SG 2012_deutsch_Inhaltverzeichnis
Transcription
SG 2012_deutsch_Inhaltverzeichnis
Solution Guide 2012 Inhaltsverzeichnis Inhaltverzeichnis Vorwort 1 Hinweis für alle Leser 2 Wir über uns 3 Kurzprofil 3 Innovative Technologie 4 Secure Networks™ 4 Was die Analysten sagen 5 Weitere Informationen 6 Secure Networks™ 7 Access Control 8 Authentisierung als Maßnahme zum Schutz des Netzwerks 9 Authentisierungsmethoden—Der technische Ansatz 10 Policy Enforcement 16 RFC 3580—Der kleinste gemeinsame Nenner? 16 Policy—Regeln am Rand der Zivilisation 17 Mulit-User Authentication and Policy (MUA+P) 20 Sichere Gastfreundschaft mit Default Policies 21 RFC 3580 und Distribution Layer Security 22 Port Protection 24 Policy Enforcement in der Praxis 25 Detect and Locate 27 Angriffe 27 IDS Erkennungstechnologien 32 Hostbasierte Erkennung versus netzwerkbasierter Erkennung 34 Host Intrusion Detection/Prevention (HIDS/HIPS) 35 Enterasys Networks— Networks— Solution Guide 2012 Inhaltsverzeichnis Network IDS/IPS 38 IDS versus IPS versus DIPS 38 System Information and Event Management 40 Respond and Remediate 47 Assisted Remediation mit ToS-Rewrite 48 Proactive Prevention / NAC 49 Definition von NAC 49 Der Prozess NAC 50 Lösungsansätze 50 Enterasys NAC 54 Standardbasierte Convergence und Availability 66 Quality of Service im Netzwerk 66 Wireless LAN 76 Power over Ethernet 91 Standard Based Availability 93 Redundanz 93 IPv6 103 Simple Network Management Protocol 108 Multi Protocol Label Switching (MPLS) 109 Software Defined Networking (SDN) 118 Enterasys OneFabric Data Center Lösung 127 Einleitung und Ausblick 127 Die Enterasys OneFabric Data Center Architektur—Komponenten 128 Zusammenfassung 141 Physikalische Designs im Data Center 142 2-Tier versus 3-Tier Design 142 End-of-Row versus Top-of-Rack 143 Enterasys Networks— Networks— Solution Guide 2012 Inhaltsverzeichnis Überbuchung im Design 145 Logische Designs im Data Center 147 Design der Server Edge/Access Switche 147 Design der Core Switche 149 Virtuelle Welten 150 Produktportfolio 156 OneFabric Security 157 Security Information & Event Management (SIEM) 158 Enterasys Intrusion Defense 165 Network Access Control 170 OneFabric Control Center 182 Enterasys NetSight Console 184 Enterasys Policy Manager 186 Enterasys Policy Control Console 187 Enterasys Automated Security Manager 187 Enterasys Inventory Manager 188 Enterasys OneView 189 Enterasys Wireless Manager 191 Wireless Advanced Services 192 Enterasys Data Center Manager 194 Enterasys OneFabric Control Center Lizenzierung 194 OneFabric Data Center / Edge 198 Enterasys A/B/C-Serie 199 Enterasys D-Serie 223 Enterasys G-Serie 227 Enterasys I-Serie 231 Enterasys K-Serie 236 Enterasys Networks— Networks— Solution Guide 2012 Inhaltsverzeichnis Enterasys S-Serie 249 Enterasys WLAN 265 Media Interface Converter 283 X-Pedition Security Router 295 Dienstleistungen 300 Enterasys SupportNet— SupportNet— Wartungslösungen 300 SupportNet Features—Leistungsumfang 301 Vorteile von SupportNet 301 SupportNet Service Level 302 Warum SupportNet? 302 Schulungs– Schulungs– und Zertifizierungskonzept 303 Zertifizierungsprogramm 303 Literaturhinweise 308 Social Media 308 Downloads— Downloads—DMS 309 Enterasys Knowledgebase 309 Enterasys GTAC 310 Impressum 311 Enterasys Networks— Networks— Solution Guide 2012 1 Vorwort Vorwort Sehr geehrte Leserin, sehr geehrter Leser, 2012 steht unter dem Motto „OneFabric“ und so ist es nicht verwunderlich, dass auch der diesjährige Solution Guide unter diesem Gesichtspunkt neue Trends, Technologien und Produkte präsentiert. OneFabric ist die Vereinfachung des Netzwerkbetriebs aufgrund einer „Fabric,“ auf der alle Netzsegmente laufen. OneFabric vereint diese Segmente und auch die Teams, die sie in Ihrem Unternehmen bearbeiten. Physikalische und virtuelle Netzwerk-Teams rutschen noch weiter zusammen und können noch nahtloser das komplette Netz sicher und effizient managen. Auch ersparen wir Ihnen Administratoren die Magengeschwüre und stellen Ihnen unsere Lösung für Bring Your Own Device vor, die es Ihrem Unternehmen erlaubt, sowohl den Trend mitzumachen und Ihre Mitarbeiter mobil mit ihren privaten Geräten ins Netz zu lassen, als auch Ihre Unternehmensapplikationen und –daten vor Angriffen zu schützen. In altbekannter Manier wünschen wir Ihnen ein informatives Lesevergnügen! Ihr Enterasys Team Enterasys Networks— Networks— Solution Guide 2012 Hinweis für alle Leser 2 Hinweis für alle Leser Das Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter entwickelt, deshalb kann es jederzeit zu Änderungen des bestehenden Lösungsportfolio kommen. Die aktuellsten Informationen finden Sie auf der Enterasys Networks Homepage unter enterasys.com. Wir freuen uns auf ein persönliches Gespräch mit Ihnen und stehen Ihnen in unseren Niederlassungen jederzeit gerne zur Verfügung: Frankfurt am Main +49 (0)69 47860-0 Berlin +49 (0)30 39979-5 Leipzig +49 (0)341 52028-12 Zürich +41 (0)44 308-3943 Einen vollständigen Überblick über alle Büros und Kontake weltweit finden Sie unter: www.enterasys.com/corporate/locations/ Informationsstand: 28.03.2012 Enterasys Networks— Networks— Solution Guide 2012 3 Wir über uns Wir über uns Kurzprofil Enterasys Networks ist ein globaler Anbieter von Secure Networks™ für Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von Enterasys tragen den Anforderungen von Unternehmen nach Sicherheit, Leistungs– und Anpassungsfähigkeit Rechnung. Darüber hinaus bietet Enterasys umfangreiche Service & Support Leistungen an. Das Produktangebot reicht von Multilayer Switchen, Routern, Wireless LANs und Virtual Private Networks über Netzwerk Management Lösungen bis hin zu Intrusion Detection und Intrusion Prevention Systemen. Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen und besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und haben ein Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile umzusetzen. Die Enterasys Lösungen eignen sich für alle Netzwerke unabhängig von Hersteller und Technologie. Über 25 Jahre Erfahrung und mehr als 26.000 weltweite Kunden bilden das Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys richtet sich nach dem Motto „There is nothing more important than our customers“, in dem unsere Kunden im Mittelpunkt stehen. Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unternehmen beschäftigt weltweit mehr als 700 Mitarbeiter. Seit dem 1. Oktober 2008 ist Enterasys ein Unternehmen der Siemens Enterprise Communications Gruppe unter Führung von The Gores Group. Weitere Informationen zu Enterasys Secure Networks™ und den Produkten und Leistungen finden Sie unter www.enterasys.com. Enterasys Networks— Networks— Solution Guide 2012 Wir über uns 4 Innovative Technologie Unsere Netzwerkinfrastruktur- und –sicherheitslösungen bieten einzigartige Automations-, Transparenz- und Kontrollfähigkeiten, um Ihre IT-Effizienz und Nutzerproduktivität zu verbessern. Secure Networks™ Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und ein Servicemodell: Benutzer, Systeme, Applikationen, Event Management, automatisierte Kontrolle und die Möglichkeit aktiv auf Ereignisse antworten zu können. Eine flexible Infrastruktur stellt einen authentifizierten Zugang an allen Punkten zur Verfügung, an denen ein Zugriff auf Ressourcen erfolgt, und verringert mit einer dynamischen Autorisierung die Angriffsfläche für Denial of Service Attacken. Zusätzlich sichert eine flexible und zuverlässige Infrastruktur die Verfügbarkeit von Applikationen und sichert für geschäftkritische Anwendungen die entsprechenden Bandbreiten. Enterasys Networks— Networks— Solution Guide 2012 5 Wir über uns Was die Analysten sagen... „This vendor offers a full complement of products from the data center to the access layer, including chassis and stackable components.“ „A tightly integrated security message and solution makes this vendor a good candidate in its target markets where security is a priority buying point.“ „Customer feedback continues to highlight customer support and service as a differentiator.“ Gartner Magic Quadrant for Enterprise LAN (Global) Document ID Number: G00166799 Enterasys Networks— Networks— Solution Guide 2012 Wir über uns 6 Weitere Informationen Unser Management Team Chris Crowell Enterasys President & CEO Edward Semerjibashian SVP & Managing Director CEE, ME & APAC Pressekontakt Markus Nispel Chief Technology Strategist Solmsstraße 83 60486 Frankfurt am Main Telefon: +49 69 47860 0 Fax: +49 69 47860 109 Enterasys Networks— Networks— Solution Guide 2012 7 Secure Networks™ Secure Networks™ Secure Networks™ ist die Strategie, die Enterasys seit Jahren erfolgreich verfolgt. Von Gartner oftmals als Technologieführer definiert, hat Enterasys mit der Einführung von 802.1x ein neues Zeitalter für die Sicherheit in Netzwerken eingeläutet Enterasys bildet die fünf wesentlichen Punkte einer holististischen IT Infrastruktur mit eigenen Produkten ab. So wird sichergestellt, dass lediglich authentifizierte User Zugriff auf das Netzwerk erhalten. Das Sicherheitslevel und das Zugriffsniveau der User wird dabei in Abhängigkeit zum Sicherheitslevel des benutzten Geräts gesetzt. Angriffe, die von authentifizierten oder nicht authentifizierten Usern auf Ressourcen im Netzwerk durchgeführt werden, können durch die verschiedenen Angriffserkennungstechnologien erkannt, verifiziert und verhindert werden. Ferner ist es möglich, nachdem der Angriff erfolgreich verhindert wurde, den Angreifer aus dem Netzwerk zu verbannen oder ihm neue Zugriffsrechte zuzuweisen. Durch die Abbildung verschiedenster Technologien wird ein Maximum an Sicherheit erreicht, so dass auch Angriffe auf sehr komplexe und neuere Technologien (wie Voice over IP) erkannt und verhindert werden können. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 8 Im Folgenden sind einige der Kernziele der Secure Networks™ Strategie aufgeführt: • Präventive Angriffsverhinderung • Reaktion auf Angriffe auf User-Basis (nicht nur auf Gerätebasis) • Das Absichern von Netzwerken unterschiedlicher Hersteller • Bereitstellen von Compliance Hilfsmitteln Die nachfolgenden Abschnitte zeigen die Grundzüge der fünf Säulen der Secure Networks™ Strategie auf und erklären, welche Beiträge die verschiedenen Komponenten aus diesen Bereichen zur Abbildung einer ganzheitlichen Security Infrastruktur leisten. Access Control Secure Networks™ bietet mit seinem breiten Spektrum verschiedenster Funktionalitäten technische Lösungselemente für all diese Fragen. In der Praxis gilt es nun diese Elemente in ein durchgängiges Konzept zu integrieren und Schritte für die Implementierung und den Betrieb festzulegen. Die Frage nach der Realisierbarkeit der ermittelten Schutzmaßnahmen geht über Features und Algorithmen weit hinaus. Nicht alles was technisch möglich ist, stellt sich im Endeffekt auch als praktikabel heraus. Sicherheit und freie Kommunikation stehen sich auf den ersten Blick diametral gegenüber. Eine Sicherheits-Policy, welche dem Anwender unzumutbare Prozeduren auferlegt (mehrfache Anmeldung, geringe Flexibilität), hemmt die Produktivität des Unternehmens und wird sich kurzerhand selbst aushebeln. Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompliziert und stelle selbst eine Gefahr für den kontinuierlichen Betrieb einer IT Infrastruktur dar, muss hierbei durch geeignete Ansätze begegnet werden. Es hat sich gezeigt, dass sich der zusätzliche, administrative Aufwand einer sicherheitsbasierten Netzwerklösung nur kompensieren lässt, wenn gleichzeitig Werkzeuge zur Verfügung stehen, welche die Transparenz und ein möglichst einfach zu handhabendes Management garantieren. Im Gegensatz zur Administration einzelner Netzwerkkomponenten bieten datenbankbasierte Management Systeme die notwendige Unterstützung, um auf Basis von Templates und Policies eine flächendeckende Anpassung des Netzes an sich ändernde Anforderungen rationell vorzunehmen. Enterasys Networks— Networks— Solution Guide 2012 9 Secure Networks™ Authentisierung als Maßnahme zum Schutz des Netzwerks Das Netzwerk eines Unternehmens entwickelt sich zunehmend zu der universellen Plattform für Kommunikation und Geschäftsprozesse und damit zum unternehmenskritischen Faktor. Nach Aussage von Analysten ist durch die fortlaufende Einbindung von mobilen Endgeräten, Spachdiensten, Facility Management sowie der steigenden Integration industrieller Produktionsanlagen mit einer Verdopplung der Endgeräte zu rechnen. Lediglich ein Teil dieser Endgeräteplattformen (PCs, Workstations und Notebooks) lässt sich mit geeigneten Sicherheitsmechanismen, wie Personal Firewalls, Viren Scannern und einem gehärteten Betriebssystem ausstatten. Monolithische Komponenten, wie zum Beispiel IP Telefone, Webcams und Industriesteuerungen, liegen ebenso außerhalb des administrativen Zugriffs wie die Notebooks externer Mitarbeiter und Studenten. Medizinische Komponenten, Analysegeräte und bildgebende Systeme (Röntgen und MRT) unterliegen eigenen Sicherheitsrichtlinien. Die Modifikation des Betriebssystems durch geeignete Sicherheitsupdates erfordert in der Regel eine Neukalibrierung und Rezertifizierung des Systems und lässt sich somit in der Praxis kaum zeitnah ausführen. Eine solch heterogene Endgerätelandschaft stellt für den Betreiber eines Unternehmensnetzwerks also einen Risikofaktor dar, welcher in zunehmendem Maße außerhalb einer verlässlichen Kontrolle liegt. Die Sicherheitsbetrachtung eines Netzwerks fokussierte bisher externe Verbindung, wie WAN und Internet, als Hauptrisikofaktor. Das Absichern dieser Übergabepunkte mittels Firewall, Virenschutz und Content Filtering gehört mittlerweile zum üblichen Standard. Von einem ganzheitlichen Ansatz ausgehend ist nun in Betracht zu ziehen, welche Risiken interner Angriffe das Ökosystem Netzwerk ausgesetzt ist. Die Antwort liegt in intelligenten Komponenten und Lösungen, welche das Netzwerk in seiner Rolle als unternehmenskritischen Produktionsfaktor schützen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 10 Authentisierungsmethoden— Authentisierungsmethoden—Der technische Ansatz Access Control definiert sich in der Zugangskontrolle für Endgeräte zum Netzwerk. Dabei können die Endgeräte unterschiedlicher Natur sein. Ein von einem Anwender bedientes Endgerät bietet die Möglichkeit, unabhängig vom Betriebssystem des Endgeräts, den Anwender interaktiv zu authentifizieren. Viele Switche und die meisten Betriebssysteme für Personal Computer und Workstations unterstützen heutzutage den Authentisierungsstandard IEEE 802.1x. Der ganzheitliche Lösungsansatz erfordert jedoch die lückenlose Erkennung von Endgeräten im Netz. Dies ist nur möglich, wenn alternative Authentisierungsmethoden auch zur Verfügung stehen. Dieser Ansatz soll hier detailliert beleuchtet werden. IEEE 802.1x im Detail IEEE 802.1x liefert ein komplettes Authentication Framework, das portbasierende Zugriffskontrolle ermöglicht. Dieses Modell sieht dabei verschiedene Abstrahierungen vor: • Supplicant ist das Endgerät, welches einen Netzwerkzugang anfordert. • Authenticator ist das Gerät, welches den Supplicant authentifiziert und den Netzwerkzugang sperrt oder frei gibt. • Authentication Server ist das Gerät, welches den Backend-AuthenticationDienst (zum Beispiel RADIUS) bereitstellt. Dabei nutzt 802.1x bestehende Protokolle, wie EAP und RADUIS, die empfohlen aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ethernet, Token Ring und IEEE 802.11. Eine Fülle von Authentifizierungsmechanismen, wie Zertifikate, Smart Cards, OneTime Passwörter oder biometrische Verfahren, sind ebenfalls vorgesehen. Die Flexibilität wird durch die Nutzung des Extensible Authentication Protocol (EAP) erreicht. Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren Zugangs– und Verschlüsselungsmechanismus (802.11i und WiFi WPA) zu versehen, hat sich 802.1x im WLAN durchgesetzt; findet aber zusehends auch Beachtung innerhalb herkömmlicher Ethernet Netzwerke. Enterasys Networks— Networks— Solution Guide 2012 11 Secure Networks™ Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2 Tunneling Protocol) eine einheitliche Authentifizierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen. In der Praxis ist es also möglich, das Modell der Network Access Control unter Nutzung bestehender Authentisierungsinstanzen flächendeckend und benutzerfreundlich zur Verfügung zu stellen. Die eigentliche Authentisierung erfolgt durch die Weiterleitung der EAP Pakete mittels EAP-RADIUS (RFC 2869) an einen RADIUS Server. Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten, wie Active Directory ADS von Microsoft oder Novell‘s NDS über LDAP oder XML sowie Plug-Ins für Secure ID Card Integration, haben. Je nach Anforderung und Anwendung kann eine Vielzahl von EAP Protokollen zur Anwendung kommen. Folgende Tabelle soll eine kurze Übersicht geben: Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 12 Client Server Authentisierung Dynamisches Key Management MD5 Klartextübertragung von User Daten; nur selten genutzt Nein Nein PEAP Einbindung von MS-CHAPv2 Ja Ja EAP-TLS Zertifikatsbasiertes Verfahren, benötigt PKI Ja Ja EAP-TTLS Aufbau eines verschlüsselten, authentisierten Ja Tunnels zwischen Sender und Empfänger Ja Funktionsweise von MD5 Wegen der unsicheren Methode Authentifizierungsdaten unverschlüsselt zu übertragen, wir die ursprüngliche Methode MD5 heute nur noch in Ausnahmefällen genutzt. Funktionsweise von PEAP Hierbei handelt es sich um die gebräuchlichere Microsoft Variante, die im Grunde die schon vorhandenen EAP-TTLS aufweist. Auch hier benötigt der Authentisierungsserver ein Zertifikat; auch hier wird zuerst die Verschlüsselung aufgebaut, bevor eine Identifizierung mit User Name/Passwort stattfindet. Funktionsweise von EAP EAP--TLS EAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptografische Authentisierung des Clients gegenüber dem Netzwerk. Das geschieht, indem beide Seiten, also der Client und der Anmeldeserver, kryptografische Zertifikate vorzeigen, um ihre Identität zu beglaubigen. Diese Methode erfordert die Bereitstellung einer PKI (Public Key Infrastructure), welche mit dem Directory in Verbindung steht. Die entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht werden. Gespeichert auf einer so genannten Smart Card stellen sie gemeinsam mit einer mehrstelligen PIN-Nummer die optimale Sicherheitslösung dar. Funktionsweise von EAP EAP--TTLS EAP-TLLS wurde unter anderem von den Firmen Funk Software und Certicom aus TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL-verschlüsselten Webserver vergleichbar. Im Gegensatz zu EAP-TLS braucht nur der Anmeldeserver ein eindeutiges, digitales Zertifikat, welches der Client beim Verbindungsaufbau überprüft. Enterasys Networks— Networks— Solution Guide 2012 13 Secure Networks™ Web Authentication Endgeräte externer Mitarbeiter (Gäste, Service Personal, Studenten) entziehen sich dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht praktikabel, die für die Authentisierung notwendige Konfiguration vorzunehmen. MAC Authentication Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Drucker, IP Telefone und Industrieanlagen stellen eine weitere Herausforderung dar. MAC adressbasierte Authentisierungsmethoden sowie die automatische Endgeräteklassifizierung durch Protokolle, wie CEP und LLDP-MED sind grundsätzlich als schwächere Sicherheitsbarriere anzusehen, da sie sich mit verhältnismäßig einfachen Mitteln kompromittieren lassen. Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine binäre Zugriffsentscheidung hinaus geht. Die im Weiteren erläuterte Kombination von Authentisierung und Access Policies ermöglicht den Zugriff in eingeschränkter Form. Daraus resultiert, dass der Versuch sich zum Beispiel mittels einer MAC Adresse eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommunikation mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den Erfolg eines solchen Angriffs auf ein Minimum. Phone Detection (CEP) Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das Netzwerk angeschlossenes IP Telefon als Solches erkannt wird. Im Netzwerk werden dann automatisch passende Parameter für Quality of Service gesetzt. Zum Beispiel kann nach der Erkennung eines IP Telefons dessen Datenverkehr via 802.1p getagged und damit höher priorisiert werden als anderer Datenverkehr. Link Layer Discovery Protocol (LLDP, IEEE 802.1ab) Der gegenseitige Austausch von Identität und Eigenschaften zwischen den Netzwerkkomponenten optimiert deren Zusammenspiel und ermöglicht darüber hinaus auch die Visualisierung von Layer 2 Verbindungen in grafischen Netzwerk Management Tools. Die verwendeten Discovery Protokolle (CDP, EDP) waren jedoch proprietärer Natur und boten damit eine eingeschränkte Interoperabilität. Aus dieser Konzeption Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 14 ratifizierte die IEEE im Jahre 2005 unter der Bezeichnung 802.1ab das herstellerunabhängige Link Layer Discovery Protokoll. Eine durchgängige Unterstützung von LLDP durch die Netzwerkkomponenten ermöglicht die Rekonstruktion der kompletten Layer 2 Netzwerktopologie sowie das Erkennen neuer Netzwerkkomponenten. Bei der Entwicklung von LLDP wurde auf eine einfache Erweiterbarkeit des Standards Wert gelegt. Ein Beispiel hierfür ist das Link Layer Discovery ProtocolMedia Endpoint Discover—oder kurz LLDP-MED. Mit LLDP-MED ist es möglich Netzwerkeinstellungen von Endgeräten, wie VLAN Priorität oder Diffserv-Werte, automatisch zu erkennen. Dies erleichtet die Integration besonderer Endgerätetypen, wie zum Beispiel IP Telefonen. LLDP Informationen stellen darüber hinaus auch eine Entscheidungsgrundlage für die automatische Zuordnung von Secure Networks™ Policies dar. Multi User Authentication Als Mitautor der IEEE Standards und somit Wegbereiter sicherer LANs, hat Enterasys Networks schon frühzeitig damit begonnen auch bestehende Produkte nachträglich mit den erforderlichen Funktionen zu versehen. Diese Strategie reicht zurück bis zur zweiten Generation von Cabletron SmartSwitch Komponenten aus dem Jahr 1998, welche über die notwendigen Authentisierungsmöglichkeiten verfügen. In gewachsenen, heterogenen Netzwerken ist damit zu rechnen, dass nicht alle Access Komponenten über Authentisierungs-Features verfügen. Die S-Serie löst dieses Problem durch eine integrierte Multi User Authentication, welche es ermöglicht auf den Uplinks Tausende User individuell zu authentisieren. Enterasys Networks— Networks— Solution Guide 2012 15 Secure Networks™ Bestehende Lösungen, aber auch neue Fiber-to-the-Office Konzepte, bei welchen simple Kanal Switche im Access Bereich eingesetzt werden, lassen sich somit flächendeckend realisieren. Dabei ist zu berücksichtigen, dass die bei der 802.1x Anmeldung verwendeten EAPoL Pakete von diesen „simplen“ Access Switchen weitergeleitet werden müssen. Dies wird auch als EAP-Passthrough bezeichnet und ist bei allen Enterasys SecureStacks verfügbar. Bei älteren Komponenten muss sichergestellt sein, dass dies auch möglich ist; manchmal muss hierfür Spanning Tree ausgeschaltet oder ähnliche Konfigurationsänderungen vorgenommen werden. Multi Method Authentication Mit der S-Serie ist Enterasys Networks nicht nur in der Lage mehrere User gleichzeitig auf einem Port zu authentifizieren und jedem eine eigene Policy zu zu weisen; es ist auch möglich, verschiedene Authentifizierungsmethoden gleichzeitig auf dem Port zu betreiben. Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal authentifiziert; also der User an seinem PC über 802.1x , der Gast mit seinem Laptop über PWA, der Drucker basierend auf MAC Authentication. Aber was passiert, wenn der PC auch über MAC Authentication authentifiziert ist und sich die entsprechenden Profile auch noch widersprechen? Abgesehen davon, dass dann das Security Design und die Policies überarbeitet werden sollten, hat Enterasys dieses Problem im Griff. Die Authentifizierung läuft über so genannte Authentication Sessions. Hat ein User jetzt mehrere Authentication Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions gleichzeitig sind möglich, denn ein User kann über 802.1x, PWA oder MAC Authentication angemeldet sein. Die Authentifizierungsmethoden werden nach Prioritätsregeln angewandt. Die Default Prioritäten sehen folgendermaßen aus: • IEEE 802.1x • Port Web Authentication • MAC Authentication • CEP (Convergent Endpoint Detection) Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x authentifiziert, aber basierend auf seiner MAC Adresse lief auch MAC Authentication im Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x Session höhere Priorität hat als die MAC Session, wird diese angewandt und die entsprechende Rolle dem User zugewiesen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 16 MACSec IEEE 802.1ae Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, dient in der 802Welt zur Sicherung der Integrität jedes übertragenen Datenpakets, zur Sicherung der Authentizität und zur Abwehr von „Lauschangriffen“ auf die transportierten Daten. Der Standard dient hierbei zur „Hop by Hop“ Verschlüsselung, Authentifizierung und Integritätsprüfung. Er wird zwischen Endsystemen und dem nächsten Switch beziehungsweise auch alternativ (aber wohl selten) zwischen Switchen zum Einsatz kommen können. Das dazu notwendige Schlüssel Management nach 802.1af ist jedoch noch im Draft (eine Erweiterung des 802.1x), so dass hier noch etwas Geduld notwendig ist. Die Hersteller von MAC Phy‘s versprechen sich natürlich hiervon mehr Geschäft, da komplexe Chips inklusive Verschlüsselung teurer werden können. Jedoch geht man davon aus, dass eine breite Anwendung erst stattfindet, wenn die Preise zu bestehenden MAC Phy‘s vergleichbar sind. Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung von Kunden in der gleichen Layer 2 Domain eines Service Providers (Ethernet First Mile, etc.), über die Sicherung von MAN Netzen zwischen Unternehmungen, hin zu erweiterten Sicherungen von heutigen 802.1x Unternehmensinstallationen mit Verschlüsselung und Integritätswahrung vom Endgerät zum Switch (wie es heute auch schon in der Wireless LAN 802.11 Welt vorhanden ist) und der Sicherheit, dass man nur Verbindungen zu Geräten erstellt, die einem gewissen Trust Level entsprechen. Policy Enforcement Die eindeutige Authentisierung eines Geräts/Benutzers stellt einen wichtigen Teil der Access Control dar. Auf dieser Basis müssen nun Regelwerke zugewiesen werden, welche den Zugang mit allen Rechten und Zugängen kontrollieren, denn bereits die unterschiedlichen Authentisierungsmöglichkeiten zeigen auf, welche differenzierte Vertrauensstellung hier abzubilden ist. RFC 3580— 3580—Der kleinste gemeinsame Nenner? Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten, zahlreiche Unzulänglichkeiten birgt. Enterasys Networks— Networks— Solution Guide 2012 17 Secure Networks™ Allein die Notwendigkeit einen Campus mit weitverzweigten Layer 2 Segmenten zu überziehen, widerspricht dem allgemeinen Trend hin zu gerouteten Segmenten. Eine User Gruppen-/VLAN-Assoziierung generiert in der Praxis mindestens eine umfangreiche Gruppe von Standard Usern, vor welchen zwar der Netzwerkkern durch entsprechende Access Listen geschützt wird, die jedoch untereinander frei und hemmungslos kommunizieren können. Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist die gesamte Gruppe einer Verbreitung ausgesetzt. Daher wäre es wünschenswert, bereits am ersten Access Port zu entscheiden, welche Informationen überhaupt in das Ökosystem Netzwerk eingespeist werden dürfen. Policies— Policies—Regeln am Rand der Zivilisation Diese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron Systems. Bereits mit der zweiten Generation der SmartSwitch Familie wurde in den späten 90er Jahren die dezidierte Frame-Klassifizierung etabliert. Die Idee, einen Layer 2 Switch zu einer Layer 2/3/4 Analyse zu bewegen, war zu jener Zeit aus Priorisierungsanforderungen mit Blick auf zeitkritische Applikationen, wie Voice und Video, heraus geboren. Später wurde klar, dass die Unterscheidung verschiedener Protokolle am Access Port die erste Grundlage darstelllt, um unerwünschte Dienste und Protokolle einfach zu verwerfen. Die Idee einer skalierbaren, verteilten Sicherheitsarchitektur eines Netzwerks hatte etwas Faszinierendes. „Das Konzept von Zugriffsregeln im Access Bereich hat lediglich akademischen Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert zu werden...“ Diese Aussage eines namhaften Herstellers von Netzwerkkomponenten bringt es auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit Bordmitteln ist eine Aufgabe, vor welcher jeder Administrator zurückschrecken wird. Doch bereits im Jahr 2001 stellte Enterasys Networks mit dem Enterasys NetSight Policy Manager ein Werkzeug vor, mit welchem das Erstellen und Verbreiten komplexer Regelwerke zu einem Baukastenspiel wird. Der Schlüssel liegt in einer dreistufigen Hierarchie: Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 18 Policies— Policies—Hierarchisches Regelwerkzeug Die oberste Ebene definiert sich zunächst aus der Rolle, welche ein Benutzer in der Struktur des Unternehmens selbst spielt. Da sich diese Rolle bereits in den Regelwerken des User Managements einer zentralen Betriebssystemplattform abzeichnet, liegt es nahe, bereits bei der Authentisierung auf diese Informationen zuzugreifen. Unterhalb dieser Ebene sind die Services definiert, welche bereits im Groben beschreiben, was der Benutzer tun darf—und was nicht. Diese Services setzen sich nun aus den einzelnen Regeln zusammen, welche den Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizieren. Trifft die Regel zu, so wird eine zugewiesene Aktion ausgeführt: • Access Control—zulassen oder verwerfen • Tagging des Frames mit einer definierten VLAN ID • Redefinition von Quality of Service Parametern • Rate Limiting (Port, Applikations-Flow, Protokoll, Nutzer—IP oder MAC) Mit dem Policy Manager ist es nun möglich ein solches Konstrukt aus Rollen und Regeln zusammen zu stellen und per SNMP auf allen Netzwerkkomponenten bekannt zu machen. Die flächendeckende Bereitstellung von Zugriffsinformationen im Access / Distribution Bereich ist ein Garant für Skalierbarkeit einer solchen Lösung. Enterasys Networks— Networks— Solution Guide 2012 19 Secure Networks™ Granularität der Secure Networks™ Policies Wie in der Grafik dargestellt, liegt die Stärke von Policy Enforcement bei Secure Networks™ in der Kombination aus Authentisierung, Klassifizierung und Kontrolle. Mit diesen Maßnahmen ist es nun möglich, einem breiten Spektrum von Bedrohungen zu begegnen, von denen einige hier beispielhaft aufgezeigt werden sollen: Risiko Lösungen Illegitime DHCPDHCP-Server tauchen immer wieder in LANs auf und stören den Betrieb durch Zuweisung eigener IP Adresse Eine Deny Regel auf SourcePort TCP69 verhindert dies Port Scanner versuchen das Netz auszuspähen Das Blockieren des ICMP Protokolls für Standardbenutzer unterbindet Scan Versuche Rogue Access Points schaffen offene WLAN Zugänge Auch ein AP muss sich via 802.1x authentifizieren bevor er am Netzverkehr teilnimmt Priorisierte Protokolle sind anfällig für Packet Flooding Die Kombination aus Priorisierung und Rate Limiting schützt das Netz Nicht alle IT Komponenten lassen einen Schutz der Layer 4 Regeln filtern Dienste, wie Telnet und SSH, Management Ports zu sofern der Benutzer keine Administratorenrolle spielt Würmer verbreiten sich exzessiv in lokalen Netzen Für zahlreiche Attacken bietet der Policy Manager vorgefertigte Filterregeln an Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 20 Multi User Authentication and Policy (MUA+P) Die bisher aufgezeigte Kommunikationskette für den Authentifizierungsprozess wird nun also um die Management Funktion erweitert, mit deren Hilfe Rollen und Regeln verteilt werden. Kombination von Access Control und Policy Enforcement Nun gibt das zentrale Verzeichnis neben der positiven Authentisierungsbestätigung auch die Gruppenmitgliedschaften des Benutzers an den RADIUS Server zurück. Mittels eines kleinen Filterwerks ermittelt dieser die relevante Gruppe, deren Name dem Switch nun als Schlüssel dient, um dem Port die entsprechende Policy zu zu weisen. Die Authentisierungsmethode wird also lediglich um eine Filter-ID erweitert; alle weiteren Funktionen führt die verteilte Netzwerkarchitektur selbsttätig aus. Das an sich sehr schlanke Standard-RADIUS-Protokoll bietet damit die Grundlage für eine hoch skalierbare Gesamtlösung. Im Kontext heterogener Netze, in welchen nicht alle Access Komponenten den Einsatz von Policies unterstützen, ist es—wie bereits beschrieben—notwendig, mehrere Benutzer an einem Port des nachgeschalteten Distribution Layers zu authentisieren. Die Flexibilität der S-Serie Switche erlaubt nun eine Kopplung der benutzerabhängigen Policy an die jeweils involvierte MAC Adresse. Enterasys Networks— Networks— Solution Guide 2012 21 Secure Networks™ Die folgende Grafik verdeutlicht das Konzept der so genannten Distribution Layer Security. Diese Technik erlaubt die Integration • unterschiedlicher Benutzer (Tausende) • unterschiedlicher Authentisierungsmethoden (802.1x, MAC, PWA, CEP) • unterschiedlicher Regelwerke (Policies) am selben Uplink Port. Multi User Authentifizierung Sichere Gastfreundschaft mit Default Policies Gäste spielen eine wachsende Rolle in Netzen, deren Mobilitätsanforderungen kontinuierlich ausgebaut werden. Schüler und Studenten, Besucher, Wartungstechniker oder einfach Mitarbeiter fremder Firmen, die manchmal über lange Zeiträume im Unternehmen präsent sind—sie alle haben den Anspruch, an den Ressourcen der IT Infrastruktur teil zu haben. Ein Horrorszenario für jeden Administrator! Der Balanceakt, einerseits diesem Bedarf nachzukommen ohne andererseits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren, stellt eine echte Herausforderung dar. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 22 Ein Teil der genannten Personengruppe lässt sich organisatorisch registrieren und technisch mitels Web Authentication und einer restriktiven Policy in das Sicherheitskonzept integrieren. Für die oft große Zahl sporadischer Besucher ist dieser Aufwand unangemessen hoch. Eine einfache Lösung muss her, die ohne Eingriff des Administrators funktioniert. Den Schlüssel hierzu stellt die Default Policy dar. Sie erlaubt einem nichtauthentisierten Benutzer den minimalen Zugriff auf die Netzwerkinfrastruktur. Eine solche „soziale Grundversorgung“ definiert sich beispielsweise über den Zugriff auf VPN-, HTTP-, DHCP– und DNS-Services sowie dem Zugang zum Web-Proxy des Unternehmens. Ein Rate Limiting begrenzt die nutzbare Bandbreite und verhindert exzessiven Gebrauch. Der Gast erhält also an jedem freigegebenen Port Basisdienste, ist jedoch von den internen Ressourcen der IT Infrastruktur eindeutig ausgeschlossen. Aber auch andere Szenarien lassen sich über Default Policies abbilden. SoftwareVerteilung findet regulär außerhalb der Bürozeiten statt. Eine angepasste Default Policy stellt den Zugriff eines Update Servers auf das Endgerät auch dann sicher, wenn der Benutzer nicht angemeldet ist. Fazit: Default Policies schaffen die nötige Flexibilität in einem sicheren Netzwerk, um Nischenszenarien zu ermöglichen ohne die Security durch manuelle Schaffung von Ausnahmen und Lücken zu kompromittieren. RFC 3580 und Distribution Layer Security Die Einführung flächendeckender Netzwerksicherheit in heterogenen Netzen stellt den Administrator, wie bereits beschrieben, vor eine Reihe spannender Herausforderungen. Gerade im Bereich der Low-Cost-Switche hat sich das Prinzip der User/VLANZuordnung gemäß Standard RFC 3580 weitgehend etabliert. Daher soll dieses Thema nochmals eingehender mit Fokus auf eine Secure Networks™ Integration beleuchtet werden. Enterasys Networks— Networks— Solution Guide 2012 23 Secure Networks™ RFC 3580 ist eine Methode, welche der Authentisierungsantwort des RADIUSServers eine VLAN-ID beifügt, anhand welcher der Switch dem User Port ein entsprechendes VLAN zuweist. In diesem Abschnitt soll beleuchtet werden, wie sich derartige Komponenten in eine policy-basierte Lösung integrieren lassen. Enhanced Policy mit RFC 3580 In dem abgebildeten Beispiel agiert der Distribution Layer Switch nicht als Authentisierungsinstanz, sondern weist den eingehenden Frames anhand der VLANID eine entsprechende Policy zu. Damit reduziert sich das Risiko unkontrollierter Client-zu-Client Kommunikation auf den Bereich des VLANs innerhalb des einzelnen Access Switchs. Auch das VLAN-to-Role Mapping lässt sich an zentraler Stelle im Policy Manager konfigurieren und flächendeckend an alle Switche kommunizieren. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 24 VLAN Mapping im Enterasys NetSight Policy Manager Port Protection Im Gegensatz zum Policy Enforcement direkt am Access Port verbleibt bei allen Szenarien der Distributed Layer Security ein Restrisiko, da die Access Control erst in der nachgelagerten Instanz ausgeführt wird. Um diese Lücke zu schließen, haben die Entwickler von Enterasys die Funktionalität des Cabletron ELS10-27MDU (Multiple Dwelling Unit) den neuen Anforderungen angepasst und in das Portfolio der A/B/C-Serie integriert. Das Port Protection oder Private VLAN Feature, welches Datenaustausch nur in Richtung definierter (Uplink-) Ports zulässt, leitet die gesamte Kommunikation des Switches direkt in die Distribution Zone und das Regelwerk der Policies. Diese Schutzmaßnahme bewahrt die Enduser vor unkontrolliertem Verkehr innerhalb des Switches/VLANs. Enterasys Networks— Networks— Solution Guide 2012 25 Secure Networks™ Policy Enforcement in der Praxis Die Konfrontation mit einer Flut von Begriffen wie MUA+P, RFC 3580 und Distribution Layer Security impliziert die Vorstellung einer Netzwerkarchitektur, welche aufgrund ihrer Komplexität einfach nicht mehr zu handhaben scheint. Es bietet sich daher an, die Migration eines LANs hin zu einem sicheren Netzwerk in abgestuften Phasen durchzuführen, welche szenarienbedingt variieren können. Hier ein Beispiel für die Vorgehensweise: Step 1 – Assessment • Eine Bestandsaufnahme stellt den Grundstock für weitere Betrachtungen dar. Daher sollten einige Punkte im Vorfeld festgelegt werden. • Welche Komponenten sind im Netz aktiv, welche Feature Sets stehen zur Verfügung? • Welche Verkehrsbeziehungen sind zwischen Endgeräten und Servern etabliert? • Welche Dienste werden genutzt? Welche sollten fallweise restriktiv behandelt werden? • Welche Authentisierungsmethoden können/müssen eingesetzt werden? Was unterstützen die Betriebssystemplattformen der Endgeräte? Step 2 - Management Die Einrichtung des Netzwerk Managements verdient ein besonderes Augenmerk. Die Auswertung von SNMP-Traps und Syslog Meldungen stellt einen wichtigen Faktor für die transparente Darstellung des Betriebszustandes eines Netzwerks dar. Nach der Einführung redundanter Maßnahmen manifestieren sich einzelne Ausfälle nicht mehr in Form von Betriebsstörungen. Umso wichtiger ist es, diese Teilausfälle zu erkennen, um die Gesamtverfügbarkeit der Infrastruktur erhalten zu können. Die steigende Integration intelligenter Funktionen in die Netzwerkkomponenten erfordert ein Maß an Kontrolle, welches über einfaches Port Management hinaus geht. Die Enterasys NetSight Console ist in der Lage sowohl Meldungen aktiver Komponenten intelligent auszuwerten als auch Managementaufgaben flächendeckend und geräteübergreifend durchzuführen. Das ermöglicht dem Administrator wiederkehrende Routineaufgaben energiesparend zu absolvieren und Funktionsstörungen jederzeit gezielt zu lokalisieren. Die Integration des Policy Managers in die NetSight Installation ist der erste praktische Schritt zu einem sicheren Netzwerk. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 26 Step 3 – Static Policies Es gibt verschiedene Rahmenbedingungen, welche die flächendeckende Einführung von Authentisierungsmethoden verzögern. Daher bietet es sich als Vorstufe an einen statischen Schutz zu etablieren, welcher ohne jede Authentisierung auskommt. Zu diesem Zweck werden einige wenige Policies definiert, welche den Access Ports als Default Role zugewiesen werden. Der Nachteil dieser statischen Lösung liegt in einer geringen Flexibilität. Jeder Umzug von Endgeräten erfordert eine Prüfung der dem Port zugewiesenen Policy. Die Möglichkeit, unter Einsatz des Policy Managers auf einfache Weise eine Access Port Security zu etablieren, birgt – gerade in kleinen und mittleren Netzen – jede Menge Charme und ist als Zwischenstufe einer Migration durchaus betrachtenswert. Step 4 - Authentisierung Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus. Die Integration des RADIUS Dienstes in Verbindung mit der zentralen Benutzerverwaltung ist möglicherweise bereits im Rahmen einer VPN- oder WLAN Lösung vollzogen worden. Nun gilt es im RADIUS Server ein Filterwerk zu etablieren, welches die Gruppenzugehörigkeit eines Users auf Betriebssystemebene auf einen entsprechenden Policy String (Filter ID) destilliert. Dem folgt die Authorisierung der Access Switche als registrierte RADIUS Clients. Das Aktivieren der Authentisierungsfunktion auf den Switchen stellt einen wesentlichen Schritt in der Migration dar. Der Zugang zum Netz ist nun nicht mehr von der reinen LAN-Connectivity bestimmt, sondern hängt von zahlreichen Faktoren ab: Endgerätekonfiguration, Switch Einstellung, RADIUS, Directory. Um das einwandfreie Zusammenspiel dieser Kommunikationskette risikofrei sicherzustellen, hat sich die Durchführung einer Pilotphase bewährt. In dieser Phase ist jedem Port zunächst eine liberale Default Policy zugeordnet, welche den Benutzer in seinem Tun nicht einschränkt. Ein authentisierter User erhält eine neue Rolle, welche die gleichen Freiheiten einräumt. Während dieser Pilotphase kann der Administrator risikofrei prüfen, ob die Authentisierungsmechanismen auch unter Volllast greifen. Ist diese Prüfung abgeschlossen, können die vorbereiteten Policies scharf geschaltet werden. Enterasys Networks— Networks— Solution Guide 2012 27 Secure Networks™ Step 5 – Nächste Schritte Die Integration von Authentisierungsmaßnahmen und Regelwerken im Accessbereich stellt einen großen Schritt hin zu flächendeckender Netzwerksicherheit dar. Doch das Secure Networks™ Portfolio hat weit mehr zu bieten. Die Fähigkeit, Protokolle und Dienste auf den Layern 2, 3 und 4 flächendeckend zu kontrollieren, schafft eine solide Basis an Präventivmaßnahmen. Der nächste Schritt Missbrauch und Attacken innerhalb des Contents oder aufgrund von anomalem Verhalten zu erkennen und darauf zu reagieren, ist in den nachfolgenden Kapiteln „Detect and Locate“ dokumentiert. Neben der Sicherheitsüberprüfung des Benutzers stellt sich auch die Frage nach dem Vertrauensstatus des Endgeräts. Im Kapitel „Proactive Prevention“ werden Techniken beleuchtet, die es ermöglichen, die wachsende Zahl von PCs, Laptops, Telefonen und Embedded Devices in ein erweitertes Sicherheitskonzept einzubinden. Rückblickend auf zahlreiche Secure Networks™ Migrationen hat sich die Vorgehensweise bewährt, vor Ort einen auf die Bedürfnisse des Kunden abgestimmten Workshop durchzuführen, in welchem Grundlagen vermittelt werden, einzelne Schritte festgelegt und Konfigurationen vorab erstellt werden können. Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung eines Pflichtenheftes, der Planung, der Implementierung und Einweisung, professionelle Unterstützung an. Detect and Locate Secure Networks™ von Enterasys schützt die Unternehmenswerte durch einen ganzheitlichen Ansatz. Die Grundvoraussetzung hierfür ist, dass das Netzwerk in der Lage ist, Angriffe und Gefahren auf Ressourcen im Netzwerk zu erkennen und den Angreifer zu identifizieren. Bevor jedoch Angriffen auf die IT Infrastruktur begegnet werden kann, muss verstanden werden, wie diese Attacken durchgeführt werden und welche Charakteristiken zur Erkennung genutzt werden können. Angriffe Grundsätzlich kann dabei zwischen den folgenden Angreifertypen unterschieden werden: • Automatisierte Angriffe (Viren, Würmer, Trojaner) • Toolbasierte Angriffe • Gezielte, intelligente, per Hand durchgeführte Angriffe Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 28 Automatisierte Angriffe Schafft es eine Sicherheitslücke in die Nachrichten, kann man davon ausgehen, dass ein Virus oder ein Wurm diese Sicherheitslücke nutzt, um IT Systeme flächendeckend zu kompromittieren. Sind diese Sicherheitslücken bis dato noch unbekannt oder existiert kein Patch dazu, spricht man häufig von Day Zero Attacken. Die Herleitung dieses Begriffs, der eigentlich Zero-Day Angriff/Exploit lautet, kommt jedoch von der kurzen Zeitspanne zwischen dem Entdecken einer Sicherheitslücke und dem Verfügbarsein eines funktionierenden Angriffs (zumeist eines Exploits). Unabhängig davon, ob die Sicherheitslücke bekannt ist und ebenfalls unabhängig davon, ob ein Patch für diese Sicherheitslücke existiert, folgt das Schädlingsprogramm, das eine Sicherheitslücke automatisiert ausnutzen will, zumeist einem bestimmten Schema: • Netzwerkdiscovery und Zielidentifizierung (optional) Bevor ein (vernünftig programmierter) Wurm oder Virus seinen bösartigen Code an ein Zielsystem sendet, überprüft er, ob das Zielsystem überhaupt angreifbar ist. Die Palette der Möglichkeiten, um diese Informationen zu erlangen, reicht vom stupiden Banner Grabbing bis zum intelligenten TCP Fingerprint. • Kompromittierung des Zielsystems Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies stellt den eigentlichen Angriff dar. Da der durchgeführte Angriff auf eine Vielzahl unterschiedlicher Systeme auf unter Umständen unterschiedlichen Plattformen durchgeführt werden soll, ist der Angriff an sich meistens sehr stupide und einfach zu erkennen. • Weiterverbreitung Ist das Zielsystem kompromittiert, versucht das Schadprogramm sich weiter im Netzwerk zu verbreiten. Automatisierte Angriffe können sowohl von Systemen, die mit anomaliebasierten Erkennungstechnologien arbeiten, als auch von signaturbasierten Systemen erkannt werden. Enterasys Networks— Networks— Solution Guide 2012 29 Secure Networks™ Toolbasierte Angriffe Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten Angriffe noch Programmierkenntnisse in C und Assembler voraus. Heutzutage gibt es eine Vielzahl von zum Teil freien Frameworks, die das Ausführen eines Schadprogramms per Knopfdruck ermöglichen. Diese Frameworks laden bestimmte Angriffsmodule und bieten dem Angreifer die Möglichkeit, die dynamischen Parameter eines Angriffs per GUI zu definieren. Dadurch werden die Hürden zum erfolgreichen Durchführen eines Angriffs enorm gesenkt. Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgenden Unterteile aufgliedern lässt: • Socket Aufbau Bevor der Angriffscode übermittelt werden kann, Netzwerkverbindung zum Zielsystem aufgebaut werden. • muss eine Shell Code / Angriffscode Nachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der Angriffscode über den Socket verschickt. Da die Rücksprungadresse und das Offset nicht bekannt sind, werden sehr viele verschiedene Rücksprungadressen durchprobiert. Da bei diesen toolgesteuerten Angriffen oftmals auch die verschiedenen Speichergrößen unbekannt sind, werden sehr viele NOPs über das Netzwerk versendet – daraus resultiert ein großer Speicherbedarf für das NOP-Sledge. • Informationsaufbereitung Sobald der Angriffscode übermittelt wurde, werden die daraus resultierenden Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems) für den User aufbereitet. Obwohl die Angriffe, die über diese Frameworks durchgeführt werden, gezielt sind und sich somit von den automatisierten Angriffen unterscheiden, müssen die Angriffsschemata dennoch sehr offen gehalten werden. Nur so kann eine sehr hohe Erfolgsquote garantiert werden. Diese Angriffe sind unter anderem durch folgende Merkmale auffällig: Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 30 • Große NOP Bereiche • Oftmaliges Übermitteln des Angriffscodes (da diese die Rücksprungadresse enthält) • Auffällige Offsets • Standard Shell Code • Unsauberes Beenden des angegriffenen Programms (kein exit(0) innerhalb des Shell Codes) • Diese Angriffe lassen sich am besten durch signaturbasierte Systeme erkennen. Gezielte Angriffe Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche Angriffscode sehr schlank und sauber geschrieben ist und dass die Verbindungen und die Codesprünge sauber geschlossen werden. Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff geschätzt, so dass der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde). Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und können innerhalb eines Paketes erfolgreich übermittelt werden. Aufgrund der verschiedenen Evasionsmöglichkeiten, die sich dem Angreifer bieten, um seinen Angriff zu verschleiern, stellen diese fokussierten Attacken die größte Herausforderung an präventive Sicherheitssysteme dar. Gezielte Angriffe lassen sich am besten durch die Kombination von signaturbasierten Systemen und System Information Management Systemen erkennen. Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie erkannt und verhindert werden können, folgend die Beschreibung dreier bekannter und weit verbreiteter Angriffsmuster. Enterasys Networks— Networks— Solution Guide 2012 31 Secure Networks™ Denial of Service Denial of Service Attacken gelten oftmals als stupide Attacken von Angreifern, die nicht in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur“ ausschalten wollen. In Wahrheit sind Denial of Service Attacken jedoch oftmals „Vorboten“ eines stack- oder heapbasierten Angriffs (Buffer Overflow Attacke zur Übernahme des Dienstes) oder dienen dazu, die Netzwerkdienste, die ein ausgeschalteter Service offeriert hat, zu übernehmen. Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts angesprochen werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer, einen DHCP Server auszuschalten, kann er seinen Dienst übernehmen und in die Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access Control Listen im Netzwerk und auf Update-Verhalten haben (bestimmte Sicherheits-Gateway-Systeme installieren Updates über NFS mounts, die sie vom DHCP Server erhalten). Buffer Overflow Angriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind für die meisten erfolgreichen Angriffe verantwortlich. Die Tendenz geht jedoch von pufferbezogenen Angriffen weg und hin zu Cross Site Scripting-bezogenen Angriffen. Im Folgenden sind einige Gründe hierfür aufgeführt: • Sichere Frameworks für Applikationserstellung und Code Access Security • Stack Schutz von Betriebssystemen • Stack Schutzmechanismen für Compiler Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen, warum diese stetig an Bedeutung verlieren, ist es wichtig den Programmablauf auf dem „Stack“ und dem „Heap“ zu verstehen. Dies würde jedoch den Rahmen dieses Kapitels sprengen. Cross Site Scripting (XSS) Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können zu massiven Problemen führen (bis hin zur Kompromittierung des kompletten Systems), sind extrem einfach für einen Angreifer zu finden und auszunutzen und oftmals sehr schwer zu erkennen und zu verhindern. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 32 XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet und basieren auf der Dynamik der Programmiersprache mit der bestimmte Dienste, die die genannten Protokolle nutzen, geschrieben sind. Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss der Unterschied zwischen Hochsprachen und Skriptsprachen verdeutlicht werden. Vereinfacht gesagt wird ein Skript zeilenweise ausgeführt (vom Interpreter). Kommt es zu einem Fehler oder einer falschen Anweisung endet das Skript in einer bestimmten Zeile. Ein in einer Hochsprache (z.B. C) geschriebenes Programm wird vor Beginn der ersten Ausführung kompiliert – grobe Fehler werden also schon bei der Erstellung des Programms erkannt. Ferner ist es bei Skriptsprachen möglich, Codes während der Laufzeit einzubinden. Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der Lage, den eigenen Code in die Webapplikation einzuschleusen (Skript Code oder Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch das Manipulieren bestimmter URL Variablen erreichen, die zur Laufzeit Teil des ausführenden Codes werden. Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster wird im Enterasys Networks Pre-Sales-Training vermittelt. Dort werden neben den hier genannten Angriffsschemata auch man-in-the-middle Attacken und Protokollangriffe detailliert behandelt IDS Erkennungstechnologien Intrusion Detection und Prevention Systeme sind in der Lage die beschriebenen Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie bereits einleitend beschrieben, gibt es für die verschiedenen Angriffe verschiedene Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte IDS alle verfügbaren Erkennungstechnologien vereint und somit in der Lage ist, die jeweils beste Technologie zur Erkennung und Prävention einzusetzen. Grundsätzlich kann unter folgenden Erkennungstechnologien unterschieden werden: • Behavior Based Anomaly Detection ♦ Die Analyse von Verkehrsbeziehungen mittels Daten aus den Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit dedizierten Probes oder auch mittels komponentenspezifischer Traps ♦ Bei hostbasierten Systemen ist hierunter meist die Analyse der System Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder die Analyse von CPU Last und Memory pro Applikation etc. Enterasys Networks— Networks— Solution Guide 2012 33 • • Secure Networks™ Anomaly Detection ♦ Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag Kombinationen gesetzt, etc.) ♦ Bei Host Sensoren kann man hierunter die Überwachung von Files auf dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/ passwd“ wird normalerweise nicht geändert) Protocol based – Protocol Conformance Analysis und Decoding ♦ • Die Decodierung von Protokollen und Überprüfung der Konformität im Hinblick auf Standards Signature based – Pattern Matching ♦ Die Analyse des Paketinhaltes in Hinblick auf verdächtige Kombinationen (Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.) ♦ Bei Host Sensoren versteht man darunter zum Beispiel die Analyse von Logdateien Eine Behavior Based Anomaly Detection basiert darauf typische Verhaltensmuster im Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows pro Host oder den durchschnittlichen Durchsatz zu messen und bei starken Abweichungen von diesen Werten Alarm zu schlagen. Wichtig hierbei ist, dass es sich dabei nicht nur um das Setzen und Messen von Schwellwerten handelt, sondern um komplexe Algorithmen, die in der Lage sind, Systemverhalten zu erkennen, zu analysieren und normales Verhalten in bestimmten Grenzen vorher zu sagen. Bei der Anomaly Detection und der protokollbasierten Analyse werden "unmögliche" Datenpakete wie falsch zusammengebaute TCP-Pakete oder fragmentierte IPPakete mit nicht definierten Offsets erkannt. Außerdem werden die Sessions der einzelnen Verbindungen wieder zusammengesetzt und diese nach Auffälligkeiten analysiert und Abweichungen von definierten Netzwerk Policies (zum Beispiel, dass Mitarbeiter keine Peer-to-Peer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt. Eine signaturbasierte Lösung kann extrem präzisen Aufschluss über den Angriff geben, da die gesamte Paketfolge (je nach Produkt) abgespeichert wird: Damit ist auch eine schnelle Bewertung möglich, ob der Angriff erfolgreich war. Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signaturen von Angriffen und Hackertechniken gespeichert sind (dabei handelt es sich um Binärabbilder bestimmter, typischer Fragmente der durch Angriffstools oder Viren erzeugten Datenpakete). Diese werden mit dem Datenteil der Pakete verglichen und so erkannt. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 34 Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter Angriffe jedoch schwierig zu realisieren. Dies gelingt in den Fällen sehr gut, in denen bestimmte (verschiedene) Angriffe einem bestimmten Muster folgen. Gut lässt sich dies anhand von Buffer Overflow Angriffen verifizieren, die sich durch das Senden von Shell Code und NOP-Sledges auszeichnen. Zusammenfassend kann festgehalten werden, dass Intrusion Detection und Prevention Systeme Datenpakete aufnehmen, Dateninhalte lesen und bestimmte Technologien anwenden, um festzustellen, ob ein Paket oder ein Kommunikationsfluss integer ist oder ob es sich um einen Angriff handelt. Zur Verifizierung eines erfolgreichen Angriffs verwendet das IDS nicht nur das Angriffspaket oder die Angriffspakete. Es bezieht in seine „Überlegung“ auch die Antworten des angegriffenen Systems ein. Hostbasierte Erkennung versus netzwerkbasierte Erkennung Angriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem oder im Netzwerk stattfinden. Bevor auf die verschiedenen Technologien im Detail eingegangen wird, werden im Folgenden einige Vor- und Nachteile der verschieden Systeme aufgeführt. Vorteile hostbasierter Erkennung: • Netzwerkstream wurde bereits vom TCP Stack des Betriebssystems zusammengesetzt • Verschlüsselungsproblematiken sind nicht vorhanden • Komplettes Systemverhalten kann in die Bewertung eines Angriffs einbezogen werden Nachteile hostbasierter Erkennung: • Großer Verwaltungsaufwand: Muss auf jedem Host installiert werden • Verschiedene Betriebssysteme benötigen verschiedene Clients • Betriebssystemänderungen können hostbasierte Erkennung beeinflussen Vorteile netzwerkbasierter Erkennung: • Änderungen am Betriebssystem des Ziels haben keinen Einfluss auf die netzwerkbasierte Erkennung • Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System kann eine Vielzahl von Hosts überwachen Enterasys Networks— Networks— Solution Guide 2012 35 Secure Networks™ Nachteile netzwerkbasierter Erkennung: • Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffserkennung führen • Single Point of Failure • Lokale Angriffe werden nicht erkannt Host Intrusion Detection/Prevention (HIDS/HIPS) Host Intrusion Detection / Prevention Systeme haben einen komplett anderen Aufbau als netzwerkbasierte Systeme. Diese Systeme haben drei Hauptansatzpunkte: • Kernel Schutz (System Call Hooking) • Überwachung von Konfigurationsdateien und/oder der Registrierung • Prüfung der Systemintegrität Kernel Schutz Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Benutzer, Programme und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die Betriebssystemroutinen beheimatet sind. Vereinfacht könnte man sagen, dass die Schnittstelle zwischen Betriebssystem (das die Dateien und die Hardware exklusiv verwaltet) und dem Userland die System Calls sind. Diese Calls werden von Applikationen und Programmen genutzt, um Zugriff auf Betriebssystemressourcen zu erhalten. Ein HIDS/HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem (den Kernel Space) und der Welt der Applikationen und überwacht, ob die ankommenden Anfragen valide sind oder ob es sich um Angriffe handelt. Diese Überwachung kann sich durch mehrere Leistungsmerkmale bemerkbar machen: • Verhindern des Ausführens von Code auf dem Stack • Überschreiben von System Calls (Linux – LKM) Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 36 Überwachung von Konfigurationsdateien und Registrierung Ein weiterer wichtiger Bestandteil eines HIDS/HIPS ist die Überwachung von Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernel Konfigurationen (Linux). So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Firewall, Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch laufen. Auch Trojaner und andere Schadprogramme lassen sich dadurch sehr gut identifizieren. Prüfung der Systemintegrität Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion Detection/ Prevention Systemen. Dadurch kann sichergestellt werden, dass wichtige Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert wurde. Das HIDS/HIPS bildet hierzu zu einem Zeitpunkt, an dem das zu überwachende Systemtool noch integer ist, eine SHA-1 oder MD5 Checksumme des Binärcodes und agiert sobald sich diese Checksumme ändern. Systemintegrität— Systemintegrität—Kernel Schutz Enterasys Networks— Networks— Solution Guide 2012 37 Secure Networks™ Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren an, die didaktisch sehr einfach über den Enterasys EMS zu verwalten sind. Damit können die in diesem Kapitel beschriebenen Features einfach und sicher realisiert werden. Enterasys Host Intrusion Prevention Systeme beschränken sich dabei jedoch nicht nur auf den hier beschriebenen Betriebssystem- und Systemapplikationsschutz. Für einige businessrelevante Gebiete (wie Webserver [Internet Information Server und Apache]) gibt es eigene Application Intrusion Prevention Systeme, die für einen idealen Schutz der entsprechenden Applikation sorgen. Erweiterungsmöglichkeiten des HIDS Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software Development Kit) an, das von Kunden, Partnern oder vom Enterasys Professional Services Team genutzt werden kann, um zusätzliche Leistungsmerkmale in die Produkte zu integrieren. Der Entwickler kann dabei auf die gesamte Bandbreite der integrierten Leistungsmerkmale zurückgreifen und somit neue Features schnell und sicher integrieren. Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätzliche Features über eine Programmiersprache ihrer Wahl (z.B. C oder C#) zu realisieren und diese dann gegen eine von Enterasys bereitgestellte Bibliothek (Library) zu linken. Dadurch muss sich der Entwickler nicht um die Kommunikation des neu erstellten Features mit der Enterasys Enterprise Management Suite beschäftigen oder mit sicherheitsbezogenen Themen wie Authentifizierung und Verschlüsselung – er kann sich voll und ganz auf die Realisierung des neuen Features konzentrieren. Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogramme, Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem Administrator oder dem Entwickler schnell möglich ist, sich in die Thematik einzulesen und effizient zu entwickeln. Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich, alle betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte integriert, innerhalb der Enterasys Defense Suite zu nutzen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 38 Network IDS/IPS Netzwerkbasierte Intrusion Detection und Prevention Systeme unterscheiden sich in allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann folgendermaßen beschrieben werden: • Ereigniskomponente: Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden diese vereinheitlichten Daten an die Analysekomponente weitergegeben. • Analysekomponente: An dieser Stelle werden die Daten, die von der Ereigniskomponente gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der Paketinhalt gegen die verschiedenen Paketinhalte der Signaturen kreiert. Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann lediglich ein Logfile oder Datenbankeintrag sein. Sollte es sich bei dem entsprechenden Deployment um eine DIRS (Dynamic Intrusion Repsonse System) Installation handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port Policy) gestartet werden. • Monitor und Darstellungskomponente: Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart, Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle verständlich (zumeist grafisch) für den Anwender / Administrator aufbereitet. Zusammenfassend kann gesagt werden, dass durch die Kombination netzwerk- und hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht werden kann, der vor einer Vielzahl verschiedener Angriffsszenarien schützt. IDS versus IPS versus DIPS Nachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe erkennen können, werden die Aktionen, die aus diesen Informationen getroffen werden können, diskutiert. Enterasys Networks— Networks— Solution Guide 2012 39 Secure Networks™ Detection Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver Sicherheitstechnologie (ob inline oder outline). Sollte keine proaktive Sicherheitsimplementierung gewünscht sein, so kann man durch die Daten, die in diesem Schritt gesammelt wurden, forensische Nachforschungen betreiben, Angriffe zurückverfolgen, Beweise auswerten, Systemverhalten überwachen und dokumentieren, Statistiken über die Sicherheitsentwicklungen erstellen und Datenquellen/Ressourcen für Security Information and Event Management Systeme bereitstellen, die daraus SoX-konforme Reports erstellen können. Prevention Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS) werden also direkt in den Kommunikationsfluss integriert und entscheiden, ob ein Paket weitergeleitet werden soll oder nicht. Intrusion Prevention ist ein sehr gutes Werkzeug, um das Netzwerk und die darin befindlichen Komponenten aktiv vor Angriffen zu schützen. Der Angreifer selbst bleibt davon jedoch unberührt und hat weiterhin Zugriff auf die Ressourcen des Netzwerks. Seine Pakete werden lediglich dann verworfen, wenn es sich dabei um schadhafte Pakete handelt. Dynamic Response Distributed IPS basiert auf Intrusion Detection und führt – basierend auf den Ergebnissen des Intrusion Detection Systems – Aktionen im Netzwerk durch. Je nach vorhandener Netzwerkinfrastruktur kann dies durch das Ändern einer Port Policy oder durch das Verbannen eines Users aus einem bestimmten VLAN in ein Anderes geschehen. Distributed IPS reagiert dabei auf bestimmte Ergebnisse. Wird ein Angriff durch das Versenden eines einzelnen Paketes erfolgreich durchgeführt, wird das DIPS diesen Angriff nicht verhindern. Es werden jedoch Aktionen gegen den Angreifer gefahren, die verhindern, dass dieser weiterhin Schaden im Netzwerk anrichtet. Auch hier kann zusammenfassend festgehalten werden, dass das größte Schutzpotential durch die Kombination der verschiedenen Technologien realisiert werden kann. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 40 Dynamic Respone in Multivendor Networks Enterasys Networks ist der führende Anbieter von Distributed IPS Systemen. Durch eine extrem hohe Anzahl unterstützter Devices von Fremdherstellern ist es möglich, nahezu jede Netzwerkinfrastruktur durch den Einsatz des IDS in Kombination mit dem Automated Security Manager über DIPS abzusichern. System Information and Event Management Unter SIEM (System Information and Event Management) oder SIM (System Information Management) versteht man die hohe Kunst, alle vorhandenen Daten aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen. Einsatzmöglichkeiten für SIEM Enterasys Networks— Networks— Solution Guide 2012 41 Secure Networks™ Zur besseren Veranschaulichung kann die IST Situation und die SOLL Situation (bezogen auf Security Information Management) vieler Unternehmen herangezogen werden: Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert Dienste im Netzwerk. Die entstehenden Logmessages werden in unterschiedlichen Formaten auf unterschiedlichen Systemen gehalten und können sensible, wichtige Informationen enthalten. Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk. Die entstehenden, unterschiedlich formatierten Logmessages werden zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Realtime sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht die Lognachricht. Die Technologie Technologisch wird die eben beschriebene SOLL Situation dadurch erreicht, dass alle Events (ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems) in einer Datenbank gespeichert und korreliert werden. Aus dieser Korrelation wird ein neuer Überevent generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr Events zu einem Offense zusammengefasst werden, desto höher ist die Data Reduction Rate. Das SIEM kann dabei Lognachrichten oder auch Flow Daten von Netzwerkgeräten aufnehmen und diese in Relation zueinander setzen. Durch die ganzheitliche Strategie von Secure Networks™ ist es im Umkehrschluss wiederum möglich, Aktionen basierend auf den Offenses im Netzwerk zu starten. Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen, die alle erdenklichen Informationen aufnehmen und den Board of Directors (den Administratoren) dann Anweisungen erteilen. Das Enterasys Security Information & Event Management (SIEM) ist in der Lage, die vorhandenen Offenses einfach und klar strukturiert darzustellen. Da das System auch für sehr große Infrastrukturen ausgelegt ist, ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren, welche Informationen er zu Beginn seiner Session sehen möchte. Das Enterasys SIEM ist dabei wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu arbeiten, in dem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 42 Was bringt Enterasys Security Management ... ... für die Finanzorganisation? • Kosten werden eingespart • Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automatisiert übernommen werden • Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt signifikant • Erhöhung des Return on Investments bei Software und Hardware Was bringt Enterasys Security Management ... ... für das operative Geschäft? • Verbesserte Antwortzeiten bei Attacken • Attacken, Hardware- und Softwarefehler werden besser erkannt. Dadurch können bestimmte Fehlersituationen besser zugeordnet und Aktionen besser koordiniert und geplant werden. • Verbesserte, einfachere Übersicht über Security Events • Signifikate Erhöhung der proaktiven und präventiven Sicherheit • Auswirkungen bestimmter Aktionen können besser bewertet werden; Auswirkungen besser berechnet werden. Was bringt Enterasys Security Management ... ... für das Business an sich? • Erhöhung der Stabilität der IT Infrastruktur und damit bessere Verfügbarkeit der Geschäftsprozesse • Legal Compliance • Befolgung aller Regularien • Minimierung der Auswirkungen für Unbeteiligte • Risiken werden minimiert. Risiken werden überhaupt erkannt! Enterasys Networks— Networks— Solution Guide 2012 43 Secure Networks™ Enterasys bietet mit SIEM das führende System, um die eben dargestellten Leistungsmerkmale effizient abzubilden. Korrelationsmöglichkeiten mit SIEM Das Enterasys SIEM ist dabei ferner in der Lage, Ergebnisse von Vulnerability Assessment Systemen (Sicherheitslücken-Scannern) in die Offense Bewertung einzubeziehen. Ein intelligentes Framework macht Erweiterungen möglich, die eine enorm hohe Skalierung auch bei extrem großen Netzwerken und extrem hohen Datenaufkommen garantiert. SIEM Übersicht Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 44 Enterasys bietet ferner durch die Kombination der hier aufgezeigten Systeme (HIDS, NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefahren mit der entsprechenden Aktion zu reagieren. Gefahren können dabei auch proaktiv aus dem Netzwerk fern gehalten werden. Ein wichtiger Bestandteil dieser Secure Network™ Strategie ist es, dass dabei, wie bereits in diesem Kapitel über System Information und Event Management zu erfahren, eine Vielzahl von Fremdherstellern einbezogen werden können. Schnittstellen zu externen Systemen Eines der Ziele, die das SIEM verfolgt, ist, dem Administrator bei verifizierten, schwerwiegenden Problemstellungen (Security Incident, Angriff, abfallende Verfügbarkeit eines Dienstes, ausgefallener Server, etc.) darzustellen, um was es sich bei diesem Vorfall genau handelt, wie kritisch dieser ist, was dadurch beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat. Dabei offeriert das SIEM dem Administrator nicht nur die IP Adresse des Initiators, sondern auch weiterführende identitybezogene Informationen (User Name, User Gruppe, Switch Port, Switch IP Adresse, Name des Switches, Policy, MAC Adresse, Authentifizierungsmethode und ob der Benutzer „nur“ wired oder wireless online ist oder mehrere Verbindungsmöglichkeiten nutzt (z.B. wired und wireless und zusätzlich VPN). AssetAsset-Informationen im SIEM Der Administrator hat nun die Möglichkeit die integrierten Enterasys Schnittstellen zu nutzen, um einen bestimmten Benutzer eine neue Policy zu zu weisen oder eine MAC Adresse für eine bestimmte Zeit vom Netzwerk zu nehmen. Enterasys Networks— Networks— Solution Guide 2012 45 Secure Networks™ Gefahrenquellen mit SIEM direkt aus dem Netzwerk entfernen Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben bekommen. Die Erweiterungsmöglichkeiten, die sich dadurch ergeben, erweitern das Spektrum, innerhalb dessen die Lösung ihren Mehrwert aufzeigen kann, enorm. Interne Erweiterungsmöglichkeiten und Schnittstellen Ein Security Information und Event Management System lebt davon, Events und Flows von verschiedensten Systemen unterschiedlicher Hersteller zu lesen und diese Events zu nutzen, um sie durch das Korrelieren mit anderen Events von anderen Herstellern zu einer vernünftigen Aussage zu formen (Offense). Oftmals ist es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter Hersteller implementiert wurden oder dass Kunden ihre eigenen Applikationen entworfen haben, die per default von den gängigen SIEM Lösungen nicht unterstützt werden. Da diese Quellen sehr wertvolle Daten enthalten können, die einen spürbaren Mehrwert während des Korrelationsprozesses darstellen könnten, bietet das SIEM einen sehr einfachen und effektiven Weg an unbekannte Logfile Formate zu lesen und in die Korrelation aufzunehmen. Dabei muss der Administrator lediglich ein generisches / universales Device anlegen und definieren, wie die Events von diesem System interpretiert werden sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der Konfigurationsoberfläche innerhalb weniger Minuten realisiert werden kann. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 46 Schritt 1: SIEM - Sensor Devices Anlegen eines neuen generischen Devices, damit Logfiles von diesem System aufgenommen werden und entsprechend der Mustererkennung, die man selbst anpassen kann, gelesen und ausgewertet werden. Schritt 2: SIEMSIEM-QidMapping Zuordnen des Events, so dass die SIEM „weiß“, in welche Kausalkette dieser Event gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist. Enterasys Networks— Networks— Solution Guide 2012 47 Secure Networks™ Respond and Remediate Unter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk, autonom auf auftretende Probleme zu reagieren. Dazu werden mehrere Komponenten kombiniert. Intrusion Detection Systeme erkennen auftretenden Missbrauch oder Sicherheitslücken und können mit Hilfe von Response Mechanismen direkt – als IPS oder in der Secure Networks™ Architektur - mit dem ASM ins Geschehen eingreifen. Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mitarbeiter mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird es auch möglich, eine Anleitung zur Selbsthilfe zu geben und somit das Helpdesk zu entlasten. Dynamic Response (wie bereits unter Detect and Locate beschrieben) kann aber auch auf anderem Wege erreicht werden. So unterstützt zum Beispiel die S-Serie das so genannte Flow Setup Throttling. Man kann (vor allem auf den User Ports) pro Port Schwellwerte definieren, welche die maximale Anzahl von Flows in einer gewissen Zeiteinheit definieren. Überschreitet der Rechner eines Users diesen Threshold, so ist das normalerweise nie auf regulären Traffic zurückzuführen, sondern ein sicheres Anzeichen für einen Virus oder eine sonstige Attacke. Je nach Konfiguration schickt der Switch dann eine Nachricht an die Managementstation oder aber der entsprechende Port wird sofort deaktiviert (und auch hier wird eine Nachricht an die Managementstation geschickt). Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit verbreitetes Szenario genutzt werden. Das hier beschriebene Beispiel wird durch den Einsatz der folgenden Enterasys Networks Lösungen möglich: • Enterasys NAC • NetSight Console • NetSight Automated Security Manager • Enterasys IDS Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Bevor er jedoch Zugriff auf die Ressourcen im Netzwerk erhält, wird eine Sicherheitsüberprüfung seines Endsystems realisiert. Dort wird festgestellt, dass der User die in der Firmen Policy vorgeschriebene Antivirensoftware deaktiviert hat. Der User erhält daraufhin lediglich Zugriff auf eine von Enterasys Networks bereitgestellte Webseite, die ihm eine genaue Beschreibung des Fehlers offeriert. Der User wird auf dieser Webseite daraufhin gewiesen, dass er die Antivirensoftware wieder aktivieren muss, um Zugriff auf das Netzwerk zu erhalten. Versucht der User interne oder externe Webseiten aufzurufen, so wird er bei jedem Versuch wieder auf die von Enterasys Networks gelieferte Webseite umgeleitet. Nachdem der User die Software wieder aktiviert hat, kann er über einfaches Klicken eines Buttons auf der Webseite erneut Zugriff auf das Netzwerk verlangen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 48 Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem des Users keine Agentsoftware installiert ist. Die Einwahl erfolgte über Network Credentials des Sicherheitslückenscanners. Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der User seine Antivirensoftware wieder aktiviert hat und weisen ihm seine Rolle im Netzwerk zu. Nach einiger Zeit startet der User einen Angriff auf einen internen Webserver. Diese Attacke wird vom Enterasys Intrusion Detection System erkannt. Durch die automatische Abstimmung des Enterasys IDS und des NetSight Automated Security Managers wird die Rolle des Users geändert und sein Port in Quarantäne gesetzt. Der User erhält nun lediglich Zugriff auf die von Enterasys Networks offerierte Webseite, die ihm mitteilt, dass das Netzwerk den Angriff erkannt hat und sein System aus dem Netzwerk entfernt wurde. Assisted Remediation mit ToSToS-Rewrite Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin, alle Pakete eines Endsystems, das sich in Quarantäne befindet bzw. per DIPS vom Netz getrennt wurde, mit einem definierten DSCP (bzw. IP Precedence) Wert zu markieren. Assisted Remediation mit Hilfe von ToSToS-Rewrite So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route von den Routern zu einem Remediation Webserver geroutet. Auf diesem läuft ein modifizierter Proxy, der in der Lage ist, die Pakete an Zieladressen anderer Webserver entgegen zu nehmen und mit einer Remediation Webseite zu antworten. Dies setzt natürlich voraus, dass DHCP (falls verwendet) und DNS wie üblich gehandhabt werden oder der Remediation Server ebenfalls auf diese antwortet. Enterasys Networks— Networks— Solution Guide 2012 49 Secure Networks™ Proactive Prevention / NAC Sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden bietet NAC eine Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Herausforderung insbesondere an die Struktur und Organisation desjenigen Unternehmens, das eine entsprechende NAC Lösung einsetzen möchte. Definition von NAC Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie beschreiben, die ein genutztes Endgerät autorisiert und Zugriff auf Ressourcen gewährt auf der Basis der Authentisierung der Identität des entsprechenden Benutzers (oder/und Geräts) sowie auf dem Status des Geräts in Hinblick auf sicherheitsrelevante Parameter und Einstellungen - die Compliance mit entsprechenden Unternehmensvorgaben. Diese Parameter werden im so genannten Pre-Connect Assessment ermittelt, dass heißt vor Anschluss an die Infrastruktur. Es sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann als Post-Connect Assessment bezeichnet wird. Teilweise wird auf den einen oder anderen Baustein im Rahmen einer Implementierung auch verzichtet – je nach Kundenanforderung. Ein Prozess zur Wiederherstellung der Compliance, der so genannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endgeräte und Nutzer am Netz, dass heißt eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige Geräte wie Drucker, Videokameras, etc. NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitsprobleme. Insbesondere falsches Nutzerverhalten und Angriffe auf Applikationsebene können mittels NAC kaum erkannt werden, es sei denn, man setzt intensiv auch PostConnect Assessment Techniken ein. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 50 Der Prozess NAC Es gibt hier verschiedenste Modelle zur Darstellung eines NAC Prozesses. Generell ist die folgende Einteilung sinnvoll (lt. Gartner): • Policy – die Erstellung einer Policy ist notwendig, um die Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die Korrektur und Quarantäneeinstellungen zu regeln • Baseline – erkennt den Security Status bei bzw. vor Anschluss an die Netzinfrastruktur • Access Control – die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy und Baseline • Mitigation – bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung, Patch Management und Konfigurationsmanagement erfolgen • Monitor – es muss laufend überprüft werden, ob der Anfangsstatus sich nicht verändert • Contain – falls dies doch geschieht, muss reaktiv eine erneute Quarantäne erfolgen können • Maintain – es muss eine laufende Anpassung und Optimierung erfolgen Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines Unternehmens entsprechend anzupassen bzw. zu optimieren. Lösungsansätze Die großen Frameworks – das Endziel Zunächst gestartet, um die Integrität eines Endsystems in Bezug auf Hardware- und Softwarekonfiguration sicherzustellen (und damit einen Großteil bestehender Host IPS und Personal Firewall Ansätze zu ersetzen), können diese Ansätze optimal durch bestehende APIs auch zur Kommunikation des Security Status eines Endsystems in einer NAC Umgebung genutzt werden. Die IETF teilt die Funktionen hier wie folgt ein: Enterasys Networks— Networks— Solution Guide 2012 51 Secure Networks™ NAC Funktionalitäten nach IETF Der „Agent“ auf dem Endsystem ist typischerweise mehrteilig – der Posture Collector überprüft einzelne Einstellungen (je nach Hersteller des Kollektors) wie z.B. Patch Level, Antivirus Status, Personal Firewall Einstellungen, etc. und gibt diese an den Client Broker weiter, dessen API von verschiedenen Posture Kollektoren genutzt werden kann. Der Client Broker wiederum gibt diese Information an den Network Access Requestor weiter, der neben Authentifizierung auch den Security Status an die Serverseite leitet. Typisch für einen Network Access Requestor sind 802.1x Supplicants oder IPSec Clients. Beim Network Enforcement Point handelt es sich typischerweise um Switche, Router, Access Points, Firewalls und IPS Systeme oder VPN Konzentratoren. Auf der Serverseite werden die Komponenten der Client Seite widergespiegelt in Form der Network Access Authority. Diese entspricht typischerweise einem RADIUS Server bzw. einem Policy Server. Dieser steuert das Network Enforcement und den Server Broker (ein Stück Middleware wie auch der Client Broker), der wiederum die verschiedenen Posture Validatoren anspricht. Für agentenbasierte Lösungen werden diese Lösungen in den nächsten 2 bis 5 Jahren wohl die dominierende Position einnehmen. Microsoft NAP Die Microsoft NAP Network Access Protection Lösung, die mit MS Vista und Windows Server 2008 Einzug hält, wird wohl erst in naher Zukunft für „General Deployments“ bereitstehen. Die Beta Tests und Early Adopter Implementierungen laufen schon seit 2007. Es gibt mittlerweile auch einen NAP Client für Windows XP mit dem Service Pack 3, der grundlegende Kundenanforderungen umsetzt. Der NAP Client unterstützt DHCP, VPN und 802.1x Enforcement. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 52 Microsoft NAPNAP-Modell Der Enforcement Point kann aber auch in der Netzwerkinfrastruktur liegen, die Steuerung erfolgt dann über einen RADIUS Server (Quelle: Microsoft). Microsoft hat auf der Interop 2007 bekannt gegeben, dass sie den TNC-Standard der Trusted Computing Group unterstützen werden. Damit zeichnet sich ab, das der Weg zu NAP Richtung TNC führen wird. Kombinierte NAP/TNC Architektur Microsoft NAP ist allerdings eine sehr fokussierte Technologie, die nur für Windows Clients wirklich Sinn macht. Da allerdings auch andere Systeme im Netzwerk kommunizieren, sind weitere Schritte erforderlich, um eine ganzheitliche Lösung anzustreben. Mehr hierzu ist im Kapitel „Assessment“ unter „Advanced Security Applications – Network Access Control“ beschrieben. Enterasys Networks— Networks— Solution Guide 2012 53 Secure Networks™ Trusted Computing Group TCG - TNC Da der Endgerätemarkt nicht nur aus Microsoft Produkten besteht, ist insbesondere hier ein Standard notwendig, der sich mit der TCG und deren Sub-Group TNC-SG Trusted Network Connect abzeichnet. Vereinzelt sind auch schon Produkte zu finden, die diese Spezifikation unterstützen. Ein großer Durchbruch war aber in 2007 zumindest für TNC noch nicht zu sehen, obwohl schon mehr als 160 Unternehmen dort Mitglied waren. Das Modell der TNC-SG 1.1 Spezifikation sieht auch wiederum sehr dem MS NAP Konzept ähnlich (Quelle: TNC): TCG NACNAC-Modell Posture Collector und Validator entsprechen jetzt den Integrity Measurement Collectors und Verifiers, die Client und Server Broker sind die eigentlichen TNC Clients und Server, die Network Access Requestor, Network Access Authority und Policy Enforcement Point Instanzen bleiben identisch. Das Zusammenspiel in heterogenen Umgebungen Auf der Desktopebene wird Microsoft mit dem NAP Agent wohl eine maßgebliche Rolle spielen – in Bezug auf Sicherheit zieht Microsoft hier die Daumenschrauben stark (vielleicht auch zu stark?) an. Die Akzeptanz der TNC Implementierungen wird in der non-Microsoft Welt groß sein, für Microsoftbasierte Endsysteme bleibt dies abzuwarten. Eine Integration der verschiedenen Systeme ist möglich auf der Serverseite – hier müssen intelligente Network Access Authority Server erkennen, welche Clients installiert sind (oder clientless gearbeitet wird) und auf dieser Basis muss eine Umleitung an den entsprechenden (Network Access Authority) Server erfolgen. Enterasys geht mit Enterasys NAC diesen Weg des intelligenten RADIUS Proxy und Brokers, der diese Integration übernehmen kann. Auf dem Desktop muss sich der Kunde für jeweils einen Agenten und eine Technologie entscheiden. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 54 Enterasys NAC Enterasys hat durch seine Secure Network™ Architektur eine Basis für In- und Out-of -Band NAC Lösungen geschaffen. Dabei wird der NAC Prozess vollständig durch die Secure Networks™ Architektur abgebildet. Allerdings ist selbstverständlich auch in Drittherstellernetzen ohne Secure Networks™ Unterstützung der Einsatz der Enterasys NAC Lösung unter Verwendung von Standards wie 802.1x Authentisierung und VLAN Zuweisung (RFC 3580) möglich. • Erkennung und Authentisierung durch Secure Networks™ Authentication/ Multiuser Authentication (in Drittherstellernetzen mit den Authentication Features der jeweiligen Switche – minimal RFC 3580) • Assessment über das integrierte Enterasys agent based oder -less Assessment oder über die offene Assessment API auf beliebigen Produkten • Authorization durch Secure Networks™ Policys (L2, L4 + QoS) • Remediation durch die oben beschriebene Remediation Technik oder im Inline Betrieb In-band • Contain über die Integration des ASM NAC Prozess Das Post-Connect Assessment kann hier im Monitorprozess durch die Integration der Enterasys SIEM und IDP Lösung erfolgen. Da hier standardisierte Webservices Schnittstellen zur Verfügung stellen, ist natürlich auch die Einbettung beliebiger und eventuell schon vorhandener Sicherheitsdienste möglich. Die Enterasys NAC Lösung ermöglicht die Umsetzung der unterschiedlichen NAC Modelle switchbased Out-of-Band mit einer einheitlichen Managementoberfläche. Dabei kommen die Komponenten Enterasys NAC Manager für den Out-of-Band Betrieb und das NAC Gateway zum Einsatz – die genaue Zusammenstellung wird im Produktportfolio erläutert. Enterasys Networks— Networks— Solution Guide 2012 55 Secure Networks™ Die Enterasys S-Serie Switche erlauben zusammen mit der schon bestehenden Outof-Band Lösung die Umsetzung von NAC im Datenstrom an wichtigen Übergabepunkten im Netzwerk. Damit ist der NAC Prozess für jedes Endsystem, welches ans Netzwerk angebunden wird, identisch – egal ob der Anschluss an das LAN, WLAN oder z.B. über einen VPN Konzentrator von außen erfolgt. Damit ist Enterasys der einzige Hersteller, der mit einer Architektur alle möglichen hardwareorientierten NAC Lösungen abbilden kann. NAC für Fortgeschrittene Die NAC Lösung von Enterasys erlaubt nicht nur den klassischen NAC Ansatz sondern stellt viele weitere Möglichkeiten für eine einfache Umsetzung der Zugangskontrolle zur Verfügung. Im Zusammenhang mit einer NAC Lösung im Distribution Layer bei der am eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt werden stellt sich oft die Frage, ob diese überhaupt 802.1x-fähig sind oder inwiefern eine vom Access Switch durchgeführte 802.1x Authentisierung überhaupt genutzt werden kann, wenn dieser nur die Zuordnung eines VLANs unterstützt. Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Umsetzung von 802.1x im Unternehmen zu aufwändig wäre, bietet sich mit Kerberos Snooping eine relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man davon aus, dass die Endsysteme sich per Kerberos im Unternehmen anmelden, was z.B. bei einer Microsoft Active Directory Umgebung der Fall ist sobald der jeweilige Rechner in der Domäne Mitglied ist. Die Kerberos Pakete werden dann zum NAC Gateway weitergeleitet und dort mitgelesen, wobei Passwörter natürlich verschlüsselt übertragen werden. Benutzername, Domänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt sich aber herauslesen. Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es sich um ein Endsystem handelt, das zum Unternehmen gehört (wegen der erfolgreichen Domänenanmeldung) sowie der Benutzername, welcher die Authentisierung durchgeführt hat. Diese Informationen können dann direkt zur Autorisierung, dass heißt der Rechtevergabe für den jeweiligen Benutzer dienen. Damit lassen sich die Vorteile einer 802.1x Lösung ohne deren Implementierungsaufwand nutzen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 56 Kerberos Snooping RADIUS Snooping Ein netter Nebeneffekt beim Kerberos Snooping, auch ohne die Verwendung des Benutzernamens zur Autorisierung, ist die Tatsache, dass die Benutzer hinter den Endsystemen dem Netzwerkadministrator bekannt werden. Wird auf den Access Switchen schon 802.1x eingesetzt, um die Endsysteme zu authentisieren, so können mit RADIUS Snooping die Autorisierungs- bzw. Secure Networks™ Policyfeatures eines Enterasys Switch im Distribution Layer genutzt werden. Dabei liest der Enterasys Switch die RADIUS Pakete mit und wendet das für den Access Switch zurückgegebene Regelwerk auf die MAC Adresse des in der RADIUS Session angegebenen Endsystems an. Zur Benachrichtigung im Fehlerfall bzw. zur Kommunikation mit dem Benutzer bei der Anmeldung dient in der Enterasys NAC Lösung die Remediation. Dahinter verbirgt sich ein Captive Portal wie man es aus WLAN HotSpots kennt. Darüber können dem Benutzer im Falle eines Netzwerkausschlusses Informationen über die Gründe übermittelt werden bzw. über den Zugang zu einem Patch Server die Möglichkeit zur Selbstheilung geboten werden. Dies kann natürlich auch genutzt werden, um das Problem mit neuen Endsystemen oder Gästen zu lösen. Hierbei werden die Webanfragen eines neuen Endsystems am Netzwerk zu einer Webseite umgeleitet auf der das jeweilige System registriert werden muss – dazu wird auf ein vorhandenes LDAP (z.B. Active Directory) zurückgegriffen. Dabei werden die Daten des Benutzers des neuen Systems eingetragen und einer der Mitarbeiter bestätigt mit seinem Domänenzugang die Gültigkeit dieser Daten. Enterasys Networks— Networks— Solution Guide 2012 57 Secure Networks™ MAC Registration - Zugangskontrolle für Fremdsysteme Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeutig benennbar und der Zugriff zum Netzwerk transparent. Selbstverständlich lässt sich hier die maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist diese Lösung nahezu beliebig an Kundenwünsche anpassbar. Assessment Das Assessment dient der Überprüfung des Endsystems. So kann z.B. überprüft werden, ob ein Virenscanner installiert ist, ob dieser aktuell ist und ob die Mindestanforderungen an ein eingesetztes Betriebssystem eingehalten werde. Enterasys bietet hierbei eine agentenbasierte sowie eine agentenlose Lösung an. HealthHealth-Check Möglichkeiten mit Enterasys NAC Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 58 Über die weiter unten beschriebene Assessment API besteht die Möglichkeit zur Integration von nahezu beliebigen weitere Assessment-Diensten. Integrationsmöglichkeiten Die Enterasys Network Access Control Lösung und die durch diese Produktlinie offerierten Schnittstellen sind integraler Bestandteil der Enterasys Defense Suite. Damit ist es möglich über die SIEM sehr einfach und komfortabel auf die Features und Leistungsmerkmale der Enterasys Network Access Control Lösung zuzugreifen. Assessment API Ein Bestandteil dieser Lösung ist die Möglichkeit Endsysteme, bevor diese Zugriff auf Netzwerkressourcen erhalten, auf Sicherheitslücken zu überprüfen. Die in diese Lösung integrierte Scanningtechnologie kann dabei agentenbasiert oder rein über das Netzwerk arbeiten. Für die Kommunikation der verschiedenen unterstützen Assessment Produkte aus dem Hause Enterasys oder von Partnerunternehmen oder unterstützen 3rd Party Herstellern wird ein von Enterasys entwickelter Protocolstack genutzt, der die Events der Assessmentprodukte in Events, die durch die Enterasys NAC Lösung verstanden werden, übersetzt und die Kommunikation zwischen den Devices absichert (Authentifizierung und Verschlüsselung). Oftmals ist es so, dass Kunden, die über den Einsatz von Network Access Control Lösungen nachdenken, bereits Assessment und Patch Management Systeme im Einsatz haben. Diese bereits implementierten und erprobten Lösungsbausteine müssen dann Teil der Network Access Control Lösung werden. Da es schier unmöglich ist, alle auf dem Markt vorhandenen Lösungen in diesem Bereich per Default zu unterstützen, offeriert Enterasys eine eigene Assessment API (Application Programmers Interface), die es dem Kunden ermöglicht, bereits vorhandene Lösungen zu integrieren. Dabei ist es wichtig zu wissen, dass nicht nur die Events der bereits implementierten Systeme gelesen und interpretiert werden, sondern auch die Steuerung der Scans durch die Enterasys NAC Lösung erfolgt. Wie beim SDK (Software Development Kit), das innerhalb der Enterasys Host Intrusion Detection Lösung angeboten wird, kann der Entwickler / Administrator auch bei der NAC API die Entwicklungssprache frei wählen. Die Libraries, gegen die der Code der Assessment Engines dabei gelinkt werden muss, wird in JAVA zur Verfügung gestellt. Durch das Bereitstellen einer aussagekräftigen und umfassenden Dokumentation mit entsprechenden Beispielen ist die Integration neuer – noch nicht unterstützter – Lösungen in die Enterasys Network Access Control Produktpalette effizient und einfach realisierbar. Enterasys Networks— Networks— Solution Guide 2012 59 Secure Networks™ Web Services Da die Enterasys Network Access Control Lösung viele Mehrwerte zur Erhöhung der Gesamtsicherheit innerhalb eines Unternehmens beisteuern kann, werden die Leistungsmerkmale der Lösung über gut dokumentierte Web Services auch anderen Produkten und Herstellern zur Verfügung gestellt. Somit können die Features, die die Enterasys NAC Lösungen abbilden können, auch von anderen Produkten genutzt werden (zum Beispiel: neue Policy für eine Liste von Endsystemen). Zur Integration eigener Applikationen muss hier der Enterasys Professional Service in Anspruch genommen werden. Notrufintegration von Enterasys NAC und VoIPVoIP-Management als SOA Automated Security Manager Für alle Enterasys Security Produkte (Enterasys Defense Suite und Enterasys Network Access Control) bietet der Enterasys Automated Security Manager (ASM) Schnittstellen und Features an, die genutzt werden können, um externe Devices (z.B. Router und Switche) anzusteuern und zu konfigurieren. Durch die Flexibilität und die Erweiterungsfähigkeiten dieses Produkts können Deployments, die mit Enterasys Produkten realisiert wurden, in nahezu allen Unternehmensnetzwerken ihren herstellerunabhängigen Mehrwert ausspielen. Auch der ASM ist dabei in der Lage durch benutzerdefinierte Erweiterungen, die auch per Script übergeben werden können, seinen Leistungsumfang zu erhöhen und sich so auf Kundenbedürfnisse optimal einstellen zu können. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 60 VPN Integration Durch die Integration von NAC in die VPN Lösung des Kundens erreicht man Transparenz bezüglich wer und was über VPN auf das Netzwerk zugreift. Wenn RADIUS Accounting benutzt wird, kann man außerdem exakt nachverfolgen, wer zu welchem Zeitpunkt im Netzwerk war. Enterasys NAC bietet momentan out-of-band Unterstützung für die folgenden VPN Lösungen: Enterasys XSR, Cisco ASA und Juniper SA. Die Unterstützung zusätzlicher VPN Lösungen wird für zukünftige Versionen der NAC Lösung evaluiert. Die Integration dieser Geräte passiert über RADIUS, allerdings wird die MAC Adresse des Endgerätes nicht benötigt, da VPNs diese Information nicht abfragen. Autorisierung Die Autorisierung für VPN Geräte ist ausgegliedert, um Multi-Layer-Autorisierung zu erlauben. Das erste Layer wird mit den RADIUS Response Attributen direkt auf dem VPN angewandt. Da die meisten VPN Geräte das Resetten des Autorisierungslevel eines User nicht dynamisch erlauben, ohne dass ein Re-Connecting zum VPN passiert, bietet Enterasys ein optionales zweites Layer. Das zweite Layer ist eine SSerie zwischen dem internen Port des VPN und dem internen Netzwerk zu setzen. Dies erlaubt der NAC Appliance die S-Serie zu nutzen, um mit IP-zu-Policy-Mapping einen granulareren, sekundären Zugangskontrollmechanismus bereit zu stellen. Technische Begrenzungen und Limitierungen Die XSR und Cisco Integrationen sind nahtlos, die alle NAC Fähigkeiten bereitstellen. Die Juniper Integration ist beschränkter: Da NAC die User IP Adresse nicht aktiv von Juniper Geräten beschaffen kann, muss es sich auf die passive IP Beschaffung via RADIUS Accounting verlassen. Erst dann kann dem User eine Policy zugewiesen werden. Eine weitere Einschränkung ist, dass ein User auf einem Juniper Gerät nicht durch die NAC Appliance aus dem Netzwerk verwiesen werden kann. Profiling von Gerätetypen Heutzutage müssen Netzwerkadministratoren eine große Vielfalt an Geräten in ihrem wired und wireless Netzwerk verbinden, vorhalten, verwalten und sichern. Oft sind Netzwerkbasisinformationen, wie MAC, IP, Host Name, etc., nicht ausreichend, um zu entscheiden, welche Policy an welches Connecting Device vergeben wird. Es ist wichtig zu wissen, welche Art von Gerät sich verbindet, um bessere „NetzwerkVorsorge“ betreiben zu können. Enterasys Networks— Networks— Solution Guide 2012 61 Secure Networks™ Enterasys NAC löst dieses Problem durch die automatische Erkennung von Gerätetypen durch das Nutzen der folgenden Methoden: Zusätzlich zu dem automatisch erstellten Inventar für alle Geräte, ihre Typen und Lokationen im Netzwerk, bietet dieses Feature auch eine Lösung für andere, typische User Fälle: • • Universitäten und Unternehmen ♦ Alle Geräte können leicht identifiziert werden, so dass zwischen Gast und Mitarbeiter, Dozenten oder Studenten unterschieden werden kann. Policies können angewendet werden, Bandbreite und Zugang basierend auf diesen Informationen begrenzt werden. ♦ Das Enterasys NAC kann mobile Geräte, wie iPhones, iPads und Androids leicht erkennen, so dass Netzwerkadministratoren Richtlinien für deren Umsetzung je nach Bedarf implementieren können. Alle durch das Unternehmen genehmigte Systeme nutzen das selbe Betriebssystem ♦ Wenn ein User sich von einem System authentifiziert, das ein anderes Betriebssystem nutzt, kann ihm beschränkter oder kein Zugriff auf Netzwerkressourcen gegeben werden. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ • 62 Zugang beschränken, wenn ein Nutzer sich von einem potentiell unsicheren Gerät ins Netz einloggt ♦ Da die BYOD (Bring Your Own Device) Bewegung immer größer wird, ermöglicht die Fähigkeit mobile Geräte automatisch zu erkennen und zu identifizieren es Unternehmen, zwischen Mitarbeiter-eigenen und Corporate-Geräten zu unterscheiden und die entsprechenden Policies anzuwenden. Diese Fähigkeit wird untenstehend im Detail beleuchtet. Bring Your Own Device (BYOD) Neue mobile Geräte kommen im Höllentempo auf den Markt, werden immer erschwinglicher, werben mit ständig steigenden Prozessor-Fähigkeiten und noch wichtiger—fangen an mit modernen Laptops und PCs zu konkurieren. Sie treiben Flexibilität und Produktivität voran. Die Möglichkeit, Zugang zu kritischen Applikationen und Daten in der Hand zu halten, und zwar weltweit und zu jeder Zeit, ist offensichtlich ein Wendepunkt in der Geschichte der traditionellen IT. Andererseits hat das explosionsartige Auftauchen dieser Geräte einige Stolpersteine in den Weg der Netzwerkadministratoren gelegt und macht das sichere Managen eines Unternehmensnetzes zu einer Herausforderung. Faktisch strauchelt die Unternehmens-IT bei den Trends hinterher zu kommen. Jedes mobile Gerät bedeutet eine neue Sicherheitsgefährdung für Netzwerk Manager, die an die Sicherheitsgefährdungsvektoren gewöhnt sind, die traditionelle Endsysteme, wie Laptops und Desktops, mit sich bringen und selten die Fähigkeit hatten eine separate Datenverbindung herzustellen, welche etablierte physikalische Netzwerkkontrollen und Policies überlisten können. Allerdings haben wir heutzutage Androids, iPhones, Windows Mobile Devices, Blackberries und verschiedene Tablets zur Verfügung, die alle in der Lage sind gleichzeitig Verbindungen zu ungesicherten Netzwerken, wie dem Internet, und Unternehmensnetzen herzustellen, egal ob es eine 3G oder eine WIFI Verbindung ist. Auf den Punkt gebracht ist dies der wachsende Trend der mitarbeitereigenen mobilen Geräte, was als Bring Your Own Device (BYOD) Bewegung bekannt ist. Einblicke in das mobile Gerät selbst (z.B. um Gesundheit und Sicherheitsstatus zu bestimmen) ist nicht einfach ohne agentenbasierte Mobile Device Management (MDM)-Lösung erreicht. Doch selbst wenn solche Systeme eingesetzt werden, gibt es Herausforderungen für Netzwerkadministratoren. Diese Herausforderungen basieren auf zwei Faktoren. Der Erste ist, dass viele MDM Lösungen dazu neigen, agnostisch zu sein, wenn es um die Art geht, in welcher ein Gerät (un der MDM Agent darauf) mit dem Management System kommuniziert werden. Mit anderen Worten, neigen sie dazu sich nicht zu kümmern wo sie verbunden ist. Sie werden vor allem mit einem offenen Kanal zwischen dem Management System und dem betreffenden Gerät beschäftigt sein. Daher können sie keine Ahnung haben, ob das Telefon mit dem Unternehmensnetzwerk verbunden ist oder nicht. Enterasys Networks— Networks— Solution Guide 2012 63 Secure Networks™ Der zweite und wichtigste Faktor ist, dass MDM-Lösungen keine Ahnung von Geräten haben, die keinen Agenten auf haben, aber dennoch kann der Lage sind, sich zum Netz zu verbinden. Dieses Szenario wird zunehmend üblich und wurde mit der BYOD (Bring Your Own Device) Bewegung tituliert, wo Organisationen mobile Geräte von Mitarbeitern oder Dritten auf das Netzwerk lassen. Diese Bewegung stellt ernsthafte Sicherheitsherausforderungen für Administratoren dar, die ihr Netzwerk und ihre Anwendungen und Daten sicher zu halten haben. Glücklicherweise adressiert die Enterasys NAC die Sicherheit mobiler Geräte im Ganzen oder in Teilen durch seine Fähigkeit, leicht zu erkennen, zu authentifizieren, zu bewerten (durch die Integration mit bestimmten MDM Lösungen ) mobile Geräte und intelligente Policies entsprechend anzuwenden, unabhängig von der Mobilgerätstrategie. Hier untersuchen wir jede kurz: • Mobile Device Identification: Wie bereits erwähnt, kann Enterasys NAC mobile Geräte leicht identifizieren und Richtlinien können auf der Grundlage dieser Identifikation geschaffen werden. Diese leistungsstarke Funktion allein kann es einer Organisation erlauben, mit oder ohne einer MDM-Lösung, Policies auf dem Gerätetyp zu erstellen und zu zu weisen. Für die Organisationen, die das BYOD Konzept begrüßen, ermöglicht diese Funktion Administratoren schneller unbekannte Geräte, verbotene Geräte, etc. zu erkennen und entsprechende Policies zu zu weisen. • Mobile Device Authentication: Das Enterasys NAC kann einfach mobile Geräte am Netzwerkzugangspunkt authentifizieren, möglicherweise unbekannte Geräte an das eigene interne (oder externe) Captive Portal System umleiten. Dieses Feature unterstützt die Organisationen bei der Implementation eines BYOD Programms. • Mobile Device Assessment: Das Enterasys NAC beinhaltet eine interne Assessment Engine, die mit bestimmten MDM-Lösungen integrieren werden kann, um ein noch größeres Maß an Einsicht und Kontrolle in das Mobilgerät Umfeld zu schaffen. Die Geräte-zentrische Art der MDM-Lösungen, kombiniert mit den Unterschieden in mobilen Geräte-Funktionalität ergibt Sicherheitsherausforderungen, die dieses Festure adressiert. Diese Integration ermöglicht es dem NAC nicht nur zu wissen, ob das Gerät gemanaged wird, sondern auch Status und Sicherheit des Geräts am Netzzugang. Eine solche Einsicht ermöglicht es Administratoren, den Zugriff für bekannte Geräte, die einen fehlgeschlagene Gesundheits-Check im Rahmen ihres MDM-System haben, zu verweigern. Es ist wichtig zu betonen, dass diese Funktionen es Organisationen erlauben eine erfolgreiche BYOD Implementation ohne die Implementierung eines MDM-Systems durchzuführen, vor allem für jene Organisationen, die keine gemanagten mobilen Geräten haben. Die Kombination von Geräte-Typ-Profiling und Registrierung ist ein starkes Tool, welches es Administratoren erlaubt diese Geräte entsprechend zu Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 64 identifizieren und bereitzustellen, bei gleichzeitiger Vermeidung der zusätzlichen Kosten einer MDM-Lösung . Wenn die Organisation eine bessere Kontrolle über die mobilen Endgeräte fordert, und das Assessment wichtig ist, bietet die Integration mit Enterasys MDM noch mehr Kontrolle und Transparenz nicht nur in die Existenz, sondern die Gesundheit der mobilen Geräte. Mobile Devices und Virtual Desktop Infrastructure (VDI) Bei der Betrachtung einer mobilen Geräte Strategie für die Organisation, gibt es noch eine weitere Option, außerhalb dessen, was oben beschrieben wurde und bietet eine einzigartige Daten- und Anwendungssicherheit. Das ist die Virtual Desktop Infrastructure (VDI), von Anbietern wie Microsoft, Citrix und VMware zur Verfügung gestellt. In einem solchen Szenario sind alle Daten und Anwendungen an einem zentralen Ort, auf welchen das Gerät Remote über eine virtuelle Schnittstelle zugreift. In Kombination mit Enterasys NAC verwendet, kann eine Organisation: • Den Zugriff für mobile Endgeräte im Unternehmensnetzwerk auf VDI Nutzung beschränken • Nutzerbasierte Policies für die VDI-Session im Rechenzentrum durchsetzen • Alle anderen Verkehr zu externen Ressourcen (zB ein Internet-Proxy) routen Enterasys Networks— Networks— Solution Guide 2012 65 Secure Networks™ Durch den Einsatz des NAC zusammen mit einer VDI-Lösung in dieser Weise wird kritischer geschäftlicher Daten niemals auf dem mobilen Gerät gespeichert. Sie werden immer innerhalb des Rechenzentrums bleiben, wo sie nur angesehen und mit VDI-Technologie für Remote Zugriff geändert werden können. Andere Anwendungen können nicht auf diese Daten zugreifen und wenn der Mitarbeiter das Unternehmenareal verlässt, können die Daten nicht mitgenommen werden. Der Mitarbeiter kann andere Anwendungen nutzen, um vollen Nutzen aus dem Funktionsumfang des Geräts zu haben, ohne dabei die Sicherheitsrichtlinien des Unternehmens zu verletzen. All dies wird unter Verwendung von leistungsstarken Enterasys Policies erreicht, die direkt am Netzzugang des mobilen Geräts durchgesetzt werden—dem WLAN-AP. Natürlich ist diese Lösung voll in die Enterasys NAC-Lösung integriert und bietet somit den vollen Umfang an NAC-Funktionalitäten, wie zentrales End-System-Management, Gerätetyp Profiling, Standortbestimmung, Gast-Zugang, etc. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 66 Standardbasierte Convergence und Availability Enterasys Networks hat schon immer darauf geachtet sich so nah wie möglich an bestehenden Standards zu orientieren und neue Standards voranzutreiben. Einige wichtige Standards werden im Folgenden beschrieben. Quality of Service im Netzwerk Um Quality of Service in heutigen Netzwerken zu verwenden, ist das Einführen bestimmter Qualitätsklassen erforderlich. Das wird auch als Diffserv bezeichnet dazu später mehr. Durch den Einsatz leistungsfähiger Switche und Router, die die entsprechenden Standards unterstützen, können so die Verzögerungszeiten innerhalb eines Netzwerks optimiert werden. Die Sprachpakete erhalten Ende-zuEnde eine höhere Übermittlungspriorität als beispielsweise der tägliche Email Verkehr. Die Schwierigkeit besteht darin, die Sprachdaten zu erkennen, um sie gegenüber den restlichen Daten zu priorisieren. Die Servicequalität eines Netzwerks kann man als eine Kombination aus Verzögerungszeit, Bandbreite und Zuverlässigkeit beschreiben. Wichtige Charakteristika sind folgende Parameter: • • • Verzögerungszeit ♦ Ende-zu-Ende- oder so genannte Round-Trip-Verzögerung ♦ Varianz der Verzögerungszeit (Jitter) ♦ Echtzeit Möglichkeiten Bandbreite ♦ Peak Data Rate (PDR) ♦ Sustained Data Rate (SDR) ♦ Minimum Data Rate (MDR) Zuverlässigkeit ♦ Verfügbarkeit (als % Uptime) ♦ Mean Time Between Failures / Mean Time To Repair (MTBF/MTTR) ♦ Fehlerrate und Paketverlustrate Enterasys Networks— Networks— Solution Guide 2012 67 Secure Networks™ Die eigentliche Schwierigkeit besteht nun darin, ein gewisses Maß an Zuverlässigkeit für die neuen VoIP-Dienste bereitzustellen. Nur mit einem Ende-zuEnde-Ansatz lassen sich diese neuen Anforderungen in der IT-Infrastruktur umsetzen. Dabei gibt es zwei Arten (IntServ und DiffServ) von Quality of Service zum effektiven Bandbreiten Management. Integrated Services Die standardisierte Integrated Services (IntServ) Methode basiert auf der Reservierung bestimmter Ressourcen. Darunter fällt beispielsweise die Technologie Resource Reservation Protocol (RSVP). Hierzu werden bestimmte Bandbreiten für einen Datenstrom (Flow) Ende-zu-Ende reserviert. Jedes Element in dieser Ende-zuEnde-Kette muss das Protokoll RSVP verstehen und die Bandbreiten für die entsprechenden Flows reservieren. Damit wird ganz schnell klar, wo die Schwachstellen von RSVP liegen. Meist versteht nicht jeder Router in der Kette RSVP - schon gar nicht im Internet. Weiterhin muss jeder Router diese Informationen dynamisch vorhalten und als so genannte Soft States ablegen. Das kann bei einer großen Anzahl von Flows sehr prozessorintensiv sein. Eine weitere Herausforderung stellt die Zugriffskontrolle für die Netzwerkressourcen dar. Um RSVP überhaupt möglich zu machen, braucht man einen zentralen Policy Server. Im Jahre 1999 entstand die IETF Policy Framework Working Group. Die Resource Admission Policy Working Group der IETF hat dann die Standardisierung von COPS (Common Open Policy Server) vorangetrieben. COPS wurde als Protokoll entworfen, das mit einer IntServ/RSVP (Integrated Services / Resource Reservation Protocol) Umgebung zusammen arbeitet. Die Kommunikation zwischen dem PDP (Policy Decision Point) und PEP (Policy Enforcement Point) dient zur Übermittlung und der Admission von RSVP / RESV Anfragen. Das Konzept skaliert aber wie RSVP leider nicht für große Netzwerke, daher findet man COPS Implementierungen nur sehr selten. Policy Based Networking mit COPS Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 68 Insgesamt hat sich der Integrated Services Ansatz nicht durchsetzen können. Heutzutage wird meist DiffServ verwendet. Differentiated Services Differentiated Services (DiffServ) als Ansatz setzt auf OSI-Layer-3 auf. Hierzu wird das Type of Service Feld im IP-Header genutzt. Der Hauptunterschied zu IntServ besteht darin, dass keine Ende-zu-Ende Signalisierung der Datenflows benötigt wird. Die einzelnen Datenpakete werden zuerst klassifiziert und dann entsprechend ihrer Prioritäten über das Netzwerk transportiert. Damit ist es möglich zwischen bestimmten Dienstklassen (Class of Service, CoS) innerhalb einer DiffServ-Domäne zu differenzieren, um den unterschiedlichen Anforderungen der verschiedenen Applikationen gerecht zu werden. Die Netzwerkkomponenten klassifizieren das Datenpaket und leiten es dann priorisiert weiter. Die Art und Weise der Weiterleitung der Pakete wird als Per-Hop Forwarding Behavior (PHB) bezeichnet. PHB beschreibt generell die Zuteilung bestimmter Bandbreiten- und Speicherressourcen sowie die angeforderten Verkehrscharakteristika wie Verzögerungszeit oder Paketverluste. Damit ist eine Differenzierung in verschiedene Dienstklassen möglich. Diffserv Feld Als Unterscheidungsmerkmal zwischen den verschiedenen PHB-Weiterleitungsklassen dient der so genannte DiffServ Codepoint (DSCP), der aus den ersten sechs Bit im IPv4-ToS-Feld besteht. Im RFC 2474 wurde das ToS-Feld im IPv4-Header in DS Feld umbenannt. Damit sind maximal 64 Prioritätsklassen möglich. Zur Zeit sind folgende DSCP-Werte definiert; die anderen sind noch reserviert bzw. stehen für experimentelle Zwecke zur Verfügung. Enterasys Networks— Networks— Solution Guide 2012 69 Secure Networks™ DSCP Binary Decimal DSCP Binary Decimal Default 000000 0 AF31 011010 26 CS1 001000 8 AF32 011100 28 AF11 001010 10 AF33 011110 30 AF12 001100 12 CS4 100000 32 AF13 001110 14 AF41 100010 34 CS2 010000 16 AF42 100100 36 AF21 010010 18 AF43 100110 38 AF22 010100 20 CS5 101000 40 AF23 010110 22 EF 101110 46 CS3 011000 24 CS6 110000 48 CS7 111000 56 Die Default Klasse ist für nicht speziell klassifizierten Traffic und entspricht damit der IP Precedence 0. Per Hop Behaviour (PHB) Diffserv Code Point (DSCP) Default 000000 0 Low Drop Probability Medium Drop Probability High Drop Probability Class 1 AF11 001010 AF12 001100 AF13 001110 1 Class 2 AF21 010010 AF22 010100 AF23 010110 2 Class 3 AF31 011010 AF32 011100 AF33 011110 3 Class 4 AF41 100010 AF42 100100 AF43 100110 4 Assured Forwarding Expedited Forwarding IP Precedence EF101110 Enterasys Networks— Networks— Solution Guide 2012 5 Secure Networks™ 70 Die Class Selector (CS) Code Points erlauben eine Rückwärts-Kompatibilität mit den anderen IP Precedence Werten. Expedited Forwarding (EF, RFC 2598) ist eine Klasse, die geringe Latenzzeiten, wenig Jitter, möglichst keinen Paketverlust und garantierte Bandbreite zur Verfügung stellen soll. Assured Forwarding (AF, RFC 2597) bietet eine Vielzahl von Klassen, um den Daten Traffic zu differenzieren und das PHB mit verschiedenen Drop Probabilities zu definieren. Explicit Congestion Notification (ECN) Die Bits 6 und 7 des DSCP Feldes sind mittlerweile definiert und bilden das so genannte ECN Feld. Die Idee bei der Explicit Congestion Notification ist, dass man im IP Protokoll eine Flusskontrolle hat, wie man sie beispielsweise im WAN Protokoll Frame Relay durch die FECN und BECN Bits (Forward/Backward Explicit Congestion Notification) kennt. Den Standard zu ECN findet man in RFC 3168; die Bits sind folgendermaßen definiert: • Bit 6 ist das ECN-Capable Transport (ECT) Bit • Bit 7 ist das Congestion Experienced (CE) Bit In der Kombination hat man aber beschlossen, dass nicht nur der binäre Wert 10, sondern auch die Kombination 01 ausdrückt, dass ECN unterstützt wird. Damit kommt man zu folgender Bedeutung der ECN Werte wie in RFC 3168 definiert: ECT BIT CE BIT Bedeutung 0 0 Not-ECT (Not ECN-Capable Transport) 0 1 ECT(1) (ECN-Capable Transport - 1) 1 0 ECT(0) (ECN-Capable Transport - 0) 1 1 CE (Congestion Experienced) Die Grundidee hinter der Explicit Congestion Notification ist, dass eine Netzwerkkomponente, die ECN unterstützt, bei Überlast im Netzwerk Pakete nicht verwirft, sondern stattdessen weiterleitet und mit dem CE Wert markiert, sofern sie schon vorher als ECT gekennzeichnet sind. Enterasys Networks— Networks— Solution Guide 2012 71 Secure Networks™ Diese Information kann dann an den TCP Stack weitergegeben werden, der daraufhin die Window-Size in seinem Acknowledgement Paket heruntersetzt und damit den Sender dazu bringt, die Menge der Daten, die geschickt werden, zu reduzieren. So gut dieses Konzept ist, so fraglich ist auch, ob es in absehbarer Zeit im Internet genutzt wird. Denn durch das Einschalten von ECN auf meinem Rechner reduziere ich bei Überlast mein Datenvolumen – und die anderen, die ECN nicht nutzen, freuen sich, denn ihre Pakete haben jetzt freie Fahrt. Ganz anders ist die Situation in einem Firmennetz, in dem man mit einer entsprechenden Policy durchsetzen kann, dass alle ECN nutzen. So kann man in einem Firmennetz bei Engpässen, insbesondere im WAN, für eine vernünftige Flusskontrolle sorgen. IP Precedence Das ToS (Type of Service) Feld im IPv4 Header ist zwar mittlerweile als DS Feld für die DSCP-Werte umdefiniert, die IP Precedence Bits in ihrer herkömmlichen Bedeutung werden aber immer noch oft als Alternative zu DSCP genutzt. Die ursprüngliche Definition des ToS Felds (Länge: 1 Byte = 8 Bits) sieht folgendermaßen aus: TOS Feld Die 3 IP Precedence Bits ermöglichen es, dem IP Paket einen Prioritätswert zwischen 0 und 7 zu zu weisen. Die weiteren Bits waren dafür gedacht optimal bezüglich Delay, Throughput, Reliability oder Monetary Costs zu routen. Das letzte Bit war immer noch ungenutzt und musste deswegen auf 0 gesetzt sein (MBZ Must Be Zero). Routingprotokolle wie OSPF unterstützen zwar laut Definition die Auswertung dieser ToS-Bits, allerdings gibt es keine Implementierungen, die dies auch wirklich tun. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 72 Anders sieht es mit den 3 Prioritätsbits, der so genannten IP Precedence aus. Mit 3 Bits kann man folgende 8 Werte beschreiben: • 000 (0) - Routine • 001 (1) - Priority • 010 (2) - Immediate • 011 (3) - Flash • 100 (4) - Flash Override • 101 (5) - Critical • 110 (6) - Internetwork Control • 111 (7) - Network Control Die beiden höchsten Prioritäten sind für Netzwerk Traffic reserviert. So schicken zum Beispiel Routingprotokolle ihre Nachrichten meist mit der IP Precedence 6 (Internetwork Control). Delay-sensitive Daten wie Voice werden im Allgemeinen mit der IP Precedence 5 versandt. Während der Defaultwert für normale Daten die IP Precedence 0 ist, bieten die verbleibenden Werte von 1-4 die Möglichkeit, den Datent Taffic weiter zu unterscheiden und zu priorisieren. Bei der Wahl der bisher definierten DSCP-Werte hat man Wert auf Rückwärtskompatibilität gelegt. So wird zum Beispiel VoIP-Traffic mit Expedited Forwarding EF = 101110 versandt, die ersten drei Bits entsprechen also dem IP Precedence Wert 5. Betrachtet man Quality of Service Lösungen auf anderer Ebene, wie zum Beispiel 802.1p für Ethernet oder die Experimental Bits für MPLS, finden sich auch hier 3 Bits, um Prioritäten darzustellen. Nutzt man diese QoS-Verfahren, so werden im Allgemeinen die 3 IP Precedence Bits in die entsprechenden Felder für 802.1p oder MPLS kopiert. Die Realisierung von Quality of Service mit IP Precedence Werten ist also trotz der neueren Technik mit DSCP Werten immer noch aktuell und wird es in absehbarer Zeit auch bleiben. Die Produkte von Enterasys Networks unterstützen dementsprechend auch sowohl das Auslesen bzw. Setzen von IP Precedence als auch von DSCP Werten. Enterasys Networks— Networks— Solution Guide 2012 73 Secure Networks™ Priorisierung nach IEEE 802.1p Der Standard IEEE 802.1p ist ein weiterer Ansatz zur Verbesserung der Servicequalität. Hierbei werden bestimmte Datenpakete auf dem Netzwerk priorisiert übertragen. Man versieht die Datenpakete mit einer bestimmten Markierung, die entsprechend des Ende-zu-Ende-Ansatzes von jedem Glied in der Kette erkannt und danach mit bestimmter Priorität übertragen werden. Beispiele für solch einen Ansatz sind IEEE 802.1p und Differentiated Service (DiffServ). Bei IEEE 802.1p handelt es sich um eine Erweiterung des IEEE 802.1d Standards, wodurch ein so genanntes Tag in das Datenpaket eingeschoben wird. Dieses Tag besteht aus 2 Byte und ermöglicht zum Einen Prioritätenvergabe durch 3 Bits (was 8 Prioritäten entspricht) und zum Anderen die Bildung von Virtuellen LANs (VLANs) nach dem Standard IEEE 802.1q. IEEE 802.1p liefert damit eine Datenpriorisierung auf Layer 2. IEEE 802.1p Tag Queuing Verfahren DSCP, IP Precedence und IEEE 802.1p geben uns die Möglichkeit Pakete mit einem entsprechenden Wert zu markieren und so festzulegen, welchen Service ein Paket bekommen soll. Um diesen Service nun zu ermöglichen, braucht man dedizierte Queuing Verfahren. Enterasys Geräte unterstützen verschiedene Queuing Methoden wie Strict, Hybrid oder Weighted Round Robin Queuing. Dabei existieren für jeden Port mehrere Hardware Queues. Während kleinere Geräte meist mit 4 Hardware Queues pro Port arbeiten, hat die N-Serie bis zu 16 Hardware Queues pro Port, abhängig von der Art des Moduls. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 74 Fifo Queuing Die einfachste Art des Queuings ist das Fifo Queuing: First In, First Out. Die Pakete werden also in der Reihenfolge, in der sie einem Outgoing Port zugeordnet werden, auf diesem weitergeleitet. Dieses Basis Queuing Verfahren ist per Default auf allen Ports und gilt auch für alle Subqueues bei den komplexeren Queuing Methoden. Strict Priority Queuing Strict Priority Queuing Beim Strict Priority Queuing werden den verschiedenen Subqueues Prioritäten zugeordnet und diese dann streng entsprechend dieser Priorität abgearbeitet. Solange für die Queues der höchsten Priorität Pakete anliegen, werden diese weitergeleitet. Erst wenn diese Queues geleert sind, wird die Queue mit der nächsten Priorität bearbeitet. Dieses Verfahren hat den Vorteil, dass Pakete der höchsten Priorität mit minimaler Latenzzeit das Gerät wieder verlassen. Daher wird Strict Priority Queuing gerne für VoIP Pakete genutzt. Der Nachteil besteht darin, dass man in der Planung und Klassifizierung der Pakete sehr vorsichtig sein muss. Bekommen zu viele Pakete fälschlicherweise eine hohe Priorität, kann der Traffic der unteren Klassen ‚verhungern’, also nicht mehr weitergeleitet werden, da alle Kapazitäten von den höher eingestuften Paketen verbraucht werden. Enterasys Networks— Networks— Solution Guide 2012 75 Secure Networks™ Weighted Round Robin Queuing Weighted Round Robin Queuing Beim Weighted Round Robin Queuing werden die verschiedenen Queues im Wechsel bedient. Um den Traffic aber unterschiedlich gewichten zu können, wird jeder Queue eine bestimmte Prozentzahl der Kapazität zugestanden, das so genannte Weight. Auf diese Weise kann man Paketen durch eine höhere Gewichtung der zugehörigen Queue einen besseren Service garantieren. Dabei ist es aber immer noch gewährleistet, dass jede Queue eine gewisse Bandbreite zugestanden bekommt. Hybrid Queuing Hybrid Queuing Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 76 Eine Mischform zwischen Priority Queuing und Weighted Round Robin Queuing bietet das Hybrid Queuing, in dem die Vorteile beider Verfahren kombiniert werden. Dabei wird einem Weighted Round Robin Queuing eine Priority Queue vorgelagert. Diese Priority Queue wird im Allgemeinen für VoIP Pakete oder vergleichbaren zeitsensiblen Traffic genutzt. Da die entsprechenden Pakete normalerweise wenig Bandbreite benötigen, ist die Gefahr des ‚Verhungerns’ des übrigen Traffics gering, die VoIP Pakete bekommen aber die benötigte bevorzugte Behandlung, um kurze Latenzzeiten zu garantieren. Der andere Traffic erhält gemäß dem Weighted Round Robin Verfahren die ihm zugestandene Bandbreite. Rate Limiting und Rate Shaping Manchmal ist es auch notwendig, die von bestimmtem Traffic genutzte Bandbreite zu begrenzen. Dies ist durch Rate Limiting oder Rate Shaping möglich. Rate Limiting kann für ankommende (Inbound Rate Limiting) oder ausgehende (Outbound Rate Limiting) Pakete geschehen, dabei werden Pakete, welche die konfigurierte Rate überschreiten, verworfen. Beim Rate Shaping versucht man, den Traffic innerhalb der vorgegebenen Rate zu halten, indem man Pakete zwischenspeichert. Rate Shaping macht daher nur für ausgehenden Traffic Sinn. Zur Konfiguration von QoS auf Enterasys Komponenten finden Sie weitergehende Informationen unter http://secure.enterasys.com/support/manuals/hardware/QoS.pdf Wireless LAN Wireless LAN ermöglicht Unternehmen erhöhte Flexibilität (zum Beispiel mobile Büros, schnelle Anbindung neuer Bereiche), aber auch Kostensenkung durch Prozessintegration (zum Beispiel Scanner im Logistikbereich), direkte Dokumentation auf digitaler Ebene, mobile Visite im Bereich Gesundheitswesen, Lokation-Tracking zum Auffinden von mobilen Gütern und Personen). Oft wird auch die Bereitstellung von Gastzugängen über Wireless LAN realisiert. Insbesondere die Trends in Unternehmen, zum Einen bestehende DECT Systeme durch VoIP over Wireless LAN (WLAN) zu ersetzen als auch zum Anderen die Anforderung neuer Multifunktionssysteme (insbesondere SmartPhones, PDAs) mit GSM/GPRS, UMTS, Bluetooth und WLAN Schnittstellen gerecht zu werden und ein kostenoptimiertes Roaming anzubieten (ein Mitarbeiter, der heute mit dem GSM Handy im eigenen Unternehmen telefoniert, wird in Zukunft direkt ins WLAN seines Unternehmens eingebucht und telefoniert dann über VoIP - „kostenlos“) sind hier die wesentlichen Faktoren. Enterasys Networks— Networks— Solution Guide 2012 77 Secure Networks™ Viele der oben genannten Technologien und Mehrwerte wurden erst durch die WLAN Switching Architektur vollwertig und praktikabel umsetzbar. Hierbei wird die bei der „Thick-AP“-Architektur vorhandene verteilte Intelligenz je Access Point in eine zusätzliche Komponente, dem so genannten WLAN Switch oder Controller zentralisiert. Die Access Points selbst werden in so genannte „Thin-APs“ umgewandelt und fungieren nur noch als „intelligente Antennen“. Dadurch wird eine skalierbare, flexible und zukunftssichere WLAN Umgebung geschaffen die Hunderte von WLAN Switchen und Tausende von APs umfassen kann. Als oberste Hierarchieebene wird meist auch noch ein WLAN Management System eingesetzt, das zentral über WLAN Switch Grenzen hinweg Planungs-, Konfigurations-, Monitoring- und Alarmierungsdienste zur Verfügung stellt. Typische Funktionen einer WLAN Switching Lösung sind z.B.: • Automatische Kanalwahl • Automatische Regelung der Sendeleistung • Loadbalancing zwischen den APs • Verarbeiten von Gebäude/ Geländeplänen, um die Funkausbreitung/ Clients/ RFID-Tags/ Fremd-APs visuell darzustellen • Verkürztes, subnetübergreifendes Roaming • Automatisiertes Erkennen, Lokalisieren und Bekämpfen von Fremd-APs und Clients • Zentralisierte Planung, Deployment, Reporting & Alarmierung Durch Enterasys wurde im Speziellen der Begriff „Fit APs“ geprägt. Durch diese Architektur bleibt ein großer Anteil der Intelligenz in den APs erhalten. Dies ermöglicht dezentrales Traffic-Forwarding direkt am AP mit allen nötigen Parametern, wie zum Beispiel QoS, Rate Limit, ACLs, usw., und eleminiert dadurch den Flaschenhals am Controller. Sicherung von WLAN Netzen Zur Sicherung der Luftschnittstelle wurde ursprünglich der Sicherheitsstandard Wired Equivalent Privacy (WEP) eingeführt. Dieser erwies sich jedoch schon nach kurzer Zeit als lückenhaft, dass heißt durch das Aufzeichnen und Analysieren der Kommunikation ist es möglich den Netzwerkschlüssel zu ermitteln und somit die „Privacy“ zu kompromittieren. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 78 Der eigentliche Standard (IEEE 802.11i) zur Sicherung von WLANs war zu diesem Zeitpunkt noch in Arbeit, daher etablierte sich WPA als Zwischenlösung. Hier wurden durch diverse Hilfsmittel, wie dynamische Schlüssel, bessere Authentifizierung, insbesondere durch Berücksichtigung von RADIUS Authentifizierung, eine höhere Sicherheit gewährleistet, welche noch nicht kompromittiert wurde. Das Thema Sicherheit im Wireless LAN ist nach langer Diskussion nun final gelöst: Der Standard 802.11i (auch WPA2 genannt) ist verabschiedet und bietet für alle existierenden Sicherheitslücken innerhalb der 802.11 Familie eine adäquate Lösung. Die Authentifizierung via 802.1x (Port Based Authentication) und dessen gängige Methoden EAP-TLS, PEAP und EAP-TTLS (zertifikats- und passwortbasiert) stellen neben der eigentlichen Authentifizierung die Basis für das Key Management dar. Die Verschlüsselung ist 128-Bit AES (Advanced Encryption Standard) -basiert. Die Integrität von Daten und Header wird durch CCM (CCM = Counter Mode Encryption mit CBC-MAC) gewährleistet. Replay Attacks werden durch ein IV (Initialization Vector) Sequencing mit 48 Bit IV verhindert. Ein weiterer Punkt zur Sicherung von WLAN Netzen ist der Umgang mit Fremd-APs/ Clients sowie 802.11-fremden Störungen, wie z.B defekten Mikrowellen oder DECTStadionen, die das gesamte RF-Spektrum stören. Hierzu scannen die APs automatisch nach anderen Geräten, die im selben RF-Band arbeiten. Dadurch werden fremde Sender sowie natürlich die APs, die zum eigenen System gehören, erkannt. Alle fremden Sender stellen potentielle Rogues dar. Hierbei ist eine automatische Unterscheidung zwischen „Interfering AP“, „Rogues“ und „Ad-hoc Clients“ wichtig. Ein interfering AP wird auf der RF-Schnittstelle von den APs gesehen. Dieser hat jedoch keine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt daher nur eine Störung auf der Funkseite dar. Meist sind dies Netze in benachbarten Gebäuden oder interne, unabhängige WLANs. Ein Rogue hingegen hat auch eine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt damit ein erhöhtes Sicherheitsrisiko dar, da sich über diesen AP auch fremde Clients in das interne Netz einloggen können. Ad-hoc Clients kommunizieren direkt miteinander ohne Verbindung zum eigentlichen Netzwerk. Dies stellt ähnlich wie die interfering APs kein direktes Sicherheitsrisiko dar, allerdings werden sie als Störung auf der Funkseite erkannt. Diese Unterscheidung wird automatisch vom den Systemen vorgenommen und kategorisiert. Weiterhin stellen die Systeme Möglichkeiten zur Verfügung, um Gegenmaßnahmen zu ergreifen, die verhindern, dass sich WLAN Clients mit einem Rogue AP verbinden. Hierbei gibt sich das WLAN Switching System als Rogue AP aus und sendet disassociation frames zu den am eigentlichen Rogue AP eingeloggten Clients. Diese verlieren dadurch die Verbindung und es kann keine saubere Kommunikation mehr aufgebaut werden. Zusätzlich können alle Arten von FremdAPs/Clients mit Hilfe von Gebäudeplänen lokalisiert werden. Enterasys Networks— Networks— Solution Guide 2012 79 Secure Networks™ Voice over WLAN – QoS & Security Die Zugriffsmethode für WLANs basiert derzeit meist noch auf CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Damit können keine QoS Merkmale geliefert werden. Der IEEE 802.11e Standard beschreibt einige Erweiterungen, um diese Merkmale in einer WLAN Umgebung zu ermöglichen. Einige Unterfunktionen dieses Wireless Standards werden als WiFi Multimedia (WMM) vermarktet. WMM eignet sich vor allem für Video- und Sprachübertragungen. Für den Kanalzugriff (Medium Access Control - MAC) sind in IEEE 802.11 zwei Verfahren spezifiziert worden: Die Distributed Coordination Function (DCF) ist ein verteilter, zufallsgesteuerter Zugriffsmechanismus (Carrier Sense Multiple Access with Collision Avoidance, kurz: CSMA/CA), der einen Best-Effort-Dienst liefert. Die Point Coordination Function (PCF) ist ein zentral gesteuerter Mechanismus, bei dem die beteiligten Stationen in regelmäßigen Abständen durch einen Master (typischerweise ein Access Point) per Polling ein Senderecht erhalten. Auf diese Weise kann für die beteiligten Stationen eine gewisse Bandbreite zugesichert werden. Die Implementierung der DCF ist in IEEE 802.11 zwingend vorgeschrieben, die Realisierung der PCF ist jedoch nur als optional klassifiziert. Daher wundert es nicht, dass in allen bekannten Implementierungen lediglich die DCF umgesetzt wurde. Da DCF zufallsgesteuert in einem Shared Medium, wie Wireless LAN, arbeitet, ist bei dieser Technik jedoch keine Bandbreitengarantie möglich – die Latenzzeit kann stark schwanken (Jitter) was für VoIP sehr negative Auswirkungen auf die Sprachqualität hat: Komponenten einer VoWLANVoWLAN-Lösung Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 80 Aus den oben genannten Gründen verwenden die meisten VoWLAN-Phone Hersteller eine Kombination aus standardbasierten und propritären Mechanismen, um ein schnelles Hand-Over von AP zu AP zu ermöglichen. Das Ziel dieses Roamingvorganges ist es ein für den Enduser nicht merkbares Wechseln der Funkzelle zu ermöglichen. Bei den heute am meisten verwendeten Codecs G.711 und G.729 beträgt die maximal zu akzeptierende Roamingzeit ca. 50ms. Class Applications Traffic Latency Delay Packet Loss Sensitivity Background FTP Bidirectional/Asymetric Unbounded Low Email Variable Pkts <5-10s Web Bidirectional/Asymetric Tolerable Telnet Variable Pkts <1s Video Gaming Bidirectional/Asymetric Tolerable Variable Pkts <100ms Interactive Fast Interactive Non-RT Streaming VOD Unidirectional Bounded Cable TV Large Pkts / Multicast <5s RT Streaming IP TV Unidirectional Bounded Large Pkts / Multicast <1s VoIP Birdirectional Strict & Low Video Phone Small Pkts <50ms Conversational Low High Low High High (VoIP, Gaming) Internet Game Large Pkts (Video Phone) Als Roaming-Vorbereitung eines VoWLAN-Clients ist es nötig, dass dieser die APs in seinem Sendebereich kennt. Um dies umzusetzen, senden die Clients ProbeRequests. Manche VoWLAN-Clients können so konfiguriert werden, dass nur bestimmte Kanäle (1,6,11) gescannt werden oder es werden spezielle Elemente in den AP Becons verwendet, um die Scangeschwindigkeit zu verbessern. Ebenso können manche Endgeräte so eingestellt werden, dass sie das Scannen erst bei Erreichen eines bestimmten Schwellenwerts beginnen. Dieser liegt meist bei -65 bis -70dBm. Diese Funktionen verbessern die Akkulaufzeiten und sorgen für ein schnelleres Roaming. Enterasys Networks— Networks— Solution Guide 2012 81 Secure Networks™ Eine der größten Hürden in Bezug auf schnelles Roaming beim Ausrollen von VoWLAN-Lösungen sind die Verschlüsselungstechniken. Das beste Roamingverhalten wird bei unverschlüsseltem Verkehr oder mit WEP mit unter 8ms erreicht. Dieser Wert umfasst die Zeitspanne vom letzten erfolgreich gesendeten Paket auf dem alten AP bis zu dem ersten erfolgreich gesendeten Paket auf dem neuen AP. Roamingvorgang ohne Verschlüsselung Durch die Einführung von 802.11i wurde die Sicherheit in WLAN-Netzen drastisch erhöht, speziell auf 802.1x-basierende Implementierungen, allerdings auf Kosten eines schnellen Roamingvorgangs. Durch die Einbeziehung eines RADIUS Servers bei diesem Standard innerhalb jedes Authentifizierungsvorgangs werden die Roamingzeiten auf 50-200ms erhöht. Selbst unter besten Voraussetzungen mit einem lokalen, nicht unter Last stehenden RADIUS Server werden sehr schnell die gewünschten 50ms überschritten. Dies wird durch den Einsatz von WPA-PSK umgangen. Beide dazugehörigen Standards, WPAPSK und WPA2-PSK, erreichen fast ein ähnliches Sicherheitsniveau wie die 802.1xImplementierung, jedoch ohne Einbeziehung einer RADIUS Abfrage. Zusätzlich zu den einfachen Verfahren ohne Verschlüsselung oder WEP wird jedoch bei jedem Roamingvorgang die Erzeugung von Keys vorgenommen. Dieser Vorgang führt zu einer Verzögerung von weniger als 7ms bei WPA-PAS und 5ms bei WPA2-PSK. Dies führt in der Summe zu Gesamtroamingzeiten von 13-15ms. Das ist eine erhebliche Verbesserung gegenüber Verfahren die einen RADIUS Server ansprechen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 82 Roamingvorgang mit WPA Verschlüsselung Allerdings ergeben sich durch den Einsatz von WPA-PSK auch einige Nachteile. So ist diese Technologie, wie alle Preshared-Key-Technologien, anfällig gegenüber Wörterbuchattacken sobald ein einfacher Verschlüs selungskey gewählt wurde. Weiterhin ist das Ändern des Keys auf den Endgeräten meist mit einem Konfigurationsaufwand auf jedem Endgerät verbunden. Diese Punkte treffen für eine auf RADIUS Abfrage basierende Technologie nicht zu. Um die zusätzlich benötigten schnellen Roamingvorgänge umsetzen zu können, die bei VoWLAN benötigt werden, wurden zwei neue Technologien entwickelt: OKC und PreAuthentication. Opportunistic Key Caching (OKC) verteilt den Key, den ein WLAN-Phone bei der ersten RADIUS Abfrage (für gewöhnlich beim Einschalten) erhält, auf alle APs, die den Service beinhalten. Bei einem Roamingvorgang ist es nun nicht mehr nötig den RADIUS Server abzufragen, da sich der passende PMK bereits auf den APs befindet. Enterasys Networks— Networks— Solution Guide 2012 83 Secure Networks™ Dadurch ergeben sich Roamingzeiten wie bei der PSK-Variante mit den SecurityVorteilen einer RADIUS Infrastruktur. Allerdings wird das Sicherheitsniveau einer vollen 802.11i Implementierung nicht erreicht, da der gleiche PMK auf alle APs verteilt und für die Authentifizierung und Verschlüsselung benutzt wird. 802.11i fordert jeweils einen neuen PMK per Session pro AP. Zur Zeit gibt es noch wenige Endgeräte die OKC unterstützen. Pre-Authentication ist eine Lösung, die eine volle RADIUS Abfrage an jedem AP benutzt, aber der Vorgang, mithilfe der das Roaming stattfindet, ist erheblich zeitsparender. Mit Pre-Authentication führt das Endgerät eine vollwertige RADIUS basierende Authentifizierung beim erstmaligen Verbinden mit einem AP durch. Danach scannt das Endgerät nach jedem AP in der Umgebung mit der selben ESSID (aber anderen BSSID) und nutzt seine existierende Verbindung zur Infrastruktur, um eine vollwertige RADIUS Authentifizierung an den umgebenden APs durchzuführen bevor der Roamingvorgang stattfindet. Der PMK wird sowohl von dem AP als auch Endgerät für eine spätere Benutzung vorgehalten. Bei einem Roamingvorgang wird über diesen Key ein Sessionkey je AP generiert. Der Zeitaufwand hierfür ist vergleichbar mit dem bei WPA-PAK. Pre-Authentication ist anfällig gegenüber Infrastrukturen mit hoher AP-Dichte und sehr mobilen Endgeräten. Dies kann zu Situationen führen, bei denen ein Roamingvorgang stattfindet bevor die PreAuthentication durchgeführt wurde. Die Technologie gilt als sicherer als OKC, ist aber erst auf wenigen Endgeräten verfügbar. Beim Siemens WL2 Handset werden beide Funktionen unterstützt. Load Balancing in VoWLAN-Umgebungen wird durch eine von mehreren Call Admission Control (CAC) Funktionen erreicht. Enterasys WLAN benutzt hierzu TSPEC, wobei ein Endgerät eine Traffic-SPECification (TSPEC) erstellt und diese an den AP sendet. Dieser reserviert die angekündigte Menge an Up- und Down-Stream Bandbreite. Die Implementierung erlaubt es Limits für neue und bestehende Roaming-Verbindungen zu setzen. Weiterhin können Bandbreitenreservierungen in unabhängigen Klassen gemacht werden, in denen z.B. Voice eine höhere Priorität bekommt als Video. Die Implementierung beim Enterasys WLAN geht sogar soweit, dass spezielle Aktionen definiert werden können sobald die angekündigte Up- und Down-Stream Bandbreite überschritten wird, dies geschieht auf einer per SSIDBasis. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 84 Background Traffic (Up-Stream kbps / Down- Maximum Concurrent Calls per AP Stream kbps) 802.11b-only (SpectralLink w. G.711 codec) 0 /0 12 20 / 20 10 100 / 100 8 200 / 200 8 500 / 500 6 1000 / 1000 4 2000 / 2000 2 LokationLokation-Tracking in WLAN Netzen Ein weitere Technologie, die erst durch WLAN Switching ermöglicht wurde, sind Location Based Services. Mit Hilfe dieser Technologie können Geräte geortet werden, die eine WLAN Karte besitzen (Notebooks, VoIP WLAN Phones) sowie dedizierte Location Tags, in denen z.B. Panic-Buttons und Bewegungssensoren integriert sind. Diese können an wichtigen Gütern, z.B. mobilen Infusionspumpen im Krankenhausbereich oder an Staplern in der Logistik, befestigt werden. Durch die lokationsbezogenen Daten kann sehr einfach eine Prozessoptimierung durchgeführt werden wie z.B standortabhänige Disponierung von Staplern im Logistikbereich. Für die Ortung selbst werden verschiedene Technologien eingesetzt: Anwesenheit Ein Tag sendet z.B alle 2 Minuten oder sobald er bewegt wird ein Signal. So wird sichergestellt, dass immer die aktuelle Lokation angezeigt wird. Echtzeit Ein Client/Tag wird gezielt vom User/System abgefragt und die aktuelle Lokation zurückgemeldet. Lokationsbezogen Ein Tag wird bei Passieren einer bestimmten Lokation über einen so genannten Exiter gezwungen, seine Lokation an das System zu melden. Enterasys Networks— Networks— Solution Guide 2012 85 Secure Networks™ Weiterhin gibt es verschiedene Ortungsmethoden: AP Connection und RSSIRSSI-Wert • Die bekannte AP Lokation sowie der RSSI-Wert des Client ergibt eine Abstandsabschätzung • Der Client befindet sich auf der RSSI-Kontour • RF-Hindernisse haben Einfluss auf die RSSI-Kontour • Zur Lokationsbestimmung wird die Client Sendestärke verwendet LokationLokation-Tracking in WLAN Netzen Trilateration • Bekannte AP Lokationen und Client RSSI-Werte ermöglichen Distanzangaben • Ab einer Anzahl von 3 Distanzwerten (APs) kann die Lokation sauber bestimmt werden • RF-Hindernisse können die Qualität der Werte beeinflussen • Folgende Faktoren können die Werte verbessern ♦ Anzahl der Aps, die den Client sehen ♦ Geometrie der APs ♦ Qualität des RF-Models des Gebäudeplans Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 86 Trilateration Serverbasierendes Pattern Matching • Der von mehreren APs gesehene RSSI-Pattern eines Clients kreiert einen eindeutigen „Fingerabdruck“ • Hat ein weiterer Client den selben RSSI-Pattern, ist er an der gleichen Lokation • Client Sendestärke ist nicht relevant • kein RF-Model des Gebäudes notwendig Serverunterstützte Lokation Enterasys Networks— Networks— Solution Guide 2012 87 Secure Networks™ 802.11n802.11n- ein neuer Standard Mit der Einführung des 11n-Standards, der in 2008 verabschiedet wurde, haben einige signifikante Änderungen und Verbesserungen in der WLAN Technologie Einzug gehalten. Aus technischer Sicht sind dies 3 Hauptkomponenten: Multiple Input Multiple Output (MIMO) Technologie Bei 11a/b/g wurde bisher die gesamte Datenmenge über eine Antenne gesendet und empfangen. Mit der MIMO Technologie wird der Datenstrom über einen Splitter auf mehrere Sende-/Empfangsantennen (2 oder mehr Stück je nach Produkt) aufgeteilt. Übertragung über mehrere Antennen - MIMO Die Anordnung der Antennen auf den WLAN Karten ist so gestaltet, dass die Ausbreitung des Funksignals räumlich versetzt erfolgt und es so zu keinen gegenseitigen Störungen bei der Übertragung kommt. Während die bisherigen Technologien teilweise Probleme mit Reflexionen hatten, nutzt MIMO diese bewusst und erreicht dadurch einen erhöhten Durchsatz sowie auch eine robustere Kommunikation. Kanalbündelung Der einfachste Weg, um den Durchsatz in einem WLAN Netz zu erhöhen, ist die Verdopplung des genutzten Frequenzbandes. 11n nutzt dies um 2 benachbarte 20 Mhz-Kanäle zusammen zu fassen. Diese Technologie ist am effektivsten im 5 Ghz Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 88 Bandbereich in dem 19, überlappungsfrei 20 Mhz-Kanäle zu Verfügung stehen. Im 2,4 Ghz-Bereich ist diese Technik weniger effektiv, da bereits mit der alten Technologie nur 3 überlappungsfreie Kanäle verfügbar sind. Durch Kanalbündelung wird dies auf einen Kanal vermindert, was einen praktikablen Einsatz ausschließt. Packet Aggregierung Bei konventionellen WLAN Techniken ist der Overhead, um ein Datenpaket zu übermitteln fix, egal wie groß das Paket selbst ist. Bei 11n werden mehrere Nutzdatenpakete zu einem einzigen Sende-Frame zusammengefügt. Dadurch können mehrere Pakete mit den Overhead-Kosten eines Einzigen gesendet werden. Die Effektivität dieser Technologie ist je nach Anwendung verschieden. Besonders groß ist der Vorteil z.B bei großen Filetransfers, wobei aber z.B. Echtzeitanwendungen wie Voice oder Video davon nicht profitieren. Vorteile durch 802.11n Erhöhte Kapazität Bei 11n wird die Kapazität einer WLAN Zelle von 14-22 Mbps bei 11a/g auf 100200 Mbps erhöht. Verteilt auf mehrere User pro Zelle sind damit Geschwindigkeiten von bis zu 100 Mbps pro User möglich, was sich in der Praxis in einer größeren Bandbreite für mehr User zeigen wird. Erhöhte Reichweite Durch die MIMO Technologie und das bewusste Arbeiten mit Reflexionen durch die räumlich versetzte Funkausbreitung der Funkwellen wird die Reichweite je AP erhöht. Dies wird auch dazu führen, dass die Datenrate mit steigendem Abstand vom AP zum Client langsamer fällt als bei den bisherigen Technologien und somit eine größere Abdeckung mit weniger APs erreicht wird. Höhere Verfügbarkeit / Robustheit Bei den bisherigen Technologien kann die Performance eines WLAN Clients schon bei kleinsten Bewegungen oder Änderungen an der Umgebung (Schließen einer Tür, geänderter Einrichtung) stark beeinträchtigt werden. Dieses Problem wird durch Einsatz von unterschiedlichen Antennen entschärft. Fast jedes WLAN Gerät hat 2 Antennen, wobei immer nur die aktiv ist, die das beste Signal bekommt. Durch die MIMO Technologie sind bei 11n immer 2-3 Antennen gleichzeitig aktiv, die dadurch die Robustheit und Verfügbarkeit erhöhen. Enterasys Networks— Networks— Solution Guide 2012 89 Secure Networks™ Design Durch die Abwärtskompatibilität von 802.11n mit a/b/g wird auch die Performance in einer 11n-Funkzelle auf die Geschwindigkeit der bisherigen Technologien verringert. Der größte Teil der bisherigen WLAN Clients arbeitet im 2,4 Ghz-Bereich. Durch die Einschränkung bei der Kanalbündelung in diesem Frequenzband und einer oft geforderten Unterstützung der bisherigen WLAN Clients, wird im 2,4 GhzBereich zukünftig 11n sehr oft in einem Kompatibilitätsmodus betrieben werden. Im 5 Ghz-Bereich hingegen wird der Vorteil durch Kanalbündlung voll ausgespielt und die neue Technik in einem 11n-only Modus gesetzt werden, wodurch die oben genannten Vorzüge voll zum Zuge kommen. Abwandlungen dieses Designs können je nach Anforderungen und Randbedingungen auftreten, so z.B. wenn man komplett neue WLAN Netze (Access Points & Clients unterstützen 11n) aufgebaut (Greenfield) oder wenn ein komplett unabhängiges 11n-Netz zu einem bestehenden 802.11a/b/ g Netz aufgebaut wird (Overlay). 