Brzeg i styk sieci
Na styku sieci kampusowej czy budynku obsługiwana jest wymiana ruchu pomiędzy siecią wewnętrzną, a siecią Internet, usługami chmur publicznych, siecią telefoniczną, innymi oddziałami oraz zdalnymi pracownikami. Poprzez to miejsce realizowany jest też dostęp ze świata do znajdującej się wewnątrz organizacji chmury prywatnej i jej usług.
Działanie tego miejsca ma bezpośredni wpływ na dostępność, jakość i bezpieczeństwo komunikacji, wymiany danych oraz używanych usług i aplikacji. Ilość usług i aplikacji działających w sieci, a także realizowanych za jej pośrednictwem zadań ciągle rośnie. Zwiększa się też waga załatwianych za jej pośrednictwem spraw i transakcji. To wszystko powoduje ciągłą potrzebę zwiększania jej szybkości i jednocześnie poprawy bezpieczeństwa.
My do tego miejsca pozycjonujemy głównie serię urządzeń brzegowych Cisco Catalyst 8000, które potrafią zapewnić bezpieczeństwo, usługi Cloud onRamp i SASE, kierować ruchem w oparciu o narzucone wymagania aplikacyjne oraz są bardzo elastyczne w obszarze stosowanych na styku sieci technologii. Należą do nich:
- Cisco Catalyst 8500 (brzeg oddziału głównego, centrum danych i punkt wymiany ruchu),
- Cisco Catalyst 8300 (brzeg średnich i dużych oddziałów oraz średnich organizacji),
- Cisco Catalyst 8000V (brzeg chmur publicznych),
- Cisco Catalyst 8200 (brzeg małych oddziałów oraz małych organizacji),
- Cisco Catalyst 8200 uCPE (brzeg oddziału z obsługą Cisco NFVIS i Catalyst 8000V).
Platformy te często integruje się m.in. z Cisco ISE, Cisco Stealthwatch, Cisco AMP Everywhere, Cisco Threat Grid, Cisco Umbrella czy Cisco SD-WAN. Na brzegu sieci umieszcza się też czasem platformy ukierunkowane na ochronę przed zagrożeniami z rodziny Cisco Firepower, choć powinny one działać za urządzeniem brzegowym.
Seria Cisco Catalyst 8000 łączy w sobie wiele funkcjonalności, których ilość jest dostosowana do miejsca w jakim dana platforma ma działać. Obsługiwane są mechanizmy kierowania ruchem w oparciu o wymagania aplikacyjne, dodatkowe usługi i integracje dla organizacji opierających swój biznes na chmurach publicznych, zaawansowane mechanizmy ochrony oraz funkcje bramy głosowej dla tradycyjnej telefonii, VoIP i usług chmurowych do komunikacji.
Platformy te mogą pełnić funkcję routera obsługującego wiele technologii stosowanych w sieciach WAN, jak m.in. Ethernet, VDSL/ADSL/SHDSL, PPP, PPPoE (PPP over Ethernet), PPPoA (PPP over ATM), Multilink PPP, Frame Relay, Multilink Frame Relay, HDLC, MPLS czy LTE/5G. Obsługa tak różnorodnych technologii jest często niezbędna w oddziałach, które muszą dostosować się do tego co oferuje lokalny dostawca usług internetowych. W przypadku siedziby głównej czy centrum danych taka ilość technologii WAN nie jest potrzebna, stąd modele pozycjonowane do takich miejsc obsługują Ethernet i to co działa na technologii Ethernet, jak MPLS, PPP, PPPoE czy Multilink PPP.
Rozwiązania firmy Cisco Systems, są bardzo elastyczne. Można korzystać tylko z tradycyjnych i dostępnych w innych rozwiązaniach technologii i protokołów. W niektórych miejscach można dodatkowo wesprzeć sieć tym, co jest unikalne dla Cisco, ale jest czymś kluczowym dla bezpieczeństwa i działania naszej organizacji.
Można opracować swoją architekturę przy użyciu tradycyjnych protokołów routingu czy rozwiązań VPN lub skorzystać z gotowej architektury "zrób to sam", jak Cisco IWAN (Intelligent WAN) i skonfigurować wszystko ręcznie. Można też skorzystać z własnego rozwiązania SDN lub z rozwiązania "pod klucz", jakim jest Cisco SD-WAN.
Budowanie z Cisco, to więcej niż jeden wybór. Lepiej go mieć!
Do połączeń pomiędzy oddziałami stosowane są najczęściej dzierżawione linie światłowodowe, usługi MPLS VPN lub bezpieczne połączenia VPN poprzez sieć Internet. Seria urządzeń brzegowych Cisco Catalyst 8000 obsługuje wszystkie potrzebne do tego technologie, jak m.in. DMVPN (Dynamic Multipoint VPN), FlexVPN, GETVPN (Group Encrypted Transport VPN), IPsec VPN, MPLS VPN czy EVPN (Ethernet VPN).
W większości są to technologie umożliwiające realizację bardzo elastycznych i funkcjonalnych połączeń pomiędzy oddziałami (Site-to-Site VPN). Do obsługi VPN RA (Remote Access) dla zdalnych pracowników można wykorzystać obsługiwany przez nie Easy VPN Server, FlexVPN czy IPsec VPN.
Tradycyjny routing nie zawsze się sprawdza. Szczególnie, gdy jakość używanych łącz zmienia się dynamicznie bez żadnej zapowiedzi. Inteligenta kontrola ścieżek możliwa jest dzięki zastosowaniu PfR (Performance Routing) w ramach DMVPN (Dynamic Multipoint VPN) pomiędzy lokalizacjami oraz na łączach do sieci Internet.
