLAN (по умолчанию VLAN1) Si On/On Si Ограничить все неиспользуемые на Trunk транке VLAN-ы Dynamic Trunk Protocol (DTP) – протокол Si Si автоматического установления транкового Auto/Desirable соединения между коммутаторами Trunk 4 режима транка Установление типа инкапсуляции 802.1Q или ISL Si Si Off/Off NO Trunk «Жёсткие» установки режима транка (ON) и Si Si типа инкапсуляции (Non-negotiate) для оптимальной конвергенции Off/On, Auto, Desirable NO Trunk © 2012 Cisco and/or its affiliates. All rights reserved. 33
- 34. Virtual Trunk Protocol (VTP) - централизованное Транзит управление VLAN Set VTP VLAN 50 анонса Коммутатор VTP server без распространяет БД VLAN Trunk изучения на клиентские коммутаторы F A Server VTP Transparent Работает только на транках Теперь я 4 режима: Trunk Trunk знаю про VLAN 50! Server: обновляет VLAN БД Теперь я на клиентах и др. серверах знаю про VTP VLAN 50! B Client: получает обновления - Client Client не может внести изменения Trunk Игнорирова Transparent: прозрачное ние VTP прохождение VTP анонса Off: игнорирование VTP C анонсов Off Используйте VTP transparent режим для снижения вероятности ошибки © 2012 Cisco and/or its affiliates. All rights reserved. 34
- 35. Обычно используется между уровнями распределениями и ядра, на соединениях внутри ядра Etherchannel и распределения Протоколы динамического согласования Etherchannel (PaGP, Si Si LACP) Используется для обеспечения отказоустойчивости соединения и расширения BW (8, 16 каналов) Etherchannel EtherChannel Min-Links Настройка хэша L3/L4 позволяет достичь равномерной загруженности каналов L2, L3 - Etherchannel “port-channel load-balance src-dst-ip” Объединение каналов между разными картами (VSS), Равномерная загрузка каналов устройствами (stack, vPC) Etherchannel © 2012 Cisco and/or its affiliates. All rights reserved. 35
- 36. R1—Master и STP Root, пересылает трафик; R2—Backup IP: 10.0.0.254 IP: 10.0.0.253 Стандарт IETF RFC 2338 (Апрель 1998) MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc vIP: 10.0.0.10 vIP: Группа маршрутизаторов работает как vMAC: 0000.5e00.0101 vMAC: один виртуальный с одним виртуальным IP адресом и MAC адресом VRRP VRRP ACTIVE BACKUP Один (master) маршрутизатор Si Распреде Si R2 R1 пересылает пакеты для/из локальной ление сети Остальные маршрутизаторы работают как резервные Используйте VRRP, если требуется поддержка оборудования других Доступ производителей IP: 10.0.0.1 IP: 10.0.0.2 MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02 GW: 10.0.0.10 GW: 10.0.0.10 ARP: 0000.5e00.0101 ARP: 0000.5e00.0101 © 2012 Cisco and/or its affiliates. All rights reserved. 36
- 37. R1—Master и STP Root, пересылает трафик; R2—Backup IP: 10.0.0.254 IP: 10.0.0.253 MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc vIP: Группа маршрутизаторов работает vIP: 10.0.0.10 vMAC: 0000.5e00.0101 vMAC: как один виртуальный с одним виртуальным IP адресом и MAC HSRP HSRP адресом ACTIVE BACKUP Si Распреде Si R1 R2 Один (active) маршрутизатор ление пересылает пакеты для/из локальной сети Остальные маршрутизаторы работают как горячий резерв Используйте HSRP, если только Доступ Cisco-сеть и интересуют дополнительные возможности IP: 10.0.0.1 IP: 10.0.0.2 MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02 GW: 10.0.0.10 GW: 10.0.0.10 ARP: 0000.5e00.0101 ARP: 0000.5e00.0101 © 2012 Cisco and/or its affiliates. All rights reserved. 37
- 38. R1—Master и STP Root, пересылает трафик; R2—Backup IP: 10.0.0.254 IP: 10.0.0.253 MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc STP root и HSRP active должен vIP: 10.0.0.10 vIP: быть одним и тем же vMAC: 0000.5e00.0101 vMAC: коммутатором STP Root STP Root При сбое синхронизация “STP HSRP Active Backup Si HSRP Backup Active Распреде root и HSRP active ”– ok Si HSRP Preempt ление После восстановления STP R1 R2 root и HSRP active на разных устройствах транзитный линк (лишний хоп) HSRP preemption позволит Доступ перенести шлюз по умолчанию в соответствии с топологией STP IP: 10.0.0.1 IP: 10.0.0.2 MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02 GW: 10.0.0.10 GW: 10.0.0.10 ARP: 0000.5e00.0101 ARP: 0000.5e00.0101 © 2012 Cisco and/or its affiliates. All rights reserved. 38