11n WLANs und heterogene WLAN Client Umgebungen Obwohl die Anzahl der installierten 11n-APs stetig steigt, findet man Client-seitig fast ausschließlich Umgebungen in denen 11n- und 11a/b/g-Clients auf die gleiche Infrastruktur zugreifen. Durch den bestehenden Zugangsmechanismus wird jedem Client, unabhängig von der Geschwindigkeit mit der er verbunden ist, erlaubt die gleiche Anzahl an Pakete zu versenden. Bei gemischten Client-Zugangstechnologien (11n vs .11a/b/g) führt dies dazu, dass zum Beispiel ein 11b Client den Kanal erheblich länger belegt als ein 11n Client. In der Summe wird dadurch der Gesamtdurchsatz der Funkzelle erheblich vermindert. Dieses Verhalten wird als Packet Fairness bezeichnet. Durch Ändern dieses Verhaltens von Packet Fairness auf Airtime Fairness, bei dem jedem Client die gleiche Sendezeit eingeräumt wird, wird der Gesamtdurchsatz der Funkzelle gesteigert. ůŝĞŶƚDŝdž ϭϭĂΛϲDďƉƐ ϭϭĂΛϮϰDďƉƐ ϭϭŶ,dϮϬΛϭϬϰDďƉƐ ϭϭŶ,dϰϬΛϮϰϬDďƉƐ dŽƚĂůdŚƌŽƵŐŚƉƵƚ ĨĨĞĐƚŝǀĞĂŶĚǁŝƚŚ;DďƉƐͿ WĂĐŬĞƚ ŝƌƚŝŵĞ &ĂŝƌŶĞƐƐ &ĂŝƌŶĞƐƐ ϰ͘ϱ ϭ͘ϱ ϰ͘ϱ ϲ ϰ͘ϱ Ϯϲ ϰ͘ϱ ϲϬ ϭϴ͘Ϭ ϵϯ͘ϱ Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 90 Unten zwei Beispiele, die beide Technologien und deren Effizienz gegenüberstellen: Packet Fairness Airtime Fairness Das WLAN kann zwischen Packet Fairness und Airtime Fairness je WLAN Service flexibel in mehreren Stufen umgeschaltet werden. Enterasys Networks— Networks— Solution Guide 2012 91 Secure Networks™ Power over Ethernet Im Convergence Bereich stellt sich auch die Frage der Stromversorgung für Geräte, wie zum Beispiel IP-Telefone. Der große Vorteil von PoE ist, dass keine zusätzliche Stromversorgung zu den Endgeräten verlegt werden muss und deren Installation damit einfacher wird. Das ist insbesondere wichtig für IP-Telefone, schließlich ist es für den Anwender äußerst unkomfortabel gleich zwei Kabel auf dem Schreibtisch liegen zu haben, wobei das Eine meist noch ein externes Netzteil enthält. Ansonsten ist PoE vor allem für Wireless Access Points, Kartenlesegeräte oder Kameras interessant. Der IEEE 802.3af Standard ist eine Ergänzung des 802.3 Standards, welcher die Stromversorgung mit Gleichstrom über 10, 100 und 1000Base-T twisted pairVerkabelung beschreibt. Dabei sind auf jedem Port ausgangsseitig maximal 15,4 Watt Leistung mit einer Spannung bis zu 48 Volt verfügbar, wobei sich die Verbraucher auch mit geringerem Maximalverbrauch anmelden können, wenn die optionalen Klassen 1 (max. 4 W) oder 2 (max. 7,0 W) unterstützt werden. Unter Berücksichtigung der Verlustleistung auf den Leitungen, darf das Endgerät eingangsseitig dann maximal 12,95 W bzw. 3,84 bei Klasse 1 und 6,49 bei Klasse 2 verbrauchen. Der gelieferte Strom wird dabei auf jedem der Ports ständig überwacht, so dass das so genannte „Power Sourcing Equipment“ (PSE), welches den Strom liefert (dass heißt der Switch) entscheiden kann, ob ein neu hinzugekommener Port überhaupt noch mit Strom versorgt werden darf. Würde die insgesamt verfügbare Leistung des Switches überschritten, würde der Port nicht mit Strom versorgt und damit eine Überlastung verhindert. Die Überwachung der PoEspezifischen Porteigenschaften mittels SNMP wurde durch die IETF in RFC 2665 standardisiert. IEEE 802.3af-fähige Geräte müssen diverse Anforderungen erfüllen. Die Wichtigsten beziehen sich auf Kompatibilität zwischen PoE- und nicht PoE-fähigen Geräten. Schließlich darf es nicht passieren, dass beim Anschluss eines nicht PoE-fähigen Geräts an einen PoE-fähigen Switch das Gerät durch eine Überspannung beschädigt wird. Weiterhin muss PoE über die vorhandene (drahtgebundene) Ethernetverkabelung möglich sein (Cat3, Cat5, Cat5e und Cat6). Offiziell bezeichnet der Standard die stromeinspeisenden Geräte als PSE (Power Sourcing Equipment). Um PoE sowohl mit PoE-fähigen als auch mit nicht PoE-fähigen Switchen einsetzen zu können, wurden zwei Methoden der Stromeinspeisung vorgesehen: Zum Einen durch den Switch direkt, zum Anderen über Midspan Geräte, dass heißt Geräte, die in das Kabel zwischen Switch und Verbraucher eingeschleift werden und dann das Endgerät mit Strom versorgen. Es gibt zwei Gründe warum man Switch und Midspan anstelle von PoE-fähigen Switchen einsetzt. Einerseits gibt es alte Geräte, die den Standard noch nicht unterstützen, andererseits lohnt es sich manchmal auf Grund der geringen Anzahl von benötigten PoE-Ports nicht alle Switche mit PoE auszustatten. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 92 Die Übertragung des Stroms kann bei PoE sowohl über die Datenleitungen als auch über die bei Ethernet bzw. Fast Ethernet ungenutzten Adernpaare 4,5 und 7,8 erfolgen. Im Falle von Gigabit Ethernet erfolgt die Einspeisung zwangsweise über Leitungspaare, die auch für die Datenübertragung genutzt werden. PoE enabled Switche Enterasys bietet eine Reihe von Geräten an, die als PSE arbeiten können: Bei der S-Serie ist dies mit einem 48 Port 10/100Base-TX Board mit externem Powershelf realisiert. Der N5 hat dafür 4 integrierte, modulare 1200 Watt PoE Netzteile. Die gesamte A/B/C-Serie ist ebenfalls als PoE-Variante erhältlich. Mehr Power – IEEE 802.3at Draft Die IEEE hat unter dem Kürzel 802.3at eine Arbeitsgruppe zur Weiterentwicklung von Power over Ethernet gebildet. Ziel der auch als PoE+ bezeichneten Initiative ist es, über die vier Adern eines Minimum-Ethernet- Kategorie-5-Kabels bis zu 56 Watt Leistung zu übertragen. Damit wird es möglich Geräte mit höherem Leistungsbedarf wie z.B. 802.11n Access Points direkt über ein Kabel mit Strom zu versorgen. Enterasys Networks— Networks— Solution Guide 2012 93 Secure Networks™ Standard Based Availability In der heutigen Zeit ist Business ohne Nutzung von IT und dem darunter liegenden Netzwerk fast nicht mehr denkbar. Dementsprechend wichtig ist es, dass das Netzwerk und die darauf laufenden Services permanent zur Verfügung stehen. Um die Verfügbarkeit beliebiger Systeme ganzheitlich zu realisieren, muss auch hier vor allem auf Standards gesetzt werden. Redundanz Woraus besteht hohe Verfügbarkeit? Typischerweise versteht man darunter, dass die über das Netzwerk operierenden Dienste wie VoIP, SAP, etc. weitgehend unbeeinflusst von Ausfällen oder Umstrukturierungen im Netzwerk bleiben. Um das zu realisieren, müssen die einzelnen Schichten der Netzwerkkommunikation einzeln betrachtet und gesichert werden. Für die eigentliche Sicherung gibt es zwei grundlegende Ansätze: Zum Einen die zu sichernde Komponente so stabil wie möglich zu machen, zum Anderen eine Redundanz (zum Beispiel in Form eines zweiten Gerätes) bereitzuhalten, durch die alle Funktionen der ausgefallenen Komponente übernommen werden. Im Folgenden werden die einzelnen Schichten zusammen mit den verfügbaren Redundanzen vorgestellt. Layer1 – physikalische Redundanzen In der physikalischen Schicht betrachtet man grundlegende Dinge, wie eine redundante Stromversorgung durch mehrere Netzteile, verbunden mit verschiedenen Versorgungspfaden. Ein wichtiger Aspekt ist auch die physikalische Absicherung der Standorte von Netzwerkkomponenten – was nutzt die sicherste Firewall, wenn sie öffentlich zugänglich in einem nicht abgeschlossenen Rack im Lager steht? Datenübertragungsschicht Auf der Datenübertragungsschicht oder Layer 2 gibt es in Abhängigkeit der eingesetzten Technologie verschiedene Verfahren, um Redundanzen zu ermöglichen. In der Regel bestehen diese immer aus zusätzlichen Leitungen bzw. physikalischen Übertragungswegen in einem Layer 2 Netzwerk (auch Broadcast Domain genannt). Bei Ethernet wurde diese Redundanz erstmalig mit dem Spanning Tree Algorithmus möglich. Dazu wurden Weiterentwicklungen, wie Rapid Spanning Tree und Spanning Forest, geschaffen, um schnellere Konvergenz im Fehlerfall und Verwaltung von Spanning Trees in einer VLAN Umgebung möglich zu machen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 94 Link Aggregation IEEE 802.3ad Sind zwei Switche durch mehrere physikalische Links verbunden, so kann dies aus reinen Redundanzzwecken sein. In diesem Fall kann man eine Redundant Port Lösung auf Layer 1 oder Spanning Tree als Protokoll auf Layer 2 einsetzen, um Loops und damit Broadcast Storms zu verhindern. Link Aggregation Eine bessere und gerne genutzte Möglichkeit ist aber, diese physikalischen Links zu einem logischen Link zu bündeln und so gleichzeitig Redundanz und höhere Bandbreiten zu schaffen. Diese Technik hieß früher auf den Enterasys Komponenten Smarttrunk, heute unterstützen alle neuen Enterasys Switche den entsprechenden Standard nach IEEE 802.3ad - Link Aggregation. Während es zwar möglich ist, die Bündelung der physikalischen Links und den daraus resultierenden virtuellen Link statisch zu konfigurieren, ist es besser, ein entsprechendes Kontrollprotokoll zu nutzen. Durch das Kontrollprotokoll ist es möglich zu überprüfen, dass die dazugehörigen Links auch sauber laufen und beide Switche darin übereinstimmen, welche Ports zu dem virtuellen Link gehören. Frühere Smarttrunk Lösungen nutzten das so genannte Huntgroup Protokoll. Switche, die nach dem Standard IEEE 802.3ad arbeiten, kommunizieren über LACP Link Aggregation Control Protocol. Dabei werden virtuelle Links gebildet, die als LAG - Link Aggregation Group, bezeichnet werden. Wichtig ist, dass alle Links, die einem virtuellen LAG Port angehören, gleich konfiguriert sind. Sie müssen Full Duplex sein und die gleiche Geschwindigkeit haben. Dieser virtuelle LAG Port wird dann in der Konfiguration der Switche genutzt wie ein ganz normaler physikalischer Port, kann also zum Beispiel einem VLAN zugehören oder als 802.1q Trunk definiert werden. Enterasys Networks— Networks— Solution Guide 2012 95 Secure Networks™ In einem chassisbasierten System ist es möglich, einen LAG mit Ports verschiedener Module zu bilden, das Gleiche gilt für ein stackbasiertes System mit mehreren Switchen. Dies erhöht die Ausfallsicherheit, denn selbst falls ein ganzes Board ausfällt, ist weiter eine Verbindung zwischen den beiden chassisbasierten Switchen gegeben. Der Standard IEEE 802.3ad bietet eine Interoperabilität zwischen verschiedenen Herstellern. Zusätzlich sind einige Switche von Enterasys Networks, wie zum Beispiel die N-Serie, in den Default Einstellungen schon so vorkonfiguriert, dass sie automatisch einen LAG bilden, wenn sie mit einer entsprechenden Gegenstelle verbunden werden. Sollte es aber nötig sein, einen Enterasys Switch mit einer Gegenstelle zu verbinden, die kein LACP unterstützt, so kann man den LAG auch statisch konfigurieren. Man verzichtet dann zwar auf das Kontrollprotokoll, das vor Fehlern und Netzproblemen durch Miskonfiguration schützt, kann aber trotzdem die Vorteile eines virtuellen, gebündelten Links nutzen. Der Traffic kann nach verschiedenen Methoden auf die physikalischen Links verteilt werden. Möglichkeiten sind zum Beispiel durch ein einfaches Round Robin Verfahren gegeben oder basierend auf MAC oder IP Adressen der Pakete. Meist bietet die Untersuchung von Absende- und Ziel-IP eine ausgewogene Verteilung auf die physikalischen Links. Diese Methode ist daher auch der Default auf der S-Serie. IEEE 802.3ad und Spanning Tree schließen sich natürlich nicht aus. Während 802.3ad Link Aggregation immer zwischen zwei direkt miteinander verbundenen Switchen läuft, kann und sollte man weiterhin Spanning Tree nutzen, um Loops im gesamten Layer 2 geswitchten Netz zu verhindern. Spanning Tree betrachtet dann bei der Berechnung des aufspannenden Baumes den logischen LAG Port anstatt der dazugehörigen physikalischen Ports; auch die Kosten für diesen virtuellen LAG Port entsprechen dabei der Summe der Bandbreiten aller zugehörigen physikalischen Ports. Spanning Tree IEEE 802.1d Der Spanning Tree Algorithmus verhindert Loops auf der Datenübertragungsschicht. Die Notwendigkeit entsteht dadurch, dass Broadcasts in einem Ethernet-Netzwerk, in dem redundante Pfade vorhanden sind, unendlich lang kreisen und somit die verfügbare Bandbreite immer weiter verringern bis kein normaler Datenverkehr mehr möglich ist. Der heutzutage gebräuchliche 802.1d Standard ging aus der von Radia Perlman für die Firma DEC entwickelten, ersten Implementierung des Algorithmus hervor. Um Loops zu verhindern, tauschen die Netzwerkkomponenten (Switche) eines Layer 2 Netzwerks untereinander Nachrichten aus, die vom normalen Datenverkehr unterscheidbar sind. Anhand dieser Nachrichten wird dann eine der Komponenten zur Wurzel eines Baumes gewählt. Alle anderen Komponenten gliedern sich in diesen Baum ein. Pfade, die nicht innerhalb dieses Baums liegen (dass heißt redundante Pfade) werden dabei ausgeschaltet. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 96 Wenn ein neuer Switch oder Link hinzugefügt wird oder ein Switch ausfällt, wird dieser Baum neu berechnet. Solange dieser Baum nicht vollständig aufgebaut ist, leiten die Switche nur die Nachrichten weiter, die Informationen enthalten, die für das Aufbauen des Baumes relevant sind. Dass heißt, solange der Baum nicht vollständig ist, ist der normale Datenverkehr im Netzwerk unterbrochen. Die Neuberechnung des Baumes dauert typischerweise bis zu 60 Sekunden. Zur Konfiguration von Spanning Tree auf Enterasys Komponenten finden Sie weitere Informationen unter: http://secure.enterasys.com/support/manuals/hardware/STP.pdf Rapid Spanning Tree IEEE 802.1w Der 802.1d Spanning Tree Algorithmus wurde zu einer Zeit entwickelt, in der es ausreichend war, wenn sich das Netz nach einem Ausfall in einem Zeitraum von circa einer Minute erholte. Heutzutage sind solche Ausfallzeiten nicht mehr akzeptabel. Daher wurde der Spanning Tree Standard zum Rapid Spanning Tree Standard (RSTP) weiterentwickelt, um schnellere Konvergenzzeiten zu ermöglichen. Prinzipiell wurde die Art und Weise der Berechnung des Baumes beibehalten. Die Nachrichten, die unter den Switchen ausgetauscht werden, enthalten nun mehr Informationen. Außerdem wurde die Verarbeitung der Nachrichten verbessert. Die wichtigste Neuerung im 802.1w Standard war die Möglichkeit, einen Port schneller in den Forwarding Modus zu bringen, in dem normale Datenpakete ausgetauscht werden können. Im alten Standard wurden die Ports erst dann aktiviert, wenn der gesamte Baum konvergiert war. Der neue Standard ist in der Lage sicherzustellen, dass ein Port früher aktiviert werden kann, hierfür können Endnutzerports als so genannte Edge Ports konfiguriert werden, die dann beim Aktivieren des Ports sofort aktiv werden (die entsprechende Konfigurationsoption heißt adminedge= true). Außerdem können auch Ports in der Infrastruktur im Fehlerfall schneller auf einen alternativen Port Richtung Root umschalten, da die RSTP Switches aktiv Rückmeldungen austauschen können. In entsprechend konfigurierten Netzwerken kann die Konvergenzzeit des Baums so auf wenige hundert Millisekunden gesenkt werden. VLANs IEEE 802.1q VLANs erlauben es, einen Switch mit einer Vielzahl physikalischer Ports logisch zu unterteilen, so dass bestimmte Portgruppen jeweils verschiedene Broadcast Domains bilden, obwohl sie physikalisch zum gleichen Switch gehören. Der IEEE 802.1q Standard erlaubt es, die Daten aus solchen logisch getrennten Portgruppen eindeutig (für die jeweilige Gruppe) zu kennzeichnen und sie in dieser Form zu einem anderen Switch zu transportieren. Der Link, über den diese markierten Pakete transportiert werden, wird in der Regel Trunk genannt. Dort können die Enterasys Networks— Networks— Solution Guide 2012 97 Secure Networks™ Daten wieder den einzelnen Gruppen zugeordnet werden und, falls diese Gruppen auf diesem Switch ebenfalls existieren, zu den entsprechenden Ports geschickt werden. Man ist also in der Lage, eine logische Broadcast Domain-Struktur über eine physikalisch vorgegebene Struktur von untereinander verkabelten Switches zu legen. Dadurch können die Mitarbeiter einer Abteilung mit ihren Rechnern in derselben Broadcast Domain sein, obwohl die Abteilung auf verschiedene Gebäude verteilt ist. Multiple Spanning Trees IEEE 802.1s Multiple Spanning Trees (MST) ist eine Ergänzung des 802.1q Standards. Der 802.1w Rapid Spanning Tree Standard wurde erweitert, um mehrere Spanning Trees zu unterstützen. Diese Ergänzung erlaubt sowohl schnelle Konvergenz als auch Load Sharing in einer VLAN Umgebung. Mit MST wird es möglich, mehrere Spanning Tree Instanzen über Trunks hinweg aufzubauen. Dabei können in Gruppen zusammengefasste VLANs einzelnen Spanning Tree Instanzen zugeordnet werden. Die einzelnen Instanzen können dabei unabhängig voneinander verschiedene Topologien haben. Dafür werden die Spanning Tree Parameter wie Root Priorität, etc. für jede Instanz angepasst. Damit wird ein Load Sharing für unterschiedliche VLAN Gruppen über redundante Layer 2 Wege möglich. MST benutzt dabei eine modifizierte Variante des Rapid Spanning Tree Protokolls, genannt das Multiple Spanning Tree Protocol (MSTP) oder IEEE 802.1s. Netzwerkschicht Auf der Netzwerkschicht wird Redundanz hauptsächlich durch intelligente Routingprotokolle wie OSPF und die Verbesserung der Erreichbarkeit des Default Gateways mit VRRP erreicht. Um dies sinnvoll zu ermöglichen, müssen schon auf der Netzwerkebene verschiedene Wege zum selben Ziel vorhanden sein. Open Shortest Path First Open Shortest Path First (OSPF, RFC 2328) ist ein hierarchisch aufgebautes Link State Routingprotokoll und hat sich als De-Facto-Standard für Interior Gateway Protokolle entwickelt. Im Gegensatz zu BGP (Border Gateway Protokoll), das als Exterior Gateway Protokoll für das Routing zwischen autonomen Systemen genutzt wird, dienen Interior Gateway Protokolle dazu Routinginformationen innerhalb einer Organisation auszutauschen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 98 Distance-Vector-Protokolle, wie RIP, sind dafür mittlerweile meist ungeeignet, da diese sehr schlechte Konvergenzzeiten aufweisen. Und Ausfallzeiten bis zu mehreren Minuten sind in heutigen Netzwerken nicht mehr zu tolerieren. Link State Protokolle arbeiten eventgesteuert, die Informationen über Topologieänderungen werden sofort durch das ganze Netz geflutet. Alle Router reagieren sofort darauf und berechnen bestehende Ersatzwege. Somit haben Link State Protokolle Konvergenzzeiten im Sekundenbereich. Diese schnellen Berechnungen von Ersatzwegen werden dadurch möglich, dass bei Link State Protokollen die gesamte Topologie eines Netzes allen Routern bekannt ist; gespeichert in der Topologie-Datenbank. Da dadurch außerdem die periodische Verbreitung der gesamten Routinginformationen nicht mehr notwendig ist, arbeiten Link State Protokolle ressourcenschonender als Distance-Vector-Protokolle. Der hierarchische Ansatz von OSPF macht dieses Routingprotokoll skalierbar, OSPF eignet sich daher auch für sehr große Netze. Die Hierarchie basiert auf einem zweistufigen Area Konzept. Es gibt eine zentrale Backbone Area, an die alle anderen Areas direkt angebunden sind. Durch Verfahren wie Route Summarization und das Definieren von Areas als Stub Area oder Not-So-Stubby Area (NSSA, RFC 3101) wird die Auswirkung von Topologieänderungen auf das gesamte Netz minimiert. OSPF Area Konzept Enterasys Networks— Networks— Solution Guide 2012 99 Secure Networks™ OSPF ist im Moment das Standard Protokoll für Routing innerhalb des eigenen Netzwerks. Als offener Standard, der von allen Herstellern unterstützt wird, bietet es Kompatibilität zwischen allen Komponenten. Die schnellen Konvergenzzeiten, die OSPF als Link State Protokoll besitzt, sind für heutige Netze unverzichtbar. Der hierarchische Ansatz unterstützt die Implementierung in Netzwerken jeder Größe. Netze mit OSPF als Routingprotokoll sind mit dem entsprechenden Netzwerkund Adressdesign einfach zu erweitern. Als modernes Routingprotokoll unterstützt OSPF natürlich VLSM (Variable Length Subnet Mask) und ermöglicht so Optimierungsverfahren wie Route Summarization. Auf Grund seiner allgegenwärtigen Präsenz wurde OSPF auch als Routingprotokoll für das aufkommende IP Protokoll IPv6 spezifiziert (RFC 2740) und wird auch in Zukunft nicht aus den Netzwerken wegzudenken sein. Equal Cost Multi Path (ECMP) Ein Paket kann in einem gerouteten Netzwerk über unterschiedliche, gleichwertige Pfade ans Ziel gelangen. Bei “Equal Cost Multi Path” werden diese Pfade gleichzeitig zur Lastverteilung genutzt. Eine Redundanz wird hiermit jedoch nicht gewährleistet, dafür muss das darunterliegende Routingprotokoll sorgen. Bei Verwendung von ECMP wählt der Router an dem sich der Pfad gabelt, unterschiedliche next-hops für die Pakete. Idealerweise sollten sich die Pakete natürlich gleichmäßig auf die beiden Pfade verteilen, was natürlich mit paketeweisem Aufteilen am einfachsten möglich wäre. Dies ist aber in der Regel nicht sinnvoll, da es dann zu unterschiedlichen Laufzeiten und Paketreihenfolgen kommen kann. Es wird meist versucht, die Pakete flowbasiert, dass heißt Absender-IP/Ziel-IP oder AbsenderIP+Port/Ziel-IP+Port -basiert aufzuteilen, da die zu einer Kommunikation gehörigen Pakete dann den gleichen Weg nehmen. Prinzipiell kann ECMP in jedem gerouteten Netzwerk verwendet werden. In der Regel wird die maximale Anzahl der Pfade gleicher Qualität (in Einheiten der Metrik des entsprechenden Routingprotokolls) allerdings beschränkt. Virtual Router Redundancy Protocol Das Virtual Router Redundancy Protocol (VRRP, RFC 2338) dient dazu, dem Benutzer Redundanz bezüglich des Default Gateways zur Verfügung zu stellen. Während Router untereinander Routing Protokolle nutzen, um die aktuellsten Routing Informationen auszutauschen und so bei einem Ausfall Ersatzwege zu lernen und zu nutzen, haben sehr viele Endclients statische Einträge für das Default Gateway. Was nun, wenn dieser Router ausfällt? Selbst wenn es einen Ersatzweg gibt, wie sollen die Clients darauf reagieren? Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 100 VRRP Konzept Die Lösung dazu liefert das Protokoll VRRP. Die Grundidee besteht darin, einen virtuellen Router zu nutzen und diese IP Adresse als Default Gateway auf den Hosts zu konfigurieren. Die physikalischen, redundanten Router kommunizieren dann über das Protokoll VRRP und handeln aus, wer die Routing Aufgabe des Default Gateways übernimmt. Dieser Router wird dann als Master bezeichnet, weitere redundante Router sind Backup Router. Fällt der Master aus, so wird das über VRRP erkannt und einer der Backup Router übernimmt die Aufgabe des Masters. Für den Client ist das absolut transparent. Damit es keine Probleme bezüglich der ARP Einträge gibt, nutzt der virtuelle Router eine zugehörige, für VRRP reservierte MAC Adresse. Emulation eines virtuellen Routers Enterasys Networks— Networks— Solution Guide 2012 101 Secure Networks™ So dient VRRP dazu, den Single Point of Failure, den die statische Konfiguration eines Default Gateways darstellt, zu eliminieren. Normalbetrieb VRRP Redirection im Fehlerfall Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 102 Durch die Konfiguration von zwei virtuellen Routern kann man eine zusätzliche Lastverteilung auf die redundanten Geräte erreichen. Man nutzt zwei virtuelle IP Adressen, jeder der Router ist dann für eine der beiden Adressen der Master, für die andere der Backup Router. Zusätzlich müssen die Clients dementsprechend entweder mit der Einen oder der anderen IP Adresse als Default Gateway konfiguriert werden. Eine gleichmäßige Verteilung kann man zum Beispiel mit dem Dynamic Host Configuration Protocol (DHCP) erreichen. So werden beide Router als Default Gateway genutzt und man hat Lastverteilung in Kombination mit Redundanz. Weitere Informationen findet man im zugehörigen RFC 2338. Server Load Balancing Heutige Netzwerkdesigns sind, unter Zuhilfenahme von Protokollen wie Virtual Router Redundancy Protocol (VRRP) und Open Shortest Path First (OSPF), meist schon redundant ausgelegt. Die Redundanz hat aber oft ihre Grenzen, wenn es um den Anschluss der Server geht. Auch hier muss die Netzwerkkomponente eine entsprechende Lösung bereitstellen. Server Load Balancing oder Load Sharing Network Address Translation bezeichnen das Konzept wichtige Server redundant auszulegen, um somit sowohl Ausfallsicherheit als auch höhere Performance zu erreichen. Die Produkte von Enterasys realisieren dies über eine Implementierung des RFC 2391 Load Sharing Network Address Translation (LSNAT). Dabei wird auf Anfragen an einen virtuellen Server (IP) reagiert und die Anfragen werden entsprechend auf reelle Serveradressen umgesetzt - in Abhängigkeit des angesprochenen Layer 4 Ports. Zwischen den reellen Servern werden dann die Anfragen nach wählbaren Algorithmen, wie zum Beispiel Round-Robin, Weighted Round-Robin oder Least Weighted Load First, verteilt. Parallel dazu überprüft man die Verfügbarkeit der Server und verteilt die Anfragen beim Ausfall eines Servers auf die verbleibenden Serversysteme. Verwendung von LSNAT Enterasys Networks— Networks— Solution Guide 2012 103 Secure Networks™ Dieses System sorgt zum Einen für eine sehr gute Ausfallsicherheit, zum Anderen kann dieses virtuelle Serversystem sehr gut skalieren, da man beliebig viele Server hinzufügen kann. Diese Server müssen natürlich auf eine einheitliche Datenstruktur zugreifen, was von dem Betriebssystem der Server unterstützt werden muss. Unter Verwendung dieser Methode und der weiter oben beschriebenen Redundanzverfahren lässt sich damit folgendes Szenario realisieren: Business Continuity Services Scenario Hier ist einmal der Zugang des Hosts zum Netz via VRRP redundant ausgelegt; außerdem werden die Anfragen am Ziel, dass heißt beim Server, per LSNAT verteilt. Die redundanten Wege können durch den Multi Path Support von OSPF beide genutzt werden. Bei einem Defekt sorgt die schnelle Konvergenz von OSPF für annähernd keine Ausfallzeit. Zwischen den Switchen werden 802.3ad Trunks gebildet, die höhere Bandbreite und weitere Redundanz zur Verfügung stellen. IPv6 Das Internet hat sich in den vergangenen Jahren von einem reinen Datennetzwerk zu einer Multi Service Plattform entwickelt. Neue Kommunikationsbeziehungen reichen von Multimedia Anwendungen über Peer-to-Peer (P2P) bis hin zu mobilen, kabellosen Technologien. Daher rückt im Zeitalter persönlicher und mobiler Endgeräte mit dauerhafter Internetanbindung das Protokoll IPv6 wieder ins Interessenblickfeld von Anwendern und Anbietern. Die neue Generation der aktuellen Version 4 soll den steigenden Anforderungen und dem rasanten Wachstum des Internets gerecht werden. Mit IPv6 sollen ganz neue, flexiblere Strukturen zur Verbindung der Knotenpunkte untereinander realisiert werden. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 104 Die vorhandene Adressknappheit unter IPv4 wird mit IPv6 der Vergangenheit angehören. Die heute weit verbreitete Technologie Network Address Transalation (NAT) wird genauso verschwinden wie Classless Inter Domain Routing (CIDR). IPv6 baut auf 128 Bit Adressen auf. Das ist viermal so viel wie heute unter IPv4. Das bedeutet, dass IPv6 in der Lage ist, die unvorstellbare Zahl von 665.570.793.348.866.943.898.599 Adressen/qm Erdfläche bereitzustellen. Die Angst vor einem Mangel an Adressen ist nicht unbegründet. Denn der Adressraum des jetzigen Internetprotokolls (IPv4) ist höchst unterschiedlich verteilt. So besitzt etwa das Massachusetts Institute of Technology (MIT) in Cambridge/USA ein Netz, in dem sich mit rund 16 Millionen Rechnern mehr Adressen ansprechen lassen als in ganz China. Doch im Web sind gerade 90.000 vom MIT verwendete Adressen zu identifizieren. Bei linearer Fortschreitung der Vergabepraxis für die restlichen IP Adressen sind Engpässe daher in wenigen Jahren vorgezeichnet. Zusätzlich, wie mit jeder neuen Technologie, kommt auch hier die Frage nach Sicherheit auf. War IPv4 ursprünglich nur zum einfachen Datenaustausch entwickelt worden, besitzt IPv6 von Anfang an Sicherheitsfunktionalitäten, die heutzutage elementar wichtig sind. Im Folgendem sollen diese näher beschrieben werden. Sicherheitsfunktionalitäten unter IPv6 IPv6 wurde im Jahre 1994 als Standard verabschiedet. Es hat die Grundfunktionen von IPv4 beibehalten, aber zukunftssichere Neuerungen implementiert, um den gestiegenen Anforderungen gerecht zu werden. Um die grundsätzlichen Vorteile von IPv6 in Bezug auf Sicherheit zu verstehen, ist es wichtig, das Protokoll näher zu betrachten. Erhöhter Adressraum im IPv6 Datengrammformat Prinzipiell besteht ein IPv6-Datengramm aus dem Basis Header gefolgt von den optionalen Zusatz Headern und den Nutzdaten. Allgemeine Form eines IPv6IPv6-Datengramms Enterasys Networks— Networks— Solution Guide 2012 105 Secure Networks™ Der Ipv6 Basis Header ist doppelt so groß wie der Ipv4 Header. Der Ipv6 Basis Header enthält weniger Felder als der Ipv4 Header, dafür ist aber die Adressgröße für die Quell- und Zieladresse von bisher 32 Bit auf nunmehr 128 Bit erweitert worden. IPv6 Basis Header Erweiterungsheader Die wichtigste Erweiterung bei IPv6 im Vergleich zu IPv4 ist das Konzept der Erweiterungsheader, um eine effiziente Datenübertragung und eine Erweiterung des Protokolls zu ermöglichen. Der Basis Header enthält nur Felder, die unbedingt für die Übermittlung eines Datengramms notwendig sind. Erfordert die Übertragung weitere Optionen, so können diese über einen Erweiterungsheader angegeben werden. IPv6 sieht vor, dass einige Merkmale des Protokolls nur gezielt benutzt werden. Ein gutes Beispiel ist hier die Fragmentierung von Datengrammen. Obwohl viele Ipv4 Datengramme nicht fragmentiert werden müssen, enthält der Ipv4 Header Felder für die Fragmentierung. IPv6 gliedert die Felder für die Fragmentierung in einen separaten Header aus, der wirklich nur dann verwendet wird, wenn das Datengramm tatsächlich fragmentiert werden muss. Dies ist bei IPv6 höchst selten, da hier in der Regel mittels Path MTU Discovery (RFC 1981) die maximale Paketgröße via ICMPv6 ausgehandelt wird. Daher sollte IPv6 Fragmentierung nur genutzt werden, wenn die Anwendungen nicht ihre Paketgrößen individuell adaptieren können. Ein weiterer wesentlicher Vorteil des Konzepts der Erweiterungsheader ist die Erweiterung des Protokolls um neue Funktionen. Es genügt, für das Feld Next Header einen neuen Typ und ein neues Header Format zu definieren. IPv4 erfordert hierzu eine vollständige Änderung des Headers. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 106 Derzeit sind 6 optionale Erweiterungsheader definiert. Werden mehrere Erweiterungsheader verwendet, so ist es erforderlich sie in einer festen Reihenfolge anzugeben. IPv6 Erweiterungsheader nach RFC 2460, 2402 und 2406: Header Beschreibung Ipv& Basis Header Zwingend erfoderlicher IPv6 Basis Header Optionen für Teilstrecken Verschiedene Informationen für Router (Hop-by-Hop Options Header) Optionen für Ziele Zusätzliche Informationen für das Ziel (Destination Options Header) Routing Definition einer vollständigen oder teilweisen Route (Routing Header) Fragmentierung Verwaltung von Datengrammfragmenten (Fragment Header) Authenfizierung Echtzeitsüberprüfung des Senders (Authentication Header) Verschlüsselte Sicherheitsdaten Informationen über den verschlüsselten Inhalt (Encapsulating Securtiy Payload Header) Optionen für Ziele (Destination Options Header) Header der höheren Schichten (Upper Layer Header) Zusätzliche Informationen für das Ziel (für Optionen, die nur vom endgültigen Ziel des Pakets verarbeitet werden müssen) Header der höheren Protokollschichten (TCP, UDP,...) Nach Sicherheitsgesichtspunkten sind zwei Erweiterungsheader interessant, die eine Integrität der Daten bereitstellen. Enterasys Networks— Networks— Solution Guide 2012 107 Secure Networks™ Authentisierung Mit Hilfe des Authentication Headers ist es möglich, die Echtheit eines Paketes zu überprüfen sowie die Unversehrtheit der Daten während ihrer Übertragung zu garantieren. Mit Hilfe einer Sequenznummer kann sich der Empfänger vor Angriffen schützen, die aus einer mehrmaligen Wiederholung des selben Paketes hervorgehen können. Der Authentication Header (AH) ist dabei identisch mit dem von IPv4 unter der Nutzung von IPSec. Bei der Anwendung der Authentisierung wird zwischen zwei Verfahren unterschieden - dem Transportmodus und dem Tunnelmodus. Verschlüsselte Sicherheitsdaten Der Encapsulating Security Payload (ESP) Header wird verwendet, um vertrauliche Daten zu verschlüsseln und ihre Unversehrtheit zu garantieren. Außerdem bietet ESP einen wirksamen Schutz vor so genannten Data-Replay Attacken. Wie auch bei der Authentisierung unterscheidet man bei der Anwendung der Verschlüsselung zwischen dem Transportmodus und dem Tunnelmodus. Die erste Variante wird bei der Kommunikation zwischen zwei Rechnern verwendet. Im Normalfall geht man hier davon aus, dass sich die Rechner nicht kennen bzw. keine gültigen Keys für eine Verbindung besitzen. Es muss daher von einem Trust Center von beiden Rechnern ein One Session Key angefordert werden, welcher dann für eine begrenzte Zeit Gültigkeit hat. Der IP Header selbst bleibt beim Transportmodus unverschlüsselt, so dass Hacker Informationen darüber erhalten können, wohin ein Rechner Verbindungen aufbaut und wann er wie viele Daten sendet. Zur Verbindung von zwei Firmennetzen über öffentliche Leitungen bietet sich daher der Tunnelmodus an. Hier ist nach außen hin nur die Kommunikation der beiden Router sichtbar; weitere Informationen werden nicht nach außen bekannt. Sollte bei der Übertragung der AH Header ausschließlich genutzt werden, sind IPv6 fähige Firewalls sogar in der Lage, die höheren Schichten im Datenpaket zu überprüfen und somit Pakete zu sperren oder frei zu schalten. ICMPv6 ICMPv6 ist integraler Bestandteil der Ipv6 Protocol Suite. Es wird zum Beispiel für die Auto Configuration Funktion innerhalb IPv6 genutzt, bei dem die Clients automatisch eine IPv6 Adresse beziehen. Auch das Neighbour Discovery läuft über einen bestimmten Typ innerhalb ICMPv6. Viele Firewalls filtern jedoch die ICMP Messages; teilweise wird diese Art des Verkehrs auch komplett geblockt. Unter IPv6 ist es aber wichtig, dass bestimmte Typen unbedingt zugelassen werden. Daher müssen beim Ausrollen von IPv6 zwangsläufig die Firewalls mit betrachtet werden. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 108 Es muss zudem auch sichergestellt werden, dass keine unerlaubten ICMP Messages vom Zugangspunkt zur Infrastruktur geschickt werden. DHCP- und DNS-Server sind meistens bekannt und befinden sich im Inneren des Netzes. Daher können diese Pakettypen auch am Zugangspunkt heraus gefiltert werden, wie es Enterasys im Rahmen der Secure Networks™ Architektur macht. IP bleibt IP Es bleibt festzuhalten, dass sowohl IPv6 als auch IPv4 reine Transportprotokolle sind. Attacken, die auf höheren Ebenen, wie Buffer Overflow oder Angriffe auf WEB Applikationen, sind bei beiden IP Varianten möglich. IKE aus der IPSec Protokollsuite oder auch IEEE 802.1x sind als weitere Sicherheitsmechanismen unumgänglich, um zukünftig Attacken wie Flooding und Man-in-the-Middle zu verhindern oder die Erkennung und Entfernung von „Rogue Devices“ zu ermöglichen. Simple Network Management Protocol Simple Network Management Protocol (SNMP) ist das Standard Protokoll, welches von Netzwerk Management Systemen verwendet wird, um mit entfernten Netzwerkkomponenten zu kommunizieren. Es wird dazu verwendet, deren Konfiguration und Leistungsinformationen auszulesen. Die erste Version dieses Protokolls, SNMPv1, wurde 1988 veröffentlicht und lieferte fortgeschrittene Möglichkeiten zum entfernten Netzwerk Management. Es wird heute noch von den meisten der konkurrierenden Netzwerk Management Systemen auf dem Markt verwendet. Da SNMPv1 ursprünglich entwickelt wurde, um die Ressourcen der Rechner zu schonen, verwendete es einen minderwertigen Authentifizierungsmechanismus zur Sicherung der Kommunikation. Dieser bestand aus einem einfachen Klartextpasswort, dem Community String. Daher wurden und werden vielerorts immer noch IP adressbasierte Accesslisten als Zugriffsbeschränkung für SNMPv1 verwendet, was in Anbetracht der Tatsache, dass SNMP auf dem verbindungslosen UDP-Protokoll aufbaut, natürlich auch wieder eine Sicherheitslücke ist. Das liegt daran, dass die Absenderadresse des IP Pakets nicht stimmen muss, da kein Handshake zum Aufbau einer Verbindung benötigt wird. Mit SNMPv2 wurden einige neue Methoden für das Protokoll bereitgestellt. Es gab auch mehrere Ansätze, um die Sicherheitsproblematik in den Griff zu bekommen. Davon hat sich jedoch keiner wirklich durchgesetzt. Mit der Weiterentwicklung der Netzwerke wurde die sichere Kommunikation zwischen Managementstation und Netzwerkkomponenten immer wichtiger. Die aktuellste Version des Protokolls, SNMPv3, erhöhte die Sicherheit der Kommunikation durch Authentifizerung, Verschlüsselung und Zugriffskontrolle. Enterasys Networks— Networks— Solution Guide 2012 109 Secure Networks™ SNMPv3 (RFC 2571-2575) definiert verschiedene Security-Modelle. Die nutzerbasierte Zugriffskontrolle wird durch die Definition von Views (View Based Access Control Model (VACM)) ergänzt. Die Nutzer erhalten dadurch nur Zugriff auf Teilbereiche der MIB. Enterasys Networks unterstützt SNMPv3 in fast allen Geräten. Selbstverständlich wird es auch von allen Komponenten der NMS Suite unterstützt. Multi Protocol Label Switching (MPLS) MPLS wurde aus den Technologien von IBM ARIS, Ascend IP Navigator, Ipsilon IP Switching und Cisco TAG Switching in den 90er Jahren entwickelt und standardisiert. Das erste Ziel dieser Technologien war die Beschleunigung des Routing Prozesses (des Forwarding Prozesses, um genau zu sein) durch die Fokussierung auf das so genannte Label: Dass heißt ein Router musste nicht mehr den gesamten IP Header lesen, um eine Entscheidung zu treffen - nur noch das dem IP Header vorangestellte Label musste ausgewertet werden. Dies half insbesondere den Service Providern beim Wachstum ihrer Netze. Durch die neuen Generationen von Hardware bzw. NPU (Network Processor Unit) -basierten Routern ist dieser Vorteil in den Hintergrund getreten. Heutzutage stehen andere Funktionen für die Service Provider (SP) im Vordergrund: MPLS kann auf vielen Arten genutzt werden, einige der häufigen Anwendung sind: Layer 2 oder Layer 3 Virtual Private Networks (VPN) VPN Services erlauben es einem Service Provider oder Träger öffentlichen Netzes das Äquivalent dedizierter Private Network Services für mehrere Kunden über ein gemeinsames Netz bereitzustellen, während die strikte Trennung des Traffics dieser Kunden gewährleistet ist. Obwohl es verschiedene Ansätze gibt VPN Services mit MPLS zu erstellen, können alle diese Ansätze entweder als Layer 2 Switched Services oder als Layer 3 Routed Services eingestuft werden. Ein Hauptgrund, dass MPLS neuerdings bei Campus Unternehmensnetzwerken in Betracht gezogen wird, ist, dass Kunden gern die Vorteile und Services, die in Service Provider Netzen implementiert werden, nutzen möchten. Traffic Engineering (MPLS (MPLS--TE) Traffic Engineering ist die häufigste Anwendung für MPLS in Service Provider Netzwerken. Traffic Engineering ist die Nutzung von MPLS in großen, komplexen WANs, um die Ausnutzung der teuren Langstrecken-Links zu optimieren und die Kontrolle von Traffic Flows in diesen Netzwerken zu verbessern. MPLS-TE ist eine Anwendung, deren primärer Wert das Bedienen der Provider mit sehr großen nationalen oder globalen WANs ist. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 110 MPLS arbeitet auf einem OSI Layer, welches zwischen den traditionell definierten Layern 2 (Daten Link Layer) und 3 (Netzwerk Layer) liegt und oft „Layer 2.5“ Protokoll genannt wird. MPLS Header Layer 2.5 mit Bottom und Top Label Während die MPLS Technologie in Service Provider Netzwerken gewöhnlich ist, ist es nicht gängig in Unternehmensnetzwerken. Unternehmen nutzen oft die MPLS Netzwerke von Service Providern, um entfernte Lokationen anzubinden, aber normalerweise ist die MPLS Infrastruktur ist völlig transparent für das Unternehmensnetzwerk. Der Traffic des Unternehmens wird in seinem ursprünglichen Format (ohne MPLS Labels) an den Router des Service Providers geschickt. Der Service Provider ist dafür verantwortlich Labels hinzu zu fügen oder weg zu nehmen. Das Unternehmensnetzwerk hat keinerlei Wissen über den Aufbau der MPLS Infrastruktur des Service Providers. Ein VPN Service kann durch eine Architektur aufgewertet werden, die den L3 VPN Service Layer von einem darunter liegenden Transport Layer trennt. In diesem Modell sind die Provider Edge Router VPN-bewusst und die Core Router stellen Transport Services für den VPN Traffic bereit, ohne VPNs erkennen zu müssen. Das Transport Layer bietet Konnektivität und Hochverfügbarkeitsservices durch MultiPath- und Redundanz-Fähigkeiten für den VPN Service Layer. Die Enterasys S-Serie wird Layer 3 VPN Funktionalitäten in verschiedenen Stadien liefern. Die folgenden Abschnitte beschreiben die heutige und zukünftige Technologie dazu. VRF Übersicht Auch wenn MPLS genutzt werden kann, um ein campus-weites Virtual Private Network zu implementieren, ist es einfacher Virtual Routing und Forwarding zu nutzen (VRF). VRF ist die Fähigkeit getrennte Routing Tabellen und Routing Prozesse in einem einzigen physikalischen Router zu haben, um getrennte Routing Domains zu kreiieren, was typischerweise innerhalb eines PE (Provider Edge) Routers in einem Service Provider MPLS Netzwerk genutzt wird. Innerhalb dieser Routing Domains kann man jegliche bekannte IP Routing Applikationen laufen lassen, die der Kunde schon implementiert hat—wie zum Beispiel OSPF, BGP oder RIP—aber ohne den Umstand ein komplettes Set an Protokollen und Technologien in das Netzwerk einführen zu müssen. Server Ressourcen im Data Center können getrennt werden, indem sie in getrennte Routing Domains platziert werden. Dies gewährleistet, dass eine komplette Trennung der Verbindungen zwischen verschiedenen Enterasys Networks— Networks— Solution Guide 2012 111 Secure Networks™ Gruppen passiert, aber der Vorteil eines einzigen Sets an physikalischen Routern und der Betrieb eines gemeinsamen Management Interfaces genutzt wird. Medizinische und industrielle Applikationen können vom Rest des Netzwerks getrennt und mit dedizierten Netzwerkressourcen versehen werden, was Sicherheit und Kontrolle des Zugriffs auf sensible Applikationen gewährleistet. VRF bietet eine einfache Lösung für Campus LAN Applikationen, die auf die Netzwerkgröße limitiert sind. Es müssen keine neuen, aufwändigen Protokolle oder Architekturen (zum Beispiel MPLS, RSVP, LDP, iBGP, etc.) in das LAN eingeführt werden, so dass das Engineering- und Administratoren-Personal nur minimales, zusätzliches Training benötigt. Es werden keine neuen Management oder Diagnose Tools benötigt—alle bekannten Protokolle, wie zum Beispiel OSPF und RIP, funktionieren unverändert innerhalb ihrer jeweiligen Routing Domains und bestehenden Netzwerk Protokoll Analysatoren. Appliances müssen nicht upgegraded werden, um MPLS Protokolle zu unterstützen. VRFs können Ende-zu-Ende im Netzwerk eingesetzt werden oder in Verbindung mit GRE Tunnel oder MPLS Labels. VRF, das kein MPLS nutzt, wird oft VRF-lite oder Multi-VRF Customer Edge genannt und wird als „Leichtgewicht-Version“ von MPLS gesehen, da es keine Protokolle oder Label Verteilungsprotokoll gibt. VRF Trennung innerhalb des Routers Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 112 S-Serie VRF Support Die Enterasys S-Serie unterstützt Ende-zu-Ende VRF, VRF over IPv4 and IPv6 GRE Tunnel. Im Ende-zu-Ende Modell gehört jedes geroutete Interface zu einem VRF und muss manuell auf allen Routern konfiguriert werden, die am VRF teilnehmen; was ermüdend und umständlich zu managen sein kann. Eine typische Faustregel ist, dass Ende-zu-Ende VRF passend ist für Netzwerke mit weniger als vier Router Hops von Edge-zu-Edge. VRF Core Router Einsatz Um das Skalieren von einem L3 VPN Service Set-Up zu vereinfachen und zu fördern, ist es wünschenswert die Konfiguration einer VRF Instanz auf Routern zu minimieren, welche dieses VRF für Edge Service nicht unterstützen müssen. Um die Konfigurationskomplexität zu reduzieren, können VRFs über GRE Tunnel zwischen PE Router unterstützt werden. Dies vereinfacht die Konfiguration der Core P (Provider) Router, welche nicht VRF-bewusst sein müssen. Ein GRE Tunnel wird für jeden VRF auf einem PE Router allen anderen VRF Instanzen auf PE Routern im Netzwerk vorgehalten. Dies eliminiert den Bedarf VRF Instanzen jedem Core Router vorzuhalten und führt so zu einer vereinfachten IP Core Routing Infrastruktur. Enterasys Networks— Networks— Solution Guide 2012 113 Secure Networks™ VRF over GRE Sowohl Ende-zu-Ende VRF und VRF over GRE Tunnel können sichere, dedizierte Routing Ressourcen für kritische Applikationen bereitstellen und bieten eine einfache Lösung für Campus LAN Applikationen, die in der Netzwerkgröße limitert sind, ohne eine neue Netzwerktechnologie, wie MPLS, einzuführen. MPLS Eine MPLS Architektur basierend auf einem Provider Provisioned VPN (PPVPN) Modell nutzt die Ansicht spezifischer Knoten in jedem Layer des Netzwerks: • P —Provider Core Knoten—wie der Name schon sagt, ist dieses Gerät im Core des Netzwerks und macht im Zusammenhang mit MPLS Forwarding Entscheidungen basierend auf MPLS Labels und hat keine Kenntnis über die Routing Infrastruktur des Kunden. • PE—Provider Edge Knoten—Dieses Gerät ist die Schnittstelle zwischen dem PE Provider Core Knoten und der Customer Edge. Der PE ist verantwortlich für das Hinzufügen der MPLS Label zum Traffic, sobald dieser in das Provider Netzwerk hineinkommt, und das Enfernen derselbigen bevor der Traffic ins CE kommt. • CE—Customer Edge—Dieses Gerät ist an der Edge des Netzwerks und hat CE keine Kenntnis von der MPLS Infrastruktur. Es schickt oder empfängt keinen Traffic mit MPLS Labels. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 114 MPLS Netzwerkübersicht Verschiedene VPN Modelle können innerhalb einer solchen Architektur eingesetzt werden: • Virtual Private Router Networks (VPRN, z.B. RFC 4364 oder RFC 4023), was ein virtuelles Layer 3 geroutetes Netzwerk erlaubt. • Virtual Leased Line Services (VLL, RFC 2764), welche eine Nachbildung eines Point-to-Point Link bereitstellt. • Virtual Private LAN Segment (VPLS)/Transparent LAN Service, welches ein Layer 2 bridged LAN nachbildet. MPLS VPN Übersicht RFC 4364 und RFC 4023 beschreiben eine Methode IP VPNs mit Hilfe von VRF, MPBGP und MPLS zu unterstützen. In diesem Zusammenhang gleicht ein VRF einem VPN. Routen werden per BGP verteilt und ein MPLS Label wird genutzt, um VPNs zu identifizieren. Mit BGP wir der Traffic isoliert und mit einem passenden MPLS Label versehen, um das VRF zu bestimmen. Das MPLS wird weiter mit entweder einem anderen MPLS Label oder einem IP oder Generic Routing Encapsulation (GRE) Tunnel Header (MPLS-in-IP-GRE) eingekapselt, so dass es über den Backbone an den richtigen Edge Router getunnelt wird. Folglich müssen die Backbone Core Router nicht die VPN Routen von jedem VRF kennen. Enterasys Networks— Networks— Solution Guide 2012 115 Secure Networks™ P Router ohne VRF Wissen S-Serie MPLS VPN Unterstützung Die S-Serie wird MPLS in einer Art und Weise unterstützen, die auf Unternehmenskunden fokussiert ist, die MPLS in einem Multi-Phasen-Ansatz benutzen. Phase 1 MPLS BGP VPNs / GRE (RFC 4023) - Da die Anzahl an L3 VPN Domainen und PE Knoten steigt, kann das Vorhalten eines separaten GRE Tunnels für jedes VRF die Konfigurationen komplexer machen. Um die Skalierung über die IP Core Infrastruktur weiter zu verbessern, MPLS kann auf dem L3 VPN Service Layer eingeführt werden. Wie im RFC 4023 definiert, MPLS kann genutzt werden, um Label Multiplexing für mehrere VRF Instanzen über einen einzigen vorgehaltenen GRE Tunnel bereit zu stellen; unabhängig von der Anzahl der VRFs zwischen zwei PE Routern. iBGP kann genutzt werden, um den Austausch von VPN Routing Informationen zu vereinfachen und die Anzahl der IGP Routing Instanzen, wie zum Beispiel OSPF oder RIP, die den Core über GRE Tunnel durchqueren müssen, zu reduzieren. Eine einzige Instanz von iBGP Peering vereinfacht Konfiguration und Management der PE Router im Vergleich zu einer VRF over GRE Implementation, welche einen GRE Tunnel für jeden gemeinsamen VRF zwischen zwei PE Routern benötigen. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 116 MPLS over GRE Phase 2 MPLS BGP L3 VPNs /dynamisch vorgehaltener Transport—In sehr großen VPN Aufbauten, kann das Vorhalten von GRE Tunnel zwischen vielen PE Routern sehr komplex und schwierig zu managen sein. Der nächste Schritt für verbessertes Skalieren ist, den Vorteil einer dynamisch provisionierten Infrastruktur zu nutzen, welche kein manuelles Vorhalten von Transport für L3 VPN Services benötigt. Es gibt alternative Transporttechnologien, die für diesen Zweck genutzt werden können. MPLS Core Transport—RFC 4364 definiert die Architektur für BGP/MPLS IP VPNs, welche einen MPLS-enabled Core nutzt, um LSP Tunnel zwischen PE Routern dynamisch zu provisionieren. Sobald neue PE Router vorgehalten werden oder neue VPN Instanzen hinzugefügt werden, hält die dynamische Anzeige der MPLS Infrastruktur die Vermaschung der LSP Tunnel vor, über welche die MPLS IP VPNs Services transportiert werden. RFC 4364 IP VPN Services werden gewöhnlich in großen Service Provider Netzwerken eingesetzt werden, welche bereits eine MPLSenabled Core Infrastruktur nutzen. Enterasys Networks— Networks— Solution Guide 2012 117 Secure Networks™ MPLS L3 BGP VPN unter Nutzung von RFC 4364 Shortest Path Bridging Transport—Der aufkommende IEEE 802.1aq Shortest Path Bridging (SPB) Standard definiert einen dynamisch provisionierten Transport Service, skalierbar für sehr große Strukturen. SPB—als eine Erweiterung des Ethernetbasierten Netzwerkens—zielt natürlich auf Aufbauten in rapide wachsenden Data Centers und Core Netzwerkapplikationen. Da SPB eine hoch skalierbare, dynamisch provisionierte Ethernet-basierte Infrastruktur mit Multi-Path und HochverfügbarkeitsFähigkeiten bietet, ist SPB ein idealer Kandidat für ein MPLS BGP L3 VPN Tranport Service für das Unternehmen. In SPB wird der Ansatz der BEB Backbone Edge Bridges und BCB Backbone Core Bridges genutzt. In diesem Modell werden die BEB und der PE ein einzelner Switch/Router. Da SPB von Hause aus multi-point transparente LAN Services ohne die zusätzliche Komplexität des VPLS bietet, ist der Vorteil von SPB ermöglichenden L3 VPN Services eine Architektur für die Ethernetzentrische Netzwerkumgebung der Unternehmensdienste. MPLS over SPB Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 118 MPLS bietet eine Möglichkeit, um VRF (Lite) Netze großen Unternehmensinfrastrukturen zu vereinfachen. Die Enterasys S-Serie mit seiner CoreFlow2 ASIC Architektur wird diese Technologie unterstützen, zusammen mit SPB Shortest Path Bridging in einem mulit-phased Ansatz via Software Upgrades. Dies festigt die Position der S-Serie als erstklassige Switch/Router Lösung für den Data Center, Core, Aggregation und Edge in der OneFabric Architektur. Software Defined Networking (SDN) Virtual Computing hat die Wichtigkeit von Netzwerkinfrastrukturen dramatisch erhöht. Nach Epochen von Mainframes, Client/Server und Internet Computing werden virtuelle Applikationen heutzutage in privaten und öffentlichen Clouds gehostet, was schließlich Erreichbarkeit für mobile Nutzer und Geräte von überall ermöglicht. Netzwerke wurden zu einer kritischen Komponente in solchen Infrastrukturen. Netzwerke werden mit Switchen, Routern und anderen Geräten in einer verteilten Art gebaut, um Verlässlichkeit zu skalieren und bereit zu stellen. In dieser verteilten Umgebung wurde es immer komlexer neue Ende-zu-Ende Services und Applikationen in einer nahtlosen und kosteneffektiven Art und Weise bereit zu stellen. Da das Business agilere und flexiblere IT Services verlangt, wurde dies zum Fokus für Innovation und Unterscheidungen von Herstellern, die diese Herausforderung geschafft haben—einschließlich Enterasys. Die SDN Idee reicht zurück bis in die frühen 90er Jahre, als Cabletron den Prototyp des Secure VNS (Virtual Network Service) baute, der zur SecureFast Lösung geführt hat und Ipsilon das GSMP (General Switch Management Protocol) eingeführt hat. In der Service Provider Gemeinschaft ist dieser Gedanke unter IMS (IP Multimedia Systems) Architektur bekannt gewesen und in Voice TDM Netzwerken wurde dies durch das IN (Intelligent Network) Konzept implementiert. Um die gleichzeitigen Bedürfnisse nach Sicherheit, Virtualisierung, Managebarkeit, Mobilität und Agilität in heutigen Netzwerken zu adressieren, gewinnt das SDN Konzept Aufmerksamkeit als eine durchführbare Lösung. Die Provisionierung neuer Services und die verlässliche Anwendungslieferung in einer dynamischen IT Infrastruktur können mit einer solchen Architektur erreicht werden. Im Allgemeinen trennt SDN die Daten- und die Kontrollebene des Netzwerks und bietet Interfaces/ APIs, um Services kollektiv im Netzwerk zu provisionieren, indem eher externe Systeme genutzt werden als das Geräte durch vertreilte Geräte konfiguriert werden. Es gibt keine Definition DER SDN Architektur, daher existieren heute verschiedene Arten und Ansätze. Folglich kann die beste Lösung für die Anforderungen eines Kunden eine leicht andere Architektur sein. Weitere Anwendungsfälle für SDN sind Multi Tenancy und Server Virtualisierungsanforderungen in großen Cloud Service Provider Data Centers. Enterasys bettet die SDN Konzepte heute schon in Unternehmensnetzwerkinfrastrukturen als Teil der OneFabric Architektur ein. Enterasys Networks— Networks— Solution Guide 2012 119 Secure Networks™ Trennung von Kontroll– Kontroll– und Datenebene in einem SDN Der vielleicht umstrittenste Teil der SDN Architektur ist: „Wieviel Kontrolle kann zentralisiert werden und wie effizient können Netzwerkkomponenten designed sein, ohne ein hoch performantes Kontrollebenen-Subsystem zu benötigen?