Tradycyjny routing nie zawsze się sprawdza. Szczególnie, gdy jakość używanych łącz zmienia się dynamicznie bez żadnej zapowiedzi. Inteligenta kontrola ścieżek możliwa jest dzięki zastosowaniu PfR (Performance Routing) w ramach DMVPN (Dynamic Multipoint VPN) pomiędzy lokalizacjami oraz na łączach do sieci Internet.
DMVPN umożliwia dynamiczne budowanie tuneli pomiędzy oddziałami, obsługę wysokiej dostępności, a także realizację routingu dynamicznego. PfR zajmuje się rozkładem obciążenia i kierowaniem ruchu w sposób, który pozwala zapewnić odpowiednią jakość pasma i opóźnienia dla wykorzystywanych w sieci aplikacji. PfR kieruje ruch aplikacyjny tym łączem, które spełnia w danej chwili zdefiniowane dla niej wymagania.
Tunele IPSec VPN oparte na mechanizmie Crypto Map czy Policy-Based Tunnels mają sporo ograniczeń, które wynikają z ich powiązania z jednym interfejsem wyjściowym. Należy do nich m.in. brak możliwości przypisania dla każdego z połączeń VPN oddzielnych parametrów QoS (Quality of Service), ZBF (Zone Based Firewall), VRF (Virtual Routing and Forwarding), ACL (Access Control Lists), czy wielkości MTU (Maximum Transmission Unit). Nie da się używać protokołów routingu i przesyłać ruchu multicast, a też zarządzanie i diagnoza jest bardziej złożona.
Dzięki Cisco FlexVPN mamy możliwość budowy wysoce granularnej konfiguracji, w tym użycia różnych parametrów QoS, ZBF, VRF, ACL, MTU dla każdego z połączeń VPN. Nawet, kiedy te dziesiątki, czy nawet tysiące zdalnych lokalizacji łączy się do jednego dynamicznego interfejsu tunelowego. Dostępny też jest routing dynamiczny, transmisja ruchu multicast i dynamiczne tworzenie tuneli pomiędzy oddziałami.
Autoryzacja w FlexVPN może być oparta o certyfikaty, PSK (Pre-Shared Key), a także użytkownika i hasło. Tam, gdzie zarządzanie certyfikatami bywa kłopotliwe, wygodnie i bezpiecznie można korzystać z kluczy współdzielonych.
Zarządzanie kluczami, jak i parametrami dla każdego z połączeń VPN można realizować w Cisco ISE. Cisco FlexVPN udostępnia także funkcje wysokiej dostępności i rozkładu obciążenia. W razie awarii potrafi przełączyć się na inny router agregujący, wybierając taki, który jest najmniej obciążony. W przypadku awarii łącza podstawowego, potrafi też użyć do nawiązania połączenia VPN adresu z innego interfejsu.
Do obsługi połączeń SSL VPN pracowników zdalnych polecamy platformę Cisco Firepower. Platforma ta udostępnia zaawansowane funkcje weryfikacji stanu urządzenia końcowego. Najczęściej taki SSL VPN integrujemy z Cisco ISE i Cisco Duo. Dzięki Cisco ISE i wykorzystaniu DAP (Dynamic Access Policies) możliwe jest różnicowanie polityk dostępu do zasobów organizacji w oparciu o wynik weryfikacji rodzaju i stanu systemu urządzenia końcowego. Dla przykładu, można zastosować inną politykę, jeżeli urządzenie nie należy do organizacji.
Do obsługi połączeń SSL VPN pracowników zdalnych polecamy platformę Cisco Firepower. Platforma ta udostępnia zaawansowane funkcje weryfikacji stanu urządzenia końcowego. Najczęściej taki SSL VPN integrujemy z Cisco ISE i Cisco Duo. Dzięki Cisco ISE i wykorzystaniu DAP (Dynamic Access Policies) możliwe jest różnicowanie polityk dostępu do zasobów organizacji w oparciu o wynik weryfikacji rodzaju i stanu systemu urządzenia końcowego. Dla przykładu, można zastosować inną politykę, jeżeli urządzenie nie należy do organizacji.
Tam gdzie potrzebny jest centralny system do monitorowania i zarządzania dla dużej ilości lokalizacji warto pójść o krok dalej i wybrać architekturę Cisco SD-WAN (Software-Defined WAN). Dzięki niej, z jednego miejsca można monitorować oraz zarządzać polityką bezpieczeństwa i jakości ruchu aplikacyjnego, łączami do sieci Internet oraz połączeniami VPN pomiędzy lokalizacjami. Cała diagnostyka i wizualizacja potrafi nie tylko wyłapać trwałe awarie, ale także chwilowe wzrosty opóźnień mogące mieć wpływ na działanie aplikacji. Monitorować można cały ruch, wybrane klasy ruchu aplikacyjnego, a nawet aktywne w danej chwili przepływy.
Architektura Cisco SD-WAN umożliwia scentralizowane zarządzanie wszystkimi komponentami sieci WAN, w tym nawet urządzeniami wirtualnymi chmur publicznych. Umożliwia też spójną integrację z Cisco DNA (SD-Access) i Cisco ACI w ramach Multi-Domain Intent Based Networking. Dzięki temu budowane w ramach tych rozwiązań polityki są zawsze ze sobą spójne i respektowane pomiędzy sobą.
Oczywiście można też stosować własne rozwiązania do zarządzania i monitorowania. Urządzenia brzegowe z serii Cisco Catalyst 8000 wykorzystują system Cisco IOS XE i model danych YANG.