- 39. R1- AVG; R1, R2 – оба пересылают трафик; IP: 10.0.0.254 IP: 10.0.0.253 MAC: 0000.0c12.3456 MAC: 0000.0C78.9abc vIP: 10.0.0.10 vIP: 10.0.0.10 vMAC: 0000.5e00.0101 vMAC: 0000.5e00.0102 Все преимущества HSRP + балансировка нагрузки между GLBP AVG/AVF, GLBP AVF, шлюзами использует всю SVF SVF доступную полосу R1 Si Распреде Si R2 ление Группа маршрутизаторов работают как один виртуальный, разделяют один виртуальный IP адрес, но используют несколько виртуальных MAC адресов Доступ Позволяют трафику из одной подсети использовать несколько шлюзов по умолчанию с одним виртуальным IP адресом IP: 10.0.0.1 IP: 10.0.0.2 MAC: aaaa.aaaa.aa01 MAC: aaaa.aaaa.aa02 GW: 10.0.0.10 GW: 10.0.0.10 ARP: 0000.5e00.0101 ARP: 0000.5e00.0102 © 2012 Cisco and/or its affiliates. All rights reserved. 39
- 40. Без переподписки Si Ядро Si Переподписка 4:1 Si Si Распреде ление Переподписка 20:1 Доступ Допускается проектирование LAN с переподпиской “Заторы” – QoS © 2012 Cisco and/or its affiliates. All rights reserved. 40
- 41. Классифицировать и маркировать – ближе к источнику Не доверять пользовательским маркировкам Использовать DSCP вместо 802.1Q/p CoS – 64 vs 8 1-8 классов трафика Конфигурация на access и uplink портах через макросы Ограничивать (police) нежелательный трафик ближе к источнику vs FW Внедрять QoS где возможны скопления – oversubscription speed vs WAN Edge Strict Priority – не более 33% от общей BW Best Effort class – default class - не более 25% от общей BW Использовать WRED для всех TCP-потоков для раннего предотвращения скоплений (DSCP-based WRED) © 2012 Cisco and/or its affiliates. All rights reserved. 41
- 42. «Треугольник»: Потеря «Квадрат»: Потеря соединения/узла не требует соединения/узла требует конвергенции протокола конвергенции протокола маршрутизации маршрутизации Si L3 Si Si L3 Si L3 L3 ---- ---- Si Si Si Si L2 L2 Model A Model B Эквивалентные резервированные соединения уровня 3 поддерживают быструю сходимость нет необходимости для OSPF или EIGRP в расчёте нового пути Link Down - быстрое обнаружение исключение канала использование альтернативного канала © 2012 Cisco and/or its affiliates. All rights reserved. 42
- 43. Ограничивайте ненужные соседские отношения протоколов Peeering маршрутизации через транзитные R1 R2 узлы (например, уровень доступа) Distribution Si Si за счет использования пассивных интерфейсов Peeering Избегаем затрат памяти, излишних обновлений маршрутизации Суммаризируем на уровне агрегации Access Пример OSPF: Пример EIGRP: Router(config)#router ospf 1 Router(config)#router eigrp 1 Router(config-router)#passive- Router(config-router)#passive- interface Vlan 99 interface Vlan 99 Router(config)#router ospf 1 Router(config)#router eigrp 1 Router(config-router)#passive- Router(config-router)#passive- interface default interface default Router(config-router)#no passive- Router(config-router)#no passive- interface Vlan 99 interface Vlan 99 © 2012 Cisco and/or its affiliates. All rights reserved. 43
- 44. Стек мастер – управляет работой стека 3750-X = 9 устройств, 2960-S/SF = 4 устройства Выбирайте мастер на коммутаторе без uplink-портов Первоначальный MAC мастера = стек MAC после сбоя (многие cross-стек сервисы и протоколы привязаны к нему и могут restart) switch [switch number] priority 15 stack-mac persistent timer 0 © 2012 Cisco and/or its affiliates. All rights reserved. 44
- 45. Catalyst 6500 – Virtual Switching System (VSS) 2T/4T Catalyst 4500 – VSS (в конце 2012) Control plane = active-standby operating model (active - EIGRP, STP, CDP ….) Data plane = active-active operating model VSL = min 2 x 10G на разных картах или портах Sup – sync ISSU – минимизация (sub-second) воздействия на сервис при обновлении ПО NSF/SSO - минимизация (sub-second) воздействия на сервис при переключении Sup и непрерывность пересылки пакетов data plane Virtual Switch Domain Active Supervisor VSL Hot-Standby Supervisor Si Si Switch 1 + Switch 2 4500-E VSS - Single Logical Switch © 2012 Cisco and/or its affiliates. All rights reserved. 45