“ Dies war der Schlüsselteil von Argumentationen für neue SDN Architekturen und Protokolle, da es CAPEX Senkungen verspricht, die unerreichbar waren, weil die Kosten des Host-Komplexes in heutigen Access Switch Architekturen fast unerheblich in Vergleich zu den Kosten des kompletten System Designs sind. Die Vergangenheit hat gezeigt, dass Kontrollebenenzentralisierung eine vereinfachte Architektur einbringen kann; jedoch haben es diese Architekturen nicht geschafft, die Anforderungen in der realen Welt skaliert zu erfüllen. Dies trifft vor allem auf moderne IP Netze zu, in denen die Knoten und Endsysteme stetig steigen; ebenso die Anzahl der Flows, die von einem zentralisierten System verwaltet werden müssen. Wir bei Enterasys glauben, dass eine verteilte Kontrollebene innerhalb des Netzes zur Erstellung und Wartung von Topologien mit einem Hybridansatz (verteilt und zentralisiert) zur Verwaltung der Flows in einem IP Netzwerk zwangsläufig genutzt werden muss, um ein SDN effektiv zu skalieren und zu betreiben. SDN Überblick Sobald die Flow Definition sehr granular ist und schlussendlich das Applikationslayer beinhaltet—was zu Sicherheitszwecken unumgänglich ist—wird jedes zentralisierte System von Millionen von Flows überflutet werden, die aufgesetzt werden müssen oder im Fall von Link/Geräte-Ausfall in einem großen Unternehmens– oder Service Provider-Netz umprogrammiert werden müssen.Wenn nur einfache Kontrollen (wie „Pfad“ zwischen Ressourcengruppen, z.B. Server Subnet, einrichten) benötigt wird, Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 120 dann ist ein zentralisierter Ansatz erreichbarer. Anzahl neuer Flows pro Client Die oben genannten Zahlen zeigen die tyischen neuen Flows pro Client an. In einem Server / VM Aufbau sind diese Zahlen 10 bis 100 Mal größer—dies führt in einem gewöhnlichen Data Center mit 1000 Servern zu einer anhaltend neuen Flow Rate von 100k zu 1M Flows pro Sekunde, was über das komplette Netzwerk aufgesetzt werden muss. Das Enterasys flow-basierte Switch-Flaggschiff mit CoreFlow2 Technologie bereißt schon heute bis zu 64 Millionen simultane Flows und bald bis zu 96 Millionen Flows. Wenn ein Ausfall Rerouting hervorruft oder ein anderes Ereignis, z.B. ein Wurmausbruch, oder ein Netzwerkscan auftritt, kann diese Rate drastisch nach oben gehen. Eine verteilte Kontrollebene—lokal an jedem Switch—kann dieser Herausforderung effektiver nachkommen als ein zentralisiertes System. Um die Line Rate Performance zu halten, ist der Verzug bei einer Line Rate von 10Git/s eine Nanosekunde. Der Verzug, der auftritt während zentralisierte Echtzeit-Flow-SetupEntscheidungen bereit gestellt werden, mag nicht akzeptabel sein; daher wäre nur das pre-provisioning von Coarse Flows (oder „Pfade“) durchführbar. Eine alternierende und praktikablere Lösung im großen Stil mit granularerer Kontrolle ist den Hybridansatz zu nutzen, wobei lokale und zentrale Kontrollebenenmodelle eingesetzt werden und zusammenspielen. Die lokalen und verteilten Kontrollebenen sind verantwortlich für Topologie Management, Netzwerkvirtualisierung, Ausfallsicherung, und Adressen-Lernen sowie das Eingangsvorhalten von Policies für neue Flows. Jedoch werden ausgesuchte Flows auch auf eine zentralisierte Kontrollebene geschickt, um weitere Inspektions– und Policy Entscheidugungsprozesse zu durchlaufen. Die Resultate werden zurück geschickt und modifizieren schon aufgesetzte Flows. Enterasys Networks— Networks— Solution Guide 2012 121 Secure Networks™ Interfaces und APIs für ein SDN SDN können bei Einsatz heute APIs zum Vorteil nutzen, wie CLI, SNMP, RADIUS, NETCONF, XML, XMPP, etc. Neue APIs, wie OpenFlow, OpenStack und andere, werden entwickelt, aber sind noch nicht ausgereift und manchmal nicht passend für Unternehmensnetzwerke und Data Center. Auch war die Herausforderung so weit, dass Standardisierung über mehrere Hersteller hinterher hinkt und es noch keine einzige Wahl-API aller Hersteller gibt. Im Folgenden zeigen wir Ihnen eine Übersicht in SDNs nutzbarer APIs mit ihren Pros und Kontras: CLI (Command Line Interface) Jeder Hersteller hat seine eigene Implementation, meistens existieren mehrere verschiedene CLIs innerhalb eines Herstellerportfolios. Es existieren sogar Management / Provisioning Tools, die versuchen die verschiedenen Herstellerimplementationen zu abstrahieren. Sie sind kostspielig und passen nur auf große Service Provider. SNMP (Simple Network Management Protocol) Es gibt vergleichbare Herausforderungen wie bei CLI und außerdem nutzen viele Hersteller SNMP nur fürs Monitoring, aber nicht zur Konfiguration und Provisionierung. Bei Enterasys ist das anders—das Policy Provisioning ist über alle Switche, Router und Wireless Access Points im Portfolio via SNMP abstahiert. Das Enterasys OneFabric Control Center kann genutzt werden, um Policies via SNMP3 nahtlos über alle Layer und Technologien in einer Enterasys Infrastruktur von einem einzigen, zentralen Kontrollpunkt zu provisionieren. RADIUS ( Remote Authentification Dial in User Service) Als Teil der Standardisierung von Attributen für Network Access Control (RFC 3580) kann dieses Protokoll für dynamische Policy Provisionierung über mehrere Hersteller hinweg genutzt werden. Verschiedene große heterogene Installationen existieren heute. Das Enterasys OneFabric Control Center kann in solchen heterogenen Installationen zu diesem Zweck genutzt werden und es kann sogar über die grundlegende VLAN policies hinaus gehen, wenn die Switche, Access Points oder Remote Access VPN Gateways weiterentwickelte Policies, wie ACLs, etc., unterstützen. Das Network Access Control Management des Enterasys OneFabric Control Center abstrahiert gerätespezifische Policy Enforcement Implementationen und stellt ein vereinheit-lichtes dynamisches Policy Provisioning und Management Lösung bereit. Da eine typische Network Access Control Lösung primär auf das Provisionieren der Netzwerkdienste am Edge fokussiert ist, resultiert dies im Bedarf andere Layer statisch im Netz vorzuhalten—für Bandbreiten Management speziell oder/und erhöhen es mit zusätzlichen Distribution Layer Funktionen, wie RADIUS Snooping auf der Enterasys S-Serie und K-Serie, welche den Vorteil des PolicyEnterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 122 Zuweisen am Edge nutzen, um granularere Policies für das Endsystem auch auf dem Distribution Layer durchzusetzen. NETCONF (Network Configuration Protocol) Dieses Protokolll (RFC 6241) war größtenteils auf Router Implementationen fokussiert und ist so einfach in Enterprise Produkten verfügbar. Momentan ist es nur für Router Provisioning in Service Provider-artigen Netzen passend. XMPP (Extensible Messaging and Presence Protocol) RFC 6120 wurde entwickelt, um Fast-Echtzeit-Austausch von strukturierten aber riesigen Datenmengen zwischen jeglichen 2 oder mehr Netzinstanzen zu ermöglichen. Auch wenn auf Applikationen rund um das Presence Management zielen, kann es doch in anderen Lösungen genutzt werden. XML / SOAP (Extensible Markup Language / Simple Object Access Protocol) NETCONF und XMPP sowie SOAP nutzen dieses Protokoll als Wrapper / Encoder für ihre Nachrichtenübertragung. SOAP ist ein „Leichtgewicht“-Protokoll zum Informationsaustausch in dezentralisierten, verteilten Umgebungen. Da SOAP applikationsdefinierte Datenarten unterstützt, kann dies genutzt werden, um Daten zur Policy Provisionierung auszutauschen. Ein Anwendungsfall hier ist die XMP/SOAPbasierte Verbindung des Enterasys OneFabric Control Center mit Virtualization Management Suites, wie VMware vCenter und Citrix XEN Center (mit Nutzung von Microsoft SCVMM Powershell), um Policies für virtuelle Maschinen in physikalischen und virtuellen Netzwerkinfrastrukturen (vSwitch) zu provisionieren. OpenFlow Dieses Protokoll gewährt normalerweise Zugriff auf die Forwarding-Ebene. Es erlaubt die Pfadfestlegung für einen Paket-Flow durch das Netz mit Hilfe von Software, die auf einer getrennten Kontrollebene läuft—dem OpenFlow Controller. Diese Trennung der Kontrolle vom Forwarding kann potentiell anspruchsvollere Traffic Management Entscheidungen erlauben als ACLs und Routing Protokolle und bietet außerdem auch Netzwerkvirtualisierungsfähigkeiten. OpenFlow wird hauptsächlich auf einem sicheren Kanal zwischen Switch und Controller eingesetzt. Enterasys Networks— Networks— Solution Guide 2012 123 Secure Networks™ IFIF-MAP (Interface for Metadata Access Point) Die Trusted Computing Group hat eine offene Architektur und Zusammenstellung an Protokollen entwickelt, die designed wurde, um hochgradige Interoperabilität zu erlauben und doch die Datensicherheit zu steigern sowie die betriebliche Integrität von den zum IP Netz verbundenen Geräten zu schützen. Die Architektur ist als Trusted Network Connect (TNC) bekannt. Unter seinen Protokollen bietet IF-MAP einen sicheren, offenen und flexiblen Ansatz für Kommunikation und dem Teilen von Daten zwischen gesicherten Applikationen, Geräten und Systemen. OpenStacks Das Ziel ist die allgegenwärtige Open Source Cloud Computing Plattform für öffentliche und private Clouds herzustellen. Konzerne, Service Provider, VARs, SMBs, Rechercheure und globale Data Center, die große Cloud Netze für öffentliche oder private Clouds einsetzen wollen, sind potentielle Nutzer dieser Technologie. SDN für Netzwerkautomation und Virtualisierung nutzen Der Mehrwert von SDN in Unternehmensnetzen liegt speziell in der Möglichkeit Netzwerkvirtualisierung und Automation für Konfiguration über das gesamte Netzwerk/Fabric bereitzustellen, so dass neue Services und Endsysteme schnell eingesetzt werden können und Betriebskosten minimiert werden können. Sich entwickelnde Protokolle, wie OpenFlow, fokussieren sich speziell auf diesen Aspekt, aber dieses Ziel kann heute auch erreicht werden, indem die Vorteile von existierenden und bald standardisierten Topologieprotokollen, wie SPB, VLANs und VRF/MPLS in Kombination mit SDN Architekturen, um Netzwerkressourcen dynamisch am Edge für neue Geräte und Applikationen zu provisionieren, die das Netz nutzen. Beispiel Netzwerkvirtualisierung Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 124 Die Enterasys SDN Lösung— Lösung—heute und morgen Die Enterasys OneFabric Architektur mit seinem OneFabric Control Center nutzt den Vorteil des SDN Konzepts, wobei die Kontrolle an andere IT Systeme delegiert werden, wie VM/Cloud Management Lösungen, Provisioning Tools, DHCP/DNS Management Tools sowie andere Tools, die Endsysteme im Netz managen—von mobilen Geräten über VoIP zu IP Video Management Lösungen. Kunden können mit statischem Policy Provisioning beginnen und SNMP3 in allen Layern des Netzes zur Hilfe zu nehmen, dies in einer nachträglichen Einsatzphase mit der Mitigation Richtung dynamischer Policies an der Edge erhöhen, und dabei die Vorteile der Authentifizierung oder Identifizierung von Usern und Endsystemen zu nutzen und dann den Netzbetrieb und das Provisionieren mit Hilfe von bestehenden IT Systemen zu automatisieren. Der Core wird normalerweise statisch provisioniert und bietet virtualisierte Netzwerkdienste. In Zukunft könnten direkte und dynamische Flow Kontrollen möglich sein und die Vorteile von Protokollen, wie OpenFlow, in einer Hybrid-Installation nutzen. Enterasys SDN Architektur Enterasys Networks— Networks— Solution Guide 2012 125 Secure Networks™ Ein Anwenderfall für SDN ist Lokationsdienst und Provisionieren in konvergenten Netzen. Für Sicherheit (Notfall Antwort) und Geräte Management Anforderungen muss der VoIP Administrator detaillierte Informationen für jedes IP Telefon und andere SIP (Session Initiation Protocol)-fähige Endpunkte haben, die am Netzwerk angeschlossen sind. Diese Information beinhaltet die Telefonnummer, die dem Gerät zugewiesen ist, Identifikationsinformationen, wie MAC Adresse des Telefons, die Software und Software Version, die auf dem Telefon läuft, sowie jegliche Konfigurationstemplates, wie z.B. Kurzwahlzuweisungen, die dem Telefon zugewiesen wurden. Der Adminitrator benötigt ebenso detaillierte Lokationsinformationen, einschließlich dem Switch, dem Port, an dem das Telefon angeschlossen ist, die IP Adresse des Switches und Ports, der Sicherheitsstatus des Telefons und die Netzwerk Policy, die dem Telefon zugewiesen wurde. Das Hinzufügen und Warten dieser Informationen für jedes Telefon, das mit dem Netz verbunden ist, war normalerweise ein manueller Prozess, welcher nicht gut in großen Installationen funktioniert und die Betriebskosten signifikant erhöht. Zu garantieren, dass die Information akurat bleibt, bedeutete dem Nutzer zu verbieten das Telefon umzuziehen. Die Lokationsinformationen über längere Zeiträume zu warten, stellt das größte Problem dar und ist das Aufwandsintensivste. Der Grund ist, dass dr Voice over IP (VoIP) Controller die MAC Adresse, Telefonnummer, Gerätetyp, Software und Softwareversion aller registierten Telefone lernt, jedoch lernt es jegliche Lokationsinformationen nicht automatisch. Eine einzigartige, deutliche und wertvolle Fähigkeit zur Bereitstellung automatisierter Lokationsdienste für VoIP Telefone ist verfügbar, sobald man das OneFabric Control Center zu einer Siemens VoIP Installation hinzufügt. Die Zugriffskontrolllösung und deren Lokationsdienste erkennen ein IP Telefon, sobald es sich das erste Mal zum Netz verbindet. Das Telefon und die Telefonnummer werden automatisch zu detaillierten Lokationsinformationen zugewiesen, einschließlich dem Switch (oder Wireless Controller) Name, Port (oder SSID und WLAN Access Points), an dem das Telefon angeschlossen ist, die IP Adresse des Switches/Wireless Controllers, Switch Lokationsbeschreibung, Port Lokationsbeschreibung, Port ELIN (Emergency Location Information Number), Sicherheitsstatus des Telefons, Netzwerk Policy des Telefons und sein momentaner Status. Diese automatische Zuweisung reduziert die administrativen und betrieblichen Kosten, da die Informationen nicht manuell in eine Datenbank eingegeben werden müssen und nicht fortwährend gewartet werden müssen. Dies ist auch wichtig, weil die Fähigkeit ein Telefon schnell zu lokalisieren kritisch ist für die Unterstützung von Notfalldiensten. Sobald ein IP Telefon erkannt und autorisisert wurde, kann dem gesamten Traffic des Telefons die VoIP Policy Rolle zugewiesen werden. Diese Policy hat zwei Elemente: Das Sicherheitselement schützt den VoIP Server vor Attacken durch das Erlauben von ausschließlich autorisierten IP Telefonen, um VoIP Protokollpakete zum Server zu schicken. Das QoS Element der Policy markiert und priorisiert alle Pakete, die vom Telefon kommen, um Verzug im Netz zu minimieren und die Sprachqualität zu verbessern. Diese Priorisierung hindert wachsende Netzwerk Traffic Level daran die Sprachqualität zu gefährden. Enterasys Networks— Networks— Solution Guide 2012 Secure Networks™ 126 Die Enterasys OneFabric Architektur nutzt den Vorteil der SDN Architekturkomponenten, um zentralisierte Transparenz und Kontrolle im kompletten Netzwerk zu bieten. Zentralisierte Transparenz erlaubt Infrastruktur- und Applikations-Teams zusammen zu arbeiten, was Kosten senkt und Fehler im typischen Netzwerkbetrieb minimiert. Die einst komplexe Aufgabe Server und Netzwerkinfrastruktur zu provisionieren/de-provisionieren ist nun einfach: lokal definierte und global durchgesetzte Erreichung signifikanter Größe, verbesserte Betriebseffizienz und verlässlichere und erfolgreichere Applikationsbereitstellung. Enterasys Networks— Networks— Solution Guide 2012 127 Enterasys OneFabric Data Center Lösung Enterasys OneFabric Data Center Lösung Einleitung und Ausblick Die Anforderungen für Applikationsverfügbarkeit war der Auslöser dafür, wie Applikationen in heutigen Data Centern gehostet werden. Entwicklungsgemäß haben sich Änderungen bei verschiedenen Data Center Komponenten ergeben, einschließlich Server, Storage Virtualisierung und auch Netzwerkvirtualisierung. Der Fokus heutiger Unternehmen liegt auf der Erhöhung der Geschäftsmobilität und das Data Center ist der Schlüsselposten, der eine Menge Aufmerksamkeit auf sich zieht. Eine der evolutionärsten Änderungen bisher ist die Servervirtualisierung selbst. Anstoß für die Servervirtualisierung war die Möglichkeit, Kostensenkungen bei Infrastruktur und Betriebsmittel zu erreichen, gefolgt von einer Redundanz- und Recovery-Erhöhung. Virtualisierungsvorteile haben sich so weit entwickelt, dass nun auch Skalierbarkeit und Flexibilität dazu gehören. Um das Maximum an Virtualisierungsvorteilen zu erreichen, muss auch der Rest des Data Centers weiter entwickelt werden. Data Center LAN-Technologien haben einen ähnlichen Weg hinter sich: Zuerst die Bereitstellung von Redundanz und dann die Gestaltung einer skalierbareren Fabric innerhalb und zwischen Data Centern. Es gibt drei Einflussfaktoren, die für die nächste Generation der Data Center Netzwerke beachtet werden sollten: • Unterstützung für Virtualisierungsinitiativen • Senkung der Ebenenanzahl, Performance zu verbessern • Unterstützung für SAN Konvergenz Bei den modernen hoch virtualisierten und dynamischen IT-Infrastrukturen, werden Data Center Organisationen ständig herausgefordert, ein Maximum an Skalierbarkeit und Perfomance sowie kosteneffiziente und belastbare Infrastrukturen bereitzustellen. Virtualisierung hat die Anforderungen dramatisch geändert. Frühere hoch segmentierte Data Center Netzwerke unterstützen Schlüsselvorteile der Virtualisierung, wie zum Beispiel Dynamic Virtual Machine Provisioning (VMotion/ XenMotion), nicht. Das Abflachen des Netzes löst das ursprüngliche Problem, bringt aber andere Design Herausforderungen mit sich. Die Schlüsselvorteile der Virtualisierung für ein Unternehmen – das Senken der Emissions- und Betriebskosten und die Verbesserung der Ausfallsicherheit – hängen sehr von der nächsten Generation der Data Center Architekturen ab. Das Versprechen der Virtualisierung Kapitalinvestitionen zu reduzieren und Betriebskosten zu senken ist auch an die Verminderung der Ebenen in Data Center gebunden. Die Senkung der Ebenenanzahl im Data Center reduziert nicht nur Equipment (CAPEX/OPEX), sondern Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 128 erhöht durch die Senkung von Latenzzeiten auch die Applikationsperformance. Da Unternehmen die Bandbreite erhöhen, nutzen sie ebenfalls die Möglichkeit die Topologiekomplexität zu verringern. Während das Senken der Geräteanzahl die Komplexität reduziert, bringt der dritte Einflussfaktor – SAN Konvergenz – neue Herausforderungen und Gesichtspunkte für die nächste Generation der Data Center Netzwerke hervor. SAN Konvergenz ist ein hoch diskutiertes Thema und die Standards werden neu ratifiziert oder sind im Ratifizierungsprozess, abhängig von Ihrer SAN Wahl. Im Allgemeinen ist Infrastrukturkonsolidierung – Data und Storage teilen die selbe Infrastruktur mit einer gemeinsamen Schnittstelle auf dem Server - der Haupteinflussfaktor der SAN Konvergenz. iSCSI war die erste konvergierte SAN Technologie der Industrie; Fibre Channel over Ethernet (FCoE) ist die neue hype Technologie. Dieses Kapitel ist auf die zukünftige Enterasys OneFabric Data Center Architektur fokussiert, welche die Anforderungen der nächsten Generation Data Center Netzwerke adressiert. Die Enterasys Komponenten OneFabric Data Center Architektur Mit der Enterasys One Fabric Data Center Architektur können Kunden heutige Data Center Netzwerke problemlos in ein voll konvergiertes Fabric migrieren, welches die Anforderungen an Virtualisierung, verbesserter Performance und SAN Konvergenz adressiert. OneFabric Data Center im Zeitablauf Enterasys Networks— Networks— Solution Guide 2012 129 Enterasys OneFabric Data Center Lösung Die Haupttechnologiekomponenten dieser Architektur sind: • Virtualisierung Die Anforderung für Transparenz und Automation adressieren, wenn virtuelle Server (neu) eingesetzt werden • Data Center Überbrückung I/O und SAN Konvergenz im Data Center Fabric effizient unterstützen • Virtual Switch Bonding Erhöhung der verfügbaren Bandbreite und Aktivierung eines belastbaren Links zu Servern und Blade Center Switchen • Fabric Core Mesh Skalieren des Data Center Fabric Cores zu einer aggregierteren Kapazität mit geringerer Latenz. • Applikationsbewusstsein ApplikationsTransparenz und –kontrolle im Data Center Fabric ermöglichen Virtualisierung Virtualisierung ist die evolutionärste Änderung für Data Center in den letzten 10 Jahren. Server und Storage Virtualisierung ermöglichen schnelle Änderungen auf dem Service-Layer, aber die dynamische Natur resultiert dabei in Anforderungen an das Data Center Netzwerk. “Motion” Technologien kreiieren schnelle Konfigurationsänderungen auf dem Netzwerk Layer, da Server/VMs unter den physikalischen Maschinen hinzugefügt oder bewegt werden. Um Netzwerkdienste in Echtzeit innerhalb einer virtualisierten Umgebungen zu liefern, integriert der Enterasys Data Center Manager mit der Enterasys Network NetSight Management Suite, um die Kluft zwischen virtueller Maschine und Netzwerkversorgungsapplikation zu überbrücken. Das Enterasys DCM ist eine leistungsstarke Unified Management Lösung, die Transparenz, Kontrolle und Automation im gesamten Data Center Fabric, inklusive Netzwerkinfrastruktur, Server, Storage Systeme und Applikationen, liefert – sowohl im physikalischen als auch im virtuellen Umfeld. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 130 Der Enterasys DCM erfordert keine spezielle Software oder Applikation, die auf den Hypervisor oder die virtuellen Maschinen geladen werden muss. Die Lösung koppelt direkt an den native Hypervisor und das Hypervisor Management System an. Server und VM Transparenz und Kontrolle werden bereitgestellt ohne den Server oder das Betriebssystem zu beeinflussen. Unternehmen haben die Freiheit den Server- oder Hypervisor-Hersteller zu wählen, der am besten zu ihren Anforderungen passt, nicht den Hersteller, der sie in eine Einkaufssackgasse führt. DCM ist durch die Unterstützung aller Hauptvirtualisierungsplattformen, einschließlich Citrix XENServer und XENDesktop, Microsoft Hyper-V und VMware vSphere, ESX, vCenter und VMware View, einzigartig auf dem Markt. Enterasys DCM bindet sich in existierende Workflow und Lifecycle Tools ein, um Transparenz von A bis Z in virtuelle und physikalischen Anlagen zu bieten und um die Konfigurationen physikalischer und virtueller Netzwerke für virtuelle Maschinen zu automatisieren. Anstatt die Installation einer neuen Software auf dem Hypervisor zu verlangen, nutzt Enterasys DCM die APIs aller Hersteller. Des Weiteren veröffentlicht Enterasys APIs, um automatisierte Inventarerkennung und Kontrolle der Hypervisor Switch Konfiguration, sowie Management der physikalischen Netzwerkkonfiguration bereit zu stellen. Enterasys erwartet, dass der Hypervisor Switch (vSwitch) als seine dedizierte Software-Komponente über die Zeit verschwinden wird und durch standardbasierte Mechanismen, wie IEEE 802.1Qbg – Virtual Ethernet Port Aggregator (VEPA), ersetzt wird. Implementiert in die NIC Karte eines Servers und beschleunigt durch Mechanismen, wie SR-IOV Single Root I/O Virtualization, um die Server CPU zu entlasten, ermöglicht VEPA, dass der physikalische Switch die Weiterleitungsentscheidung übernimmt. DCM wird dann das Management dieser Lösungen in einer ganzheitlichen Art erlauben. Enterasys Networks— Networks— Solution Guide 2012 131 Enterasys OneFabric Data Center Lösung VEPA Paket— Paket—Flow Enterasys plant VEPA auf Haupt-Data-Center-Plattformen zu implementieren, einschließlich Software Upgrades, um die Vorteile der CoreFlow2 Technologie nutzen zu können. Auch heute ist dieselbe Funktionalität mittels DCM und Fabric Routing möglich. Letzeres erlaubt sogar den Einsatz von PVLAN Konfigurationen auf VMware vSphere Distributed Virtual Switches, um den Datenverkehr zwischen einzelnen virtuellen Maschinen umzuleiten. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 132 Die Besonderheit liegt hierbei darin, dass der physikalische Switch außerhalb der ESX Servers sowohl als „normaler“ End-of-Row/Top-of-Rack Switch agiert, aber auch gleichzeitig zwischen den PVLANs routet. Dadurch bietet sich die Möglichkeit den Datenstrom zwischen zwei VMs zu analysieren, regulieren und (z.B. via NetFlow) zu exportieren. Enterasys Data Center manager erlaubt an dieser Stelle ebenfalls eine zentrale, transparente Konfiguration und eine ebenso einfach zu realisierende Transparenz aud alle Daten im Netzwerk. Data Center Bridging Das langfristige Ziel ist, den TCO durch die Einführung von Ethernet als Transport für eine “konvergierte” Data und Storage Lösung zu senken. Storage Konnektivität wird in der Zukunft auf einem einzigen konvergierten Netzwerk basieren – mit neuen Protokollen und Hardware. Enterasys bietet einen einfachen und doch sehr effizienten Ansatz, um iSCI SAN oder NFS NAS Umgebungen heute schon zu ermöglichen, zu optimieren und zu sichern. Enterasys liefert schon heute einen einfachen und effektiven Weg, Kommunikation durch automatische Erkennung, Klassifizierung und Priorisierung von IP SAN Traffic zu optimieren. Die IEEE Data Center Bridging (DCB) Task Gruppe, eine Arbeitsgruppe der IEEE 802.1 Work Group, ist auf ein Standardset fokussiert, das Ethernet zu einem praktikableren Data Center Transport macht, sowohl für Server- als auch für StorageTraffic; besonders wenn es um Fiber Channel over Ethernet (FCoE) geht. DCB kreiiert eine verlässlicheres, auf Ethernet Technologie basiertes Netzwerk, welches von einem “best effort” zu „lossless“ Betrieb übergeht und bietet Engpass-Management auf Layer 2 effizienter als traditionelles TCP-basiertes Engpass-Management und Flow-Kontrollmechanismen. Auch wenn traditionelle Storage-Protokolle, wie iSCSI und NFS, vom DCB profitieren werden, sind sie nicht darauf angewiesen. FCoE ordnet einen „lossless“ Betrieb an, welcher in einer Multi-Hop Switch-Umgebung nur mit dem Einsatz von DCB möglich ist. Data Center Überbrückung ist hauptsächlich auf die drei (3) IEEE Spezifikationen fokussiert: • IEEE 802.1Qaz – ETS &DCBX – Bandbreitenzuweisung zu Hauptverkehrsklassen (Priority Groups); plus DCB Management Protokoll • IEEE 802.1Qbb – Priority PAUSE – Wahlweise Verkehr auf Link durch Priority Group PAUSIEREN • IEEE 802.1Qau – Dynamische Engpassbenachrichtigung Enterasys Networks— Networks— Solution Guide 2012 133 Enterasys OneFabric Data Center Lösung DCB und verschiedene Storage Technologien Enterasys plant diesen Standard in 2 Phasen auf den Haupt-Data-CenterPlattformen zu unterstützen – mit Software und Hardware Upgrades. Man kann erwarten, dass SAN Konvergenz in den letzten beiden Phasen auftauchen wird. Die erste Phase wird I/O vom Server mit der Ethernet Data Fabric konsolidieren. Die zweite Phase wird SAN im kompletten oder selektiven Fabric konvergieren. Die erste Phase reduziert hauptsächlich die Serverkosten, da eine dedizierte HBA nicht mehr nötig ist. Dies spart Energiekosten am Server und verringert den Platzbedarf. In dieser Phase wird der Betrieb durch die Kabeleinsparung zum Server erleichtert und das wiederum spart ebenfalls Kosten. Weiterhin werden weniger Switch Ports benötigt. Die zweite Phase reduziert die Anzahl der benötigten Netzwerkgeräte im kompletten Fabric. Die zweite Phase benötigt ausgereifte Standards und wird mehrere Jahre brauchen, bevor es das angewandte Mainstream -Design in Data Centern wird. Während IP SAN Konvergenz schon heute verfügbar ist, wird eine vollständige FCoE SAN Konvergenz auf Netzwerken, die DCB nutzen, erst in einigen Jahren umgesetzt werden. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 134 Virtual Switch Bonding Virtual Switch Bonding repräsentiert eine Entwicklung im Data Center Switching, die Data Center Architekten mit einem neuen Satz an Werkzeugen ausstattet, um Applikationsverfügbarkeit und Antwortzeiten zu verbessern und die Edge Netzwerktopologie zu vereinfachen. Virtuelles Switching gewinnt an Akzeptanz in Data Centern, da es eine Elastizität für Serververbindungen offeriert, die früher manuelle Konfiguration der Server voraussetzte. Heutige Implementationen virtuellen Switchings für Top of Rack (ToR) Switchsysteme erlauben Servern zwei physikalische Switche als ein einziges System anzusehen, was die folgenden Probleme löst: • Link Aggregation physikalischer Switche und Server automatisie- ren • L2 Netzwerk Uplinks zu Data Center Aggregation / Core Switche vermaschen • Non-Stop Weiterleitung von Applikationsverkehr ermöglichen, falls ein einziges Gerät ausfällt Flexible Server Verbindung Enterasys Virtual Switch Bonding führt physikalische Switche in einem einzigen, logischen Switch zusammen, um Bandbreite zu erhöhen und erstellt eine aktive Vermaschung zwischen Servern und Switchen im Data Center. Dies ermöglicht die Echtzeitbereitstellung von Applikationen und Diensten und vereinfacht das Management der Netzwerkinfrastruktur. Das Enterasys S-Serie Chassis-System implementiert ein virtuelles Chassis-System – erstmals umgesetzt in der Enterasys N-Serie. Enterasys Networks— Networks— Solution Guide 2012 135 Enterasys OneFabric Data Center Lösung Über diese Lösung hinaus wird Virtual Switch Bonding in verschiedenen Chassis auf den Haupt-Data-Center-Plattformen, wie S-Serie, als Software-Option verfügbar sein, um das Chassis über traditionell 10G und zukünftig 40G/100G Ethernet Links anschließen zu können. Enterasys Virtual Switch Bonding löst die oben genannten Probleme und bietet: • Automatisierte, host-spezifische Netzwerk-/Sicherheitsprofile per Virtual Host, per Port • Maximale Verfügbarkeit fallsicherungsfähigkeiten • Etablierte Technologie mit mehr als 3 Millionen Switch und Router Ports im Einsatz • Bewährte Enterasys BS Code Basis, heute und zukünftig und Ausfalltoleranz mit nahtlosen Aus- Fabric Core Mesh— Mesh—Layer 2 Flexibilität und Performance wird im gesamten Netzwerk benötigt, nicht nur in einem bestimmten Layer, wenn man die Bedürfnisse der Applikationen erfüllen möchte, die das Geschäft vorantreiben. Neue Data Center Technologien, wie Server Virtualisierung und FCoE benötigen wieder ein größeres Ausmaß an Layer 2 “flachem” Netzwerk. Das jeder-mit-jedem Kommunikationsmuster von Darstellung, Applikation und Datenbankservern, oft in einem Scale-Out Design gesetzt, benötigen eine nicht blockende, hoch performante Netzwerkinfrastruktur mit geringer Latenz. In der Vergangenheit wurden Netzwerke mit aktiven und passiven Links erstellt. Während dies Redundanz bereitstellte, haben Änderungen in der Netzwerktopologie zu Dienstausfällen geführt bis das Netzwerk in einer neuen logischen Konfiguration gesetzt war. Technologien haben sich entwickelt und viele heutige Netzwerke segmentieren ihre logischen Topologien durch Standards, wie IEEE 802.1Q-2005 Multiple Spanning Tree Protocol (MSTP), um mehrere Topologien zu ermöglichen, damit alle Links bestmöglich genutzt werden. Dies ist ebenfalls die Best Practice Empfehlung für heutige Data Center Netzwerke. Für mehr Informationen und Best Practices besuchen Sie http://www.enterasys.com/solutions/DataCenter.aspx. Während MSTP erlaubt alle Links bestmöglich zu nutzen, werden nicht alle Links gleich genutzt. Das kommt daher, dass die Segmentierung immer noch aktive/ redundante Links innerhalb jeder VLAN Gruppierung hat. Netzwerke der nächsten Generation müssen eine aktive/aktive Konfiguration unterstützen, welche: Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 136 • Ausfälle beinhaltet, so dass nur direkt betroffener Verkehr bei der Wiederherstellung beeinflusst wird • Schnelle Wiederherstellung von Broadcast und Multicast Konnekti- vität ermöglicht • Nutzt alle verfügbaren breitenverlust • Ermöglicht schnelle Verbindungswiederherstellung nach Ausfall physikalischen Verbindungen, kein Band- Es gibt zwei konkurrierende Standards in Ratifizierung, welche die Flexibilität zukünftiger Data Center LANs erhöhen werden, einschließlich: • Shortest Path Bridging (SPB) – IEEE 802.1aq work group • Transparent Interconnect of Lots of Links (TRILL) – IETF TRILL work group Jeder dieser Standards ist darauf ausgerichtet die Netzwerktopologie zu vereinfachen und eine aktive Vermaschung zwischen Edge und Core in Data Center Netzen bereitzustellen. Enterasys ist ein Innovator in Netzwerk Fabrics mit vielen Industriepatenten im Feld und lieferte 1996 das erste Layer 2 vermaschte Ethernet Netzwerk der Industrie: Eine aktive Vermaschung auf Basis eines intelligenten Router Protokolls. Damals war es unter SecureFast bekannt und OSPF wurde als VLSP (VLAN Link State Protocol) genutzt, um MAC Adress-Ereichbarkeit auszutauschen. IETF TRILL und IEEE SPB nutzen beide IS-IS als Routing Protokoll, um ähnliche Ziele zu erreichen. Das IEEE hat bestätigt alle existierenden und neuen IEEE Standards (besonders die IEEE Data Center Bridging Protokolle, aber auch die existierenden Management Protokolle, Ethernet IEEE 802.1ag (OAM), etc.) via IEEE SPB zu unterstützen. IEEE SPB nutzt einen Header vom Provider Backbone Bridging Standard, genannt MAC in MAC Encapsulation (IEEE 802.1ah), was in der SPB-M Implementation resultiert. TRILL erlaubt verschiedene Pfade (Equal Cost Multipathing) und nutzt auch verschiedene Pfade für Unicast und Broad/Multicast. Bei näherer Betrachtung scheint dies ein Problem zu sein, da es genau deswegen bei manchen IEEE Protokollen zu Problemen mit TRILL kommt. Sie benötigen die selben Pfade. Und natürlich können verschiedene Pfade (mit unterschiedlichen Latenzen) auch zu unvollständiger Paketlieferung führen, zum Beispiel wenn Unknown Unicast Flooding zu Unicast geändert wird. Mit SPB wird der Rahmen nicht mehr durch die MAC in MAC Encapsulation verändert und nur ein Pfad wird für jeglichen Verkehr zwischen einer bestimmten Quelle und Ziel genutzt. Enterasys Networks— Networks— Solution Guide 2012 137 Enterasys OneFabric Data Center Lösung Die Enterasys OneFabric Data Center wird anfangs IEEE SPB nutzen, welches in 2011 ratifiziert und mit dialogfähigen Implementationen in 2012 verfügbar werden soll. SPB wird mit einem Software Upgrade auf Schlüssel-Data-Center-Plattformen verfügbar sein, was die CoreFlow2 Technologie implementiert. SPB baut auf die existierende Data Center Layer 2 LANs, die MSTP nutzen, auf und ist hiermit auch voll dialogfähig. Es wird dadurch die Flexibilität zukünftiger Netzwerke verbessern. Aufgrund der Tatsache, dass es ein IEEE Standard ist, erlaubt es existierende Infrastrukturen mit wenig oder keinen Unterbrechungen zu migrieren. Die folgenden Vorteile können mit SPB erreicht werden Plug and Play • Minimale oder keine Konfiguration nötig, um eine aktive Vermaschung zu erstellen Verringerte Anzahl an Sprüngen • Mit allen Links aktiv in der Fabric nimmt der Verkehr immer den kürzesten Weg • Verringerte Latenz zwischen Applikationen Höher aggregierte Kapazität • Keine ungenutzten (blockierten) Links resultieren in einer höher aggregierten Fabric Kapazität Skalierbarkeit • 100te bis 1000de Switche innerhalb einer einzigen Domain möglich Flexibilität • Schnelle Verbindungswiederherstellung nach Ausfall • Bei Ausfall ist nut der direkt betroffene Verkehr während der Wiederherstellung betroffen, nicht direkt betroffener Verkehr läuft einfach weiter • Schnelle Wiederherstellung von Broadcast und Multicast Verbindungen Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 138 Shortest Path Bridging Domain Besonders für größere Data Center Fabrics mit komplexen Topologien über mehrere Lokationen wird SPB ein Schlüsselelement werden, um die Vorteile von Virtualisierung und Konvergenz voll zu nutzen. Kleinere Netzwerke benötigen diese Funktion möglicherweise nicht – wegen der erhöhten Server und Switch Performance verringert sich die Anzahl der Knoten im Data Center dramatisch, also werden viele mittelgroße Unternehmen keine komplexen Topologien mehr benötigen. Fabric Core Mesh— Mesh—Layer 3 basiertes, steigerndes Fabric Routing Warum stellt traditionelles Layer 3 Routing ein Problem in der konvergierten Data Center Fabric dar? Server Virtualisierung und FCoE benötigen große Layer 2 „flache“ Netzwerke, um zu funktionieren und ihr volles Potential zu erreichen. Aber Server Subnet Aufteilung braucht Routing für Inter-Server Kommunikation. In ausschließlichen SPB oder RSTP/MSTP Designs resultiert dies in potentiellen Engpässen an Router Schnittstellen, die herkömmlich am Edge der Data Center Fabric angeschlossen sind. Zusammen mit traditionellem VRRP, wo es ein einziges aktives Layer 3 Default Gateway. Diese Designs sind für Lastverteilung ineffizient und erhöhen die Latenz im Netzwerk Fabric Routing ist ein Mechanismus, um verteiltes Routing in SPB und RSTP/MSTP integriertes Switchen/Routen bereitzustellen, um den Bedarf für maximalen Durchsatz, niedrigster Latenz und optimierten Traffic Flows in der Data Center Fabric zu adressieren. Im Zusammenhang mit LAN und WAN ist Nord-Süd Traffic der Client Server Traffic, der zwischen Nutzern in einer Filiale und dem Data Centet läuft, das die Applikation hostet, auf die zugegriffen wird. Im Zusammenhang mit dem Data Center ist Ost-West Traffic der Traffic, der zwischen den Servern in einer Data Center Fabric läuft. Fabric Routing ist primär auf geroutetem Ost-West Traffic ausgerichtet. Es ist eine einzigartige Innovation von Enterasys, der auf VRRP aufbaut und damit dialogfähig ist, so dass Administratoren ihr Wissen für die Implementation zu ihrem Vorteil nutzen können. Es kann auch im Campus LAN angewandt werden und bietet Mehrwert, was ein typischer Wertbeitrag Enterasys Networks— Networks— Solution Guide 2012 139 Enterasys OneFabric Data Center Lösung der OneFabric Architektur von Enterasys ist. Traffic Flows ohne Fabric Routing Im obrigen Bild wird der Traffic zwischen den Servern im VLAN1 und VLAN2 durch den VRRP Master für jedes VLAN/Subnet geroutet, welche an der Edge der Fabric sitzt. Das ist eine typische Installation, als ob die Server visualisiert werden und bewegen sich durch die Fabric; es gibt keine Möglichkeit den optimalen Pfad oder Ort für die Router festzusetzen—also werden sie irgendwo an der Edge angeschlossen. Dies resultiert in einer 3fachen Steigerung der Latenz (6 vs. 2 Hops), einer unnötigen Brandbreitenerhöhung an 5 zusätzlichen Links in der Fabric sowie einer Limitierung der aggregierten Routing Performanz zwischen den 2 VLANs in der Fabric zu einem einzigen Link (in diesem speziellen Beispiel). Fabric Routing ist eine Erweiterung den VRRP, die vollständig kompatible mit existierenden VRRP Routern ist. Das VRRP Auswahlverfahren und Protokoll bleiben unverändert. Das Ermöglichen von Fabric Routing per VRRP Router ID erlaubt dem Enterasys Switch/Router eine neue Phase des „Active-Backup“ zu übernehmen. Die „Active-Backup“ Phase erlaubt dem Switch/Router jeglichen Frame einzusammeln, der für die VRRP MAC Adresse bestimmt ist—was in ARP Antworten vom VRRP Master zu den Endsystemen inkludiert ist, das ARP für ihre Gateway Adresse oder eine andere Destination (falls Proxy-ARP genutzt wird) im spezifischen Subnet. Fabric Routing zusammen mit SPB bietet die selbe Traffic Flow Effizienz (Shortest Path) für Layer 2 und Layer 3 Traffic innerhalb der Data Center Fabric. Wenn es innerhalb einer RSTP/MSTP Domain genutzt wird, wird dies die Traffic Flows optimieren im Vergleich zu einer traditionellen VRRP Konfiguration. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 140 Fabric Routing Konfiguration mit multiplen VLANs und VRRP IDs Applikationsbewusstsein Die meisten Netzinfrastrukturkomponenten, die heute eingesetzt werden, stellen keine Daten bereit, um Applikationen zu kontrollieren und zu überwachen. Netzwerk werden typischerweise so implementiert, das alle Services und Applikationen die gleiche Priorität bekommen, oder ein sehr rudimentäres Priorisierungsschema bekommen. Mit der wachsenden Nutzung von Virtualisierung, SOA Architekturen, Cloud Computing und weitergehende Netzwerkkonvergenz, kann dieses typische Szenario den heutigen Anforderungen nicht mehr entsprechen. Dies betrifft sowohl Access Netzwerke als auch Data Center Fabrics. In jedem Bereich des Netzwerks wird es kritischer Applikationen ordentlich zu identifizieren, um die Verfügbarkeit durch Überwachung und Kontrollverstärkung zu gewährleisten. Diese Ziel kann nicht nur durch das Überprüfen des Verkehrs auf dem Transport-Layer erreicht werden. CoreFlow2 stattet IT Administratoren mit mehr Transparenz in kritische Betriebsapplikationen aus und gibt ihnen mit diesem Instrument die Möglichkeit bessere Kontrollen durchzuführen, um die SLAs zu erreichen, die das Geschäft erfordert. Ein Beispiel einiger Einsatzgebiete, die durch CoreFlow2 ermöglicht werden, beinhalten*: Enterasys Networks— Networks— Solution Guide 2012 141 Enterasys OneFabric Data Center Lösung SAN • Ermöglicht Zugangskontrolle für iSCI Ziele mit Granularität für den Initiator • Überwachung der Bandbreitennutzung per iSCI Ziel IP Voice & Video • Erlaubt QoS und Zugangskontrolle für RTP Mediastreams und Kon- trolldaten Cloud • Erlaubt rollenbasierte Zugangskontrolle für Cloud Dienste wie salesforce.com • Bandbreitenüberwachung für bestimmte Seiten wie youtube.com * Implementationsdetails pro Produktkategorie sind Thema der Entwicklungs-Roadmap. Wir verweisen hier auf die Produktdatenblätter und Release Notes. Erweiterte Transparenz wird zeitnah in einem nachfolgenden Release des Enterasys NetSight umgesetzt. NetSight wird die nativen, rohen NetFlow Aufzeichnungen, die von CoreFlow2 gesteuerten Geräten generiert werden, aggregieren, um Applikationslevel-Transparenz im gesamten Netz zur Verfügung zu stellen. Ausgewählte Enterasys Produkte werden auch Antwortzeitmessungsproben von Applikationen, verteilt in der gesamten Netzwerkinfrastruktur, unterstützen. Dies wird dem IT Administrator weiter helfen, Applikationsantwortzeiten im seinem Netz zu überwachen, um SLAs zu erfüllen, höhere Applikationsverfügbarkeit zu liefern und ein effizienteres Trouble Shooting zu erlauben. Zusammenfassung Data Center LANs entwickeln sich stetig weiter. Was gestern funktionierte, funktioniert heute nicht und wird morgen antiquiert sein. Geschäftsdruck zwingt die IT neue Applikationsbereitstellungsmodelle anzunehmen. Edge Computing Modelle gehen vom Applikationen im Edge zu virtuellen Desktops in Data Centern über. Die Entwicklung des Data Centers zu privaten, hybrid Could Services und auch öffentlich Cloud Integrationen ist schon im Gange. IP SAN Konvergenz ist heute da, aber FCoE Konvergenz wird hinterher hängen, da als Schlüsseltechnologien, wie DCB, noch nicht verfügbar sind. Mit der Unterstützung einen offenen Standardansatzes, bietet Enterasys bereits eine vereinfachte Data Center Fabric Lösung, die Applikationsperformance verbessert und Geschäftsmobilität erhöht, was Kunden einen zukunftssicheren Ansatz für Data Center Fabric Architekturen bietet. Virtuelles Switching wird zunehmende Flexibilität in Data Centers bieten und vermaschte Technologien werden die Flexibilität durch die gesamte Fabric erweitern. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 142 IEEE SPB ist der zeitnahe brauchbar Kandidat für Data Center Vermaschung und wird unterstützt werden. Physikalische Designs im Data Center Prinzipiell werden Data Center Designs heute und auch morgen durch zwei Entscheidungen bestimmt. • Wie viele Ebenen soll das Datacenter haben? 2-Tier oder 3-Tier Design? • Wie werden Server direkt angebunden? End-of-Row (EoR) oder Top-of-Rack (ToR) Access ? 2-Tier versus 33-Tier Design Vereinfacht gesagt geht es dabei um die Frage ob das Data Center einen eigenen Core Switch inklusive Routing Instanz bekommt oder ob es nur bei Aggregation und Access Switche für die Server bleibt. ĂƚĂĞŶƚĞƌϮͲdŝĞƌĞƐŝŐŶ ĂƚĂĞŶƚĞƌϯͲdŝĞƌĞƐŝŐŶ Dabei müssen auch einige Vor- und Nachteile jeden Ansatzes beachtet werden: Ein 2-Tier Data Center profitiert in der Regel von geringeren Latenzzeiten, einer kleinerer Überbuchungsrate und eine allgemein vereinfachte Konfiguration aller Komponenten. Enterasys Networks— Networks— Solution Guide 2012 143 Enterasys OneFabric Data Center Lösung Zusätzlich wird durch den Einsatz weniger Geräte natürlich auch weniger Strom verbraucht, was sich ebenfalls positiv auf die Betriebskosten auswirkt. Nachteilig verhält sich jedoch die schlechtere Skalierbarkeit, falls alle Ports an den Aggregation Switchen in Benutzung sind. Weiterhin kann eine einfache anfängliche Verwaltung im Laufe von Expansionen durch die erhöhte Komplexität weiterer Switche leiden. Bei einem 3-Tier Data Center Design bietet die hierarchische Struktur exzellente Möglichkeiten zur späteren Expansion. Durch die weitere Konsolidierung der Aggregation Uplinks bestehen somit auch ein geringerer Aufwand, falls später neue Paare hinzugefügt werden. Als Preis für die erhöhte Flexibilität müssen jedoch Einbußen bei der von der zusätzlichen Ebene verursachten Latenz des Netzwerks hingenommen werden. Weiterhin verbraucht die zusätzlich benötigte Hardware mehr Strom und Platz im Data Center. Ebenfalls führt die Konsolidierung der Uplinks zu einer erhöhten Überbuchung von Ports und Bandbreite. Prinzipiell lässt sich bei der Designauswahl nur die Empfehlung aussprechen, dass ein 2-Tier Design bei den meisten Installationen die bessere Wahl ist. Das „flache“ Netz ist dabei wesentlich leistungsfähiger und entspricht auch zukünftigen Ansprüchen von kommenden Storage Technologien. Ein 3-Tier Design bietet sich eigentlich nur für sehr große Data Center an oder für jene, die in absehbarer Zukunft sehr schnell wachsen werden. EndEnd-ofof-Row versus TopTop-ofof-Rack Wie beim Gesamtdesign des Data Centers bieten sich bei der Anbindung der Access Switche und Server wieder zwei Möglichkeiten, die ebenfalls mit individuellen Vorund Nachteilen einhergehen. Bei End-of-Row (EoR) Installationen übernimmt ein Access Switch (Paar) die Anbindung einer ganzen Reihe von Serverracks. EndEnd-ofof-Row Design Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 144 Vorteile • Server können überall platziert werden und somit Hitzestaus besser vermeiden • Bessere Portnutzung im Vergleich zu ToR Design • Verbraucht weniger Platz in Racks, Strom, Kühlung und CAPEX • Weniger Management durch weniger Switche • Üblicherweise geringere Überbuchung (optimiert durch die Back- plane) • Chassis Switche bieten Skalierbarkeit • Weniger Switch Hops bedeuten eine geringere Latenz üblicherweise mehr Features und bessere Nachteile • Verkabelung wird komplexer, je mehr Server in der Reihe vorhanden sind Im Gegensatz dazu steht das Top-of-Rack (ToR) Design, welches einen Switch (oder zwei physikalische Switche als einen virtuellen Switch) pro Rack vorsieht. Dieser konsolidiert die Verkabelung auf Rack-Ebene vor den Aggregation Switchen und erleichtert somit die Kabelführung – jedoch auf Kosten von Latenz und häufig ungenutzten Ports. TopTop-ofof-Rack Design Enterasys Networks— Networks— Solution Guide 2012 145 Enterasys OneFabric Data Center Lösung Vorteile • Vereinfachtes Ausrollen von Komponenten im Rack • Verkabelung ist vermeintlich einfacher und billiger Nachteile • Variierende Anzahl der Server im Rack führen zu einer unter- schiedlichen Anzahl von aktiven Switch Ports und somit zu teils ungenutztem CAPEX • Anzahl ungenutzter Ports ist höher als beim End-of-Row (EoR) Szenario • Höhere Strom- und Kühlungsanforderungen als im End-of-Row (EoR) Szenario • Technologieupdate bedeutet automatisch den Austausch eines 1 Rack Unit (RU) ToR Switches • ToR führt weitere Bedenken bei der Skalierbarkeit ein, insbesondere Überbuchung auf Uplinks und zusätzliche Switch Hops bedeuten wiederum eine höhere Latenz Überbuchung im Design Die Überbuchung der vorhandenen Ressourcen ist ein wohlbekannter Ansatz im Access Bereich. Dieser Ansatz unterliegt jedoch vollkommen anderen Voraussetzungen im Data Center. Der Einzug von Virtualisierungslösungen stellen dieses Prinzip in den Mittelpunkt, um eine optimale Auslastung der vorhandenen Hardware durch die Software zu gewährleisten. Dies führt allerdings unweigerlich dazu, dass Server im Gegensatz zu traditionellen Betrachtungen nun wesentlich mehr Daten pro Interface übertragen. Um trotzdem den Anforderungen gerecht zu werden, muss das Netzwerk im Data Center diesen Umstand kompensieren und darüber hinaus auch die Dynamik im ständigen Wandel mittragen können. Prinzipiell lassen sich dabei unterschiedliche Zonen im Data Center identifiziere: Presentation/ Web Server, Application Server und Database Server. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 146 Jede dieser Ebenen unterliegt seinen ganz eigenen Traffic-Mustern, die sich primär durch unterschiedliche Quality-of-Service, aber auch durch spezielle Sicherheitsanforderungen auszeichnen. Für sich alleine betrachtet, ist dies keine untypische Herausforderung; die Mobilität der Server durch die Virtualisierung hingegen schon. Zwar besteht nach wie vor die Möglichkeit einer manuellen, statischen Zuordnung der Ressourcen, jedoch verspielt dies den größten Vorteil der Servervirtualisierung an sich und limitiert maßgeblich den Return-of-Invest. Somit sollte bei der Planung vorab eine möglichst geringe Überbuchungsrate zwischen Down- und Upstreams avisiert werden und natürlich dabei auch Themen wie Link-Ausfall Szenarien nicht übergangen werden. Diese Herausforderungen werden zusätzlich noch mit dem Einzug der Konsolidierung zwischen Daten- und Speichernetz verstärkt. Speichernetze legen nicht nur ein sehr last-intensives Kommunikationsverhalten an den Tag, sondern erfordern spezielle Berücksichtigungen in Bezug auf die Zeitfenster, in denen die Daten zugestellt werden. Die Parallelisierung in solchen Netzen führt zu so genannten „Bursts“, die besonders bei einer zu großen Überbuchungsrate ein Problem darstellen. Dabei wird eine große Menge an Daten von verschiedenen Stellen im Netz versandt und muss teils gleichzeitig am Ziel ankommen. Um eine Überlastung des Puffers am Switch zu vermeiden (ein so genanntes „Incast Problem“), sollte neben den Überbuchungsraten darauf geachtet werden, dass die eingesetzten Switche über genug Speicherkapazität verfügen und das Netzwerk solche „Bursts“ abfangen kann. Ist dies nicht der Fall, so kann es durchaus zum Verlust der gesamten Transaktion kommen und dramatische Leistungseinbußen zur Folge haben. Enterasys Networks— Networks— Solution Guide 2012 147 Enterasys OneFabric Data Center Lösung Logische Designs im Data Center Nach der Positionierung der Hardware steht nun die Frage nach dem umspannenden logischen Design an. Auch hier kommen mehrere unterschiedliche Technologien zum Einsatz und weitere Neue sind am Horizont bereits erkennbar. Im Allgemeinen lässt sich auch hier wieder das Netzwerk für eine vereinfachte Betrachtung in Core und Edge/Access unterteilen. Design der Server Edge/Access Switche Im Edge Bereich sind maßgeblich zwei komplementär wirkende Technologien im Einsatz – MSTP und Virtual Switch Bonding. RSTP und MSTP Das Rapid Spanning Tree Protokoll (RSTP IEEE 802.1w) ist ein alter Bekannter und findet sich im Data Center in der Erweiterung durch das Multiple Spanning Tree Protokoll (MSTP IEEE 802.1s) wieder. Neben einer schnellen Umschaltzeit bietet MSTP den Vorteil, die Last effektiv über mehrere Spanning Tree Instanzen für einzelne VLAN Gruppen zu verteilen. Obwohl MSTP schon etwas länger verfügbar ist, zeigen Tests jedoch noch akzeptable Umschaltzeiten im Mittel von 0,4 Sekunden und bietet damit auch heute noch eine standardbasierende, valide Option im Data Center. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 148 Virtual Switch Bonding Bei der direkten Anbindung von Servern kommt die etwas jüngere Technologie des Virtual Switch Bondings zum Einsatz. Hierbei werden mehrere physikalische Switche zu einer logischen Einheit zusammengefasst, die auch als einzelner Knoten im Netzwerk konfiguriert wird. Neben dem zusätzlichen Gewinn an Redundanz ist hierbei die Option von Link Aggregation Groups (LAG IEEE 802.3ad) über mehrere physikalische Switche einer der größten Vorteile. Enterasys Virtual Switch Bonding verzichtet dabei jedoch nicht auf bisher bekannte und bewährte Funktionalitäten und vereint diese mit der CoreFlow2 Technologie erfolgreich auf der S-Serie: • Automatisierte Link Aggregation über mehrere, physikalische Switche • Vermaschte L2 Netzwerk Anbindung zu Data Center Aggregation / Core Switche • “Non-stop forwarding” von Applikationsdaten • Automatische “Host-spezifische” Netz-/Sicherheitsprofile pro virtu- ellem Host (pro Port bei Einsatz von CoreFlow2 Produkten) • Unterstützt Tausende virtuelle Hosts pro System bei Einsatz von CoreFlow2 Produkten Enterasys Networks— Networks— Solution Guide 2012 149 Enterasys OneFabric Data Center Lösung Design der Core Switche Auch im Core Bereich stehen einige grundlegende Überlegungen an, die sich sowohl an heutigen, aber auch an zukünftigen Standards orientieren sollten. Dabei sollte nicht außer Acht gelassen werden, dass eine vorausschauende Planung einen zukünftigen Übergang wesentlich erleichtert und somit hohe Kosten für ein komplettes Redesign vermeiden kann. Data Center Core Design - Heute Im Core des Data Center Netzwerks wird heutzutage oftmals MSTP und RSTP analog zum Edge Bereich eingesetzt. Hier stellt die Reife der Protokolle und das existierende Know-How der Administratoren einen enormen Vorteil dar, der maßgeblich Einfluss auf die Designentscheidungen nimmt. Dabei steht vor allem die Kompatibilität der Standards mit den existierenden Produkten im Vordergrund, die nicht selten auch Komponenten verschiedener Hersteller umspannen. Dies wirkt sich nicht zuletzt auf die Operational Expenses (OpEx) aus, die wesentlich geringer ausfallen als bei proprietären Lösungen und sich besonders beim Training des Personals bemerkbar machen. Gerade bei schnell wachsenden Data Centern, aber auch bei langen Redesign Zyklen ist es daher empfehlenswert, um so mehr auf standardbasierte Lösungen und Protokolle zu setzen, um eine maximale Flexibilität bei der Auswahl der zukünftigen Hardware zu gewährleisten. Data Center Core Design – In der Zukunft Es stehen jetzt schon einige neue Standards in den Startlöchern, die besonders die Vermaschung und Konvergenz von Storage- und Datennetzen optimieren. Technologien, wie zum Beispiel Fibre-Channel-over-Ethernet erfordern eine besonders geringe Latenz in großräumigen Layer 2 Netzen. Diese Netze müssen außerdem flexibel skalierbar, non-blocking und extrem performant sein, da besonders das Jeder-zu-Jeder Kommunikationsverhalten sehr hohe Ansprüche stellt. Zusammenfassend lässt sich also sagen, dass diese Next Generation Netzwerke eine active/active Konfiguration mit folgenden Eigenschaften unterstützen müssen: • Eingrenzung von Fehlverhalten, damit nur direkt betroffener Traffic bei der Wiederherstellung verzögert wird • Ermöglichung einer schnellen Wiederherstellung von Unicast, Broadcast und Multicast Kommunikation • Nutzung der kompletten physikalischen Infrastruktur, ohne Verluste an Bandbreite, während die Latenz und Hops zwischen Servern minimiert wird • Schnelle Umschaltung, falls die Konnektivtität aussetzen sollte Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 150 Wie zuvor in der Einleitung erwähnt, werden Enterasys Switche auch in Zukunft diesen Anforderungen durch den Einsatz von Shortest Path Bridging und Data Center Bridging gerecht. Segmentierung von Load Sharing im Layer 3 Core Gerade in größeren Campus Netzen ist eine Aufteilung zwischen verschiedenen Bereichen erwünscht, egal ob es sich dabei um verschiedene Abteilungen, Kunden oder Unternehmen handelt. Damit auch auf Layer3 Ebene eine Redundanz gewährleistet werden kann, kommen meist die Protokolle OSPF-ECMP oder VRRP zum Einsatz. VRRP hat besonders im Data Center den Nachteil, dass bestehende Links für den Ausfall reserviert und aktiv an der Datenübertragung teilnehmen. OSPF-ECMP hingegen bietet ebenfalls Redundanz für den Datenpfad, erlaubt aber auch die gleichzeitige aktive Nutzung aller Verbindungen um die Last zu verteilen. Bei der Segmentierung im Data Center wird überraschenderweise sehr häufig auf MPLS verwiesen, obwohl eine solche Konfiguration sehr schnell zu komplex werden kann für ein Data Center. In solchen Fällen bietet sich jedoch ebenso VRF an, um mehrere getrennte Routing Domänen zu schaffen, die besonders im non-Provider Bereich wesentlich einfacher zu handhaben sind. VRF ermöglicht die Konfiguration mehrerer virtueller Routing Instanzen innerhalb eines physischen Routers. So können dabei genauso dedizierte Bereiche für kritische Applikationen und Bereiche wie bei MPLS erstellt werden, ohne jedoch Administratoren mit der Komplexität der Konfiguration zu konfrontieren. Virtuelle Welten Wie kann man ein Netzwerk Design erstellen, welches einem Data Center im ständigen Wandel gerecht wird? Enterasys bietet hierfür eine Lösung für zwei recht unterschiedliche Szenarien – Server und Desktop Virtualisierung. Server Virtualisierung Ein Beispiel für die Vielseitigkeit von NAC Integrationen lässt sich anhand von virtuellen Servern ausmachen. Cluster und virtuelle Server werden in Netzwerken immer beliebter. Besonders, da eine dynamische Umverteilung der Software auf die Hardware eine optimale Auslastung und Flexibilität garantiert. Jedoch sind Netzwerke meist nicht so flexibel und es ist umständlich Konfigurationen (z.B. Priorisierung von Daten) manuell anzupassen. Enterasys Networks— Networks— Solution Guide 2012 151 Enterasys OneFabric Data Center Lösung Noch schwieriger wird dies, falls virtuelle Systeme automatisch „umziehen“ – z.B. bei einem Hardware Ausfall. Damit auch das Netzwerk beim typischen Drag-andDrop Verhalten mithalten kann, bietet NAC mit der Lokalisierung der Server einen einfachen Weg, Rekonfigurationen im Netzwerk zu automatisieren. Weitere technische und auch organisatorische Probleme zeichnen sich nun ebenfalls immer deutlicher in Umgebungen mit virtuellen Switchen ab. So ist es schwierig eine klare Linie zwischen den Zuständigkeitsbereichen eines Systemadministrators und eines Netzwerkadministrators zu ziehen. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 152 Aktuelle Virtualisierungssoftware ermöglicht es mittlerweile einen kompletten Switch auf einem Host abzubilden (oder gar auf mehreren Hosts als Distributed Virtual Switch). Dies beinhaltet allerdings auch Einstellungen, die nicht nur für die isolierte Datacenter Plattform wichtig sind, sondern auch für das Unternehmensnetzwerk. So sind aus rein administrativer Sicht VLANs zu erstellen und zu routen, als auch aus Sicherheitssicht die Kommunikation zwischen virtuellen Maschinen zu protokollieren und analysieren. Enterasys bietet an dieser Stelle mit der NetSight Datacenter Manager Lösung die Möglichkeit genau diese Probleme zu beheben. Der Datacenter Manager ist ein offenes Framework, welches Informationen zwischen NAC und der Virtualisierungssoftware synchronisiert. In der aktuellen Version werden sowohl VMWare vSphere, als auch Citrix XenCenter hierbei unterstützt (weitere Produkte in späteren Versionen). Im einfachsten Fall werden so Detailinformationen einer virtuellen Maschine in der Endsystemübersicht des NAC Managers (z.B. Name der VM, UUID, ...etc.) oder NAC/Location Daten innerhalb der Virtualisierungssoftware angezeigt. Dies erleichtert nicht nur die Identifikation von virtuellen Maschinen im Netzwerk, sondern liefert auch wertvolle und zeitsparende Informationen zur Lokalisierung im Fehlerfall.Darüber hinaus können jedoch auch automatisierte Konfigurationen auf beiden Seiten vorgenommen werden. So erlaubt der Datacenter Manager die Erstellung von NAC Endsystem Gruppen als (Distributed) Virtual Switch Portgroups, inklusive erweiterter Einstellungen wie einer VLAN ID oder des Port Modes (isolated, community, promiscious). Auf der anderen Seite wird die Information, welche VM an einer bestimmten Portgroup angeschlossen ist, zur Zuordnung einer VM in eine NAC Enterasys Networks— Networks— Solution Guide 2012 153 Enterasys OneFabric Data Center Lösung Endsystem Gruppe verwendet. Diese Zuordnung kann sogar derart geschehen, dass ein Administrator zuerst die Konfiguration bestätigen muss, um unabsichtliche Fehlkonfigurationen zu vermeiden. Auf diese Weise lassen sich die zuvor erwähnten Probleme auf elegante Weise lösen. Ein Netzwerkadministrator kann innerhalb des NAC Managers alle Regel und Gruppen für VMs erstellen und damit auch entscheiden welche VLANs zu verwenden sind oder ob Traffic zwischen den Hosts erst über einen physikalischen Switch geleitet wird (z.B. um Flowdaten zu analysieren). Der Systemadministrator hingegen muss seine VM nur an eine bereits vorkonfigurierte Portgroup anschließen, ohne sich Gedanken über die tatsächliche Konfiguration im Unternehmensnetzwerk zu machen. Darüber hinaus können beide Seiten nun innerhalb ihrer Tools zu jeder Zeit sehen, welche virtuelle Maschine an welchem physikalischen Switch angeschlossen ist und welche Zugangspolicy zugewiesen wurde. Natürlich können darüber hinaus auch die bewährten Mechanismen von NAC für ein Assessment und Remediation von virtuellen Maschinen genutzt werden. Obwohl NAC eigentlich eine Lösung ist, die Endsysteme im Auge behalten soll und mit den Servern meist wenig zu tun hat, kann dennoch diese Funktionalität hier sinnvoll sein und eine adaptive Netzwerkumgebung in Virtual Datacenter Bereichen bereitstellen. Enterasys Networks— Networks— Solution Guide 2012 Enterasys OneFabric Data Center Lösung 154 Desktop Virtualisierung Auf den ersten Blick erscheint der Unterschied zwischen virtuellen Servern und Desktops eigentlich gar nicht so groß. Aus der Perspektive der Sicherheit, gibt es jedoch gravierende Differenzen was den Zugang zum Netzwerk anbetrifft. Mittlerweile haben wir uns daran gewöhnt, dass Desktop Systeme sich im Netzwerk authentisieren und sogar unterschiedliche Zugriffsprofile erhalten. Dies ist im Access Bereich relativ einfach, da Clients in der Regel an genau einem physikalischen Port angeschlossen werden und somit eindeutig klar ist, welchen Weg die Daten des Clients im Netzwerk nehmen werden. Bei der Desktop Virtualisierung erfolgt der Zugriff jedoch über Thin Clients, Tablet PCs oder gar Telefone und die Datenpfade der Clients beginnen konsolidiert an einigen, verhältnismäßig wenigen Server Ports. An dieser Stelle ist es extrem schwierig zu unterscheiden, welche Pakete zu welchem Benutzer gehören und traditionelle Verfahren wie NAC können nicht ohne Weiteres eins-zu-eins angewandt werden. Dieses Problem wird um so deutlicher, je dynamischer sich die Virtual Desktop Umgebung verhält. So ist das Ziel einer solchen Konfiguration meist die automatische Provisionierung von Client Desktops on-the-fly, bei dem dem ein Virtual Desktop System bei Verbindungsaufbau aus einer Vorlage erzeugt werden kann. Die Notwendigkeit für eine differenzierte Zuweisung von Zugangsprofilen ist im Data Center dabei sogar noch größer als im Access Bereich, da Clients hier direkt im „Herzen“ des Netzwerks agieren und eine Sicherheitsverletzung ein deutlich höheres Risiko darstellt. Auch an dieser Stelle bietet Enterasys Data Center Manager eine Lösung für die prominentesten Vertreter von Desktop Virtualisierungslösungen am Markt an. So kann DCM die Zuordnung zwischen Virtual Desktop und dem entfernten Benutzer nicht nur feststellen, sondern auch gleich an Enterasys NAC kommunizieren. Enterasys Networks— Networks— Solution Guide 2012 155 Enterasys OneFabric Data Center Lösung Dank der Multiuser Authentication Funktionalität der S-Serie ist es dann ein Leichtes mittels NAC die einzelnen Flows im Datacenter zu unterscheiden und entsprechend mit den passenden Zugangsprofilen zu versehen. Enterasys DCM Virtual Desktop Integration im Überblick: • Clients verbinden sich durch sichere, verschlüsselte Tunnel zum Virtual Desktop im Data Center und alle Benutzer haben in der Regel vollen Zugriff auf das Data Center Netz vom Virtual Desktop • Die Netzwerkinfrastruktur sollte automatisch den Zugriff unter Be- zugnahme der Identität des Benutzers und Desktops einschränken. Dies beinhaltet die Verfolgung von Benutzern und Virtual Desktops in der Data Center Infrastruktur für Reports und Troubleshooting Zwecke. • Benutzer-zu-VD Zuordnung ist am Citrix XDDC (Desktp Delivery Controller) verfügbar • Vmware VMView 4.5 unterstützt mit PCoIP User Auth (nutzt 802.1x im Data Center) • Enterasys DCM ermittelt VM Daten und Remote User Informationen und stellt diese Enterasys NAC zur Verfügung • Enterasys NAC und die Multiauthentication Funktionalität der S-Serie identifizieren Flows von Tausenden Benutzern und weisen individuelle Sicherheitsprofile an einzelnen physikalischen Ports zu Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 156 Produktportfolio Dieses Kapitel gibt Ihnen einen Überblick über das breite Produktportfolio von Enterasys Networks. Die Produkte gliedern sich in drei Familien, die unterschiedliche Bereiche abdecken: Produktportfolio • OneFabric Security Dieser Bereich umfasst die Enterasys Security Suite bestehend aus SIEM, NBAD und IDP sowie die Enterasys Network Access Control Lösung. • OneFabric Control Center Die NetSight Netzwerk Management Lösung. • OneFabric Data Center und OneFabric Edge Hier sind die klassischen Connectivity Hardware Komponenten wie Switche, Router, Wireless und WAN Router enthalten. Jedes Produkt wird zunächst kurz, bei neueren Produkten auch ausführlicher beschrieben. Es folgt eine Liste der verfügbaren Komponenten mit Abbildungen und den zugehörigen Produktnummern. Im Anschluss folgen die technischen Eigenschaften der Produkte wie unterstützte Funktionalitäten, Kapazitäten, Spezifikationen und unterstützte RFC- und IEEE-Standards. Enterasys Networks— Networks— Solution Guide 2012 157 Produktportfolio OneFabric Security Enterasys Networks entwickelt die sicherheitsrelevanten Merkmale seiner Netzwerkkomponenten ständig weiter und bietet gleichzeitig dedizierte Sicherheitsprodukte wie die Enterasys Security Suite und Enterasys Network Access Control. Das Secure Networks™ Konzept sichert alle Teile des Unternehmensnetzwerks mit Intrusion und Network Defense sowie Network Access Control Lösungen. Im Gegensatz zu anderen industriellen Sicherheitsmodellen schützt Secure Networks™ die gesamte Netzwerkinfrastruktur. Enterasys Security Suite und Enterasys NAC Die Enterasys NAC Lösung ermöglicht eine umfassende Zugangskontrolle im Netzwerk, unabhängig von der eingesetzten Topologie. Die Security Suite ermöglicht mit SIEM ein Umbrella Security Information und Event Management, welches mit einer verhaltensbasierten Netzwerkanomalieanalyse (NBAD) in einem Produkt kombiniert wird. Dies ermöglicht die Auswertung aller Verkehrsströme im Netzwerk. Erkannte Anomalien werden mit Events aus bestehenden Systemen wie Firewalls, Proxys, Domänencontrollern, etc. korreliert. Über externe Schnittstellen, wie Enterasys NAC, wird ein reaktiver Eingriff ins Netzwerk, wie die Quarantäne eines auffälligen Systems, möglich. Das Intrusion Detection und Prevention System sichert zusätzlich das Netzwerk mit den oben erläuterten IDS/IPS Methoden ab und kann die gewonnenen Informationen dem SIEM zur weiteren Korrelation zur Verfügung stellen. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 158 Security Information & Event Manager (SIEM) Der Secrity Information & Event Manager (SIEM) ermöglicht eine zentrale Übersicht über alle Ereignisse und Flows und ist die zentrale Schlüsselkomponente, bei der alle Meldungen zusammenlaufen. Zentrales EventEvent- und FlowFlow-Management mit dem SIEM In dem SIEM erfolgt eine Normalisierung von Eventdaten, eine Eventkorrelation über Produktgruppen hinweg sowie die Event Priorisierung/Roll-Up. False Positives können durch diese umfassende Korrelation besser erkannt werden. Durch die vordefinierten Importfilter für die meisten Eventformate ist eine einfache Darstellung des Security Status möglich. Mandantenfähige Übersicht mit dem SIEMSIEM-Dashboard Enterasys Networks— Networks— Solution Guide 2012 159 Produktportfolio Einen Überblick der momentan unterstützen Ereignisquellen, Flowtypen sowie Vulnerability Scanner finden Sie unter: http://www.enterasys.com/company/literature/ Enterasys_SIEM_Supported_DSMs.pdf Reporting Der SIEM ermöglicht ein einfaches Zusammenstellen eigener Reports mit dem Report Wizard. Damit ist das Erstellen von Executive Level Reports genauso einfach wie die Erstellung technischer Reports für den laufenden Betrieb. SIEM Reports Selbstverständlich sind die Reports in offenen Formaten, unter anderem XML, HTML, PDF und CSV exportierbar. SIEM und Distributed IPS Im Zusammenspiel mit dem Automated Security Manager kann direkt auf Vorfälle im Netzwerk reagiert werden. So können betroffene Systeme mit einer Quarantäne belegt werden. DIPS mit ASM und SIEM Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 160 Asset Management Über die Integration von Vulnerability Scannern wie z.B. Qualys und die Einbindung von Authentisierungslogs oder NAC Events können Kontextdaten zu den Systemen im Netzwerk gesammelt. Kontextinformationen im Asset Manager Damit werden die relevanten Daten zu einem Angreifer oder einem angegriffenen System auf einen Blick sichtbar. NBAD - verhaltensbasierte Netzwerkanomalie Erkennung Hier wird das normale Verhalten eines Netzwerks analysiert. Durch statistische Methoden werden dann Anomalien erkannt, indem nach bekannten Signaturen wie Portscans oder plötzlichen Veränderungen und Abweichungen vom bisherigen Verhalten gesucht wird. Dazu kann ein kurzfristiger Anstieg der Bandbreite oder der Anzahl der Verbindungen zählen oder bisher nicht beobachtete Verbindungen. Damit können insbesondere Day Zero Attacken erkannt werden. Verarbeitung von Flows und Applikationserkennung mit QFlow Enterasys Networks— Networks— Solution Guide 2012 161 Produktportfolio Um das Verhalten des Netzwerks zu untersuchen, werden die Flow Informationen der Netzwerkkomponenten ausgewertet. Damit ist eine genaue Analyse des Netzwerkverkehrs von Layer 2-4 (je nach Quelle – NetFlow/SFlow/JFlow) möglich. Weiterhin können dedizierte Flow Sensoren eingesetzt werden, die eine Analyse bis auf Layer 7 sowie das Mitschneiden von bis zu 64 Byte jeden Flows ermöglichen. MSSP – Managed Security Service Provider Besonders interessant ist der Einsatz des SIEM für Anbieter von Sicherheits- und Reporting-Dienstleistungen. Durch die verteilte Architektur und den Einsatz dedizierter Appliances zur lokalen Aufnahme und Verarbeitung von Flow- und Eventdaten können unterschiedliche Kunden und Lokationen über einen zentralen SIEM ausgewertet werden. So besteht die Möglichkeit Reports gemäß Kundenanforderungen zu erstellen und damit Mehrwerte der Sicherheitsdienstleistungen zu dokumentieren. Ebenso lässt sich der Verwaltungsaufwand durch eine zentrales Security Operation Center erheblich optimieren und die damit verbundenen Kosten auf ein Minimum reduzieren. Je nach Kundenwunsch kann die Datenspeicherung sowohl zentral beim Service Provider erfolgen als auch im eigenen Netzwerk verbleiben. Ebenso sind Reports über die Netzauslastung, Applikationsnutzung und andere Daten, die nicht zwingend mit der Netzwerksicherheit zu tun haben, möglich. Dies bietet sich vor allem für Provider von Hosting Diensten oder ISPs an, die ihren Kunden sowohl Sicherheits- als auch Netzwerkauswertungen anbieten möchten. Die beliebig skalierbare Architektur ermöglicht Unternehmen darüber hinaus dynamisch mit ihrem Kundenstamm zu wachsen und die Dienstleistungen transparent zu kalkulieren. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 162 SIEM – Appliances Die Einstiegsappliance ist die DSIMBA7-SE. Sie ermöglicht alle Funktionalitäten der DSCC in einem Gerät zu nutzen, inklusive eines Qflow Sensors mit 250 Mbps Kapazität. Die nächstgrößere Appliance unterstützt 750 Geräte mit 2500 Events/ Sek und 100k Flows in der Minute. Mit den Upgrades DSPLUS7-UP und DSIMBA7DEV kann die Leistung erhöht werden. Mit dem Upgrade DSPLUS7-UP kann die Appliance auf insgesamt 5000 Events/Sek und 200k Flows aufgerüstet werden. Für jedes Gerät, welches über 750 hinausgeht, muss eine DSIMBA7-DEV Lizenz erworben werden. Die DILMA Appliances spezialisieren sich ausschließlich auf die Verarbeitung von externen Eventdaten. Hierbei handelt es sich um den kleinen Bruder der SIEM, jedoch ohne Unterstützung von Flowdaten, NBAD und Offenses. Zum Vergleich eine Auflistung der einzelnen Produktmerkmale: ILM SIEM Verwaltet Netz- und Sicherheitsevents • • Verwaltet Host- und Applikationslogs • • Archiviert Daten revisionssicher • • Schwellwertbasierende Korrelation und Alarme • • Vorlagen für Compliance Reporte • • Verwaltet Flowdaten und Network Behavior Analysis • • Unterstützt Asset Profile und deren Verwaltung • Unterstützt Offense Workflows und Remediation • Unterstützt Offense Management Funktionen • Bietet integrierte Netz-, Sicherheits-, Applikations- und Identity Darstellung • DSIMBA7DSIMBA7-LU Enterasys Networks— Networks— Solution Guide 2012 163 Produktportfolio Events/Sek Flows/Min Devices Security Information & Event Manager (SIEM) DSIMBA7DSIMBA7-SE 1.000 25k 750 DSSES7DSSES7-UP (für DSIMBA7DSIMBA7-SE) +1.500 (2.500 total) DSIMBA7DSIMBA7-LU 2.500 100k 750 DSPLUS7DSPLUS7-UP (für DSIMBA7DSIMBA7-LU) +2.500 (5.000 total) +100k (200k total) DSIMBA7DSIMBA7-DEV +1 Integrated Log Management Appliance DILMA 1.000 750 DILMSDILMS-2.5KUPG (für DILMA) 2.500 total DILMSDILMS-5KUPG (für DILMA) 5.000 total DILMSDILMS-10KUPG (für DILMA) 10.000 total [Upgrade auf SIEM nicht mehr möglich] DILMADILMA-DCON (benötigt mind. einen DILMADILMA-EVP) DILMADILMA-UPG (DILMA zu DCON) DILMSDILMS-SIEMUPG (DILMA 2500 zu DSIMBADSIMBA-LU) 2.500 200k DILMSDILMS-SIEMUPG2 (DILMA 5000 zu DSIMBADSIMBA-LU) 1.000 400k SIEM – Event Appliance Diese Appliance ermöglicht es, hohe Ereignisraten zu verarbeiten. Das Basismodel unterstützt 5.000 Events/Sek und kann auf 10.000 Events/Sek erweitert werden. Events/Sek Security Information & Event Manager (SIEM) DSIMBA7DSIMBA7-EVP 5.000 DSEVPS7DSEVPS7-UP (für DSIMBA7DSIMBA7-EVP) 2.500 (bis max 10.000 total) Integrated Log Management Appliance DILMADILMA-EVP 2.500 DILMSDILMS-EVPEVP-UPG (für DILMADILMA-EVP) 2.500 (bis max 10.000 total) DILMSDILMS-EVPEVP-AUPG (DILMA(DILMA-EVP zu DSIMBA7DSIMBA7-EVP) DILMS-EVPDILMSEVP-SUPG (DILMA(DILMA-EVPEVP-UPG zu DSEVPS7DSEVPS7-UP) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 164 SIEM – Flow Appliance Bei hohem Flow-Aufkommen kommt diese Appliance zum Einsatz. Sie verarbeitet in der Basisvariante 200k Flows/Min und kann bis auf 600k Flows/Min aufgerüstet werden. &ůŽǁƐͬDŝŶ ^/DϳͲ&W ϮϬϬŬ ^&W^ϳͲhW нϮϬϬŬ;ϰϬϬŬƚŽƚĂůͿ ^&W^ϳͲhW нϮϬϬŬ;ϲϬϬŬƚŽƚĂůͿ SIEM - Behavioral Flow Appliances Ist es nicht möglich aus der Netzwerkinfrastruktur Flowdaten zu erzeugen oder sollen Layer 7 Daten zusätzlich extrahiert werden, so können die QFlow Appliances ähnlich einem IDS aus gespiegeltem Datenverkehr die benötigten Flowdaten erzeugen. Ein großer Vorteil ist hier, dass durch die Layer 7 Analyse eine genaue Zuordnung der Applikationen möglich wird. NBAD QFlow Sensor DSNBA7DSNBA7-5050-TX Behavioral Flow Sensor 50 Mbit TX DSNBA7DSNBA7-250250-SX Behavioral Flow Sensor 250 Mbit SX DSNBA7DSNBA7-250250-TX Behavioral Flow Sensor 250 Mbit TX DSNBA7DSNBA7-1G1G-SX Behavioral Flow Sensor 1 Gbit SX DSNBA7DSNBA7-1G1G-TX Behavioral Flow Sensor 1 Gbit TX Mehr Informationen dazu unter: http://www.enterasys.com/products/advancedsecurity-apps/dragon-security-command.aspx Enterasys Networks— Networks— Solution Guide 2012 165 Produktportfolio Enterasys Intrusion Defense Die Enterasys Intrusion Defense deckt die klassische Intrusion Detection und Prevention Lösung ab. Dabei kommen Network und Host Intrusion Detection und Prevention Systeme zum Einsatz. Alle Komponenten der Intrusion Defense können über eine einheitliche Oberfläche, den Enterprise Management Server, verwaltet und konfiguriert werden. Mit Version 7.3 wurde die Reporting Oberfläche komplett überarbeitet. Hier steht ein modernes Interface mit vordefinierten Reports zur Verfügung. 7.3 Reporting Interface Auf der Appliance Seite wird nun einheitlich auf Dell als Basissystem gesetzt, so dass im gesamten Security Portfolio ein einheitliches Hardware Management möglich ist. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 166 Enterprise Management Server Der Enterprise Management Server (EMS) besteht aus einer Vielzahl von Komponenten. Die Policy Management Tools unterstützen eine einfache, zentrale und unternehmensweite Verwaltung und Überwachung der Enterasys Intrusion Defense Komponenten. Dazu zählen unter anderem auch Assistenten, die die Einbindung neuer Sensoren erleichtern und den Konfigurationsaufwand minimieren. Das Alarmtool bietet eine zentrale Alarm- und Benachrichtigungsverwaltung. Die Security Information Management Anwendungen ermöglichen das zentrale Überwachen, Analysieren und Erstellen von Reports für alle Security Ereignisse mit einer Realtime, Trending und Forensics Konsole. EMS Frontend Der Enterprise Management Server ist die Grundlage jeder Enterasys Intrusion Defense Installation und wird zur Konfiguration und Verwaltung benötigt. Der Server ist als eigenständige Appliance, als Software zur Installation auf eigener Hardware sowie als integrierte Appliance (EMS+NIDS+HIDS) verfügbar. Eine Hochverfügbarkeit des Systems kann einfach durch den Einsatz von mehreren EMS Servern gewährleistet werden, welche während des Regelbetriebs permanent synchronisiert werden. Die EMS Client Software ist für die Betriebssysteme Windows, Solaris und Linux verfügbar unter http://dragon.enterasys.com Enterasys Networks— Networks— Solution Guide 2012 167 Produktportfolio Enterasys IDS Komponenten Eine Enterasys IDS Installation setzt sich aus einem EMS sowie Network und Host Sensoren zusammen. Dabei stehen EMS und Netzwerksensor als Appliance oder reine Software zur Verfügung. Für kleine Installationen gibt es hier auch eine Integrated Appliance, welche in einem Gerät EMS und Netzwerksensor Funktionalität ermöglicht. Alle Appliances sind in einer Hardware-only Variante erhältlich, in der Preisliste an der Endung „H“ in der Produktnummer erkennbar. EMS Appliance Die Produktnummern für die EMS Appliances beginnen in der Preisliste mit DEMAxx, die letzten beiden Stellen stehen für die Anzahl der verwalteten Systeme. Dabei ist zu beachten, dass jede verwaltete Appliance als ein System zählt – eine EMS Appliance und ein Netzwerksensor zählen z.B. als zwei Systeme. Größe Anzahl verwalteter Systeme SE 2 (nur als Software, nicht als Appliance verfügbar) ME 25 LE 100 U unbegrenzt Die Enterasys Enterprise Management Server Appliances beinhalten die Hardware (unabhängig von der Lizenz), die vorinstallierte EMS Software sowie die EMS Lizenz. Als neue Hardwarebasis wird hier seit Anfang 2008 auf Dell Appliances gesetzt. Diese tauchen in der Preisliste nun als DEMA-ME statt DSEMA7-ME auf. Der Upgrade auf die nächsthöhere Lizenz ist in der Preisliste mit DSEMA7-XL-UG gekennzeichnet, M/L stehen hier für den jeweiligen Upgrade Schritt (ME-LE, LE->U). Beim Einsatz der reinen Softwarelösung ist auch eine SE-Lizenz erhältlich – die Produktnummern beginnen hier mit DSEMS7-XX, die Upgrades entsprechend mit DSEMS7-XX-UG. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 168 Netzwerk Sensor Der Netzwerk Sensor stellt das klassische NIDS dar. NIDS (Network Intrusion Detection Systeme) haben die Aufgabe Datenpakete innerhalb des Netzwerks zu untersuchen. Sie arbeiten wie oben bei Intrusion Detection Systeme beschrieben. Durch die Einführung der Host Intrusion Detection Systeme hat sich der Begriff NIDS für diese "ursprünglichen" Intrusion Detection Systeme herausgebildet. Der Network Sensor ist als Appliance sowie als Software verfügbar. Für die Enterasys N-Serie gibt es einen integrierten Security Prozessor mit Network Sensor, der direkt in die Hardware integriert werden kann. Eine hochverfügbare Network Sensor Lösung wird im Moment in Kooperation mit Crossbeam Systems realisiert. Die Artikelnummern für die Appliances beginnen mit DNSA-<Bandbreite>-<HW>, wobei die Bandbreiten unten erläutert werden, die HW entspricht entweder SX-Glas, oder TX-Kupfer. Die Software Artikelnummern beginnen mit DSNSS7-<Bandbreite>. Lizenz Durchsatz E 10 Mbit/s, (nur als Software verfügbar) FE 100 Mbit/s GE250 250 Mbit/s GE500 500 Mbit/s GIG 1 Gbit/s MG 2,5 bis 4 Gbit/s (mittels Upgrade) 10GIG 10 Gbit/s Als Einstiegsprodukt ist eine integrierte Netzwerk Sensor/Server Appliance verfügbar, die beide Funktionalitäten in einem Gerät vereint – unter DSISA7-(S/T)X verfügbar. Enterasys Intrusion Prevention und Detection Die IDP Appliances beinhalten die Hardware, die NIPS Lizenz sowie eine HIDS Lizenz (für dieses System). Die Appliances sind außerdem mit Fail Safe Open NICs ausgerüstet, dass heißt bei einem Stromausfall kann das IPS so konfiguriert werden, dass der Datenverkehr durchgeschleift wird. Die Artikelnummern beginnen mit DSIPA7-<Bandbreite>-(S/T)X; als Bandbreiten sind im Moment 100,250,500,1000 und 2500 (DIPA-MG) Megabit/s verfügbar. Der Einsatz in einer Crossbeam Lösung ist mit der Artikelnummer DSIPS7-GIG-CXB möglich. Enterasys Networks— Networks— Solution Guide 2012 169 Produktportfolio IDS to IPS Upgrade Die IDS Appliances können auf IPS aufgerüstet werden. Dafür ist eine neue, zusätzliche Lizenz sowie für die Fail-Open Funktionalität eine andere Netzwerkkarte notwendig. Die Artikelnummern beginnen mit DSIPS7-<Bandbreite>-(S/T)X. Ausnahme hierzu ist das Upgrade der DNSA-MG MultiGig Appliance zur DIPA-MG mit der Artikelnummer DIPS-MG. Host Sensor und Web Server Intrusion Prevention Der Host Sensor ist ein hostbasiertes Intrusion Prevention Werkzeug, das Web Attacken abwehren kann und die heute gängigen Betriebssysteme in Echtzeit auf Missbrauch und verdächtige Aktivitäten überwachen kann. Host Sensoren in Form von Host Intrusion Detection Systeme (HIDS) verfügen in den meisten Fällen über Komponenten, die Systemprotokolle untersuchen und Benutzerprozesse überwachen. Fortschrittliche Systeme bieten auch die Möglichkeit Viren und Trojaner Codes zu erkennen. Das Enterasys HIDS zeichnete sich dadurch aus, dass es den bekannten NIMDA-Virus bereits bei seiner Verbreitung im September 2001 erkannte ohne ein Update der Signaturdatenbank durchführen zu müssen. HIDS sind agentenbasiert, dass heißt es sollte auf jedem zu schützenden Server/PC oder auch auf Firewalls separat installiert werden. Zu beachten ist, dass die IDS Lösung auch das entsprechende Betriebssystem bzw. Firewall System unterstützen muss. Der Host Sensor kann auch auf einem dedizierten Analysesystem dazu dienen Logs von kommerziellen Firewalls, Routern, Switchen und anderen IDS Geräten auszuwerten. Die Korrelation der Meldungen solcher Komponenten ist ein weiterer wichtiger Baustein der EIP (DIPS). Enterasys Host Sensor Software Beinhaltet die Host Sensor Software Lizenz. Die Software ist für die Betriebssysteme Windows, Linux, Solaris, HPUX und AIX auf https://dragon.enterasys.com verfügbar. Die Host Sensoren stehen unter der Artikelnummer DSHSS7-(1/25/100/500)-LIC zur Verfügung; die Zahl gibt dabei die verfügbaren Lizenzen an. Zusätzlich steht eine WebIPS Lizenz als Add-on für den Hostsensor unter DSHSS7-WebIPS zur Verfügung. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 170 Implementierungsmöglichkeiten von IDS im Netz In heutigen, geswitchten Umgebungen ist ein IDS erst nach sorgfältiger Überlegung zu platzieren. Strategische Knotenpunkte (Internetzugang, Partnerzugänge, Serverfarmen, Domain Controller, Personalabteilung, etc.) sollten von einem IDS abgedeckt werden. Mögliche Angreifer werden auf der Suche nach einem lohnenden Ziel von den Sensoren frühzeitig erkannt. Enterasys IDS Lizenzierung Die Lizenzverwaltung für das IDS/IPS erfolgt über das Portal unter https:// dragon.enterasys.com. Dort kann ein Account angelegt werden über den auch Testlizenzen erstellt werden können. Des Weiteren werden die nach dem Kauf eines Enterasys Produkts erhaltenen Lizenznummern in diesem Portal aktiviert und an die Hostnamen der jeweiligen Systeme gebunden. In Zukunft wird dieses Portal voraussichtlich im Extranet zentral mit eingebunden. Des Weiteren wird mit 7.3 auch die Macrovision Lizenzierung für das Enterasys IDS Produkt verwendet. Dabei werden auf Seiten des EMS die Anzahl der verwalteten Systeme, sowie für die Sensoren, deren Funktion und Durchsatz lizenziert. Für den EMS sind die Varianten SE-2, ME-25, LE-100, U-Unlimited verfügbar – 2 bedeutet hier die Verwaltung zweier Systeme, wird also der EMS für das Reporting verwendet, zählt er hier auch als verwaltetes Gerät. Somit kann nur EMS und ein Netzwerk Sensor verwaltet werden. Zu beachten ist, dass die genutzten Funktionen auf einem Gerät hier nicht zählen, dass heißt für den EMS zählt ein System, welches IDS, IPS und Host Sensor betreibt als ein System. Auf Seiten der Sensoren sind die Funktionalitäten IDS, IPS , Host IDS und WebIPS verfügbar. Bei IDS bzw. IPS wird außerdem die verfügbare Bandbreite über die Lizenz freigeschaltet. Die Funktionen werden jeweils an einen Hostnamen gebunden. Weitere Informationen finden Sie unter http://www.enterasys.com/ products/ids. Network Access Control Mit Enterasys Network Access Control kann in allen Netzwerken ein wirksamer Schutz des Netzwerkzugangs gewährleistet werden – unabhängig von dem gewählten Policy Enforcement Point Typ. Für bestehende Enterasys Kunden werden die Secure Networks™ Features der bestehenden Komponenten durch die Out-ofBand Lösung zu einer vollständigen NAC Lösung aufgewertet. Dies ist natürlich auch in einem Drittherstellernetzwerk möglich, sofern die verwendeten Komponenten Authentisierung (möglichst standardnah – IEEE 802.1x) sowie Autorisierung (RFC 3580) unterstützen. Enterasys Networks— Networks— Solution Guide 2012 171 Produktportfolio OutOut-ofof-Band NAC Gleichzeitig wurde ein Augenmerk auf die Unterstützung vieler neuer und innovativer Features gelegt. So ist das im Lösungsportfolio beschriebene RADIUS und Kerberos Snooping in die Lösung integriert und ermöglicht somit an zentraler Stelle, z.B. im Distribution Layer, die Einführung von benutzerbezogener Authentisierung und Autorisierung ohne die Hürde eines kompletten 802.1x Rollouts. In den folgenden Abschnitten werden wir nun im Detail auf die einzelnen funktionalen Module der Enterasys NAC Lösung eingehen. Authentifizierung Enterasys NAC unterstützt eine ganze Bandbreite von Authentifizierungsmechanismen, um eine möglichst umfassende Kompatibilität sicher zu stellen: • 802.1x portbasierte Authentifizierung • EAP-TLS, PEAP, EAP-MD5, EAP-TNC, EAP-SIM oder EAP-TTLS via RADIUS Server • MAC-basierte Authentifizierung (via MAC Adresse durch RADIUS Server) • IP-basierte Authentifizierung (für Layer 3 Controller) • Webbasierte Authentifizierung • Lokaler Webserver und URL Redirect – Überprüfung durch RADIUS • Webbasierte MAC Registrierung (typischer Gastzugang) • Default Authentifizierungsrolle (Erfassung ohne Authentifizierung) • RADIUS Snooping • Kerberos Snooping Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 172 Das NAC Gateway agiert dabei als RADIUS Proxy/Server. Dies wird durch weitere Optionen abgerundet, die unter anderem eine einfache Verwaltung von Gästen im Netzwerk erlauben. Dazu gehören zum Beispiel eine eMail-gesteuerte Zugangsanfrage (so genanntes Sponsoring), multiple Gast-Zugangs-Policies oder auch ein vereinfachtes Management Portal für das Empfangspersonal. Besonders für externe Mitarbeiter bietet sich hier auch die Möglichkeit an, den Zugang nur für einen bestimmten Zeitraum zu erlauben. Im NAC Manager werden die Authentisierungsparameter vorgegeben. So kann bestimmt werden, ob die Authentisierungsanfragen für MAC Authentisierung lokal beantwortet werden oder an den zentralen RADIUS Server weitergeleitet werden. Weiterhin wird die Assessment Konfiguration festgelegt, dass heißt welche Überprüfung für die jeweiligen Endsysteme vorgenommen werden. Es können dabei nicht nur mehrere AAA Konfigurationen mit unterschiedlichen RADIUS Servern angelegt werden, sondern auch dedizierte LDAP Server angegeben werden. Die Unterscheidung, welche Gruppe zu nehmen ist, kann nur auf den Access Switch bezogen sein oder aber auch auf Teile der Benutzernamen mit Hilfe von Wildcards. So lässt sich immer sicherstellen, dass der korrekte Server (egal, ob RADIUS oder LDAP) für die korrekte Domäne und die aktive NAC Konfiguration verwendet wird. Autorisierung Um ein Maximum an Flexibilität zu erreichen, besteht mit der neuen „Rule Matrix“ die Möglichkeit, Zugriffsrechte anhand einer Vielzahl von Parametern zu definieren. So reicht die Bandbreite an Zuordnungsmerkmalen von der Art der Authentifizierung über die Lokation des angeschlossenen Gerätes bis hin zur Uhrzeit. Dies gewährleistet die erfolgreiche Umsetzung verschiedenster Unternehmensrichtlinien direkt am Netzwerkzugang. Enterasys Networks— Networks— Solution Guide 2012 173 Produktportfolio Regelbausteine in der “Rule Matrix”: • Device (als Host Name, MAC oder IP) • Authentication type • Username/-group (als Username, LDAP oder RADIUS Attribut) • Location • Time Dies wird zusätzlich durch eine Erweiterung der Kommunikation mit Verzeichnisdiensten ergänzt. So kann die NAC-Engine direkt Parameter via LDAP abfragen und die Ergebnisse in das Regelwerk mit einbeziehen. Weitere Konfigurationsoptionen umfassen unter anderem auch die Ausgabe benutzerdefinierter RADIUS Parameter und damit eine vollwertige RADIUS Server Implementation. Der RADIUS Server auf dem NAC Gateway unterstützt ebenfalls RADIUS Accounting und erleichtert damit die exakte Erkennung, wann ein Benutzer sich abgemeldet hat. Diese Funktionalität legt auch gleichzeitig den Grundstein für Aktionen, die beim Logout ausgeführt werden und für spätere Reporting Optionen. In Kombination mit den der „Rule Matrix“ können so unterschiedliche Mobility Zonen eingerichtet werden, die ein dynamisches Management von drahtgebundenen und drahtlosen Zugangspunkten innerhalb einer einheitlichen Konfigurationsoberfläche ermöglichen. Der komplette Prozess läuft dabei völlig transparent für das Endsystem ab, so dass der Benutzer selbst nicht mit zusätzlichen Konfigurationshürden belastet wird. Ein Endsystem muss sich also nur anmelden und alles Weitere findet im Hintergrund statt. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 174 So können als mögliche Aktionen sowohl dynamische Policies (bei Enterasys Infrastrukturen) gesetzt oder bei Drittherstellern VLAN IDs/Namen (RFC 3580) an den Access Switch gesendet werden. Es sind aber auch beliebige RADIUS Attribute je nach Switch Hersteller konfigurierbar (um ACLs und ähnliche Konfiguration zu aktivieren). Selbstverständlich ist dies für einzelne Domänen und Switche separat konfigurierbar und erlaubt damit auch in komplexen Netzwerken eine umfassende, zentrale Verwaltung. Enterasys Networks— Networks— Solution Guide 2012 175 Produktportfolio Assessment Die Enterasys NAC Lösung erlaubt die zentrale Konfiguration des Endsystem Assessments über den NAC Manager. Agent based Assessment Agentless Asessment Zum Freischalten der Assessment Funktionalitäten in der Enterasys NAC Lösung wird zusätzlich eine NAC-ASSESS-LIC pro Appliance benötigt. Durch eine Kombination der Secure Networks™ Distributed IPS Funktionalität und Enterasys NAC kann Endsystemen der Zugang zum Netzwerk dauerhaft verwehrt werden. Damit ist ein – nach Gartner unverzichtbarer Bestandteil von NAC möglich – ein kombiniertes Pre- und Post-Connect Assessment der Endsysteme. Damit ist auch eine der letzten Lücken geschlossen. Schließlich war es einem infizierten Endnutzer bis jetzt möglich nach der Aktivierung der Quarantäne durch den ASM einfach auf einen anderen Port zu wechseln. Durch die Integration des ASM mit dem NAC Manager wird die MAC Adresse des Endsystems jetzt bei auffälligem Verhalten in eine Blacklist aufgenommen, so dass dem Endsystem bei erneuter Authentisierung direkt der Zugang zum Netzwerk verwehrt wird. Das Assessment wurde sowohl in einer agentenbasierten als auch in einer agentenlosen Version von Enterasys in die NAC Lösung integriert, dass heißt ein Assessment ist auch ohne zusätzlichen Assessment Server möglich. Selbstverständlich ist die Ankopplung externer Assessment Dienste möglich. Dafür wurde eine komplett offene Assessment API geschaffen, die durch den Enterasys Professional Service erweiterbar ist. Besonders deutlich zeigt sich die Flexibilität des Assessments in Kombination mit anderen Verfahren, wie zum Beispiel mit Microsoft NAP. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 176 Um Microsoft NAP flächendeckend erfolgreich einzusetzen, ist auch eine entsprechende Kompatibilität der Endsysteme zu dem Verfahren erforderlich. Dies lässt sich jedoch in der Praxis so gut wie nie umsetzen und erschwert einen Rollout in Umgebungen erheblich, die nicht überall NAP oder gar 802.1x kompatibel sind. So ist das Assessment von Enterasys in der Lage zu erkennen, ob ein Client durch NAP geschützt wird oder ob durch eigene Assessment Tests geprüft werden soll. Ebenso kann in Umgebungen ohne 802.1x-Kompatibilität beispielsweise Kerberos Snooping verwendet werden in Kombination mit dynamischen LDAP Anfragen, um weitere Merkmale wie die Gruppenzugehörigkeit mit in Betracht zu ziehen. Besonders bei Gastzugängen ist die dynamische Erkennung und Zuordnung der Assessment-Varianten umso wichtiger, da hier nicht gewährleistet werden kann, dass alle Gäste über NAP-kompatible Systeme verfügen. Dadurch wird eine flächendeckende, lückenlose und fortlaufende Sicherheit aller Endsysteme gewährleistet, unabhängig von den spezifischen Assessment- und Remediation-Möglichkeiten von nicht-kompatiblen Clients. Es ist davon auszugehen, dass eine vollständige Migration zu den großen Assessment Frameworks wie NAP noch einige Jahre in Anspruch nehmen wird. Gerade deshalb ist eine flexible Lösung, die eine Migration je nach Bedarf erlaubt und unterstützt, der beste Investitionsschutz. Reporting und Management Die gesamte Enterasys NAC Lösung wird über dieselbe Oberfläche, den Enterasys NMS NAC Manager verwaltet. Dieser ist Bestandteil der NMS Suite und dient der zentralen Verwaltung aller NAC Gateways. Der NAC Manager ist auch zentrale Sammelstelle für alle Informationen bezüglich neuer Endsysteme und dedizierter Endsystemkonfigurationen. Im Betrieb liegt die gesamte Konfiguration dezentral auf den jeweiligen NAC Gateways und Controllern, der NAC Manager wird nur für Konfigurationsänderungen und Reporting Funktionalitäten benötigt. Enterasys Networks— Networks— Solution Guide 2012 177 Produktportfolio Hierbei bietet das neue Reporting Dashboard eine transparente, zentrale Oberfläche, um jederzeit über den Zustand im Netzwerk informiert zu werden. Durch die separat verwaltbare Oberfläche können so auch andere Abteilungen auf diese Informationen zugreifen und nach Bedarf den aktuellen Status des Netzwerkes einsehen. Besonders für den Einsatz im Helpdesk bietet sich der Zugriff auf diese Daten an, da hier übersichtlich der Status einzelner Endsysteme abgefragt und präsentiert werden kann. Dies beinhaltet nicht nur Infrastrukturangaben wie den Switchport oder eine erfolgreiche/fehlgeschlagene Authentifizierung, sondern auch weitreichende Detailinformationen aus dem Assessment, dem verwendeten Username oder gar dem Betriebssystem. Damit wird die Suche nach Informationen bei der Fehlersuche erheblich verkürzt und liefert einen immer aktuellen Netzwerkstatus zu jedem Endsystem. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 178 Automated VoIP Deloyments Beim Automated VoIP Deployment handelt es sich um die Verknüpfung der Daten des Enterasys NAC und der Siemens DLS Server. Es handelt sich also um eine bidirektionale Integration zwischen den Webservices beider Dienste, die sowohl Infrastrukturdaten an den DLS und VoIP Endgeräte Informationen an den NAC Manager sendet. SOA basierte Integration von NAC und VoIP Device Management Das Zusammenspiel aus NAC und VoIP Infrastruktur erlaubt neben dem NACtypischen Asset Tracking auch umfassendere Location Services, wie zum Beispiel einer automatisierten Rufumleitung, je nach Standort. Auch können spezielle Konfigurationen „location based“ automatisiert an ein Telefon weitergegeben werden. Dies können einfache Dinge wie eine Raumbezeichnung sein oder durchaus komplexe Stammdaten in Abhängigkeit zur jeweiligen Autorisierung (je nach Leistungsumfang der Telefone). Mehr unter http://www.enterasys.com/company/literature/auto-voip-deploy.pdf Enterasys Networks— Networks— Solution Guide 2012 179 Produktportfolio Device phone number (e.g. 43254) ŶƚĞƌĂƐLJƐED^EDĂŶĂŐ Ğƌ͗ŶĚƐLJƐƚĞŵsŝĞǁ Device Type and SW version (e.g. OpenStage 80:V1 R4.14.0) >^/W/ŶĨƌĂƐƚƌƵĐƚƵƌĞ Damit ist eine ähnliche Dynamik erreichbar, wie man sie schon von zentralen Nutzerprofilen auf Desktop PCs her kennt und erlaubt eine optimale Nutzung der gesamten Telefonie unter Einsatz von minimalem administrativem Aufwand. Location und Status Tracking Alle gewonnenen Informationen werden auf dem NAC Manager in einer zentralen, offenen SQL Datenbank abgelegt und stehen somit über Standardschnittstellen zur Verfügung. So können automatisierte Benachrichtigung über Zustandsänderungen per eMail versendet oder weitere Systeme über Statuswechsel informiert werden. Die neue „Notification Engine“ unterstützt dabei mit der Einrichtung von Benachrichtigungsoptionen, Filtern und frei konfigurierbaren Nachrichteninhalten. Diese Funktionalität ermöglicht die Automatisierung von Umzugsmeldungen im Netzwerk und reduziert den administrativen und finanziellen Aufwand erheblich. Natürlich können umgekehrt auch Konfigurationsdaten über einfach Schnittstellen erstellt oder geändert werden und damit ebenfalls automatisierte Aktualisierungen der NAC Konfiguration durch externe Systeme vorgenommen werden. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 180 Da in der NetSight Datenbank für alle Endsysteme die Daten bei der Anmeldung hinterlegt werden, kann somit jeder Benutzer im Netzwerk in Sekundenbruchteilen lokalisiert werden. Diese Informationen dienen dem NMS Console Compass sowie dem Automated Security Manager zum Suchen und können auch zur Realisierung einer E911 Notrufortung verwendet werden. Identity und Access Management Besonders deutlich wird das Zusammenspiel der vorliegenden Infrastrukturdaten in Kombination mit offenen Schnittstellen zur Ein- und Ausgabe von Daten am Beispiel einer IAM (Identity und Access Management) Integration. Hierbei werden sowohl Infrastrukturdaten (beispielsweise ein Umzug in ein anderes Gebäude) an einen IAM Server sofort weitergeleitet als auch Richtlinien (z.B. Stellenwechsel oder Kündigung eines Mitarbeiters) vom IAM Server an die NAC Konfiguration weitergegeben. Enterasys Networks— Networks— Solution Guide 2012 181 Produktportfolio Dies führt zu einer optimalen Verzahnung aus Richtlinienvergabe (IAM) und Kontrollinstanz (NAC), die automatisiert und mit überschaubaren Betriebskosten bei der Einhaltung von Betriebsprozessen unterstützt und ein Maximum an Sicherheit gewährleistet. Als switchbasierte Out-of-Band Lösung wird das NAC Gateway eingesetzt. Damit können sowohl Enterasys auch als Drittherstellerkomponenten in der NAC Lösung eingesetzt werden. Das NAC Gateway dient dabei aus Sicht des Switches als Authentisierungsbroker, dass heißt es leitet die Authentisierungsanfragen gegebenenfalls an einen RADIUS Server weiter oder beantwortet sie selbst. Ab Version 3.3 der NetSight Suite wird das NAC Gateway ebenfalls als virtuelle Appliance für VMWare ESX(i) 4 Umgebungen verfügbar sein (NAC-V-XX). Das NAC-V20 Gateway entspricht hierbei der SNS-TAG-ITA. NAC Gateway Des Weiteren ist es natürlich in der Lage die angeführten Zusatzfunktionalitäten abzubilden. Das NAC Gateway wird in unterschiedlichen Varianten angeboten, die sich vor allem an der Zahl der unterstützten, gleichzeitig authentisierten Benutzer orientiert. NAC Gateway Unterstützte End User SNS-TAG-LPA 2.000 SNS-TAG-HPA 3.000 SNS-TAG-ITA (onboard assessment supported) 3.000 NAC-V-10 1.000 NAC-V-20 3.000 Zusätzlich ist zu beachten, dass im Moment nur das SNS-TAG-ITA per Lizenz auf das Enterasys onboard Assessment aufgerüstet werden kann. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 182 OneFabric Control Center Mit OneFabric Control Center bietet Enterasys Networks eine Ende-zu-Ende Netzwerk Management Lösung an, mit der Netzwerke effizienter und effektivier administriert werden. Dies trägt wesentlich zur Senkung der Betriebskosten bei. Selbstverständlich sind alle OneFabric Control Center Komponenten darauf abgestimmt, eine Secure Networks™ Lösung optimal zu unterstützen. Besondere Bedeutung kommt hier dem Enterasys Policy Manager und dem Automated Security Manager zu, da diese Tools speziell für das autonome Management von Secure Networks™ entwickelt wurden. Enterasys NetSight— NetSight—Zentrale Weboberfläche Enterasys Networks liefert Ihnen eine durchdachte Management Lösung, mit der Sie die von Ihnen benötigten Komponenten als Plug-In zu Ihrem zentralen Management hinzufügen können. Mit der Installation von NetSight werden alle Komponenten in einer Oberfläche bereitgestellt und können über eine zentrale Weboberfläche aufgerufen werden. Eine Installation unterschiedlicher Client Plug-ins oder deren Aktualisierung entfällt. Enterasys Networks— Networks— Solution Guide 2012 183 Produktportfolio Enterasys NetSight Console • Zentrales Management zum Konfigurieren, Überwachen und Troubleshooten des gesamten Netzwerks • Client Server Architektur • Verteiltes Management • Basis für das Management der Secure Networks™ Lösungen, hierzu existieren verschiedene Plug-In Anwendungen • Einheitliches Management und Überwachung der Wireless Infrastruktur mit dem Wireless Manager Enterasys Policy Manager • Zentrales Management zur Administration der rollenbasierten Secure Networks™ Policys • Support für Quality of Service Administration Enterasys NAC Manager • Konfiguration von Enterasys Network Access Control Enterasys OneView • Web-Basierende Reports, • Netzwerk Analyse, Trouble-Shooting und Helpdesk Werkzeuge Enterasys Automated Security Manager • Management Lösung zum dynamischen Schutz vor Gefahren wie Viren und Attacken • Kombiniert die Elemente von Enterprise Network Management und Intrusion Defense • Aktiviert automatisiert Policys auf den Netzwerkkomponenten sobald eine Gefahr erkannt wurde • Netzwerkweite Firmwareupgrades sofort oder zu einem bestimmten Zeitpunkt Enterasys Inventory Manager • Auf einen Klick Hardware, Software und Konfigurationen aller Geräte sichern und verwalten • Überwachung und Archivierung der Konfigurationen Ihres Netzes Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 184 Enterasys Policy Control Console • Einfache Kontrolle der Zugriffsrechte für Endnutzer, z.B. zur gezielten Freigabe von Ressourcen in Seminarräumen Enterasys NetSight Console Die NetSight Console ist das Herzstück von OneFabric Control Center. Sie wurde entwickelt, um den Workflow der Netzwerkadministratoren wieder zu spiegeln. So bietet die NetSight Console umfassende Managementunterstützung für sämtliche Komponenten und Lösungen von Enterasys Networks, aber auch alle anderen SNMP Geräte können mit der NetSight Console administriert werden. Mit der NetSight Console lassen sich viele Netzwerkaufgaben automatisieren, was zu erheblichen Zeit- und Kostenersparnissen in unternehmenskritischen Umgebungen führt. Die modernen Funktionen sorgen für verbesserte Netzwerk Performance und vereinfachtes Troubleshooting. Dazu gehören auch umfangreiche Überwachungsfunktionen, robustes Alarm- und Event-Management, Netzwerk-Discovery, GruppenElement-Management und integrierte Planung. Tasks wie Subnet Discovery, Alarm Paging, TFTP Downloads, System Backups und vieles mehr werden automatisch durchgeführt. Um auf Geräte von Drittanbietern noch umfassender zu unterstützen, steht die Command Scripts Funktionalität zur Verfügung. Hiermit lassen sich eigene CLI Scripte (z.B. via SSH) erstellen und ausführen, in denen verschiedene Werte aus NetSight wiederverwendet werden können. Auf diese Weise können Geräte mit einem einfachen Mausklick in der GUI umkonfiguriert oder deren Status abgefragt werden, selbst wenn diese Möglichkeit nicht via SNMP zur Verfügung stehen sollte. Topology Manager und Topology Maps Mit dem Topology Manager ist es möglich, automatisch Topology Maps erstellen zu lassen. Dadurch bekommt der Administrator mit einem Klick einen Überblick über die Netzwerktopologie. Er sieht die einzelnen Layer-2 und Layer-3 Verbindungen der Komponenten untereinander. Informationen über Link Geschwindigkeit oder Link Aggregation können einfach abgelesen werden. Damit wird die Problemfindung extrem vereinfacht und die Troubleshootingzeitverkürzt sich enorm. Im Rahmen der Neuentwicklung des Enterasys Wireless Managers zeigt der Topology Manager nun auch Wireless Informationen, wie z.B. Access-Points, Mobility Zones und die Controller Availability an. Eine Senkung der Betriebskosten ist das Resultat. Enterasys Networks— Networks— Solution Guide 2012 185 Produktportfolio Darstellung der aktuellen Spanning Tree Topologie Compass Zur Fehlerbehebung ist es enorm wichtig, ein gewisses Maß an Transparenz über das Netzwerk zu bekommen. Eine weitere herausragende Funktionalität der NetSight Console ist es, mit dem Compass Tool Benutzer und Geräte anhand des Benutzernamens, der IP oder MAC Adresse oder des Hostnamens suchen und anzeigen zu lassen. Der Anwender bekommt innerhalb von Sekunden ein aktuelles Bild und muss keine umständlichen oder chronisch veralteten Tabellen pflegen. NetSight Compass Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 186 So kann man in kürzester Zeit Fragen folgender Art beantworten: • Wo ist diese IP in meinem Netzwerk? • Wo sind alle Teilnehmer eines IP Subnetzes im Netzwerk? • Welche Benutzer sind auf einem Switch authentifiziert? Dies funktioniert natürlich nicht nur mit Enterasys Komponenten, sondern kann auch mit Geräten anderer Hersteller kombiniert werden. Compass sucht die Informationen aus bekannten MIB Variablen und Tabellen. Enterasys Policy Manager Durch den Einsatz des Enterasys Policy Managers sind Unternehmen in der Lage Business- und IT-Konzepte aufeinander abzustimmen. Die Kombination aus intelligenten Hardware Komponenten von Enterasys Networks zusammen mit dem Enterasys Policy Manager ermöglicht eine optimale Benutzerverwaltung innerhalb der IT Infrastruktur. Dazu gehört neben den Klassifizierungsregeln am Netzwerkzugang auch die Unterstützung des Port Authentifizierungsstandards IEEE 802.1x. Eine optimale Sicherheitslösung für den Zugang zum Netzwerk wird dadurch bereitgestellt. Der Enterasys Policy Manager ist das zentrale Element der rollenbasierten Administration in der Secure Networks™ Lösung von Enterasys Networks, dass heißt in der Kombination und Aufeinanderabstimmung von IT- und Business-Konzepten. Enterasys Policy Manager Enterasys Networks— Networks— Solution Guide 2012 187 Produktportfolio Enterasys Policy Control Console Die Enterasys Policy Control Console (PCC) ist eine Anwendung, die normalen Anwendern das Potential der Secure Networks™ Policies zur Verfügung stellt. Damit kann die IT-Administration gezielt eine vordefinierte Reihe von Netzwerk Policies auch nicht-technischen Mitarbeitern in deren Arbeitsumgebung zur Verfügung stellen. Für diese ist ein einfacher Zugriff auf diese Einstellungen über ein Webinterface möglich. Damit kann ein Trainer oder Lehrer über ein einfaches Webinterface den Zugang zum Internet für seine Teilnehmer mit einem Klick einbzw. ausschalten. Diese Delegation ermöglicht es der IT-Abteilung sich auf wichtigere Aufgaben zu konzentrieren, indem die alltäglichen Anforderungen durch Erstellung und Anwendung von Netzwerk Policies an die Benutzer delegiert wird. Enterasys Automated Security Manager Der Enterasys Automated Security Manager (ASM) ist ein elementarer Bestandteil der Secure Networks™ Architektur. Mit diesem Tool kann dynamisch auf Attacken und Anomalien innerhalb des Netzwerks reagiert werden. Sollte es zu auffälligen Aktivitäten in der Infrastruktur kommen, können diese über das Enterasys Intrusion Defense System erkannt werden. Informationen über Sender-IP und Art der Attacke werden sofort vom IDS bereitgestellt. Um zeitnah auf diese Attacke zu reagieren, werden diese Informationen über SNMPv3 an den ASM weitergeleitet. Dieser kann unmittelbar die Lokation der auffälligen IP Adresse erkennen und lokalisieren (z.B. Standort A, Gebäude B, Etage C, Verteiler D, Switch E, Port F). Damit kann sofort die Regel auf dem entsprechenden Switch Port geändert werden. Es können nur noch bestimmte Dienste freigeschaltet werden oder der Port wird komplett gesperrt. Das Ganze kann auch mit einer zeitlichen Komponente verbunden werden. Je nach Art des Angriffs kann individuell die Regel geändert werden. Damit kann überprüft werden, ob beispielsweise nach zwei Minuten die Auffälligkeit wieder auftritt und danach erst der Port komplett gesperrt werden. Somit werden diese IP Adresse und der damit verbundene Rechner vom Netz genommen. Die anderen Systeme können ohne Behinderung weiter arbeiten. Es kommt zu keiner Unterbrechung der Geschäftsabläufe. Zudem wird Zeit gewonnen, um den befallenen Rechner zu überprüfen und gegebenenfalls zu warten. Die entsprechende Aktion kann jederzeit über die so genannte „Undo Action“ manuell wieder zurückgenommen werden. Durch den Automated Security Manager können erstmals in der Industrie dynamische Reaktionen auf kritische Events erfolgen. Es ist nicht mehr notwendig, einen Mitarbeiter abzustellen, der ständig vor einer IDS Konsole sitzt, um im Angriffsfall zeitnah reagieren zu können. Das Secure Network™ nimmt diese Aufgabe gerne ab. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 188 Enterasys Automated Security Manager Enterasys Inventory Manager Eine große Herausforderung innerhalb eines Unternehmens ist die Inventarisierung der vorhandenen Komponenten. Dies gilt nicht nur für die IT, sondern zieht sich über alle Geschäftsbereiche hinweg. Mit Hilfe des Inventory Managers lässt sich eine einfache und schnelle Katalogisierung von IT Informationen durchführen. Vorhandene Hardware und zugehörige Seriennummer, eingesetzte Firmware Versionen, eingebaute Speicherausstattung oder aktuelle Konfigurationen können beispielsweise ausgelesen, zentral abgelegt und verwaltet werden. Ältere Firmware Versionen können automatisiert aktualisiert werden. Konfigurationen können regelmäßig, zeitgesteuert gespeichert und archiviert werden. Damit ermöglicht der Enterasys Inventory Manager ein effektives Change Management, was die Verwaltung vereinfacht und die Betriebskosten enorm senkt. Enterasys Inventory Manager Enterasys Networks— Networks— Solution Guide 2012 189 Produktportfolio Enterasys OneView Mit NetSight OneView wird das Management Featureset von NetSight um die Funktionalitäten Reporting, Service Dashboards, Trouble Shooting Tools und Monitoring erweitert. OneView ist eine komplett webbasierende Applikation. In NetSight Version 4.0 liegt der primäre Fokus von OneView auf dem Reporting und der Anzeige von Dashboard Informationen zur Enterasys Wireless Infrastruktur. Neben dieser Hauptausrichtung wurden die aus der Console bekannten FlexViews als webbasierende FlexViews in OneView integriert. Des Weitern können alle in der NetSight Console registrierten Devices in der Detailansichten über die OneView Weboberfläche angezeigt werden. Ebenso werden alle Events die in die Console einfließen über die Web-Ansicht zur Verfügung gestellt. In den nächsten Versionen von Enterasys NetSight werden die Applikationsbereiche Console, Inventory Manager, NAC Manager, Policy Manager suggsessive in OneView integriert. Im Reporting Tab stellt OneView historische und echtzeit Reports der überwachten Infrastruktur dar. Neben einer zusammengefassten Ansicht und Reports, kann in die einzelnen Events hineingezoomt werden. Mit dem Ad Hoc Reporting bietet OneView ein umfassendes Reporting, bei dem alle verfügbaren Parameter in die Reportsauswahl aufgenommen werden. So stehen neben den reinen Performance Daten, auch die Event Logs der NetSight Management Suite für den Report zur Verfügung. Alle Management Konfigruationen können direkt per OneView in Form einer PDF Datei erzeugt werden. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 190 Das Device Tab gibt einen Detailüberblick über alle mit NetSight gemanagten Geräte. Über die Browser Oberfläche können für jedes Geräte web-basierende FlexViews und direkter Zugriff auf die WebView des Gerätes, wie im NetSight Console Client, aufgerufen werden. Des Weiter bietet die Oberfläche für einen schnellen Zugriff die Suche, Sortierung und Filterung der Geräte mit einem Bookmark zu versehen. Über den Tab Event Logs gibt OneView webbasierenden Zugriff auf die Event Logs, die seitens des NetSight zur Verfügung stehen. Auch hier besteht die Möglichkeit Events durch Sortierung und Filterung nach bestimmten Geräten zu durchsuchen. Dieses ist ein große Hilfe im Falle von Troubleshooting oder forensischen Datenzusammenstellung. Durch einen Doppelklick auf einen Event werden alle Details des Events angezeigt. OneView liefert über den Wireless Tab alle Details, Dashboards und Top N Information für das Monitoring und den aktuellen Status der Enterasys Wireless Infrastruktur. Per Suche und Sortierung besteht die Möglichkeit Informationen genau nach persönlichen Wünschen zusammenzustellen. Aus der High-Level-Report Ansicht kann per Mausklick direkt in die genauen Details eingetaucht werden. Mit OneView wurde die NetSight Management Suite um ein starkes Reporting, Monitoring und Troubleshooting Werkzeug erweitert. Innerhalb von wenigen Mausklicks sind Reports nach den persönlichen Anforderungen erstellt, als PDF Datei gespeichert oder mit einem weiteren Mausklick die Details zu einem Ereignis oder Gerät eröffnet. Enterasys Networks— Networks— Solution Guide 2012 191 Produktportfolio Enterasys Wireless Manager Der neue Wireless Manager komplettiert den ganzheitlichen Enterasys Netzwerk Management Ansatz LAN und WLAN Infrastruktur durch eine einzige Management Plattform zu administrieren. Hierzu bringt der Wireless Manager eine Vielzahl von komfortablen Funktionen mit sich, um die WLAN Infrastruktur zentral und per template-basierenden Konfigurationsbausteinen effizienter und effektiver zu konfigurieren. Dieses beugt Fehlkonfigurationen präventiv vor und der Administrationsaufwand der Einzelkomponenten wird drastisch gesenkt. Der Wireless Manager fügt sich nahtlos in die etablierte Benutzer- und Rechtestruktur der NetSight Management Suite ein. Für die Administration werden nun nicht mehr verschiedene Tools benötigt. Mit NetSight wird nur noch eine Applikation gestartet, welche alle Bereiche für die LAN und WLAN Administration mit einer einheitliche Benutzeroberfläche abdeckt. Mit Hilfe von Templates werden z.B. Unternehmensspezifische Standardeinstellungen wie Logging, Security, Access Points Länderein-stellungen etc. nur einmal konfiguriert und nach Bedarf mehrfach für Konfigurationen auf unterschiedlichen Wireless Controllern und Access Points angewandt. Die Konfigurationen von bestehenden Controllern können importiert und auf neue Controller appliziert werden. Die zur Verfügung stehenden Konfigurationsassistenten führen unkompliziert, Schritt-für-Schritt durch die dienste-orientierte Wireless Konfiguration. Auf diese Weise werden schnell und sicher Konfigurationen für Daten-, Sprach- und Gast-Wireless LANs erstellt. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 192 Wireless Advances Services Mit den Wireless Advanced Services bietet Enterasys einen umfassenden Wireless IDS/IPS Schutz für alle etwaigen Funkrisiken. Die integrierte Wireless Sicherheitslösung schützt drahtlose Netze vor allem, was durch Standards, wie z.B. 802.11i, nicht abgedeckt wird. NMS Wireless Advanced Services schützt die WLAN Infrastruktur gegen eine Vielzahl von Wireless Gefahren, wie z.B. fehlkonfigurierte Access Points und Clients, MAC Spoofing, Man-in-the-Middle Attacken etc. Durch automatisches Baselining der WLAN Umgebung wird die Entstehung von False Positive Meldung minimiert. Zur Performance Optimierung kann die WLAN Infrastruktur durch NMS Wireless Advanced Services in verschiedenen Ansichten dargestellt werden. So kann in Echtzeit betrachtet werden, ob ein Access Point optimal platziert ist, ob es WLAN Fehlkonfigurationen gibt, wie die aktuelle Kanal Abdeckung des Access Point bzw. IDS/IPS Sensor aussieht und welche Verbindungsgeschwindigkeit der Access Point bietet. Das intuitive Dashboard gibt dem Administrator einen zusammengefassten Überblick über die WLAN Infrastruktur. Aufgetretene System- und Security Events können Low-Level oder detailliert bis auf eine forensische Ebene ausgewertet werden. Ebenso können aus den zur Verfügung stehenden Daten automatische Konformitätsberichte nach SOX, HIPAA, PCI DSS etc. auf Knopfdruck erstellt werden. Zusätzlich zu den oben genannten Auswertungen hinsichtlich Security, ist es möglich Informationen zu der allgemeinen WLAN Performance zu erhalten. Mit Hilfe dieser Funktion können Interferenzen, Brandbreitenprobleme, Abdeckungslücken und Fehlkonfigurationen angezeigt und analysiert werden. Enterasys Networks— Networks— Solution Guide 2012 193 Produktportfolio Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 194 Enterasys Data Center Manager Verweis zum Data Center Kapitel. Enterasys OneFabric Control Center Lizenzierung Historisch bedingt war das Enterasys NetSight in einer Vielzahl an Varianten erhältlich. Zum 1. Oktober 2011 wurde ein stark vereinfachtes Lizenzmodell eingeführt. Zum Einen werden allen Bestandteile von OneFabric Control Center als einzelne Bausteine angeboten. Dabei wird NetSight Console immer als Grundlage vorausgesetzt. Auf dieses Fundament können Policy Manager, Inventory Manager, NAC Manager, Automated Security Manager und OneView einzeln A-La-Carte Lizenziert werden. Des Weiteren gibt es zwei Bundle Pakete mit unterschiedlichen Plug-in Ausprägungen. Die Varianten unterscheiden sich in NetSight und NetSightBase. Die nachfolgende Tabelle veranschaulicht die Bestandteile des jeweilige Pakets. Beide Pakete sind nach Anzahl der zu verwaltenden SNMP Geräte (Devices: z.B. Switch, Wireless Controller, etc.) gestaffelt. Bei NetSight-Base sind drei und bei NetSight 25 gleichzeitige NetSight Benutzer lizenziert. Der in der NetSight Console enthaltene Wireless Manager ist in Hinblick auf die Wireless Controller nicht separat zu lizenzieren, lediglich die durch ihn zu verwaltenden Thin Access Points sind bei der Lizenierung zu berücksichtigen. Jedes NetSight und NetSight-Base Paket kann mit der lizenzierten Anzahl von verwaltenden SNMP Geräten das 10-fach (Device Count x 10) an Thin Access Points per NetSight Wireless Manager bedienen. 3 X X X NMSNMS-BASEBASE-25 25 250 3 X X X NMSNMS-BASEBASE-50 50 500 3 X X X NMSNMS-BASEBASE-100 100 1000 3 X X X NMSNMS-BASEBASE-250 250 2500 3 X X X NMSNMS-BASEBASE-500 500 5000 3 X X X NMSNMS-BASEBASE-U U U X X X 3 Enterasys Networks— Networks— Solution Guide 2012 OneView 100 NAC Manager 10 ASM IM PM Console User Thin AP‘s Geräte NMSNMS-BASEBASE-10 195 Produktportfolio OneView NAC Manager ASM IM PM Console User Thin AP‘s Geräte NMSNMS-5 5 50 25 X X X X X X NMSNMS-10 10 100 25 X X X X X X NMSNMS-25 25 250 25 X X X X X X NMSNMS-50 50 500 25 X X X X X X NMSNMS-100 100 1000 25 X X X X X X NMSNMS-250 250 2500 25 X X X X X X NMSNMS-500 500 5000 25 X X X X X X NMSNMS-U U U X X X X X X 25 NetSight Wireless Management Für Kunden, die den primären Fokus auf dem Wireless Management haben, wurden spezielle NetSight Bundle geschnürt. Diese Bundle umfassen die für Wireless relevanten NetSight Bestandteile Console, Policy und Inventory Manager. Hinsichtlich der Lizenzierung startet die NetSight Wireless Management Suite bei 10 verwalteten Geräten (z.B. Wireless Controller, Standalone APs etc.) und 10 Access-Points. Die nächst höhere Stufe umfasst 50 gemanagte Geräte und 50 Access-Points. Die Kapazität der verwalteten APs kann in 50/250/500/1.000 Schritten erhöht werden. Part Nummer Beschreibung NS-WB-10 NetSight Wireless Management Suite (beinhaltet 10 AP Lizenzen und bis zu 10 gemanagete Geräte) NS-WB-50 NetSight Wireless Management Suite (beinhaltet 500 AP Lizenzen und bis zu 50 gemanagete Geräte) NS-WM-CAPUP50 NetSight WM Kapazitäten Upgrade für 50 Aps (benötigt NS-WB-10, NS-WB-50 oder Console) NS-WM-CAPUP250 NetSight WM Kapazitäten Upgrade für 250 Aps (benötigt NS-WB-10, NS-WB-50 oder Console) NS-WM-CAPUP500 NetSight WM Kapazitäten Upgrade für 500 Aps (benötigt NS-WB-10, NS-WB-50 oder Console) NS-WM-CAPUP1000 NetSight WM Kapazitäten Upgrade für 1000 Aps (benötigt NS-WB10, NS-WB-50 oder Console) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 196 NetSight Wireless Advanced Services (WAS) Als Grundlage für den Einsatz der Wireless Advanced Services wird ein lizenziertes Wireless Management (NS-WB-x) vorrausgesetzt. In der Basis WAS Lizenz ist eine Sensor Lizenz, für die Umwandlung eines Access-Points in einen Wireless Sensor, enthalten. Die Lizenzierung der Sensoren kann flexibel in 1/10/25/50/100 Schritten vollzogen werden. Für den Funktionumfang Forensic und RF Performance wird eine seperate Lizenz angeboten. Part Nummer Beschreibung NSNS-WADVSVC4 NetSight Wireless Advanced Services mit Reporting und einer Sensor Lizenz (benötigt NS-WB-10, NS-WB-50 oder NMS Console) NSNS-WASWAS-FOR NetSight Wireless Advanced Services Forensics und RF Performance NSNS-WASWAS-CAPUP1 NetSight WAS Kapazitäten Upgrade für einen Sensor (benötigt NSWADVSVC4) NSNS-WASWAS-CAPUP10 NetSight WAS Kapazitäten Upgrade für 10 Sensor (benötigt NSWADVSVC4) NSNS-WASWAS-CAPUP25 NetSight WAS Kapazitäten Upgrade für 25 Sensor (benötigt NSWADVSVC4) NSNS-WASWAS-CAPUP50 NetSight WAS Kapazitäten Upgrade für 50 Sensor (benötigt NSWADVSVC4) NSNS-WASWAS-CAPUP100 NetSight WAS Kapazitäten Upgrade für 100 Sensor (benötigt NSWADVSVC4) Enterasys NetSight Lizenzierung Die Lizenzierung für die Enterasys NetSight Produktreihe wurde in der Entwicklung über unterschiedliche Mechanismen abgedeckt – in den frühen 1.x und 2.x Varianten wurde die Lizenzierung mittels eines einzeiligen Schlüssels vorgenommen, der nach der Installation eingespielt werden konnte. Dieser hatte folgendes Format: „PEVGI06XXXXXXXXX“. Der erste Buchstabe stand für das Produkt (C=Console, P=Policy Manager, I=Inventory Manager, A=ASM, T=Trusted Access Manager bzw. NAC Manager); der zweite Buchstabe stand für die Lizenzgröße (S=Small, M=Medium, L=Large, U=Unlimited). Dieser Key wurde bei der Bestellung per Post zugesandt. Mit NetSight 3.x wurde mit Macrovision ein industrieweit genutztes Lizenzierungsverfahren eingeführt. Dabei wurden die unterschiedlichen Lizenzierungsgrößen (SE,ME,LE,U) sowie die Kürzel für die einzelnen NMS Komponenten (C, P,I,A,T) beibehalten, die Policy Control Console mit PCC ist neu hinzugekommen. Die Lizenzverwaltung erfolgte dabei über ein bei Enterasys gehostetes Lizenzierungsportal, welches zunächst unter https://myportal.enterasys.com erreichbar war. Enterasys Networks— Networks— Solution Guide 2012 197 Produktportfolio Heute ist die Lizenzierung unter https://extranet.enterasys.com/MySupport/ Licensing/ in das globale Kundenportal integriert. Hier kann, auch nur zu Evaluierungszwecken, ein Account erzeugt und eine für 30 Tage gültige Testlizenz erzeugt werden. Beim Kauf einer NetSight Lizenz erhält der Kunde eine Entitlement ID. Im Lizenzportal aktiviert er diese unter Angabe der MAC Adresse des eingesetzten Servers den gültigen Lizenzkey. Dieser ist unmittelbar abrufbar und lässt sich zusätzlich via Mail oder Post versenden. Das Format dieser Lizenz geht über mehrere Zeilen und enthält alle Informationen bezüglich Lizenzgröße, etc.: INCREMENT NetSightEval ets 2008.0601 1-jun-2008 uncounted \ VENDOR_STRING="type=server tier=m devices=250 clients=25 \ model=all" HOSTID= ANY ISSUED=17-jan-2008 START=17-jan-2008 \ SIGN="03D3 3151 DC2C 67C7 936B C202 55E7 A254 62B5 8D5F 8FAF \ 78E8 97EE C2CF 3625 186D 269E 84BF 7AFC C414 60C5 7967 2EF3 \ XXXX ECA8 5109 0E7C XXXX XXXX XXXX" Kunden mit einem bestehenden Wartungsvertrag können ohne weitere Kosten über das Lizenzportal unter https://extranet.enterasys.com/My-Support/Licensing/ Pages/NetSightUpgrade.aspx auf die neuste Version upgraden. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 198 OneFabric Data Center / Edge Diese Produktlinie bietet eine komplette Lösung für den LAN Switching und Routing Bereich vom Access bis zum Core. Abgerundet wird sie durch WAN und WLAN Komponenten. Applikationsbasierte Dienste (Sicherheit, Quality of Service, etc.) durch Layer 2/3/4 Klassifizierung und Unterstützung von Secure Networks™ zeichnen diese Produktlinie aus. Sowohl standalone, als auch stackable und chassisbasierte Systeme sind verfügbar. A/B/CA/B/C-Serie LAN Edge L2/L3 stapelbare Switching Lösung D-Serie Kompakter, leiser L2 Edge Switch für Klassenräume und Büroumgebungen G-Serie Fixed/modularer, hoch dichter L2/L3 LAN Edge Switch, kleinere Distribution I-Serie Edge Switching für Industrieapplikationen K-Serie Konvergenzbereiter, modularer Switch fü EdgeEinsatz optimiert S-Serie Terabit-Klasse, konvergenzbereiter, modularer Switch für Edge-to-Core und Data Center Einsatz Wireless LAN Wireless Netzwerkinfrastruktur XSR Branch Router Sicherheitsrouter für Filialbüros OneFabric Data Center / Edge Portfolio Enterasys Networks— Networks— Solution Guide 2012 199 Produktportfolio Enterasys A/B/C Serie Die A/B/C Serie sind kostengünstige Switche mit Routing und Secure Networks™ Unterstützung, die im Access Bereich (in der 10/100 Ethernet Variante) sowie im Server Bereich (in der 10/100/1000 Ethernet Variante mit 10Gbit Uplink) zum Einsatz kommen. Sie sind in drei unterschiedlichen Varianten verfügbar, die C-, B- und A-Serie. Diese bieten beim Stacking ein einfaches Management bei gleichzeitig hoher Portdichte von 48 Enduser-Ports und 4 Uplink-Ports pro Switch und bis zu 384 Enduser Ports pro Stack. Dabei können bis zu 8 Switche miteinander verbunden werden. Alle Varianten bieten hochverfügbares Stacking mittels einer Closed Loop Stacking Lösung, bei der der klassische Single Point of Failure beim Stacken vermieden wird. Die Modelle der C-, B- und A-Serie sind dabei nicht untereinander, aber sehr wohl innerhalb derselben Serie kombinierbar. Die Switche sind außerdem in einer PoE-fähigen Variante verfügbar (am P am Ende der Bestellnummer erkennbar). Eine Besonderheit ist hier die adaptive Erkennung des durch die Endgeräte verbrauchten Stroms, die eine optimale Verteilung der maximal verfügbaren Leistung erlaubt. Alle Module verwenden die selben, optionalen redundanten Netzteile. Für die Verwendung in einem Distribution Layer Security Szenario haben die Module noch die Fähigkeit, EAP-Forwarding zu unterstützen, so dass auch eine zentrale 802.1x Authentisierung über den Switch hinweg möglich ist, ohne dass auf Spanning Tree verzichtet werden muss. Weiterhin kann die Kommunikation zwischen den Access Ports so eingeschränkt werden, dass nur noch zwischen Access- und Uplink Ports ein Datenaustausch möglich ist und somit eine optimale Sicherheit auch bei nachgelagerter Authentisierung erreicht wird. Lifetime Warranty Die Switche aus der A/B/C Serie können bis zu 30 Tage nach dem Eingang der Ware beim Kunden bei Enterasys registriert werden. Dadurch erhält man eine Lifetime Warranty (LW), welche die fehlerfreie Funktion der Switche für mindestens fünf Jahre nach der Einstellung des Produktes bei Enterasys Networks garantiert. Die Garantie umfasst kostenlose Firmware Bugfixes sowie das Bereitstellen von Ersatzgeräten nach vorhergehender Beratung durch das GTAC. Mehr Informationen dazu unter: http://www.enterasys.com/company/literature/enterasys-lw-ds.pdf Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 200 Enterasys C5/B5 Der Enterasys B5 ist ein leistungsstarker Gigabit Ethernet Edge Switch, der skalierbare, wire-rate Performance für die Unterstützung brandbreitenintensiver und verzögerungssensitiver Anforderungen heutiger Applikationen bietet. Bei einem Support für 16.000 MAC Adressen ist der B5 einer hervorragende Wahl für Umgebungen, die komplette mehrschichtige Switching-Leistungen und Support für hochdichte 10/100/1000 Ethernet Ports und statische Routing-Leistungen erfordert. Der B5 ist sowohl für Gigabit Ehternet Netzwerke als auch für 100 Mbps Netzwerke gut geeignet, die möglicherweise in eine Gigabit Ethernet Umgebung ausgelagert werden. Zusätzlich zu den komplett mehrschichtigen SwitchingLeistungsfähigkeiten, bietet der B5 auch grundlegende Routing-Eigenschaften, RIP, statisches IPv4 Routing und IPv6 Management-Support inbegriffen. Zusammen mit einer Switch-Kapazität von 188 Gbps bietet der B5 bis zu 48 10/100/1000 Ethernet Ports, sowie die Option von Gigabit und 10 Gigabit Ethernet Uplink Ports. Der B5 mit seiner wire-rate Stacking Kapazität ermöglicht es bis zu 8 B5 (sowohl 24 Port als auch 48 Port Kombinationen) in einem einzigen Stack zu verbinden und so einen virtuellen Switch zu schaffen, der 1,5 Tbps Kapazität und bis zu 384 10/100/1000 Ethernet Ports sowie 32 Gigabit Ethernet oder 16 10 Gigabit Ethernet Uplink Ports zur Verfügung stellt. Der B5 unterstützt hunderte von individuellen Policys, die eine granulare Definition von Netzwerkzugangsleistungen für jede Rolle ermöglichen und somit die Nutzung der Netzwerkressourcen mit Geschäftszielen und Prioritäten abgleicht. Der Enterasys C5 ist die ein leistungsstarker Gigabit Ethernet Switch, der zusätzlich zu den oben genannten B5-Features eine Switch-Kapazität von 264 Gbps aufweist und so 2 10 Gigabit Ethernet Uplink Port bereitstellt. Der C5 mit seiner wire-rate Stacking Kapazität ermöglicht es bis zu 8 C5 (sowohl 24 Port als auch 48 Port Kombinationen) in einem einzigen Stack zu verbinden und so einen virtuellen Switch zu schaffe, der 2,11 Tbps Kapazität und bis zu 384 10/100/1000 Ethernet Ports sowie 32 Gigabit Ethernet oder 16 10 Gigabit Ethernet Uplink Ports zur Verfügung stellt. Enterasys Networks— Networks— Solution Guide 2012 201 Produktportfolio Enterasys C5/B5 – QoS Robuste Quality of Service (QoS) Eigenschaften ermöglichen starken Support für integrierte Multimedia Netzwerke, Voice over IP (VoIP) und Video inbegriffen, sowie für alle Arten von datenintensiven Anwendungen. Die B5 Policy Leistungsfähigkeit ermöglicht die Zusammenarbeit zwischen hoch angepassten Layer 2/3/4 Paket Klassifizierungsleistungen und den 8 hardware-basierenden Prioritätsqueues, die mit jedem Ethernet Port verbunden sind, um eine Reihe differenzierter Services mit maximal 8 unterschiedlichen Dringlichkeitsstufen zu unterstützen. In Verbindung mit seiner nicht blockierenden L2 Switching und L3 Routing Bauweise stellt der intelligente B5-Queuing-Mechanismus sicher, dass auftragskritische Anwendungen vorrangigen Zugriff auf Netzwerkresourcen erhalten. Der C5/B5 bietet ein sicheres Netzwerk, indem er seine Autentifizierungs- und Sicherheitsfeatures nutzt, die am Port-Level oder am User-Level angebracht werden können. Bei Nutzung des NetSight Policy Manager oder einer standard CLI ermöglicht die rollenbezogene Bauweise den Netzwerkadministrator, individuelle Rollen oder Profile zu definieren, die operative Gruppen innerhalb einer Firma repräsentieren (z. B. Angestellter, Leiter, Gast, etc.). Mehrere Benutzer/Geräte pro Port können mittels IEEE 802.1X, MAC Adresse oder Web-Authentifikation, authentifiziert werden und dann einer vordefinierten operativen Rolle zugewiesen werden. Netzwerkabläufe können leicht zugeschnitten werden, um geschäftsorientierten Anforderungen zu genügen, indem jede Rolle mit individualisiertem Zugriff zu den Netzwerk-Services und Anwendungen beliefert wird (z. B. sollte ein Gast andere Zugriffsmöglichkeiten als ein Angestellter haben). Die C/B-Serien Produktlinie liefert hohe Port-Dichte in einem 1U-footprint und ist umweltfreundlich im Design. Bei Erhöhung der Port-Dichte innerhalb eines gegebenen Rack-Zwischenraums verringert der C5/B5 die Kühlanforderungen. Die gesamtelektrischen Anforderungen des C5/B5 reduzieren sich weiter durch ein niedriges, ständiges Gebläse und eine extreme Toleranz für hohe Umgebungstemperaturen. Eine hoch skalierbare Architektur und die Limited Lifetime Warranty stellen sicher, dass eine C5/B5 Netzwerkanschaffung für die Zukunft ein sicheres, Feature-reiches und kosteneffektives Netzwerk aufrecht hält. Enterasys C5/B5 - Zuverlässigkeit und Verfügbarkeit Das C5/B5-Design berücksichtigt Redundanz und Fehlerschutzmechanismen komplett mit automatischen Fehler- und Recoveryleistungen, um ein zuverlässiges Netz zu bieten. Eine integrierte Stromversorgung ist die primäre Stromquelle für den C5/B5; komplette Strom-Redundanz wird durch eine optionale, externe Stromversorgung geliefert. Zusätzlich zu der Standard-Version des C5/B5 gibt es auch eine Power over Ethernet (PoE) Version des C5/B5, die Netzwerkgeräte unterstützt, die externe Stromversorgung benötigen, wie z. B. Wireless Access Points, VoIP Telefone und Netzwerkkameras. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 202 Enterasys C5/B5 - Investitionsschutz Der C5/B5 ist ein kosteneffektiver, Feature-reicher, stapelbarer Switch, der heute breitgefächerte Features bietet und auch zukünftig Vorteile liefert. Kunden können ihr Netzwerk vergrößern und weiterentwickeln, während die Investition durch Hinzufügen von C5's/B5’s in vorhandene C/B-Serie-Netzwerke und/oder Stacks geschützt wird. Wenn mehrere C5's/B5’s gestackt sind, übernimmt jeder Switch im Stack die Eigenschaft, die allen Switchen im Stack gemein ist, um betriebliche Kompatibilität sicherzustellen. Der C5/B5 unterstützt hunderte von individuellen Policys, die eine granulare Definition von Netzwerkzugangsleistungen für jede Rolle ermöglichen und somit die Nutzung der Netzwerkressourcen mit Geschäftszielen und Prioritäten abgleicht. Enterasys C5/B5— C5/B5—Features, Standards und Protokolle MAC Address Table Size IEEE 802.3af – PoE 32,000 IEEE 802.3at – High Power PoE (up to 30W per port) IEEE 802.3i – 10Base-T VLANs IEEE 802.3u – 100Base-T, 100Base-FX 4,094 VLAN IDs IEEE 802.3z – GE over Fiber 1,024 VLAN Entries per Stack Full/half duplex auto-sense support on all ports Switching Services Protocols IGMP Snooping v1/v2/v3 IEEE 802.1AB – LLDP Jumbo Frame support (9,216 bytes) ANSI/TIA-1057 – LLDP-MED Loop Protection IEEE 802.1D – MAC Bridges One-to-One and Many-to-One Port Mirroring IEEE 802.1s – Multiple Spanning Trees Port Description IEEE 802.1t – 802.1D Maintenance IEEE 802.1w – Reconvergence Rapid Spanning Protected Ports Tree Selectable LAG Configuration Ready (6 x 8, 12 x 4, 24 x 2) IEEE 802.3 – Ethernet Host CPU Protection – Broadcast/ Multicast/ IEEE 802.3ab – GE over Twisted Pair Unknown Unicast Suppression IEEE 802.3ad – Link Aggregation Spanning Tree Backup Root IEEE 802.3ae – 10 Gigabit Ethernet (fiber) STP Pass Thru Enterasys Networks— Networks— Solution Guide 2012 203 Produktportfolio IEEE 802.3ae – 10 Gigabit Ethernet (fiber) Tagged-based VLAN IEEE 802.3af – PoE VLAN Marking of Mirror Traffic IEEE 802.3at – High Power PoE (up to 30W per port) Security IEEE 802.3i – 10Base-T ARP Spoof Protection IEEE 802.3u – 100Base-T, 100Base-FX DHCP Spoof Protection IEEE 802.3z – GE over Fiber IEEE 802.1X Port Authentication Full/half duplex auto-sense support on all MAC-based Port Authentication ports IGMP Snooping v1/v2/v3 RADIUS Accounting for network access Jumbo Frame support (9,216 bytes) RADIUS Client Loop Protection RFC 3580 – IEEE 802.1X RADIUS Usage Guidelines One-to-One and Many-to-One Port Mirroring Multi-user Authentication Port Description Password Protection (encryption) Protected Ports Secure Networks Policy Selectable LAG Configuration Ready (6 x 8, 12 Secured Shell (SSHv2) x 4, 24 x 2) Host CPU Protection – Broadcast/ Multicast/ Secured Socket Layer (SSL) Unknown Unicast Suppression User and IP Phone Authentication Spanning Tree Backup Root Web-based Port Authentication STP Pass Thru IPv4 Routing Standard Access Control List (ACLs) VLAN Support Generic Attribute Registration Protocol (GARP) Extended ACLs Generic VLAN Registration Protocol (GVRP) VLAN-based ACLs IEEE 802.1p – Traffic classification ARP & ARP Redirect IEEE 802.1Q – VLAN Tagging DVMRP Protocol-based VLANs with Enterasys Policy IP Helper Address IEEE 802.3ac – VLAN Tagging Extensions RFC 826 – Ethernet ARP Port-based VLAN (private port/private VLAN) RFC 1058 – RIP v1 Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 204 RFC 1256 – ICMP Router Discovery Messages RFC 3493 – Basic Socket Interface for IPv6 RFC 1519 Classless Inter-Domain Routing RFC 3513 – Addressing Architecture for IPv6 RFC 1724 – RIPv2 MIB Extension RFC 3542 – Advanced Sockets API for RFC 2236 – IGMPv2 RFC 3587 – IPv6 Global Unicast Address Format RFC 2328 – OSPF version 2 RFC 3736 – Stateless DHCPv6 RFC 2338 – IP Redundancy VRRP Dual IPv4/IPv6 TCP/IP Stack RFC 2362 – PIM-SM RFC 2453 – RIP v2 MIB Support RFC 3046 – DHCP/BootP Relay Enterasys Entity MIB RFC 3376 – IGMPv3 RFC 3768 – VRRP – Virtual Redundancy Protocol Static Routes Router Enterasys Policy MIB Enterasys VLAN Authorization MIB ANSI/TIA-1057 – LLDP-MED MIB IPv6 Routing IEEE 802.1AB – LLDP MIB RFC 1981 – Path MTU for IPv6 IEEE 802.1X MIB – Port Access RFC 2373 – IPv6 Addressing IEEE 802.3ad MIB – LAG MIB RFC 2460 – IPv6 Protocol Specification RFC 826 – ARP and ARP Redirect RFC 2461 – Neighbor Discovery RFC 951, RFC 1542 – DHCP/ RFC 2462 – Stateless Autoconfiguration BOOTP Relay RFC 2463 – ICMPv6 RFC 1213 – MIB/MIB II RFC 2464 – IPv6 over Ethernet RFC 1493 – BRIDGE-MIB RFC 2473 – Generic Packet Tunneling in IPv6 RFC 1643 – Ethernet-like MIB RFC 2271 – SNMP Framework MIB RFC 1724 – RIPv2 MIB Extension RFC 2711 – IPv6 Router Alert RFC 1850 – OSPF MIB RFC 2740 – OSPFv3 RFC 2096 – IP Forwarding Table MIB RFC 2893 – Transition Mechanisms for IPv6 Hosts + Routers (6 over 4 configured) RFC 2131, RFC 3046 – DHCPClient/Relay RFC 3315 – DHCPv6 (stateless + relay) RFC 3484 – Default Address Selection for IPv6 RFC 2233 – IF-MIB RFC 2465 – IPv6 MIB RFC 2466 – ICMPv6 MIB Enterasys Networks— Networks— Solution Guide 2012 205 Produktportfolio RFC 2571 – SNMP Framework MIB Queuing Control – Strict and Weighted RFC 2618 – RADIUS Authentication Client Round Robin MIB Source/Destination IP Address RFC 2620 – RADIUS Accounting Client MIB Source/Destination MAC Address RFC 2668 – Managed Object Definitions Dynamic and Static MAC Locking for 802.3 MAUs EAP Pass-Thru RFC 2674 – P-BRIDGE-MIB RFC 2474 Definition of Differentiated RFC 2674 – QBRIDGE-MIB VLAN Bridge MIB Services Field RFC 2737 – Entity MIB (physical branch only) RFC 2787 – VRRP-MIB Management RFC 2819 – RMON-MIB Alias Port Naming RFC 2933 – IGMP MIB Command Line Interface (CLI) RFC 2934 – PIM MIB for IPv4 Configuration Upload/Download RFC 3413 – SNMP v3 Applications MIB Dual IPv4/IPv6 Management Support RFC 3414 – SNMP v3 User-based Editable Text-based Configuration File Security Module (USM) MIB TFTP Client RFC 3584 – SNMP Community MIB Multi-configuration File Support RFC 3621 – Power over Ethernet MIB NMS Automated Security Manager NMS Console Quality of Service NMS Inventory Manager 8 Priority Queues per Port NMS Policy Manager 802.3x Flow Control Node/Alias Table Class of Service (CoS) RFC 768 – UDP Ingress Rate Limiting RFC 783 – TFTP IP ToS/DSCP Marking/Remarking RFC 791—IP IP Precedence RFC 792 – ICMP IP Precedence RFC 793 – TCP IP Protocol RFC 826 – ARP Layer 2/3/4 Classification RFC 854 – Telnet Multi-layer Packet Processing RFC 951 – BootP Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 206 RFC 1157 – SNMP RMON (Stats, History, Alarms, Events, RFC 1321 – The MD5 Message-Digest Filters, Packet Capture) Algorithm Secure Copy (SCP) RFC 1901 – Community-based SNMPv2 Secure FTP (SFTP) RFC 2030 Simple Network Time Protocol Simple Network Management Protocol (SNTP) RFC 2933 – IGMP MIB (SNMP) v1/v2c/v3 RFC 3176 – sFlow SSHv2 RFC 3413 – SNMPV3 Applications RFC 3164 – The BSD Syslog Protocol RFC 3414 –User-based Security TACACS+ support Module (USM) for SNMPv3 Authentication, Authorization and Auditing RFC 3415 – View-based Access Control Web-based Management Model for SNMP Webview via SSL Interface RFC 3826 – Advanced Encryption Standard (AES) for SNMP Technische Eigenschaften C5G124C5G124-24 C5G124C5G124-24P2 C5G124C5G124-48 C5G124C5G124-48P2 Throughput Capacity wire-speed Mpps (switch/stack) 35.7 Mpps / 285.7 Mpps 35.7 Mpps / 285.7 Mpps 71.4 Mpps / 571.4 Mpps 71.4 Mpps / 571.4 Mpps Switching Capacity (switch/stack) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) Stacking Capacity (switch/stack) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) Aggregate Throughput Capacity (switch/stack) 176 Gbps (130.9 Mpps) / 1408 Gbps (1047.5 Mpps) 176 Gbps (130.9 Mpps) / 1408 Gbps (1047.5 Mpps) 224 Gbps (166.6 Mpps) / 1792 Gbps (1333.2 Mpps) 224 Gbps (166.6 Mpps) / 1792 Gbps (1333.2 Mpps) 802.3af Interoperable N/A Yes N/A Yes 802.3at Interoperable N/A Yes N/A Yes System Power N/A 850 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection N/A 850 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection Performance PoE Specifications Enterasys Networks— Networks— Solution Guide 2012 207 Produktportfolio C5G124C5G124-24 C5G124C5G124-24P2 C5G124C5G124-48 C5G124C5G124-48P2 H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) Physical Specifications Dimensions (HxWxD) Net Weight 5.03 kg (11.10 lb) 6.21 kg (13.70 lb) 5.42 kg (11.95 lb) 6.60 kg (14.55 lb) MTBF 395557 hours 289425 hours 311897 hours 229532 hours Physical Ports • (24) 10/100/1000 auto- sensing, autonegotiating MDI/MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (24) 10/100/1000 PoE (.af+.at) auto- sensing, auto-negotiating MDI/ MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (48) 10/100/1000 auto- sensing, autonegotiating MDI/MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (48) 10/100/1000 PoE (.af+.at) auto- sensing, auto-negotiating MDI/ MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port Power Requirements Normal Input Voltage 100—240 VAC 100—240 VAC 100—240 VAC 100—240 VAC Input Frequency 50—60 Hz 50—60 Hz 50—60 Hz 50—60 Hz Input Current 2 A Max 12 A Max 2 A Max 12 A Max Power Consumption 65 watts 125 watts 101 watts 150 watts IEC 6-2-1 Standard Operating Temperature 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) IEC 6-2-14 -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) Heat Dissipation 222 BTUs/Hr 428 BTUs/Hr 345 BTUs/Hr 513 BTUs/Hr 5% - 95% non-condensing 5% - 95% non-condensing 5% - 95% non-condensing 5% - 95% non-condensing IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 44 dB 45.5 dB 46 dB 45.5 dB Operating 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) Non-operating 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) Temperature Humidity Operating Humidity Vi bration Shock Drop Acoustics Front of switch (normal operation) Altitude Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 208 C5G124C5G124-24 C5G124C5G124-24P2 C5G124C5G124-48 C5G124C5G124-48P2 Agency and Regulatory Standard Specifications Safety UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 EMC FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3 -2 and EN 61000-3-3 FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3 -2 and EN 61000-3-3 FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 610003-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES003 (Class A), BSMI, VCCi V -3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) C5K125C5K125-24 C5K125C5K125-24P2 C5K125C5K125-48 C5K125C5K125-48 C5K175C5K175-24 Throughput Capacity wirespeed Mpps (switch/stack) 65.5 Mpps / 523.8 Mpps 65.5 Mpps / 523.8 Mpps 101.2 Mpps / 809.5 Mpps 101.2 Mpps / 809.5 Mpps 65.5 Mpps / 523.8 Mpps Switching Capacity (switch/ stack) 88 Gbps (65.5 Mpps) / 704 Gbps (523.8 Mpps) 88 Gbps (65.5 Mpps) / 704 Gbps (523.8 Mpps) 136 Gbps (101.2 Mpps) / 1088 Gbps (761.8 Mpps) 136 Gbps (101.2 Mpps) / 1088 Gbps (761.8 Mpps) 88 Gbps (65.5 Mpps) / 704 Gbps (523.8 Mpps) Stacking Capacity (switch/stack) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) 128 Gbps (95.2 Mpps) / 1024 Gbps (761.8 Mpps) Aggregate Throughput Capacity (switch/ stack) 216 Gbps (160.7 Mpps) / 1728 Gbps (1285.6 Mpps) 216 Gbps (160.7 Mpps) / 1728 Gbps (1285.6 Mpps) 264 Gbps (196.4 Mpps) / 2112 Gbps (1571.3 Mpps) 264 Gbps (196.4 Mpps) / 2112 Gbps (1571.3 Mpps) 216 Gbps (160.7 Mpps) / 1728 Gbps (1285.6 Mpps) 802.3af Interoperable N/A Yes N/A Yes N/A 802.3at Interoperable N/A Yes N/A Yes N/A System Power N/A 850 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection N/A 850 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection N/A Performance PoE Specifications Physical Specifications Dimensions (HxWxD) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) Net Weight 4.92 kg (10.85 lb) 6.10 kg (13.45 lb) 5.31 kg (11.70 lb) 6.49 kg (14.30 lb) 4.97 kg (10.95 lb) MTBF 365615 hours 273083 hours 284345 hours 213965 hours 395839 hours Enterasys Networks— Networks— Solution Guide 2012 209 Produktportfolio C5K125C5K125-24 C5K125C5K125-24P2 C5K125C5K125-48 C5K125C5K125-48 C5K175C5K175-24 • (24) 10/100/1000 • (48) 10/100/1000 • (48) 10/100/1000 • (24) SFP • (2) SFP+ ports • (2) dedicated Physical Specifications