Obsługują również protokół NETCONF i RESTCONF. Dzięki temu można je samodzielnie skonfigurować wedle własnego uznania, czy to ręcznie, czy poprzez inny systemu do automatyzacji. Przykładem może być tutaj wykorzystanie Red Hat Ansible Automation, Cisco NSO czy konfiguracja wszystkiego w CLI.
Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.
Na styku różnych sieci mamy najczęściej do czynienia z wymianą ruchu pomiędzy różnymi strefami zaufania, stąd bardzo ważne jest zapewnienie w tym miejscu odpowiedniej widoczności i ochrony.
Dzięki mechanizmowi RTBH (Remotely Triggered Black Hole), który dostępny jest w platformach Cisco Firepower i urządzeniach brzegowych serii Cisco Catalyst 8000, możliwe jest wdrożenie ochrony przed atakami DDoS (Distributed Denial of Service). Ataki te potrafią unieruchomić całą organizację lub udostępniane przez nią usługi.
Dzięki mechanizmowi RTBH (Remotely Triggered Black Hole), który dostępny jest w platformach Cisco Firepower i urządzeniach brzegowych serii Cisco Catalyst 8000, możliwe jest wdrożenie ochrony przed atakami DDoS (Distributed Denial of Service). Ataki te potrafią unieruchomić całą organizację lub udostępniane przez nią usługi.
Cisco Firepower i urządzenia brzegowe do oddziałów Cisco Catalyst 8300/8200 mają możliwość uruchomienia systemu IPS (Instrusion Prevention System) do ochrony przed znanymi atakami i podatnościami na bazie silnika Snort, ochrony i retrospekcji dla plików z wykrywaniem złośliwego oprogramowania z Cisco Advanced Malware Protection (AMP) i Cisco Threat Grid oraz filtrowania URL (reputacje i kategorie). Rozwiązania te wspierane są danymi na temat inteligencji zagrożeń (ang. Threat Intelligence). Pochodzą one z Cisco Talos, jednego z największych na świecie centrów badań nad zagrożeniami, złośliwym oprogramowaniem i podatnościami.
Dziś bardzo ważne jest zapewnienie jednolitego i bezpiecznego dostępu do usług chmur publicznych. Nie jedna organizacja pracuje w modelu hybrydowym, gdzie oprócz własnego centrum danych i własnej chmury prywatnej korzysta z dodatkowych usług chmur zewnętrznych. Urządzenia brzegowe Cisco Catalyst 8000 potrafią zaadresować prawie każdy scenariusz i architekturę dostępu do usług chmur publicznych.
W ramach chmur publicznych Google Cloud Platform (GCP), Amazon Web Services (AWS) i Microsoft Azure, a także chmur prywatnych na bazie VMware vSphere, Red Hat Virtualization czy Red Hat OpenStack Platform możemy uruchamiać urządzenia brzegowe o tej samej funkcjonalności, co w siedzibie głównej, centrum danych czy oddziale. Oprócz wygody w obsłudze, pozwala to zachować spójność w obszarze sposobu realizacji połączenia, wykorzystanych mechanizmów bezpieczeństwa oraz polityce obsługi ruchu aplikacyjnego.
Pojedyncze urządzenie brzegowe Cisco Catalyst 8000V może obsługiwać wiele VRF (Virtual Routing and Forwarding), a co za tym idzie obsługiwać wielu niezależnych klientów/najemców (ang. tenants) chmury publicznej, dla każdego obsługując m.in. niezależną tablicę routingu, połączenia VPN i reguły Firewall. Oczywiście dla każdego klienta/najemcy (ang. tenant) można też uruchomić oddzielną instancję Cisco Catalyst 8000V. W ten sposób może osiągnąć bardzo dużą elastyczność i skalowalność w udostępnianiu różnych usług.
Bardzo ważne jest zachowanie adresów IP w trakcie przenoszenia aplikacji z centrum danych do chmury zewnętrznej i w drugą stronę. Dzięki temu nie będzie wymagana rekonfiguracja aplikacji czy systemu operacyjnego, w którym ona działa. Zmiana adresacji IP ma też negatywny wpływ na zachowanie ciągłej łączności od strony jej użytkowników. Urządzenia brzegowe Cisco Catalyst 8000, w tym Cisco Catalyst 8000V obsługują protokół LISP (Locator ID Separation Protocol), który umożliwia pełną mobilność adresów IP i zachowanie identyfikatora aplikacji.
Cisco Catalyst 8000V, jak i platformy sprzętowe z rodziny Cisco Catalyst 8000, mogą też pracować jako urządzenia brzegowe OTV (Overlay Transport Virtualization) rozciągając dostępne wewnątrz lokalnego centrum danych sieci VLAN do chmur zewnętrznych, czy łącząc tego typu miejsca ze sobą. W ten sposób mogą pełnić funkcje typowe dla tak zwanego DCI (Data Center Interconnect).
Z tradycyjnymi VLAN mamy tylko 4094 unikalnych identyfikatorów, a z VXLAN aż 16 milionów. Technologia VXLAN (Virtual Extensible LAN) zwykle stosowana była przez większe przedsiębiorstwa i dostawców usług, którzy potrzebują zapewnić izolację milionom klientów. Obecnie jest też chętnie stosowana przez mniejsze organizacje, które szukają wygodnych i elastycznych metod wirtualizacji swojej infrastruktury sieciowej czy centrum danych. Urządzenia brzegowe Cisco Catalyst 8000V mogą pracować jako VTEP (VXLAN Tunnel Endpoint), łącząc ze sobą na poziomie L2 dostępne sieci VXLAN czy VXLAN i VLAN, a nawet realizując ich obsługę na poziomie L3.