- 46. Управление устройством через шифрованные средства SSH and HTTPS – использовать безопасные (шифрование) протоколы Небезопасные средства выключить – Telnet, HTTP ip domain-name cisco.local ip ssh version 2 no ip http server ip http secure-server line vty 0 15 transport input ssh Для управления устройством NMS SNMP(v2c) should be configured for both a read-only and a read-write community string snmp-server community cisco RO snmp-server community cisco123 RW © 2012 Cisco and/or its affiliates. All rights reserved. 46
- 47. Управление устройством (SSH and HTTPS) контролируется централизованной системой AAA Основная система TACACS+ , резервная – локальная база на устройстве enable secret c1sco123 service password-encryption ! username admin password c1sco123 aaa new-model aaa authentication login default group tacacs+ local aaa authorization exec default group tacacs+ local aaa authorization console ip http authentication aaa tacacs-server host 10.4.48.15 key SecretKey В качестве source-interface для протоколов и сервисов используйте loopback interface loopback 1 ip address 10.1.1.1 255.255.255.255 ! snmp-server trap-source loopback 1 ip ssh source-interface loopback 1 © 2012 Cisco and/or its affiliates. All rights reserved. 47
- 48. © 2012 Cisco and/or its affiliates. All rights reserved. 48
- 49. 2K-С 3K-С 2K 3K 4K Smart install Технология, обеспечивающая простоту установки образа ПО и настройки коммутаторов с минимальным участием пользователя Обнаружение CDP, LLDP или DHCP-коммуникацию Опции DHCP инсталляция клиентского коммутатора ПО и конфигурационный файл группа (например, по Product ID, MAC) Обновление ПО и конфигурационного файла “по требованию” Централизованная база backup 3K/4K коммутаторы, ISRG2 - Замена коммутатора конфигурация директора TFTP/DHCP TFTP/DHCP сервер сервер до 7 устройств между директором и клиентом 2K-C/3K-C/2K/3K коммутаторы - клиенты © 2012 Cisco and/or its affiliates. All rights reserved. 49
- 50. Auto smartports 2K-С 3K-С 2K 3K 4K 6K Функционал автоматической настройки порта доступа коммутатора в зависимости от устройства, подключаемого к порту на CDP основе лучших практик Cisco LLDP (L2, QoS, Security и т.д.) 802.1x MAC Address Идентификация CDP, LLDP, LLDP-MED, MAC Широкий список устройств Auto Smartports Автоматическое присвоение и удаление IP IPVSC DMP Wireless конфигурации на порту Phone macro macro macro …. AP macro Интеграция c инфраструктурой …. идентификации (802.1x, MAC authentication bypass, web-authentication) Embedded Event Возможность создания пользовательских Detection and макросов Management Smart Install + Auto Smartports Neighbor MAC Discovery Identity Address Event Event Event Detector Detector Detector © 2012 Cisco and/or its affiliates. All rights reserved. 50
- 51. Упрощенный поиск неисправностей Generic Online Diagnostics (GOLD) 2K-С 3K-С 2K 3K 4K 6K Функционал проактивной диагностики работоспособности коммутатора Быстрая идентификация возможных аппаратных сбоев действия по их устранению (sup, карта) Запуск тестов во время загрузки, по требованию, по расписанию Уведомления по syslog, SNMP Интеграция с EEM выполнение скриптов © 2012 Cisco and/or its affiliates. All rights reserved. 51
- 52. Упрощенный поиск неисправностей Call Home 2K-С 3K-С 2K 3K 4K 6K Функционал автоматического обнаружения и уведомления о выявленных неисправностях на базе GOLD Автоматическое обнаружение и уведомление о критических системных событиях email, web- портал Автоматический сбор критичной для анализа информации Рассылка множеству получателей в необходимом формате, с необходимой информацией Открытие кейсов в Сisco TAC © 2012 Cisco and/or its affiliates. All rights reserved. 52
- 53. EnergyWise 2K-С 3K-С 2K 3K 4K 6K Технология, позволяющая отслеживать и автоматически управлять уровнем энергопотребление устройств, подключенных к IP-сети, а также создавать комплексные отчеты по энергопотреблению NMS Обширная PoE инфраструктура Широкий перечень эко-партнеров Эффективное управление энергопотреблением Не требует дополнительных вложений Возможность расширение SDK и API (агенты используя SDK и API в партнерском оборудовании) IP Phones PC Clients (Lenovo) IP Camera Wireless © 2012 Cisco and/or its affiliates. All rights reserved. 53
- 54. Автоматизация действий 3K-С 3K 4K 6K Embedded Event Manager (EEM) Встроенный в IOS функционал, позволяющий коммутатору выполнять автоматизированные действия (политики) при выявлении, в реальном режиме времени, различных событий NMS – взгляд снаружи, EEM - взгляд изнутри Cобытие Менеджер выполнение политик Более 20 детекторов событий, перечень которых постоянно увеличивается Программируемые политики поведения на выявленные события (CLI-команды, TCL- скрипты, IOS.sh) Высокая производительность – реакция на более чем 100 событий в секунду Embedded Event Manager Scripting Community © 2012 Cisco and/or its affiliates. All rights reserved. 54
- 55. Автоматизация действий 3K-С 3K 4K 6K Embedded Event Manager (EEM) Задача: “Отслеживать по email кто, когда и какие изменения делает с ACL на коммутаторе” Si Si Si Si Si Решение: “При обнаружении CLI-команд, связанных с конфигурацией ACL будет запущен NMS (взгляд скрипт, выполняющий сбор интересующей нас снаружи) информации и отправки её на указанный email” или EEM (взгляд изнутри) EEM © 2012 Cisco and/or its affiliates. All rights reserved. 55
- 56. MediaNet 2K-С 3K-С 2K 3K 4K 6K Набор функционала и технологий на сетевом оборудовании и медиа- устройствах, позволяющий реализовать end-to-end сеть оптимизированную для передачи медиа-трафика: - Понимание устройств - Понимание сервиса - Понимание сети © 2012 Cisco and/or its affiliates. All rights reserved. 56
- 57. MediaNet 2K-С 3K-С 2K 3K 4K 6K CDP, MAC – обнаружение устройств Auto SmartPorts, Auto QoS – автоконфигурация IOS Location – автоматизация конфигурации расположение устройства (DMP, IP-камера) Media Services Interface (MSI) – программный компонент на медиа- устройстве (запуск Mediatrace, сбор статистики по производительности) NBAR2, FNF – глубокий анализ сетевого трафика для выявления приложений IOS Performance Monitor, IOS Mediatrace, IP SLA - сбор статистики о производительности медиа-сервисов, тестирование сети, экспорт для анализа и выявления проблем Prime Infrastructure – управление, мониторинг, инвентаризация © 2012 Cisco and/or its affiliates. All rights reserved. 57
- 58. 3K 4K 6K Flexible Netflow Технология учета сетевой активности: кто, когда, что, куда и как передает по сети, с возможностью дальнейшего экспортирования для анализа Аппаратная реализация с высокой производительностью без влияния на работоспособность системы: 32K, 128K, 1M (13M) flow-записей Гибкая конфигурация Flow records Поддержка Netflow v9 (наиболее гибкий) формат экспорта для широкого ранга коллекторов Глубокая инспекция трафика позволяет анализировать ключевые и не ключевые поля, включая Layer 2, Layer 3 (IPv4 или IPv6), Layer 4 заголовки. Реализация нескольких “flow cache” (flow monitor) для различных задач, с их одновременной работой Гибкая интеграция с EEM позволяет создавать настраиваемые сценарии реакции на основе обнаруженных событий © 2012 Cisco and/or its affiliates. All rights reserved. 58
- 59. Flexible Netflow 3K 4K 6K Flow record – ключевые поля - configurable Глубокая инспекция трафика позволяет анализировать ключевые и не ключевые поля, включая Layer 2, Layer 3 (IPv4 или IPv6), Layer 4 заголовки Interface IPv4 IPv6 Transport Input Source IP address Source IP address ICMP Code Destination IP address Destination IP address ICMP Type Layer 2 Protocol Protocol IGMP Type Dot1q priority Precedence Traffic Class TCP Source Port Dot1q Vlan ID DSCP Flow Label TCP Destination Port Source MAC address Is-multicast Total Length UDP Source Port Destination MAC TTL Extension Headers** UDP Destination Port address Total Length DSCP Next-header** Hop-Limit ** будущие релизы Is-multicast © 2012 Cisco and/or its affiliates. All rights reserved. 59