Cisco Catalyst 8000V umożliwiają także rozciągnięcie usługi MPLS z lokalizacji klienta, aż do chmury publicznej.
Cisco Catalyst 8000V także sprawdzają się jako wirtualne reflektory tras (ang. vRR - virtual Route Reflectors), gdzie potrzebna jest duża moc obliczeniowa, a niekoniecznie obsługa dużej ilości ruchu. Dzięki możliwości wirtualizacji, wiele niezależnych vRR może działać w ramach jednego serwera fizycznego.
Pojedyncze urządzenie brzegowe Cisco Catalyst 8000V może obsługiwać wiele VRF (Virtual Routing and Forwarding), a co za tym idzie obsługiwać wielu niezależnych klientów/najemców (ang. tenants) chmury publicznej, dla każdego obsługując m.in. niezależną tablicę routingu, połączenia VPN i reguły Firewall. Oczywiście dla każdego klienta/najemcy (ang. tenant) można też uruchomić oddzielną instancję Cisco Catalyst 8000V. W ten sposób może osiągnąć bardzo dużą elastyczność i skalowalność w udostępnianiu różnych usług.
Bardzo ważne jest zachowanie adresów IP w trakcie przenoszenia aplikacji z centrum danych do chmury zewnętrznej i w drugą stronę. Dzięki temu nie będzie wymagana rekonfiguracja aplikacji czy systemu operacyjnego, w którym ona działa. Zmiana adresacji IP ma też negatywny wpływ na zachowanie ciągłej łączności od strony jej użytkowników. Urządzenia brzegowe Cisco Catalyst 8000, w tym Cisco Catalyst 8000V obsługują protokół LISP (Locator ID Separation Protocol), który umożliwia pełną mobilność adresów IP i zachowanie identyfikatora aplikacji.
Cisco Catalyst 8000V, jak i platformy sprzętowe z rodziny Cisco Catalyst 8000, mogą też pracować jako urządzenia brzegowe OTV (Overlay Transport Virtualization) rozciągając dostępne wewnątrz lokalnego centrum danych sieci VLAN do chmur zewnętrznych, czy łącząc tego typu miejsca ze sobą. W ten sposób mogą pełnić funkcje typowe dla tak zwanego DCI (Data Center Interconnect).
Z tradycyjnymi VLAN mamy tylko 4094 unikalnych identyfikatorów, a z VXLAN aż 16 milionów. Technologia VXLAN (Virtual Extensible LAN) zwykle stosowana była przez większe przedsiębiorstwa i dostawców usług, którzy potrzebują zapewnić izolację milionom klientów. Obecnie jest też chętnie stosowana przez mniejsze organizacje, które szukają wygodnych i elastycznych metod wirtualizacji swojej infrastruktury sieciowej czy centrum danych. Urządzenia brzegowe Cisco Catalyst 8000V mogą pracować jako VTEP (VXLAN Tunnel Endpoint), łącząc ze sobą na poziomie L2 dostępne sieci VXLAN czy VXLAN i VLAN, a nawet realizując ich obsługę na poziomie L3.
Cisco Catalyst 8000V umożliwiają także rozciągnięcie usługi MPLS z lokalizacji klienta, aż do chmury publicznej.
Cisco Catalyst 8000V także sprawdzają się jako wirtualne reflektory tras (ang. vRR - virtual Route Reflectors), gdzie potrzebna jest duża moc obliczeniowa, a niekoniecznie obsługa dużej ilości ruchu. Dzięki możliwości wirtualizacji, wiele niezależnych vRR może działać w ramach jednego serwera fizycznego.
Cisco Catalyst 8000V jest zbudowany na tej samej platformie oprogramowania co reszta urządzeń brzegowych z serii Cisco Catalyst 8000. Dzięki temu oferuje bardzo bogaty zestaw funkcjonalności, jak m.in. routing, różne technologie VPN, aplikacyjny Firewall, NAT/PAT, QoS, AVC, NetFlow czy optymalizację ruchu aplikacyjnego.
Wirtualizacja tych wszystkich złożonych funkcji zapewnia dostawcom usług konsolidację wielu instancji na jednym serwerze i łatwe skalowane w miarę pojawiania się nowych klientów czy rozbudowy sieci.
Wirtualizacja tych wszystkich złożonych funkcji zapewnia dostawcom usług konsolidację wielu instancji na jednym serwerze i łatwe skalowane w miarę pojawiania się nowych klientów czy rozbudowy sieci.
Cisco SD-WAN Cloud OnRamp rozszerza aktualną infrastrukturę o usługi chmur publicznych, zapewniając do nich szybki i bezpieczny dostęp. Pomiędzy lokalizacją główną, oddziałami i usługami chmurowymi można zbudować siatkę VPN, dzięki której ruch do usług chmur publicznych będzie kierowany zawsze najlepszą w danej chwili drogą.
Da się także dla tego ruchu zapewnić DIA (Direct Internet Access) i wypuszczać go lokalnie na łączu w oddziale. Dzięki architekturze SASE taki dostęp może być w pełni bezpieczny.
SASE (Secure Access Service Edge) jest architekturą przeznaczoną dla organizacji, które w głównej mierze opierają swoje działanie na usługach chmur publicznych. Jej zadaniem jest dostarczenie użytkownikom pracującym z różnych lokalizacji bezpiecznego i ujednoliconego sposobu dostępu do usług chmurowych. Łączy ona scentralizowane zarządzanie bezpieczeństwem oraz łącznością pomiędzy oddziałami i do oddziałów z użyciem rozwiązań SD-WAN, z rozwiązaniami bezpieczeństwa opartymi na chmurze publicznej.
Korzystając z usług chmur publicznych głównie używamy protokołów HTTP/HTTPS i DNS. Stąd Cisco Systems oparło fragment swojej architektury SASE na usłudze chmury publicznej Cisco Umbrella Secure Internet Gateway (SIG). W architekturze tej wykorzystywany jest także Cisco SD-WAN. Do ochrony poczty elektronicznej w ramach usług chmur publicznych lub rozwiązań on-prem pozycjonowana jest Cisco ESA.
Cisco Umbrella Secure Internet Gateway (SIG) zapewnia bardzo kompleksową ochronę. Łączy w sobie technologie i rozwiązania wykorzystywane m.in. w ramach Cisco Cloudlock, Cisco Talos, Cisco Advanced Malware Protection (AMP), Cisco Threat Grid oraz Cisco Umbrella. Wiedza z tych wszystkich obszarów pozwala podejmować bardzo trafne i precyzyjne decyzje.
Korzystając z usług chmur publicznych głównie używamy protokołów HTTP/HTTPS i DNS. Stąd Cisco Systems oparło fragment swojej architektury SASE na usłudze chmury publicznej Cisco Umbrella Secure Internet Gateway (SIG). W architekturze tej wykorzystywany jest także Cisco SD-WAN. Do ochrony poczty elektronicznej w ramach usług chmur publicznych lub rozwiązań on-prem pozycjonowana jest Cisco ESA.
Cisco Umbrella Secure Internet Gateway (SIG) zapewnia bardzo kompleksową ochronę. Łączy w sobie technologie i rozwiązania wykorzystywane m.in. w ramach Cisco Cloudlock, Cisco Talos, Cisco Advanced Malware Protection (AMP), Cisco Threat Grid oraz Cisco Umbrella. Wiedza z tych wszystkich obszarów pozwala podejmować bardzo trafne i precyzyjne decyzje.
Usługa chmurowa Cisco Umbrella SIG udostępnia kilka warstw ochrony, jak blokowanie znanych zagrożeń i złowrogich miejsc, blokowanie reputacyjne oraz określonych kategorii kontentu, możliwość badania plików o nieznanej reputacji, firewall aplikacyjny, a także moduł SWB (Secure Web Gateway) oraz CASB (Cloud Access Security Broker). Posiada też bardzo rozbudowaną analitykę, powiadomienia i wizualizację zachodzących zdarzeń.
CASB pośredniczy pomiędzy użytkownikami i usługami chmurowymi. Monitoruje wszelkie aktywności, zgłaszając potencjalne niebezpieczeństwa oraz wymusza przestrzeganie narzuconych zasad bezpieczeństwa. Moduł ten dostępny jest także niezależnie, jako Cisco Cloudlock.
Dostęp VPN czy usług chmurowych organizacji może zostać zabezpieczony z wykorzystaniem MFA (Multi-Factor Authentication), czyli wieloskładnikowego uwierzytelnienia z Cisco Duo. Dzięki temu atakujący musi jednocześnie znać poświadczenia użytkownika i mieć fizyczny dostęp do jego urządzenia, co rzadko jest możliwe. Poza hasłem, najczęściej stosowane jest OTP (One Time Password) w formie jednorazowych kodów otrzymywanych za pomocą wiadomości SMS lub dodatkowego zatwierdzenia logowania w aplikacji telefonu.
CASB pośredniczy pomiędzy użytkownikami i usługami chmurowymi. Monitoruje wszelkie aktywności, zgłaszając potencjalne niebezpieczeństwa oraz wymusza przestrzeganie narzuconych zasad bezpieczeństwa. Moduł ten dostępny jest także niezależnie, jako Cisco Cloudlock.
Dostęp VPN czy usług chmurowych organizacji może zostać zabezpieczony z wykorzystaniem MFA (Multi-Factor Authentication), czyli wieloskładnikowego uwierzytelnienia z Cisco Duo. Dzięki temu atakujący musi jednocześnie znać poświadczenia użytkownika i mieć fizyczny dostęp do jego urządzenia, co rzadko jest możliwe. Poza hasłem, najczęściej stosowane jest OTP (One Time Password) w formie jednorazowych kodów otrzymywanych za pomocą wiadomości SMS lub dodatkowego zatwierdzenia logowania w aplikacji telefonu.
Dziś większość ruchu jest szyfrowana end-to-end. W związku z tym, że nie zawsze jest możliwe czy realne jego deszyfrowanie, analiza pod kątem zagrożeń i ponowne szyfrowanie, Cisco Catalyst 8000 udostępniają zarówno TLS/SSL Proxy do deszyfrowania i szyfrowania, jak i ETA (Encrypted Traffic Analytics). Dzięki ETA wykrywanie zagrożeń w ruchu wymienianym na brzegu sieci i pomiędzy oddziałami jest możliwe, nawet bez jego deszyfrowania.
Urządzenia brzegowe Cisco Catalyst 8000 mogą wykrywać zagrożenia nawet w zaszyfrowanym ruchu, bez jego deszyfrowania, bez naruszania prywatności i bez spadku wydajności transmisji. Służy do tego ETA, która rozszerza funkcjonalność NetFlow oraz Cisco Stealthwatch z obsługą zaawansowanej telemetrii, znajomości zachowania zagrożeń i ciągłemu uczeniu maszynowemu, który zajmuje się analizą i korelacją otrzymywanych danych.
Dzięki funkcjonalności SRST (Survivable Remote Site Telephony), w przypadku awarii połączenia do klastra CUCM (Cisco Unified Communication Manager), modele pozycjonowane do oddziałów Cisco Catalyst 8300/8200 są w stanie przejąć funkcję centrali telefonicznej dla telefonów IP. CUCM jest flagowym produktem Cisco Systems do obsługi telefonii i wideotelefonii w całej organizacji, który zwykle ulokowany jest w głównej organizacji.