- 60. Flexible Netflow 3K 4K 6K Flow record – не ключевые поля - configurable Глубокая инспекция трафика позволяет анализировать ключевые и не ключевые поля, включая Layer 2, Layer 3 (IPv4 или IPv6), Layer 4 заголовки Counters IPv4 IPv6 Bytes TTL Minimum Total Length Minimum (32 bit counters) TTL Maximum Total Length Maximum Bytes Long (64 bit counters) Fragmentation Flags Option Header Packets TCP Flags Hop-limit minimum (32 bit counters) Packets Long TOS Timestamp Hop-limit maximum (64 bit counters) First Seen Last Seen Routing Forwarding Status © 2012 Cisco and/or its affiliates. All rights reserved. 60
- 61. 3K 4K 6K Flexible Netflow Реализация нескольких “flow cache” (flow monitor) для различных задач, с их одновременной работой Traditional NetFlow NetFlow Cache SrcIf SrcIPadd DstIf DstIPadd Protocol SrcPort DstPort Fa1/0 173.100.21.2 Fa0/0 10.0.227.12 11 00A2 00A2 Fixed 7 keys Fa1/0 173.100.3.2 Fa0/0 10.0.227.12 6 15 15 Export Fa1/0 173.100.20.2 Fa0/0 10.0.227.12 11 00A1 00A1 Fa1/0 173.100.6.2 Fa0/0 10.0.227.12 6 19 19 Flow cache 1 DstIPadd Protocol TOS 10.0.227.12 11 80 Flow Monitor 1 10.0.227.12 6 40 Export Destination 1 10.0.227.12 11 80 10.0.227.12 6 40 Flow cache 2 Protocol TOS Flgs 11 80 10 Flow Monitor 2 6 40 0 Export Destination 2 11 80 10 6 40 0 Flow cache 3 SrcIf SrcIPadd DstIf Fa1/0 173.100.21.2 Fa0/0 Flow Monitor 3 Fa1/0 173.100.3.2 Fa0/0 Export Destination 3 Fa1/0 173.100.20.2 Fa0/0 Fa1/0 173.100.6.2 Fa0/0 © 2012 Cisco and/or its affiliates. All rights reserved. 61
- 62. Flexible Netflow 3K 4K 6K Уровень 2 OSI Только на этом уровне можно получить доступ к такой информации как MAC-адрес, VLAN ID, L2 QoS Обнаружение источника потока Знание месторасположения устройства Анализ потоков Идентификация пользователя © 2012 Cisco and/or its affiliates. All rights reserved. 62
- 63. Flexible Netflow 3K 4K 6K Уровень 2 OSI Информация из кеша о MAC-адресе и интерфейсе подключения Имея информацию о расположении, подключенных к коммутатору устройствах – определяем месторасположение атакующей станции Si Si Коммутатор доступа экспортирует из кеша информацию на коллектор, который по OUI может определить производителя оборудования Идентификация пользователя во время доступа к сети Layer 3 Si Si Layer 2 L2 Access Атака © 2012 Cisco and/or its affiliates. All rights reserved. 63
- 64. Flexible Netflow 3K 4K 6K Интеграция с EEM Мониторинга поведения различных приложений для обнаружения аномалий Пример 1 : Предотвращение аномального трафика Аномальный NetFlow ED triggers policies to monitor flow rate. объем трафика с IP-телефона Typically, voice conversations are 64kbps Netflow cache srcIf SrcIPadd DstIf DstIPadd bytes *Feb 18 01:24:30.455: %LINK-5- Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 34346 CHANGED: Interface FastEthernet 1/0, changed state to Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 300 administratively down Fa1/0 173.1.1.2 Fa0/0 10.0.277.1 1000 interface Fa1/0 is shut down when the flow rate exceeds 100Kbps © 2012 Cisco and/or its affiliates. All rights reserved. 64
- 65. Аутентификация - идентификация пользователя / устройства на Авторизация - основе атрибутов предоставление доступа и других прав доступа на признаков (время, ролевой основе – местоположение, VLAN, VRF, ACL, методы доступа) - Контроль доступа DACL, SGACL Идентификация и 802.1X, WebAuth, с учетом ролевых определение роли MAB Распространение политик ролевых политик вСоответствие сети корпоративным доступа в рамках политикам всей сети – DALC, VLAN, SGA Отсутствие Целостность и привязки к топологии сети – конфиденциальность SGACL данных Шифрование данных на портах коммутатора – MACSec (IEEE 802.1AE) © 2012 Cisco and/or its affiliates. All rights reserved. 65