Cisco Catalyst 8300 i 8200 są też uzupełnieniem CUCM. Udostępniają funkcje bramy głosowej, za pomocą której możliwa jest komunikacja ze starą siecią PSTN (Public Switched Telephone Network). PSTN obejmuje telefonie analogową POTS (Plain Old Telephone Service) i cyfrową ISDN (Integrated Services Digital Network). Poprzez odpowiednie moduły z portami FXS da się także do nich podłączać stare analogowe telefony i urządzenia typu faks. Mogą one też pełnić funkcję bramy głosowej VoIP (Voice over IP), obsługując połączenia SIP Trunk do operatorów. Za tą część odpowiedzialny jest CUBE/SBC (Cisco Unified Border Element)/(Session Border Controller), który zapewnia bezpieczny punkt demarkacyjny dla protokołu SIP (Session Initiation Protocol).
Cisco Catalyst 8300 i 8200 są też uzupełnieniem CUCM. Udostępniają funkcje bramy głosowej, za pomocą której możliwa jest komunikacja ze starą siecią PSTN (Public Switched Telephone Network). PSTN obejmuje telefonie analogową POTS (Plain Old Telephone Service) i cyfrową ISDN (Integrated Services Digital Network). Poprzez odpowiednie moduły z portami FXS da się także do nich podłączać stare analogowe telefony i urządzenia typu faks. Mogą one też pełnić funkcję bramy głosowej VoIP (Voice over IP), obsługując połączenia SIP Trunk do operatorów. Za tą część odpowiedzialny jest CUBE/SBC (Cisco Unified Border Element)/(Session Border Controller), który zapewnia bezpieczny punkt demarkacyjny dla protokołu SIP (Session Initiation Protocol).
Za pośrednictwem CUBE/SBC da się też zmieniać kodowanie czy realizować połączenia do różnych usług chmurowych, jak Cisco Webex Cloud Connected Audio (CCA i CCA-SP), Webex Calling Local Gateway Cisco Hosted Collaboration Solution (HCS) czy usługi Direct Routing w Microsoft Phone System (Microsoft Teams).
Dostępny jest też mechanizm Call Admission Control (CAC) dla protokołu SIP, który pozwala kontrolować dozwoloną ilość jednoczesnych rozmów. Ich zbyt duża ilość mogłaby mieć negatywny wpływ na wszystkie rozmowy.
Urządzenia brzegowe Cisco Catalyst 8300/8200 obsługują bezpośrednie połączenia z siecią LTE/5G. Do tego celu stosują moduły w technologii 5G/LTE Cat18, Cat6 lub Cat4. O ile w niektórych lokalizacjach może być to jedyne dostępne łącze do sieci Internet, to w innych może pełnić rolę łącza zapasowego.
W wielu miejscach urządzenia brzegowe otoczone są dużą ilości kabli, znajdują się w metalowych szafach lub są całkiem pod ziemią, gdzie nie ma dobrego sygnału z sieci LTE/5G. Stosowanie dłuższych kabli antenowych nie sprawdza się. Im dłuższy kabel pomiędzy anteną, a interfejsem LTE/5G, tym większa strata sygnału.
Do takich miejsc Cisco Systems opracowało Cisco Catalyst Cellular Gateway, który można wpiąć w dowolnym miejscu sieci kampusowej czy budynku i poprzez wydzielony VLAN połączyć z interfejsem urządzenia brzegowego.
Cisco Catalyst Cellular Gateway może być zarządzany poprzez CLI, WebUI lub w scentralizowany sposób z poziomu kontrolera vManage rozwiązania Cisco SD-WAN. Oferuje prędkość do 2.44Gbps/300Mbps przy technologii 5G. Jest kompatybilny z LTE Cat18, Cat6 i Cat4. Obsługuje dwie karty micro-SIM w trybie active/standby. Można go zasilić z użyciem zewnętrznego zasilacza, jak i za pomocą PoE+.
Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.
Wiele lokalizacji, różnego typu łącza i różnego typu połączenia pomiędzy nimi to dziś coś normalnego. Niestety, tradycyjny routing w takich scenariuszach nie zawsze jest wystarczający. Zwłaszcza, gdy parametry tych połączeń ulegają zmianie bez żadnej zapowiedzi. Dlatego w urządzeniach brzegowych Cisco Catalyst 8000 oprócz tradycyjnych protokołów routingu, jak RIP, OSPF, EIGRP, IS-IS, OMP czy BGP, obsługiwane jest również AppQoE.
Pełne AppQoE (Application Quality of Experience) obsługiwane jest w ramach Cisco SD-WAN. AppQoE to zbiór technologii, których zadaniem jest poprawa odbioru jakości działających w sieci aplikacji. Składa się na niego m.in. Application Aware Routing (AAR), Forward Error Correction (FEC), Packet Duplication i TCP Flow Optimization.
Application Aware Routing (AAR) na bieżąco śledzi i bada jakość dostępnych pomiędzy lokalizacjami ścieżek. Bierze pod uwagę ilość zgubionych pakietów, opóźnienia, pojawiające się odchylenia w opóźnieniach, wysycenie, koszt i przepustowość łącz. Na tej podstawie stara się wybrać najlepsze w danej chwili ścieżki dla różnych aplikacji.
Tradycyjny routing oparty na stałych metrykach nie bierze pod uwagę dynamicznej natury sieci. Jeżeli jest połączenie na drugą stronę, to jest ono wykorzystywane. Nie jest weryfikowana jakość tego połączenia.
AAR jest w stanie wykryć chwilowe problemy czy spadek wydajności danego połączenia i stosownie temu zaradzić. Jest świadomy potrzeb aplikacji. Dzięki temu, pomimo ciągłej aktywności i działania problematycznego połączenia, jest w stanie automatycznie wykryć problemy i przekierować wybrany ruch na inne łącza, które w danej chwili spełniają wymagania danej aplikacji. Kiedy problematyczne łącze powróci do normalnego działania, AAR jest w stanie znowu dostosować rozkład ruchu do optymalnego wykorzystania wszystkich łącz.
Application Aware Routing (AAR) na bieżąco śledzi i bada jakość dostępnych pomiędzy lokalizacjami ścieżek. Bierze pod uwagę ilość zgubionych pakietów, opóźnienia, pojawiające się odchylenia w opóźnieniach, wysycenie, koszt i przepustowość łącz. Na tej podstawie stara się wybrać najlepsze w danej chwili ścieżki dla różnych aplikacji.
Tradycyjny routing oparty na stałych metrykach nie bierze pod uwagę dynamicznej natury sieci. Jeżeli jest połączenie na drugą stronę, to jest ono wykorzystywane. Nie jest weryfikowana jakość tego połączenia.
AAR jest w stanie wykryć chwilowe problemy czy spadek wydajności danego połączenia i stosownie temu zaradzić. Jest świadomy potrzeb aplikacji. Dzięki temu, pomimo ciągłej aktywności i działania problematycznego połączenia, jest w stanie automatycznie wykryć problemy i przekierować wybrany ruch na inne łącza, które w danej chwili spełniają wymagania danej aplikacji. Kiedy problematyczne łącze powróci do normalnego działania, AAR jest w stanie znowu dostosować rozkład ruchu do optymalnego wykorzystania wszystkich łącz.
Forward Error Correction (FEC) umożliwia rekonstrukcję 1 z 4 zgubionych pakietów. Możliwe jest to dzięki piątemu pakietowi, który zawiera sumy parzystości (XOR) i jest wysyłany nadmiarowo dla każdych czterech pakietów. FEC może być włączony cały czas (FEC Always) lub być aktywowany dynamicznie, za każdym razem, gdy ilość zgubionych na łączu pakietów przekracza 2% (FEC Adaptive).
Packet Duplication wykorzystuje dwa różne tunele pomiędzy tymi samymi lokalizacjami. Wysyła wszystkie pakiety na obu, a druga strona eliminuje duplikaty. Działa to tak, że wykorzystywany jest pakiet z tego tunelu, który pierwszy go dostarczy. Jeżeli pakiet zginie, to automatycznie wykorzystywany jest duplikat z drugiego tunelu. Sprawdza się w miejscach, gdzie mamy dostęp do dwóch niezależnych łącz, których jakość nie zawsze jest taka, jak powinna.
Zarówno Forward Error Correction, jak i Packet Duplication można aktywować dla wszystkich lub tylko wybranych adresów IP, typów ruchu czy aplikacji.
Packet Duplication wykorzystuje dwa różne tunele pomiędzy tymi samymi lokalizacjami. Wysyła wszystkie pakiety na obu, a druga strona eliminuje duplikaty. Działa to tak, że wykorzystywany jest pakiet z tego tunelu, który pierwszy go dostarczy. Jeżeli pakiet zginie, to automatycznie wykorzystywany jest duplikat z drugiego tunelu. Sprawdza się w miejscach, gdzie mamy dostęp do dwóch niezależnych łącz, których jakość nie zawsze jest taka, jak powinna.
Zarówno Forward Error Correction, jak i Packet Duplication można aktywować dla wszystkich lub tylko wybranych adresów IP, typów ruchu czy aplikacji.
Aby udostępnić większą przepustowość i zapewnić mniejsze opóźnienia TCP Flow Optimization wykorzystuje nowy algorytm TCP o nazwie BBR (Bottleneck Bandwidth and Round-trip propagation time). O prędkości transmisji z użyciem TCP w dużym stopniu decydują algorytmy kontroli zatorów (ang. congestion control algorithms). Duża ilość systemów serwerowych i stacji końcowych wciąż korzysta z CUBIC.
CUBIC jest powszechnie stosowanym algorytmem obsługi zatorów dla protokołu TCP (Transmission Control Protocol). Wykorzystywany do transmisji w TCP rozmiar okna (ang. window size), jest w nim funkcją sześcienną (ang. cubic function) w czasie od ostatniego wystąpienia zatoru. Miejscem zerowym/punktem załamania (ang. inflection point) tej funkcji jest rozmiar okna przed zatorem.
Ma ona przestrzeń wklęsłą (ang. concave - concave downward) i wypukłą (ang. convex - concave upward). Wklęsła daje możliwość szybkiego powrotu rozmiaru okna do stanu bliskiego przed ostatnim wykryciem zatoru w sieci i dalej powolny wzrost do tego miejsca. W ten sposób sieć dostaje czas na ustabilizowanie się. Zaraz po tym przechodzi do części wypukłej, która o ile początkowo rośnie powoli, to przyśpiesza coraz bardziej, jeżeli nie ma oznak zatoru.
Otrzymanie podwójnego potwierdzenia (zduplikowany ACK) lub jego brak w czasie RTO (Retransmission TimeOut), jest uznawany przez CUBIC jako objaw zatoru w sieci. O ile fakt ten oznacza zwykle zgubienie pakietu, to niekoniecznie musi oznaczać zator w sieci. Do czynienia możemy mieć z łączem 10Gbps, na którym z innych powodów niż obciążenie łącza ginie 0,01% pakietów. Zwalnianie transmisji w takim przypadku niekoniecznie ma sens.