- 66. TrustSec 3K 6K Security Group Tags (SGT) Security Group Access Control Lists (SGACL) Метод организация ролевого сетевого доступа на базе меток, присвоенных на аппаратном уровне Security Group Tag (SGT) - идентификационная метка, которой тегируются все пакеты пользователя для организации ролевого сетевого доступа Не зависит от топологии сети SGT отображают роль пользователя / устройства в сети Security Group ACLs реализуют политику доступа на основе анализа меток (SGT), присвоенных пакетам пользовательского трафика либо сетевым устройствам Применение Применение TrustSec Reflector политик SGACL политик SGACL Campus Network 802.1X SGT ЦОД Устройство, поддерживающее Устройство, поддерживающее аппаратное тегирование метками аппаратное тегирование метками © 2012 Cisco and/or its affiliates. All rights reserved. 66
- 67. TrustSec 3K 4K 6K SGT Exchange Protocol (SXP) Протокол, разработанный для передачи соответствия “IP-адрес = метка групповой безопасности (SGT)” от сетевых устройств, которые аппаратно не поддерживают тегирования метками тем устройствам, которые это делают Тег групповой безопасности (SGT) назначается на основе идентификационных атрибутов (имя пользователя, местоположение, состояния устройства, тип подключения, тип устройства) При помощи протокола SXP эта пара передается на ближайшее устройство, способное выполнять аппаратное тегирование Применение Применение SXP политик SGACL политик SGACL Распространение пары IP Address SGT IP=SGT 10.1.10.1 10 Campus Network 802.1X SGT ЦОД Устройство, поддерживающее аппаратное тегирование метками © 2012 Cisco and/or its affiliates. All rights reserved. 67
- 68. TrustSec User-to-Switch 3K-С 3K 4K MAC Security (MACsec) Switch-to-Switch 3K-С 3K 4K 6K IEEE 802.1AE Технология, обеспечения шифрования (AES-128) на канальном уровне (L2) в соответствии со стандартом IEEE 802.1AE Скорость шифрования = канальной скорости Шифрование на пользовательских портах (User-to-Switch) Шифрование на внешних портах (Switch-to-Switch) Гостевой MACSec канал пользователь Нешифрованный канал Аутентифицированный Шифрование Sw-to-Sw Дешифрование пользователь 802.1X MACSec Агент- &^*RTW#(*J^*&*sd#J$%UJ&( &^*RTW#(*J^*&*sd#J$%UJWD&( Anyconnect Аппаратная готовность Шифрование User-to-SW Intel на Dell, Lenova, Fujitsu, HP MACSec устройства © 2012 Cisco and/or its affiliates. All rights reserved. 68
- 69. © 2012 Cisco and/or its affiliates. All rights reserved. 69
- 70. Инновации, уникальная совокупность Позиционирование функционала Розничная торговля EnergyWise MACSec Производство Embedded Event Manager Location Catalyst Compact Здравоохранение PoE pass-through Switches Cisco TrustSec SXP v2 Компактный L2/L3 Образование коммутатор для предоставления Развлекательный и PoE+/UPOE возможностей гостиничный бизнес CWDM подключения вне коммутационных комнат, с Офисные рабочие USB storage&console обеспечение актуальных места на сегодня для бизнеса AutoInstall сетевых сервисов и Переговорные AutoSmartPort простотой эксплуатации комнаты Call Home GOLD © 2012 Cisco and/or its affiliates. All rights reserved. 70
- 71. Бесшумный (отсутствует вентилятор) Неблокируемая коммутация на всех портах (line rate) Встроенный БП или внешний адаптер Доступ (гибкость): - 8/12 x 10/100 Мбит/с - 8 x 10/100/1000 Мбит/с Внешние порты (отказоустойчивые): - 2 x 1 Гбит/c медь - 2 x 1 Гбит/c combo (медь, оптика) USB порты для внешнего устройства хранения данных и локальной конфигурации (удобство локального администрирования) © 2012 Cisco and/or its affiliates. All rights reserved. 71
- 72. Питание от PoE/PoE+/UPOE (технология PoE pass-through) с питанием подключенных устройств PoE/PoE+ IEEE 802.3at (30 Вт) на пользовательских портах (PoE - 124 Вт) EnergyWise - для управления энергопотреблением на уровне физического порта MACSec – аппаратное шифрование на L2 (IEEE 802.1AE) на пользовательских портах и внешних портах (3560-С); Cisco TrustSec SXP v2 (2960-C, 3560-C) MediaNet - автоконфигурация медиа-устройств, отслеживание их месторасположения, применение политик Широкий перечень поддерживаемых SFP (CWDM – сохранение инвестиций в оптику) EnergyWise MACSec PoE+ PoE 100м PoE 2960-С/3560-C MACSec PoE+ MACSec PoE/PoE+/UPOE 100м коммутатор © 2012 Cisco and/or its affiliates. All rights reserved. 72
- 73. Инновации, уникальная совокупность функционала Позиционирование EnergyWise Location Cisco TrustSec SXP v2 Уровень L2 доступа объектов корпоративного 24xPoE+ без external PS и среднего уровней бизнеса: FlexStack Catalyst 2960-S/2960- 1/10G на одной платформе SF Безопасный, - Центральный офис Redundant PS (RPS) масштабируемый, - Удаленные офисы CWDM сервисный коммутатор L2+, сочетающий в (регион, область, район) USB storage&console себе простоту Out-of band-management эксплуатации и расширенный сетевой - Данные, голос AutoInstall функционал AutoSmartPort Call Home GOLD © 2012 Cisco and/or its affiliates. All rights reserved. 73
- 74. Доступ: - 24/48 x 10/100/1000 Мбит/с - 24/48 x 10/100 Мбит/с Внешние порты (встроенные): - 4 x 1 Гбит/c, SFP - 2 x 1 Гбит/c, SFP / 2 x 10 Гбит/c, SFP+ (миграция) Cтек (2960-S/SF LAN Base): 20 Гбит/c (технология FlexStack) Выделенный порт для управления (безопасность) USB порты для внешнего устройства хранения данных и локальной конфигурации © 2012 Cisco and/or its affiliates. All rights reserved. 74
- 75. PoE+ IEEE 802.3at (30 Вт) - 24 порта без внешних систем Поддержка резервируемое питания за счет RPS EnergyWise - для управления энергопотреблением на уровне физического порта Cisco TrustSec SXP v2 MediaNet - автоконфигурация медиа-устройств, отслеживание их месторасположения, применение политик Широкий перечень поддерживаемых SFP (CWDM – сохранение инвестиций в оптику) © 2012 Cisco and/or its affiliates. All rights reserved. 75
- 76. Инновации, уникальная совокупность функционала EnergyWise Позиционирование MACSes (downlink, uplink) TrustSec – SXP Flexible Netflow Уровень L3 доступа MediaNet - Location, IPSLA VO объектов корпоративного и среднего уровней 48xPoE+ без external PSU Catalyst 3750-X, бизнеса: Redundant PS + support RPS 3560-X StackWisePlus - Центральный офис StackPower Безопасный, масштабируемый, - Удаленные офисы 1/10G на одной платформе отказоустойчивый, (регион, область) CWDM/DWDM, DOM L3 коммутатор, USB storage&console сочетающий в себе Повышенная Out-of band-management надежную отказоустойчивость и эксплуатацию и масштабируемость AutoInstall инновационный AutoSmartPort сетевой функционал Данные, голос Call Home,GOLD видео, VDI/VXI Embedded Event Manager © 2012 Cisco and/or its affiliates. All rights reserved. 76
- 77. Доступ: - 24/48 x 10/100/1000 Мбит/с - 12/24 x 100/1000, GE SFP (GLC-GE-100FX-экономия) Внешние порты (на модулях): - 4 x 1 Гбит/c, SFP - 2 x 10 Гбит/c, SFP+ или 2 x 1 Гбит/c, SFP (экономия) - 2 x 10 Гбит/c Base-T (55м – Сat6,100м-Cat7a, 7, 6a - экономия) Cтек (3750-X): 64 Гбит/c (технологи StackWisePlus) Выделенный порт для управления USB порты для внешнего устройства хранения данных и локальной конфигурации PoE+ IEEE 802.3at (30 Вт) - 48 портов без внешних систем Отказоустойчивость: БП, вентиляторные блоки Поддержка RPS © 2012 Cisco and/or its affiliates. All rights reserved. 77
- 78. Cтек по питанию (3750-X) - технологи StackPower EnergyWise - для управления энергопотреблением на уровне физического порта TrustSec – SXP, SGT (ограничено) MACSec – аппаратное шифрование на L2 (IEEE 802.1AE) на пользовательских портах и внешних интерфейсах Flexible NetFlow – расширенный функционал аппаратной реализации NetFlow с поддержкой 32000 записей MediaNet – автоконфигурация медиа-устройств, отслеживание их месторасположения, применение политик, тестирования сети на готовность к video Широкий перечень поддерживаемых SFP (CWDM/DWDM, DOM) © 2012 Cisco and/or its affiliates. All rights reserved. 78