Wykorzystanie CUBIC w TCP przyczynia się także do pełnego wysycania buforów interfejsów urządzeń sieciowych i co za tym idzie wzrostu opóźnień. Algorytm CUBIC nie bierze pod uwagę czasu RTT (Round Trip Time), stąd nie są faworyzowane ani połączenia o małych, ani o dużych opóźnieniach. Mają tą samą szansę wzrostu. Nagły wzrost opóźnień dla wszystkich połączeń ma negatywny wpływ na działanie aplikacji wymagających do pracy niskich opóźnień. Im większe są bufory, tym powstają większe opóźnienia.
Wykorzystanie CUBIC w TCP przyczynia się także do pełnego wysycania buforów interfejsów urządzeń sieciowych i co za tym idzie wzrostu opóźnień. Algorytm CUBIC nie bierze pod uwagę czasu RTT (Round Trip Time), stąd nie są faworyzowane ani połączenia o małych, ani o dużych opóźnieniach. Mają tą samą szansę wzrostu. Nagły wzrost opóźnień dla wszystkich połączeń ma negatywny wpływ na działanie aplikacji wymagających do pracy niskich opóźnień. Im większe są bufory, tym powstają większe opóźnienia.
Podsumowując działanie algorytmu CUBIC w TCP, przy niewielkim rozmiarze buforów szybko dochodzi do złej interpretacji zatoru w sieci i znaczącego spadku prędkości transmisji, a przy dużym rozmiarze buforów do znaczącego wzrostu opóźnień.
Bufory obecnych urządzeń sieciowych są coraz większe, stąd proces wykrywaniu zatoru w sieci powinien brać pod uwagę wzrost opóźnień. Z drugiej strony, algorytm bazujący tylko na opóźnieniach nie byłby traktowany w sieci sprawiedliwie. Połączenia TCP stosujące inne algorytmy, jak dla przykładu CUBIC, przejęłyby całkowicie łącze.
Bufory obecnych urządzeń sieciowych są coraz większe, stąd proces wykrywaniu zatoru w sieci powinien brać pod uwagę wzrost opóźnień. Z drugiej strony, algorytm bazujący tylko na opóźnieniach nie byłby traktowany w sieci sprawiedliwie. Połączenia TCP stosujące inne algorytmy, jak dla przykładu CUBIC, przejęłyby całkowicie łącze.
Z rozwiązaniem przyszedł BBR (Bottleneck Bandwidth and Round-trip propagation time), nowy algorytm wykrywania zatorów w TCP. W dużych skrócie, algorytm BBR stara się wysycać coraz bardziej łącze monitorując jednocześnie wzrost opóźnień. Kiedy dojdzie do momentu, w którym opóźnienia drastycznie wzrastają, stara się delikatnie zmniejszać transmisję do momentu w którym będą one miały rozsądne wartości. Dzięki temu, gdy:
- transmisja nie gubi pakietów, przepustowość jest podobna z zachowaniem kilkukrotnie niższych opóźnień,
- transmisja gubi pakiety, przepustowość potrafi być nawet kilkukrotnie większa.
Wykorzystanie nowego algorytmu obsługi zatorów w TCP pozwala utrzymać niską zajętość buforów urządzeń sieciowych i co za tym idzie zachować niskie opóźnienia przesyłanych pakietów, nawet przy dużej ilości ruchu. Dla niektórych usług jest to naprawdę bardzo istotne.
Użycie BBR w TCP ma kluczowe znaczenia także dla ruchu HTTP/2, gdzie cała transmisja pomiędzy klientem, a serwerem może odbywać się w ramach jednego połączenia. Przy HTTP/1 nie ma to tak dużego znaczenia, gdyż pomiędzy klientem, a serwerem otwierana jest duża ilość relatywnie krótkich połączeń. BBR powinien być aktywowany od strony, która udostępnia dużą ilość danych, jak serwery usługowe.
Dzięki TCP Flow Optimization z nowego algorytmu na łączach WAN mogą korzystać wszyscy. Urządzenia brzegowe Cisco Catalyst 8000 mogą terminować sesje TCP i wykorzystywać pomiędzy sobą nowy algorytm BBR.
Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.
Urządzenia brzegowe należące do serii Cisco Catalyst 8000 obsługują także m.in. NAT/PAT, Access Control List (ACL), Zone-Based Firewall (ZBF), Control Plane Policing (CoPP), Unicast Reverse Path Forwarding (uRPF), Policy Based Routing (PBR), Hot Standby Router Protocol (HSRP), Virtual Router Redundancy Protocol (VRRP), Locator ID Separation Protocol (LISP), Bidirectional Forwarding Detection (BFD), Protocol Independent Multicast Sparse Mode (PIM SM), PIM Source-Specific Multicast (SSM), Internet Group Management Protocol Version 3 (IGMPv3), Generic Routing Encapsulation (GRE), Virtual Routing and Forwarding (VRF), Quality of Service (QoS), Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED), Hierarchical QoS, Policy-Based Routing (PBR), Performance Routing (PfR) czy Network-Based Application Recognition (NBAR).
Nie są to wszystkie dostępne na tych platformach funkcjonalności czy obsługiwane technologie i protokoły. Wybraliśmy tylko kilka z nich, które według nas warte były uwagi. Po więcej odsyłamy do strony producenta.
Na rynku jest zbyt dużo sprzętu z szarego kanału, stąd koniecznie sprawdzaj, czy firma sprzedająca produkty Cisco Systems jest na 100% jej partnerem handlowym. Sprawdzić można to w Cisco Partner Locator, gdzie też jesteśmy.
Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.