- 79. Инновации, уникальная совокупность функционала Отказоустойчивость Позиционирование Модульная ОС NSF/SSO Центральный офис: ISSU - Уровень L2/L3 POE+ (30 Вт) доступа/агрегация для UPOE (60 Вт) уровня корпоративного бизнеса Catalyst 4500-E/4500-X EnergyWise TrustSec-SXP - Ядро для уровня среднего Безопасный, MACSec бизнеса модульный, Flexible NetFlow отказоустойчивый, c MediaNet - Location централизованной архитектурой коммутации, AutoInstall инновационным аппаратным AutoSmartPort и программным Call Home функционалом GOLD Embedded Event Manager © 2012 Cisco and/or its affiliates. All rights reserved. 79
- 80. Фиксированная архитектура (1/10G) – 8,16, 32, 40 портов Модульная архитектура (3, 6, 7,10) Модульная ОС (сосуществование third-party приложений) Централизованная архитектура коммутации Производительность коммутации – до 848 Гбит/с Скорость подключения линейных карт – 48 Гбит/с Отказоустойчивость: CPU, БП, вентиляторные блоки In-Service Software Upgrade (ISSU) < 200 ms Nonstop Forwarding / Stateful Switchover (NSF/SSO) PoE+ IEEE 802.3at (30 Вт) – на 148 портах (при 1 x 6 KBт БП) Универсальное PoE+ (60 Вт) – на 74 портах (при 1 x 6 KBт БП) © 2012 Cisco and/or its affiliates. All rights reserved. 80
- 81. EnergyWise - для управления энергопотреблением на уровне физического порта TrustSec – SXP MACSec – аппаратное шифрование на канальном уровне (IEEE 802.1AE) MediaNet – автоконфигурация медиа-устройств, отслеживание их месторасположения, применение политик Flexible NetFlow – расширенный функционал аппаратной реализации NetFlow с поддержкой 128000 записей © 2012 Cisco and/or its affiliates. All rights reserved. 81
- 82. Инновации, уникальная совокупность функционала Отказоустойчивость Модульная ОС Позиционирование NSF/SSO ISSU VSS, VSS 4T Центральный офис: POE+ (30 Вт) EnergyWise - Ядро для уровня корпоративного бизнеса TrustSec-SXP Catalyst 6500-E TrustSec – SGT/SGACL MACSec Безопасный, модульный, ЦОД: Flexible NetFlow полностью MediaNet - location отказоустойчивый, - Сервисный уровень высокопроизводительный, AutoInstall виртуализированный, AutoSmartPort наиболее инновационный и Call Home передовой коммутатор GOLD Embedded Event Manager © 2012 Cisco and/or its affiliates. All rights reserved. 82
- 83. Модульная архитектура (3, 4, 6, 9, 13) Модульная ОС Virtual Switching System (VSS) Централизованная или распределенная (DFC) архитектура коммутации Производительность коммутации – 2 Тбит/с (4 Tбит/с - VSS) Скорость подключения линейных карт – 80 Гбит/с Плотность портов - 180 x 10 Гбит/с и 534 x 1 Гбит/с (360 x 10 Гбит/с и 1068 x 1 Гбит/с - VSS) Отказоустойчивость: CPU, БП, вентиляторные блоки In-Service Software Upgrade (ISSU) Nonstop Forwarding / Stateful Switchover (NSF/SSO) PoE, IEEE 802.3af (15.4 Вт) – на 500+ портах (при 1 БП) PoE+, IEEE 802.3at (30 Вт) – на 250+ портах (при 1 БП) © 2012 Cisco and/or its affiliates. All rights reserved. 83
- 84. EnergyWise - для управления энергопотреблением на уровне физического порта TrustSec – SGT/SGACL, SXP, Reflector MACSec – аппаратное шифрование на канальном уровне (IEEE 802.1AE) MediaNet – автоконфигурация медиа-устройств, отслеживание их месторасположения, применение политик Flexible NetFlow – расширенный функционал аппаратной реализации NetFlow с поддержкой 1M записей (13M на шасси) © 2012 Cisco and/or its affiliates. All rights reserved. 84
- 85. SBA (Design Zone for Smart Business Architecture) Customer access: http://www.cisco.com/go/sba Partner access: http://www.cisco.com/go/sbachanne © 2012 Cisco and/or its affiliates. All rights reserved. 85
- 86. 24/7 Мониторинг сети Инвентаризация Нагрузка Производительность Ошибки Сбои Автоматизированные уведомления об инцидентах по электронной почте Полуавтоматическая диагностика Support Dashboard Автоматическая подготовка информации Доступность сервисов Cisco Global Инвентаризация Software Module Support DB Версионность Бреши в защите Filed Notices И, конечно, ТАС, новые версии ПО, замена оборудования. Cisco Network © 2012 Cisco and/or its affiliates. All rights reserved. 86
- 87. Thank you.