Physical Ports • (24) 10/100/1000 • • • • • auto- sensing, autonegotiating MDI/MDI -X RJ45 ports (2) Combo SFP ports (2) SFP+ ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port • • • • • PoE (.af+.at) autosensing, autonegotiating MDI/MDI -X RJ45 ports (2) Combo SFP ports (2) SFP+ ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port • • • • • auto- sensing, autonegotiating MDI/ MDI-X RJ45 ports (2) Combo SFP ports (2) SFP+ ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port • • • • • PoE (.af+.at) autosensing, autonegotiating MDI/ MDI-X RJ45 ports (2) Combo SFP ports (2) SFP+ ports (2) dedicated stacking ports (1) DB9 console port (1) RPS port stacking ports • (1) DB9 console port • (1) RPS port Power Requirements Normal Input Voltage 100—240 VAC 100—240 VAC 100—240 VAC 100—240 VAC 100—240 VAC Input Frequency 50 – 60 Hz 50 – 60 Hz 50 – 60 Hz 50 – 60 Hz 50 – 60 Hz Input Current 2 A Max 12 A Max 2 A Max 12 A Max 2 A Max Power Consumption 74 watts 130 watts 120 watts 165 watts 69 watts IEC 6-2-1 Standard Operating Temperature 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) IEC 6-2-14 -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) Heat Dissipation 253 BTUs/Hr 445 BTUs/Hr 408 BTUs/Hr 565 BTUs/Hr 234 BTUs/Hr 5% - 95% noncondensing 5% - 95% noncondensing 5% - 95% noncondensing 5% - 95% noncondensing 5% - 95% noncondensing IEC 68-2-6, IEC 68-236 IEC 68-2-6, IEC 68-236 IEC 68-2-6, IEC 68-236 IEC 68-2-6, IEC 68-236 IEC 68-2-6, IEC 68-236 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 45 dB 45.5 dB 47 dB 46 dB 46 dB Operating 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) Non-operating 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 Temperature Humidity Operating Humidity Vi bration Shock Drop Acoustics Front of switch (normal operation) Altitude Agency and Regulatory Standard Specifications Safety UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 210 C5K125C5K125-24 C5K125C5K125-24P2 C5K125C5K125-48 C5K125C5K125-48 C5K175C5K175-24 Agency and Regulatory Standard Specifications EMC FCC Part 15 (Class A), ICES-003 (Class A), BSMI, VCCi V-3, AS/ NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES-003 (Class A), BSMI, VCCi V-3, AS/ NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES-003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES-003 (Class A), BSMI, VCCi V-3, AS/ NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES-003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 Environmental 2002/95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) B5G124B5G124-24 B5G124B5G124-24P2 B5G124B5G124-48 B5G124B5G124-48P2 Throughput Capacity wire-speed Mpps (switch/stack) 35.7 Mpps / 285.7 Mpps 35.7 Mpps / 285.7 Mpps 71.4 Mpps / 571.4 Mpps 71.4 Mpps / 571.4 Mpps Switching Capacity (switch/stack) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) Stacking Capacity (switch/stack) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) Aggregate Throughput Capacity (switch/stack) 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) 96 Gbps (71.4 Mpps) / 768 Gbps (571.4 Mpps) 144 Gbps (107.1 Mpps) / 1152 Gbps (857.1 Mpps) 144 Gbps (107.1 Mpps) / 1152 Gbps (857.1 Mpps) 802.3af Interoperable N/A Yes N/A Yes 802.3at Interoperable N/A Yes N/A Yes System Power N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) Performance PoE Specifications Physical Specifications Dimensions (HxWxD) Net Weight 4.92 kg (10.85 lb) 6.10 kg (13.45 lb) 5.31 kg (11.70 lb) 6.49 kg (14.30 lb) MTBF 394679 hours 345093 hours 308359 hours 260806 hours Physical Ports • (24) 10/100/1000 auto- sensing, autonegotiating MDI/MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (24) 10/100/1000 PoE (.af+.at) auto- sensing, auto-negotiating MDI/ MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (48) 10/100/1000 auto- sensing, autonegotiating MDI/MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (48) 10/100/1000 PoE (.af+.at) auto- sensing, auto-negotiating MDI/ MDI-X RJ45 ports • (4) Combo SFP ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port Enterasys Networks— Networks— Solution Guide 2012 211 Produktportfolio B5G124B5G124-24 B5G124B5G124-24P2 B5G124B5G124-48 B5G124B5G124-48P2 IEC 6-2-1 Standard Operating Temperature 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) IEC 6-2-14 -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) Heat Dissipation 222 BTUs/Hr 428 BTUs/Hr 345 BTUs/Hr 513 BTUs/Hr 5% - 95% non-condensing 5% - 95% non-condensing 5% - 95% non-condensing 5% - 95% non-condensing IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 44.5 dB 45 dB 45.5 dB 44.5 dB Operating 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) Non-operating 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) Temperature Humidity Operating Humidity Vi bration Shock Drop Acoustics Front of switch (normal operation) Altitude Agency and Regulatory Standard Specifications Safety UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 EMC FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3 -2 and EN 61000-3-3 FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 610003-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 610003-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES003 (Class A), BSMI, VCCi V -3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 212 B5K125B5K125-24 B5K125B5K125-24P2 B5K125B5K125-48 B5K125B5K125-48P2 Throughput Capacity wire-speed Mpps (switch/stack) 65.5 Mpps / 523.8 Mpps 65.5 Mpps / 523.8 Mpps 101.2 Mpps / 809.5 Mpps 101.2 Mpps / 809.5 Mpps Switching Capacity (switch/stack) 88 Gbps (65.5 Mpps) / 704 Gbps (523.8 Mpps) 88 Gbps (65.5 Mpps) / 704 Gbps (523.8 Mpps) 136 Gbps (101.2 Mpps) / 1088 Gbps (809.5 Mpps) 136 Gbps (101.2 Mpps) / 1088 Gbps (809.5 Mpps) Stacking Capacity (switch/stack) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) 48 Gbps (35.7 Mpps) / 384 Gbps (285.7 Mpps) Aggregate Throughput Capacity (switch/stack) 136 Gbps (101.2 Mpps) / 1088 Gbps (809.5 Mpps) 136 Gbps (101.2 Mpps) / 1088 Gbps (809.5 Mpps) 184 Gbps (136.9 Mpps) / 1472 Gbps (1095.2 Mpps) 184 Gbps (136.9 Mpps) / 1472 Gbps (1095.2 Mpps) 802.3af Interoperable N/A Yes N/A Yes 802.3at Interoperable N/A Yes N/A Yes System Power N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection N/A 375 watts per switch with up to 30 watts per port Per-port switch power monitor: • Enable/disable • Priority safety • Overload & short circuit protection Dimensions (HxWxD) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) H: 4.4 cm (1.73“) W: 44.1 cm (17.36“) D: 36.85 cm (14.51“) Net Weight 4.92 kg (10.85 lb) 6.10 kg (13.45 lb) 5.31 kg (11.70 lb) 6.49 kg (14.30 lb) MTBF 374029 hours 328905 hours 297808 hours 252940 hours Physical Ports • (24) 10/100/1000 auto- sensing, autonegotiating MDI/MDI-X RJ45 ports • (2) Combo SFP ports • (2) 10GE ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (24) 10/100/1000 PoE (.af+.at) auto- sensing, auto-negotiating MDI/ MDI-X RJ45 ports • (2) Combo SFP ports • (2) 10GE ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (48) 10/100/1000 auto- sensing, autonegotiating MDI/MDI-X RJ45 ports • (2) Combo SFP ports • (2) 10GE ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port • (48) 10/100/1000 PoE (.af+.at) auto- sensing, auto-negotiating MDI/ MDI-X RJ45 ports • (2) Combo SFP ports • (2) 10GE ports • (2) dedicated stacking ports • (1) DB9 console port • (1) RPS port IEC 6-2-1 Standard Operating Temperature 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) 0° to 50° C (32° to 122° F) IEC 6-2-14 -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) -40° to 70° C (-40° to 158° F) Heat Dissipation 200 BTUs/Hr 335 BTUs/Hr 321 BTUs/Hr 427 BTUs/Hr 5% - 95% non-condensing 5% - 95% non-condensing 5% - 95% non-condensing 5% - 95% non-condensing IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 Performance PoE Specifications Physical Specifications Temperature Humidity Operating Humidity Vi bration Enterasys Networks— Networks— Solution Guide 2012 213 Produktportfolio B5K125B5K125-24 B5K125B5K125-24P2 B5K125--48 B5K125 B5K125B5K125-48P2 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-29 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 IEC 68-2-32 45.5 dB 45 dB 46 dB 45.5 dB Operating 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) 10000 ft (3048 m) Non-operating 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) 15000 ft (4572 m) Shock Drop Acoustics Front of switch (normal operation) Altitude Agency and Regulatory Standard Specifications Safety UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 60950-1 and IEC 60950-1 EMC FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3 -2 and EN 61000-3-3 FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 610003-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES -003 (Class A), BSMI, VCCi V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 610003-2 and EN 61000-3-3 FCC Part 15 (Class A), ICES003 (Class A), BSMI, VCCi V -3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2 and EN 61000-3-3 Environmental 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) Redundante Power Supply Equipment Spezifikationen STKSTK-RPSRPS-1005CH3 Power Shelf Dimensions (H x W x D)* Power Supply Slots 5.5 cm (2.2”) x 44.0 cm (17.3”) x 18.0 cm (7.0”) 3 Weight Dimensions (H x W x D)* 5.27 kg (11.6 lbs) 5.5 cm (2.2”) x 44.0 cm (17.3”) x 35.1 cm (13.8”) Weight STKSTK-RPSRPS-150CH8 Power Shelf 0.95 kg (2.09 lbs) Power Supply Slots 8 STKSTK-RPSRPS-150CH2 Power Shelf Dimensions (H x W x D)* Power Supply Slots 22.26 cm (8.77”) x 44.0 cm (17.3”) x 26.4 cm (10.4”) 2 Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 214 Weight STKSTK-RPSRPS-1005PS Power Supply 5.27 kg (11.6 lbs) Dimensions (H x W x D)* *Note: dimensions include integrated rack 4.3 cm (1.7”) x 15.4 cm (6.06”) x 34.0 cm mount ears (13.39”) Net Weight (Unit Only) STKSTK-RPSRPS-150PS Power Supply 2.1 kg (4.63 lb) Dimensions (H x W x D) Gross Weight (Packaged Unit) 19.6 cm (7.7”) x 5.2 cm (2.04”) x 25.7 cm 3.53 kg (7.77 lb) (10.1”) MTBF Net Weight (Unit Only) 800,000 hours 1.75 kg (3.85 lbs) Operating Temperature Gross Weight (Packaged Unit) 0° C to 50° C (32° F to 122° F) 3.20 kg (7.04 lbs) Storage Temperature MTBF -40° C to 70° C (-40° F to 158° F) 300,000 hours Operating Relative Humidity 5% to 95% Operating Temperature AC Input Frequency Range 0° C to 50° C (32° F to 122° F) 50-60 Hz Storage Temperature AC Input Voltage Range -30° C to 73° C (-22° F to 164° F) 100 - 240 VAC Operating Relative Humidity Maximum Output Power 5% to 95% 1005 W continuous AC Input Frequency Range 50 – 60 Hz STKSTK-RPSRPS-150CH2 Power Shelf AC Input Voltage Range Power Supply Slots 100 – 240 VAC 2 Maximum Output Power Dimensions (H x W x D)* 156 W continuous 5.5 cm (2.2”) x 44.0 cm (17.3”) x 18.0 cm (7.0”) Enterasys Networks— Networks— Solution Guide 2012 215 Produktportfolio Weight AC Input Frequency Range 0.95 kg (2.09 lbs) 50 – 60 Hz Note: dimensions include integrated rack AC Input Voltage Range mount ears 100 – 240 VAC Maximum Output Power STKSTK-RPSRPS-150CH8 Power Shelf 156 W continuous Power Supply Slots 8 STKSTK-RPSRPS-500PS Power Supply Dimensions (H x W x D)* Dimensions (H x W x D)* 22.26 cm (8.77”) x 44.0 cm (17.3”) x26.4 cm 4.45 cm (1.75”) x 44.5 cm (17.5”) x 16.5 cm (10.4”) (6.5”) Weight Net Weight (Unit Only) 5.27 kg (11.6 lbs) 3.47 kg (7.63 lbs) Gross Weight (Packaged Unit) STKSTK-RPSRPS-150PS Power Supply 4.95 kg (10.89 lbs) Dimensions (H x W x D) MTBF 19.6 cm (7.7”) x 5.2 cm (2.04”) x 25.7 cm 589,644 hours at 25° C (77° F) (10.1”) Net Weight (Unit Only) Operating Temperature 1.75 kg (3.85 lbs) 0° C to 50° C (32° F to 122° F) Gross Weight (Packaged Unit) Storage Temperature 3.20 kg (7.04 lbs) -30° C to 73° C (-22° F to 164° F) MTBF Operating Relative Humidity 300,000 hours 5% to 95% Operating Temperature AC Input Frequency Range 0° C to 50° C (32° F to 122° F) 50 – 60 Hz Storage Temperature AC Input Voltage Range -30° C to 73° C (-22° F to 164° F) 100 – 240 VAC Operating Relative Humidity Maximum Output Power 5% to 95% 500 W continuous Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 216 Bestellinformationen Part Nummer Beschreibung C5 Switche C5G124-24 (24) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports C5G124-24P2 (24) 10/100/1000 PoE (.at + .af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports C5G124-48 (48) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports C5G124-48P2 (48) 10/100/1000 PoE (.at + .af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed dedicated stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports C5K125-24 (24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K125-24P2 (24) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K125-48 (48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K125-48P2 (48) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 1GE or 10GE SFP+ ports C5K175-24 (24) SFP, (2) SFP+ ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) SFP, (2) 1GE or 10GE SFP+ ports Optional Software Licenses C5L3-LIC C5 advanced IPv4 (OSPF, PIM-SM, DVMRP and VRRP) and IPv6 routing licensing (OSPF) (per switch) Cables STK-CAB-SHORT Stacking cable for connecting adjacent B5/C5 switches (30cm) STK-CAB-LONG Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m) STK-CAB-2M Stacking cable for B5/C5 models (2m) STK-CAB-5M Stacking cable for B5/C5 models (5m) SSCON-CAB Spare DB9 Console Cable Redundant Power Supplies STK-RPS-1005CH3 3-slot modular power supply chassis (power supply STK-RPS-1005PS sold separately) STK-RPS-1005PS 1005W 802.3at PoE redundant power supply with load-balancing support STK-RPS-150CH2 2-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) STK-RPS-150CH8 8-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) STK-RPS-150PS 150W non-PoE redundant power supply Enterasys Networks— Networks— Solution Guide 2012 217 Part Nummer Produktportfolio Beschreibung B5 Switche B5G124-24 (24) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports B5G124-24P2 (24) 10/100/1000 PoE (.at + .af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports B5G124-48 (48) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports B5G124-48P2 (48) 10/100/1000 PoE (.at + .af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports B5K125-24 (24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 10GE ports B5K125-24P2 (24) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 10GE ports B5K125-48 (48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 10GE ports B5K125-48P2 (48) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 10GE ports Cables STK-CAB-SHORT Stacking cable for connecting adjacent B5/C5 switches (30cm) STK-CAB-LONG Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m) STK-CAB-2M Stacking cable for B5/C5 models (2m) STK-CAB-5M Stacking cable for B5/C5 models (5m) SSCON-CAB Spare DB9 Console Cable Redundant Power Supplies STK-RPS-150CH2 2-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) STK-RPS-150CH8 8-slot modular power supply shelf (power supply STK-RPS-150PS sold separately) STK-RPS-150PS 150W Non-PoE redundant power supply STK-RPS-500PS 500W 802.3at PoE redundant power supply Enterasys A4 Der Enterasys A4 ist ein leistungsstarker, schneller Ethernet Edge Switch, der skalierbare, wire-rate Performance für die Unterstützung brandbreitenintensiver und verzögerungssensitiver Anforderungen heutiger Applikationen bietet. Mit einem Support für 8.000 MAC Adressen ist der A4 eine hervorragende Wahl für Umgebungen, die Support für 100Base-FX Ethernet Ports mit Gigabit Uplinks benötigen. Der A4 bietet weiterhin Multi-Layer-Paketklassifizierung und Prioritätsqueuing für unterschiedliche Dienste. Zusammen mit einer SwitchKapazität von 12,8 Gbps bietet der A4 bis zu 24 100Base-FX Ethernet Ports sowie 4 Gigabit Ethernet Uplink Ports. Der A4 mit seiner wire-rate Stacking Kapazität ermöglicht es bis zu 8 A4 in einem einzigen Stack zu verbinden und so einen virtuellen Switch zu schaffen, der 102,4 Gbps Kapazität und bis zu 192 100Base-FX Ethernet Ports sowie 16 Gigabit Ethernet Uplink Ports zur Verfügung stellt. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 218 Robuste Quality of Service (QoS) Eigenschaften ermöglichen starken Support für integrierte Multimedia Netzwerke, Voice over IP (VoIP) und Video inbegriffen, sowie für alle Arten von datenintensiven Anwendungen. Der A4 bietet 8 hardware-basierte Prioritätsqueues für jeden Ethernet Port, um eine Reihe differenzierter Services mit maximal 6 unterschiedlichen Dringlichkeitsstufen zu unterstützen. In Verbindung mit seiner nicht blockierenden L2 Switching Bauweise stellt der intelligente A4-QueuingMechanismus sicher, dass auftragskritische Anwendungen vorrangigen Zugriff auf Netzwerkresourcen erhalten. Der A4 offeriert durch seine Authentifizierungs- und Sicherheits-Features ein sicheres Netzwerk, welche auf Portlevel oder auf Userlevel angewandt werden können. Der Switch unterstützt ein einzelnes Gerät/Nutzer pro Port, welches via IEEE 802.1x oder MAC Adresse authentifiziert werden kann. Enterasys A4 - Zuverlässigkeit und Verfügbarkeit Das A4-Design berücksichtigt Redundanz und Fehlerschutzmechanismen zusammen mit automatischen Fehler- und Recoveryleistungen, um ein zuverlässiges Netz zu bieten. Eine integrierte Stromversorgung ist die primäre Stromquelle für den A4; komplette Strom-Redundanz wird durch eine optionale, externe Stromversorgung geliefert. Ein virtueller Switch kann durch das Verbinden von maximal 8 A4s in einem einzigen Stack kreiiert werden, welches dann mit einer einzigen IP Adresse mit redundantem Management gemanagt werden kann. Die A4 closed-loop stacking Kapazität nutzt bidirektionale Switchverbindungen, um die Konnektivität innerhalb des virtuellen Switches zu halten – unabhängig von jeglichen Fehlern auf dem pysikalischen Switchlevel. Bis zu 8 Ethernet Ports können gruppiert werden, um eine Multi-Link-Aggregation Gruppe (LAG) zu erstellen. Der A4 kann mehrere LAGs verteilt über mehrere A4s innerhalb eines Stacks unterstützen, um Datenkommunikationsunterbrechungen aufgrund eines Switchlevel-Fehlers zu verhindern. Enterasys A4 - Investitionsschutz Der A4 ist ein kosteneffektiver, feature-reicher, stapelbarer Switch, der heute breitgefächerte Features bietet und auch zukünftig Vorteile liefert. Alle A-Serie Produkte beinhalten eine Lifetime Garantie, die Garantie und Supportleistungen für die andere Hersteller zusätzliche Gebühren berechnen (bis zu 10% der anfänglichen Entwicklungskosten auf jährlicher Basis). Weiterhin inkludiert die Lifetime Garantie Vorabaustausch der Hardware, Firmware-Upgrades und Telefonsupport. A4 Stack 8F8T 24FX Enterasys Networks— Networks— Solution Guide 2012 219 Produktportfolio Technische Eigenschaften A4H254A4H254-8F8T A4H124A4H124-24FX Durchsatzkapazität wire-speed Mpps (Switch/Stack) 8,3 Mpps / 66,7 Mpps 9,5 Mpps / 76,2 Mpps Switchingkapazität (Switch/Stack) 11,2 Gbps / 89,6 Gbps 12,8 Gbps / 102,4 Gbps Aggregierte Durchsatzkapazität (Switch/ Stack) Keine dedizierten Stacking Ports am A4, 10/100/1000 können für Stacking oder Uplinks genutzt werden Keine dedizierten Stacking Ports am A4, 10/100/1000 können für Stacking oder Uplinks genutzt werden H: 4,4 cm B: 44 cm T: 36,5 cm H: 4,4 cm B: 44 cm T: 36,5 cm Performance Physikalische Spezifikationen Dimensionen (HxBxT) Nettogewicht 4,78 kg 4,85 kg MTBF 333.954 Stunden 333.685 Stunden Physikalische Ports (8) 10/100 auto-sensing, auto-negotiating MDI/MDI-X RJ45 Ports (8) 100Base-FX MT-RJ Ports (2) 10/100/1000 Stacking/Uplink RJ45 Ports (1) DB9 Console Port (1) RPS Port (24) 100Base-FX MTRJ Fiber Optic Ports (2) 10/100/1000 Stacking/Uplink RJ45 Ports (1) DB9 Console Port (1) RPS Port 100-240 VAC 100-240 VAC Stromversorgung Normaler Input Input Frequenz 50-60 Hz 50-60 Hz Input Strom 1,0 A Max 1,0 A Max Stromverbrauch 47 Watt 66 Watt Temperaturen IEC 6-2-1 Standard-Betriebstemperatur 0° bis 50° 0° bis 50° IEC 6-2-14 Nicht-Betriebstemperatur -40° bis 70° -40° bis 70° Wärmeabgabe 161 BTUs/Std. 224 BTUs/Std. Feuchtigkeit 5%-95% non-condensing 5%-95% non-condensing Vibration IEC 68-2-6, IEC 68-2-36 IEC 68-2-6, IEC 68-2-36 Erschütterung IEC 68-2-29 IEC 68-2-29 Fall IEC 68-2-32 IEC 68-2-32 Sicherheit UL 60950-1, CSA 22.1 60950, EN 609501, IEC 60950-1 UL 60950-1, CSA 22.1 60950, EN 609501, IEC 60950-1 EMC FCC Part 15 (Class A), ICES-003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2, EN 61000-3-3 FCC Part 15 (Class A), ICES-003 (Class A), BSMI, VCCI V-3, AS/NZS CISPR 22 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2, EN 61000-3-3 Umwelt 2002/95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/ EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) Regulatorische StandardStandard -Spezifikationen Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 220 Redundante Stromversorgung – Equipment Spezifikationen STKSTK -RPSRPS-150CH2 Power Shelf STKSTK -RPSRPS-150CH8 Power Shelf STKSTK -RPSRPS-150PS Power Supply Power Supply Slots 2 8 - Dimensionen H: 5,5 cm B: 44 cm T: 18 cm H: 22,26 cm B: 44 cm T: 26,4 cm H: 19,6 cm B: 5,2 cm T: 25,7 cm Gewicht 0,95 kg 5,27 kg 1,75 kg MTBF - - 300.000 Std. Betriebstemperatur - - 0° bis 50° Lagertemperatur - - -30° bis 73° Feuchtigkeit - - 10%-90% Stromversorgung - - 50-60 Hz, 100-240 VAC Maximum Ausgangsleistung - Stetig 150 W Bestellinformationen Part Nummer Beschreibung A4 Switche A4H124-24FX (24) 100Base-FX MTRJ Ports, (2) SFP Ports, (2) 10/100/1000 Uplink/Stacking RJ45 Ports und externer RPS Connector. Summe aktiver Port pro Switch: 28 A4H254-8F8T (8) 100Base-FX Ports, (8) 10/100 RJ45 Ports, (4) SFP Ports und externer RPS Connector. Summe aktiver Port pro Switch: 20 Kabel SSCON-CAB Spare DB9 Console Cable Redundante Stromversorgung STK-RPS-150CH2 2-Slot modular Power Supply Shelf (PS STK-RPS-150PS einzeln erhältlich) STK-RPS-150CH8 8-Slot modular Power Supply Shelf (PS STK-RPS-150PS einzeln erhältlich) STK-RPS-150PS 150W Non-PoE redundantes Power Supply Unterstützte Funktionalitäten MAC Address Table Size 8,000 Embedded Services Ingress Rate Limiting VLANs IP TOS Rewrite 4,096 VLAN IDs Layer 2/3/4 Classification 1,024 VLAN Entries per Stack Multi-layer Packet Processing Enterasys Networks— Networks— Solution Guide 2012 221 Produktportfolio Switching Services MIB Support IEEE 802.1D – MAC Bridges Enterasys Entity MIB IEEE 802.1s – Multiple Spanning Trees Enterasys VLAN Authorization MIB IEEE 802.1t – 802.1D Maintenance IEEE 802.1X MIB – Port Access IEEE 802.1w – Rapid Spanning Tree Reconvergence IEEE 802.3ad MIB – LAG MIB RFC 826 – ARP and ARP Redirect IEEE 802.3ab – GE over Twisted Pair RFC 951 – BOOTP IEEE 802.3ad – Link Aggregation RFC 1213 – MIB/MIB II IEEE 802.3i – 10Base-T RFC 1493 – BRIDGE-MIB IEEE 802.3u – 100Base-T, 100Base-FX RFC 1643 – Ethernet-like MIB IEEE 802.3z – GE over Fiber RFC 2131 – DHCP Client Full/half duplex auto-sense support on all RFC 2233 – IF-MIB ports IGMP Snooping v1/v2/v3 RFC 2271 – SNMP Framework MIB Jumbo Frame support (9,216 bytes) RFC 2618 – RADIUS Authentication Client MIB Loop Protection RFC 2620 – RADIUS Accounting Client MIB One-to-One and Many-to-One Port Mirroring Port Description RFC 2668 – Managed Object Definitions for 802.3 MAUs Protected Ports RFC 2674 – P-BRIDGE-MIB Per-Port Broadcast Suppression RFC 2674 – QBRIDGE-MIB VLAN Bridge MIB Spanning Tree Backup Root RFC 2737 – Entity MIB (physical branch only) STP Pass Thru RFC 2819 – RMON-MIB RFC 2863 – IF-MIB Security RFC 2933 – IGMP MIB IEEE 802.1x Port Authentication RFC 3289 – DiffServ MIB MAC-based Port Authentication RFC 3413 – SNMP v3 Applications MIB Password Protection (encryption) RFC 3414 – SNMP v3 User-based Security Module (USM) MIB RADIUS Client RFC 3415 – View-based Access Control Secured Shell (SSHv2) Model for SNMP Secured Socket Layer (SSL) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 222 RFC 3580 – IEEE 802.1X Remote RFC 1157 – SNMP Authentication Dial In User Service (RADIUS) RFC 1901 – Community-based SNMPv2 Usage Guidelines RFC 3584 – SNMP Community MIB RFC 2271 – SNMP Framework MIB RFC 3413 – SNMP Applications MIB RFC 3414 – SNMP User-based Security VLAN Support Generic Attribute Registration Protocol (GARP) Module (USM) MIB Generic VLAN Registration Protocol (GVRP) Module (USM) MIB IEEE 802.1p – Traffic classification RFC 3415 – View-based Access Control IEEE 802.1q – VLAN Tagging Model for SNMP IEEE 802.1v – Protocol-based VLANs RMON (Stats, History, Alarms, Events) IEEE 802.3ac – VLAN Tagging Extensions Simple Network Time Protocol (SNTP) Port-based VLAN (private port/private VLAN) SSH Tagged-based VLAN Syslog VLAN Marking of Mirror Traffic Telnet Text-based Configuration Upload/Download Management Web-based Management Alias Port Naming Webview via SSL Interface Command Line Interface (CLI) Configuration Upload/Download Quality of Service Editable Text-based Configuration File 6 User Addressable Priority Queues per Port FTP/TFTP Client 802.3x Flow Control Multi-configuration File Support IP DSCP – Differentiated Services Code Point NMS Automated Security Manager IP Precedence NMS Console IP Protocol NMS Inventory Manager Queuing Control – Strict and Weighted Round Robin NMS Policy Manager Source/Destination IP Address Node/Alias Table Source/Destination MAC Address RFC 854 – Telnet Mehr dazu unter http://www.enterasys.com/products/security-enabled-infrastructure/ securestack-aseries.aspx Enterasys Networks— Networks— Solution Guide 2012 223 Produktportfolio Enterasys DD-Serie Die D-Serie ist im Prinzip eine miniaturisierte Variante der B-Serie zum Einsatz in Konferenzräumen oder Verteilerräumen ohne Klimatisierung. Der lüfterlose Betrieb bis zu Temperaturen von 40° Celsius – sowie mit Lüfter bis zu 60° Celsius ermöglichen einen flexiblen Einsatz bei Unterstützung aller Secure Networks™ Features. Der D2 bietet 12 Kupfer Gigabit Ethernet Ports sowie 2 Gigabit SFP-Ports, insgesamt können 12 Gigabit Ports gleichzeitig aktiv sein. Es steht eine Variante mit, sowie eine ohne PoE Unterstützung zur Verfügung. Dabei ist eine redundante Stromversorgung über ein zweites Powersupply möglich. Für die Stromversorgung kommen in beiden Varianten ausschließlich externe Powersupplys zum Einsatz, die sich über zwei redundante Anschlüsse im Betrieb wechseln lassen. Für den D2 wird eine Vielfalt an Montagemöglichkeiten geboten – zum Einsatz in Konferenz-, Büro- oder Schulungsräumen stehen Montagekits für eine Wandbefestigung, die Anbringung unter einem Schreibtisch sowie für Schulungsräume auch abschließbare Metallcontainer zur Verfügung. Für den Einsatz im Rack wird ein Kit zur Installation zweier D2s nebeneinander angeboten. Die D-Serie unterstützt analog zur B-Serie mit einer optionalen Policy-Lizenz alle SecureNetworks™ Features. D2G124D2G124-12 12 X 10/100/1000 FIXED CONFIG L2 SWITCH & POWER BRICK D2G124D2G124-12P 12 X 10/100/1000 FIXED POE L2 SWITCH & POWER BRICK Optionen D2D2-PWR SECURESWITCH D2 EXTERNAL POWER BRICK D2D2-PWRPWR-POE EXTERNAL POE POWER BRICK FOR D2 SWITCHES D2D2-RMT SECURESWITCH D2 RACK MOUNT KIT D2D2-TBLTBL-MNT SECURESWITCH D2 UNDER TABLE MOUNT KIT D2D2-WALLWALL-MNT WALL MOUNT FOR SECURESWITCH D2 Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 224 Policy Erweiterung D2POLD2POL-LIC POLICY LICENSE FOR D2 SWITCHES D2POLD2POL-LIC25 25 PACK OF D2POL-LIC POLICY LICENSES D2POLD2POL-LIC50 50 PACK OF D2POL-LIC POLICY LICENSES Unterstützte Funktionalitäten Layer 2 Unterstützung RFC 1213 — MIB II IEEE 802.1d — Spanning Tree RFC 1493 — Bridge MIB IEEE 802.1t — 802.1d Maintenance RFC 1643 — Ethernet-like MIB IEEE 802.1p— Traffic Management/Mapping RFC 2233 — Interfaces Group MIB using SMI to 6 of 8 hardware queues v2 IEEE 802.1q — Virtual LANs w/ Port based RFC 2618 — RADIUS Authentication Client VLANs MIB IEEE 802.1s — Multiple Spanning Tree RFC 2620 — RADIUS Accounting MIB IEEE 802.1v — Protocol-based VLANs RFC 2674 — VLAN MIB IEEE 802.1w — Reconvergence Rapid Spanning Tree RFC 2737 — Entity MIB version 2 RFC 2819 — RMON Groups 1, 2, 3 & 9 IEEE 802.1x — Port-based Authentication IEEE 802.1x MIB (IEEE 802.1-pae-MIB) IEEE 802.3 — 10 Base-T IEEE 802.3ad MIB (IEEE 802.3-ad-MIB) IEEE 802.3ab — 1000 Base-T IEEE 802.3ac — VLAN Tagging Authentisierung IEEE 802.3ad — Link Aggregation MAC Authentication IEEE 802.3u — 100 Base-T Web Authentication (PWA) IEEE 802.3x — Flow Control 802.1x Authentication Private Port (Private VLAN) RFC 3580— Dynamic VLAN Assignment Many-to-One Port Mirroring, One-to-One Port RADIUS Client Mirroring Port Description RADIUS Accounting for MAC Authentication Per-Port Broadcast Suppression EAP Pass Through Spanning Tree Backup Route Dynamic and Static Mac Locking STP Pass Thru Enterasys Networks— Networks— Solution Guide 2012 225 Produktportfolio QoS Strict or weighted Round Robin 8 Hardware Queues/Port RMON (4 Groups: History, Statistics, Alarms and Events) Text-based Configuration Upload/Download Simple Network Time Protocol (SNTP) 802.3x Flow Control 64 kbps increment granularity Alias Port Naming Node/Alias Table RFC 854 — Telnet Management RFC 1157 — SNMP NMS Console RFC 1901 — Community-based SNMP v2 NMS Policy Manager NMS Inventory Manager NMS Automated Security Manager WebView, SSL Interface to WebView Telnet with SSH RADIUS Control to Management Interface RFC 2271 — SNMP Framework MIB RFC 3413 — SNMP v3 Applications RFC 3414 — User-based Security Model for SNMP v3 RFC 3415 — View-based Access Control Model for SNMP Kapazitäten • Address Table Size – 8k MAC Addresses • 1024 VLANs supported • 8 Hardware Queues/Port • VLAN Spanning Tree (802.1S) — 4 Instances Supported • 802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported • Main memory: 256 MB • Flash memory: 32 MB • PoE – (D2G124-12P): bei unter 40°C können insgesamt 100W PoE Leistung beliebig auf die Ports verteilt werden. Für jedes °C über 40°C sinkt die PoELeistung um 2,16W Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 226 Spezifikationen • Abmaße H/B/T: 4,6 cm (1.6") x 20,95 cm (8.25") x 21,59 cm (8,5") • Gewicht: D2G124-12: 1,66kg (3.65lb) D2G124-12P: 1,82kg (4,02lb) • Betriebstemp.: D2G124-12: 0°C bis 60 °C (32 °F bis 140 °F) D2G124-12P: 0°C bis 50 °C (32 °F bis 122 °F) • Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F) • Zulässige Feuchtigkeit: 5 bis 95% non-condensing • Stromaufnahme: D2G124-12: 100-240V AC, 50-60Hz, 2,0A, 30W D2G124-12P: 100-240V AC, 50-60Hz, 3,2A, 130W • Wärmeabgabe: D2G124-12: 102,39 (BTU/H) D2G124-12P: 443,69 (BTU/H) Unterstützte Standards • Standard Safety: UL/CB/LVD • Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI • Stoßfestigkeit: ISTA 2A, ASTM D5276 Mehr dazu unter http://www.enterasys.com/products/security-enabled-infrastructure/d-series.aspx Enterasys Networks— Networks— Solution Guide 2012 227 Produktportfolio Enterasys GG-Serie Die neue G-Serie verbindet die geringe Größe und das Preis/Leistungsverhältnis eines stackbaren Switches mit der Modularität eines chassisbasierten Systems. Sie bietet alle Voraussetzungen zur Unterstützung von QoS Priorisierung und Sicherheitsanforderungen in konvergierten Voice, Video und Datennetzen. Die vollständige Unterstützung der SecureNetworks™ Features mit erweiterten Kenngrößen wie z.B. eine Multiuserauthentisierung mit bis zu 8 Benutzern pro Port sowie eine mehr als doppelt so perfomante Policyunterstützung im Vergleich zum C5 sind nur eines der Merkmale dieser neuen Switching Linie. Ein großer Mehrwert ist insbesondere die große, von vielen Kunden beim E1 geschätzte Flexibilität des Geräts. Der G3 bietet bis zu 96 Gigabit Ethernet Ports in Kupfer – mit PoE oder als SFP, bis zu 12 10 Gigabit Ethernet Ports können über XFP bereitgestellt werden. Ein besonderes Alleinstellungsmerkmal ist die Nachrüstbarkeit von PoE auf den 24x10/100/1000baseT Modulen. Diese sind bereits im Auslieferzustand PoE enabled. Wird dann eine zusätzliche, kostengünstige PoE-Option-Card auf dem Modul eingesteckt, liefert dieses PoE nach dem 802.2af Standard. Durch diese Möglichkeit bietet der G3 den Kunden maximalen Investitionsschutz im Hinblick auf eine spätere Einführung von VoIP oder WLAN und der damit verbundenen Spannungsversorgung der Geräte mit PoE. Die Leistung und Anzahl der unterstützten Ports richtet sich nach den installierten, modularen Powersupplys (400 oder 1200 Watt). Chassis ŝĞ ŚĂƐƐŝƐ ǁĞƌĚĞŶ ŝŶ ĚƌĞŝ ĂƐŝƐǀĂƌŝĂŶƚĞŶ ĂƵƐŐĞůŝĞĨĞƌƚ͕ ĂůůĞ ǀĞƌĨƺŐĞŶ ƺďĞƌ ĚƌĞŝ ĨƌĞŝĞ ^ůŽƚƐ njƵƌ ƌǁĞŝƚĞƌƵŶŐ ŵŝƚĚĞŶ ƵŶƚĞŶ ŐĞŶĂŶŶƚĞŶ DŽĚƵůĞŶ͘Das C3G124-24 Chassis ist, ebenso wie die G3G-24TX Module, mit der G3G-POE Option auf PoE aufrüstbar. Das Chassis wird ohne Stromversorgung ausgeliefert, diese muss zusätzlich geordert werden. Mehr dazu unter: http://www.enterasys.com/products/security-enabled-infrastructure/g-series.aspx Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 228 G3G124G3G124-24 24TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY G3G124G3G124-24P 24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY G3G170G3G170-24 24 SFP SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY G3G3-PWR G3 POWER SUPPLY - NON-POE G3G3-PWRPWR-POE G3 POWER SUPPLY - POE Module Für 24 Ports 10/100/1000 mit PoE-Unterstützung werden das Modul G3G-24TX und die Erweiterung G3G-POE kombiniert. G3GG3G-24SFP G3 I/O CARD - 24 SFP PORTS G3GG3G-24TX G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS G3KG3K -2XFP G3 I/O CARD - DUAL 10GB XFP PORTS G3KG3K -4XFP G3 I/O CARD - QUAD 10GB XFP PORTS Optionen G3GG3G-POE G3 POE OPTION CARD FOR 24 PORTS Softwareoptionen G3L3G3L3-LIC G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP G3IPV6G3IPV6-LIC G3 IPV6 ROUTING LICENSE Unterstützte Funktionalitäten IEEE 802.1w — Reconvergence Layer 2 Unterstützung Rapid Spanning IEEE 802.1d — Spanning Tree IEEE 802.1x — Port-based Authentication IEEE 802.1t — 802.1d Maintenance IEEE 802.3 — 10 Base-T IEEE 802.1p— Traffic Management/Mapping to 6 of 8 hardware queues IEEE 802.3ab — 1000 Base-T IEEE 802.1q — Virtual LANs w/ Port based VLANs IEEE 802.3ac — VLAN Tagging IEEE 802.3ad — Link Aggregation IEEE 802.1s — Multiple Spanning Tree IEEE 802.3u — 100 Base-T IEEE 802.1v — Protocol-based VLANs Enterasys Networks— Networks— Solution Guide 2012 Tree 229 Produktportfolio IEEE 802.3x — Flow Control Multiuserauthentication mit bis zu 8 Usern Private Port (Private VLAN) Many-to-One Port Mirroring, One-to-One Port QoS Mirroring Strict or weighted Round Robin Port Description 8 Hardware Queues/Port Per-Port Broadcast Suppression 802.3x Flow Control Spanning Tree Backup Route 64 kbps increment granularity STP Pass Thru RFC 1213 — MIB II Management RFC 1493 — Bridge MIB NMS Console RFC 1643 — Ethernet-like MIB NMS Policy Manager RFC 2233 — Interfaces Group MIB using SMI NMS Inventory Manager v2 RFC 2618 — RADIUS Authentication Client NMS Automated Security Manager MIB WebView, SSL Interface to WebView RFC 2620 — RADIUS Accounting MIB Telnet with SSH RFC 2674 — VLAN MIB RADIUS Control to Management Interface RFC 2737 — Entity MIB version 2 RMON (4 Groups: History, Statistics, Alarms and Events) RFC 2819 — RMON Groups 1, 2, 3 & 9 IEEE 802.1x MIB (IEEE 802.1-pae-MIB) Text-based Configuration Upload/Download IEEE 802.3ad MIB (IEEE802.3-ad-MIB) Simple Network Time Protocol (SNTP) Alias Port Naming Authentisierung Node/Alias Table MAC Authentication RFC 854 — Telnet Web Authentication (PWA) RFC 1157 — SNMP 802.1x Authentication RFC 1901 — Community-based SNMP v2 RFC 3580— Dynamic VLAN Assignment RFC 2271 — SNMP Framework MIB RADIUS Client, Radius Accounting for MAC RFC 3413 — SNMP v3 Applications Authentication RFC 3414 — User-based Security Model for SNMP v3 EAP Pass Through Dynamic and Static Mac Locking RFC 3415 — View-based Access Control Model for SNMP Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 230 Kapazitäten • Address Table Size – 32k MAC Addresses • 1024 VLANs supported • 8 Hardware Queues/Port • VLAN Spanning Tree (802.1s) — 4 Instances Supported • 802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported • Main memory: 256 MB • Flash memory: 32 MB Spezifikationen • Abmaße H/B/T: 8,8 cm x 44,1 cm x 48,1 cm • Gewicht: G3G124-24: 9,598kg G3G124-24P: 9,662kg G3G170-24: 9,866kg • Betriebstemp.: 0 °C bis 50 °C • Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F) • Zulässige Feuchtigkeit: 5 bis 95% non-condensing • Stromaufnahme: 100-240V AC, 50-60Hz, 0.7-1.8A, 92.18-130W • Wärmeabgabe: G3G124-24: 429,66 BTU/H G3G124-24P: 443,3 BTU/H G3G170-24: 214,3 BTU/H Unterstützte Standards • Standard Safety: UL/CB/LVD • Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI • Stoßfestigkeit: ISTA 2A, ASTM D5276 Enterasys Networks— Networks— Solution Guide 2012 231 Produktportfolio Enterasys II-Serie Die I-Serie ist der erste gehärtete Enterasys Switch mit Secure Networks™ Unterstützung für den industriellen Bereich. Er wird – wie in Produktionsumgebungen üblich – mit Gleichstrom betrieben und kann auf eine Hutschiene aufgesetzt werden. Das Gehäuse ist versiegelt und wird ohne Lüfter gekühlt. Dennoch ist es modular aufgebaut und verfügt über zwei Einbauslots, die mit unterschiedlichen Modulen bestückt werden können. Es sind 12 Port 10/100Mbit, ein 4 Port 100Base-FX und ein 8 Port 100Base-FX Modul sowie ein 8 Port 10/100Mbit+2Port 100Base-FX Modul verfügbar. Des Weiteren sind zwei Module mit 6 Port 10/100Mbit oder 4 Port 100Base-FX und einem Speicherkarteneinschub verfügbar. Diese können eine Speicherkarte aufnehmen, welche die Konfiguration des Switches enthält. Damit wird ein Austausch des Switches im Feld einfach gemacht. Die I-Serie verfügt über zwei 1000Base Uplinks, die mit speziellen MiniGBICs für den industriellen Einsatz bestückt werden können. Die I-Serie beinhaltet standardmäßig die Enterasys Secure Networks™ Features und schützt damit industrielle Automatisierungsprozesse. Nutzer und Maschinen können durch individuelle Policys zugeordnet werden, selbstverständlich interagiert die I-Serie auch mit dem vollständigen Secure Networks™ Portfolio, um zum Beispiel NAC oder Distributed IPS auch in Produktionsumgebungen zur Verfügung zu stellen. I3H252I3H252-02 INDUSTRIAL SWITCH W 2 I/O SLOTS + 2 SFP I3H252I3H252-4FXM FACTORY CONFIG'ED I3H252-02 & I3H-4FX-MM I3H252I3H252-8FXM FACTORY CONFIG'ED I3H252-02 & I3H-8FX-MM I3H252I3H252-12TX FACTORY CONFIGURED I3H252-02 & I3H-12TX I3H252I3H252-8TX8TX-2FX FACTORY CONFIGURED I3H252-02&I3H-8TX-2FX I3H252I3H252-6TX6TX-MEM FACTORY CONFIG I3H252-02 & I3H-6TX-MEM I3H252I3H252-4FX4FX-MEM PRE-CONFIG I3H252-02 & I3H-4FXM-MEM Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 232 Module I3HI3H-12TX INDUSTRIAL SWITCH 12 PT 10/100 I/O CARD I3HI3H-4FX4FX-MM INDUSTRIAL SWITCH 4 PT MMF FX I/O CARD I3HI3H-8FX8FX-MM INDUSTRIAL SWITCH 8 PT MMF FX I/O CARD I3HI3H-8TX8TX-2FX INDUSTRIAL SWITCH 8 PT 10/100 I/O, 2 PT MMF FX I/O CARD I3HI3H-6TX6TX-MEM INDUSTRIAL SWITCH 6 TX MEM SLOT I/O CARD I3HI3H-4FXM4FXM-MEM INDUSTRIAL SWITCH 4 FX MEM SLOT I/O CARD Optionen I3HI3H-DINDIN-KIT DIN RAIL KIT FOR I-SERIES SWITCH I3HI3H-PWR 24VDC POWER UNIT FOR I-SERIES SWITCH I3HI3H-RACKRACK -MNT 19“ RACK MOUNT KIT FOR I-SERIES SWITCH I-MGBICMGBIC-GLX INDUSTRIAL 1000LX SFP - I-SERIES ONLY I-MGBICMGBIC-GSX INDUSTRIAL 1000SX SFP - I-SERIES ONLY I3HI3H-MEM INDUSTRIAL SWITCH MEMORY CARD Unterstützte Funktionalitäten Layer 2 Unterstützung IEEE 802.3ac — VLAN Tagging IEEE 802.1d — Spanning Tree IEEE 802.3ad — Link Aggregation IEEE 802.1t — 802.1d Maintenance IEEE 802.3u — 100 Base-T IEEE 802.1p— Traffic Management/Mapping IEEE 802.3x — Flow Control to 6 of 8 hardware queues Private Port (Private VLAN) IEEE 802.1q — Virtual LANs w/ Port based Many-to-One Port Mirroring, One-to-One Port VLANs Mirroring IEEE 802.1s — Multiple Spanning Tree Port Description IEEE 802.1v — Protocol-based VLANs Per-Port Broadcast Suppression IEEE 802.1w — Rapid Spanning Tree Spanning Tree Backup Route Reconvergence IEEE 802.1x — Port-based Authentication STP Pass Thru IEEE 802.3 — 10 Base-T RFC 1213 — MIB II IEEE 802.3ab — 1000 Base-T RFC 1493 — Bridge MIB Enterasys Networks— Networks— Solution Guide 2012 233 Produktportfolio RFC 1643 — Ethernet-like MIB Management RFC 2233 — Interfaces Group MIB using SMI NMS Console v2 NMS Policy Manager RFC 2618 — RADIUS Authentication Client NMS Inventory Manager MIB RFC 2620 — RADIUS Accounting MIB NMS Automated Security Manager RFC 2674 — VLAN MIB WebView, SSL Interface to WebView RFC 2737 — Entity MIB version 2 Telnet with SSH RFC 2819 — RMON Groups 1, 2, 3 & 9 RADIUS Control to Management Interface IEEE 802.1x MIB (IEEE 802.1-pae-MIB) RMON (4 Groups: History, Statistics, Alarms and Events) IEEE 802.3ad MIB (IEEE802.3-ad-MIB) Text-based Configuration Upload/Download Simple Network Time Protocol (SNTP) Authentisierung Alias Port Naming MAC Authentication Node/Alias Table Web Authentication (PWA) RFC 854 — Telnet 802.1x Authentication RFC 1157 — SNMP RFC 3580— Dynamic VLAN Assignment RFC 1901 — Community-based SNMP v2 RADIUS Client RFC 2271 — SNMP Framework MIB RADUIS Accounting for MAC Authentication RFC 3413 — SNMP v3 Applications EAP Pass Through Dynamic and Static Mac Locking RFC 3414 — User-based Security Model for SNMP v3 RFC 3415 — View-based Access Control Model for SNMP QoS Strict or weighted Round Robin 8 Hardware Queues/Port 802.3x Flow Control 64 kbps increment granularity Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 234 Kapazitäten • Address Table Size – 8k MAC Addresses • 1024 VLANs supported • 8 Hardware Queues/Port • VLAN Spanning Tree (802.1S) — 4 Instances Supported • 802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported • Main memory: 256 MB • Flash memory: 32 MB Spezifikationen • Abmaße H/B/T: 8.89 cm (3.5") x 18.41 cm (7.25") x 33.85 cm (13.33") • Gewicht: I3H252-12TX 4.6 kg (10.12 lb) I3H252-4FXM 4.58 kg (10.08 lb) I3H252-8FXM 5.06 kg (11.13 lb) • Betriebstemp.: -40 °C bis 60 °C (-40 °F bis 140 °F) • Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F) • Zulässige Feuchtigkeit: 5 bis 90% non-condensing • Strom: Die I-Serie arbeitet nur mit 24 Volt Gleichstrom. Eine Gleichstromquelle muss vom Kunden gestellt werden oder ist als optionales Netzteil erhältlich (I3H-PWR). • Stoßfestigkeit: 50 G trapezoidal shock Enterasys Networks— Networks— Solution Guide 2012 235 Produktportfolio Unterstützte Standards • Standard Safety: UL 60950-1, CSA 22.2, EN60950-1 • Electromagnetic compatibility: 47 CFR Parts 2 and 15, CSA C108.8, EN 55022, EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZS CISPR 22, and VCCI V-3 • Standard EMC: FCC Part 15-Class A, ICES-003 Class A, BSMI, VCCI-Class I, CISPR 22-Class A, EN 55024, EN 55022B Class A • Industrial EMC: EN55011 • Hazardous Locations: ISA12.12.01 Class I, Div 2 A-D Mehr dazu unter http://www.enterasys.com/products/security-enabled-infrastructure/iseriesindustrial-switch.aspx Enterasys KK-Serie Die K-Serie ist die neue, sehr kosteneffiziente, flowbasierte, modulare Switching Lösung der Industrie und bietet beispiellose Automationsebenen für Netzwerke, welche für Kunden eine signifikante Betriebskosteneinsparung bedeuten. Die KSerie liefert granulare Transparenz und Kontrolle über Nutzer, Services und Applikationen, um den wachsenden Anforderungen heutiger Unternehmen zu entsprechen und eine Optimierung der Schlüsseltechnologien, einschließlich Unified Communications und kritischen Betriebsapplikationen (wie CRM und SAP), zu ermöglichen. Die sehr vielfältigen Enterasys K6 und K10 liefern umfassende Funktionalitäten, die als extrem kosteneffiziente, hochdichte Netzwerk Edge Access Geräte genutzt werden können. Enterasys K-Serie Switche sind in den folgenden Ausführungen verfügbar: • 6-Slot Chassis mit maximal 144 Triple-Speed Edge Ports und 4 10Gb Uplinks • 10-Slot Chassis mit maximal 216 Triple Speed Edge Ports und 8 10Gb Uplinks Die K-Serie unterstützt bis zu 12 10Gb Uplinks, einschließlich 4 auf den Fabric Cards und 2 10Gb IOMs. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 236 Die Switche erledigen Weiterleitungsentscheidungen und setzen Sicherheitspolicies und -rollen mit wire-speed durch, während Verkehr klassifiziert/priorisiert wird. Alle I/O Module bieten höchste Quality of Service (QOS) Features für kritische Applikationen, wie Voice und HD Video, sogar in Zeiten hoher NetzwerkVerkehrbelastung. Gleichzeitig werden Denial of Service (DoS) Attacken und Malware-Übertragung verhindert. Die K-Serie implementiert eine industrieführende, flowbasierte Switching Architektur, um individuelle Nutzer und Applikationskonversationen intelligent zu managen – weit über die Switchkapazitäten hinaus, welche auf die Nutzung von VLANs, ACLs und Ports zur Implementierung rollenbasierter Zugangskontrolle limitiert sind. Nutzer werden indentifiziert und Rollen angewandt, um zu gewährleisten, dass jeder einzelne Nutzer auf seine betriebskritischen Applikationen zugreifen kann, egal von wo aus sie sich zum Netzwerk verbinden. Die K-Serie Policy-Regeln - kombiniert mit Paket-Tiefeninspektion – können Sicherheitsbedrohungen intelligent aufspüren und automatisch darauf reagieren während die Verlässlichkeit und Qualität von Nutzererfahrung verbessert wird. Ein signifikantes Unterscheidungsmerkmal für die K-Serie ist die Fähigkeit NetFlow Daten mit wire-speed zu sammel, womit absolute Transparenz in die NetzwerkResourcen-Ausnutzung für Nutzer und Applikationen geboten wird. Die K-Serie gesellt sich zur S-Serie als die einzigen Enterprise Switche, die multi-user, multimethod authentication auf jedem Port unterstützen – absolut essenziell, wenn Geräte wie IP Telefone, Computer, Drucker, Kopierer, Sicherheitskameras, Barcodeleser und virtuelle Maschinen and das Netzwerk angeschlossen sind. Wenn die Qualität von Service, Geräten, Applikationspriorisierung uns Sicherheit wichtig ist, gibt es keine bessere Wahl als die Enterasys S-Serie oder K-Serie. K-Serie K6 K-Serie K10 Enterasys Networks— Networks— Solution Guide 2012 237 Produktportfolio Hardwarebasierte und hochverfügbare Features Die K-Serie enthält viele Standard-Hochverfügbarkeits-Features. Diese hardwarebasierten Hochverfügbarkeits-Features erlauben es die K-Serie in betriebskritischen Umgebungen einzusetzen, die einen 24/7 Einsatz fordern. Die K-Serie unterstützt die folgenden hardwarebasierten HochverfügbarkeitsFeatures: • Passive Chassis Backplane • Bewegliche Lüfterschächte mit mehreren Kühlungslüftern • Bewegliche und Load-Sharing Power Supplies • Mehrere AC Input-Verbindungen für Stromredundanz Verteilte, flowbasierte Architektur Um eine granulare Transparenz und Verkehr-Management zu gewährleisten ohne Performance einzubüßen, nutzt die Enterasys K-Serie eine verteilte, flowbasierte Architektur. Diese Architektur garantiert, dass bei einem spezifischen Kommunikationsfluss zwischen zwei Endpunkten, die ersten Pakete dieser Kommunikation durch die Multilayer-Klassifizierungsmaschine in den I/O Modulen und den I/O Fabric Modulen des Switches verarbeitet werden. In diesem Prozess wird die Rolle identifiziert, die anzuwendenden Policies werden festgelegt, die Pakete werden geprüft und die Maßnahme wird festgelegt. Nachdem der Fluss indentifiziert ist, werden die nachfolgenden Pakete, die zu diesem Fluss gehören, automatisch in der Enterasys ASICs ohne weitere Verarbeitung abgewickelt. Die Enterasys K-Serie ist somit in der Lage eine sehr granulare Kontrollebene bei jedem Fluss auf ganzer Linie anzuwenden. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 238 MultiMulti-User / Method Authentifizierung und Policy Authentifizierung erlaubt Unternehmen den Netzwerkzugang zu verwalten und Mobilität für Nutzer und Geräte zu offerieren. Es bietet einen Weg zu wissen, wer oder was mit dem Netzwerk verbunden ist und wo diese Verbindung zu jedem Zeitpunkt ist. Die Enterasys K-Serie hat einzigartige, industrieführende Kapazitäten bezüglich der Arten von simultanen Authentifizierungsmethoden. K-Serie Module können mehrere gleichzeitige Authentifizierungstechniken unterstützen, inklusive: • 802.1x Authentifizierung • MAC Authentifizierung, welche eine Möglichkeit ist Geräte am Netz durch die MAC Adresse zu authentifizieren • Webbasierte Authentifizierung, auch als Port Web Authentifizie rung (PWA) bekannt, wobei ein Nutzername und ein Passwort durch einen Browser bereitgestellt wird • CEP, auch bekannt als Convergence End Point, wobei mehrere VoIP Telefone mehrerer Lieferanten indentifiziert und authentifiziert werden; diese Fähigkeit bietet große Flexibilität für Unternehmen, die Zugangskontroll-mechanismen in ihrer Infrastruktur implementieren möchten Ein signifikantes, zusätzliches Feature der K-Serie ist die Fähigkeit Multi-User Authentifizierung zu unterstützen. Dies erlaubt mehrere Nutzer und Geräte an den selben physikalischen Port zu konnektieren und jeden Nutzer oder Gerät individuell zu authentifizieren, indem eine der Multi-Method Optionen (802.1x, MAC, PWA oder CEP) genutzt wird. Der Hauptvorteil der Multi-User Authentifizierung ist das Autorisieren mehrerer Nutzer, entweder durch das Anwenden dynamischer Policies oder VLAN Zuweisung für jeden authentifizierten Nutzer. Im Falle dynamischer Policies wird dies Multi-User Policy genannt. Multi-User Port Kapazitäten sind bei der K-Serie auf einer pro Port, pro I/O Modul und pro Multi-Slot System Basis festgelegt. Multi-User Authentifizierung und Policy können signifikante Vorteile für den Kunden bieten, indem Sicherheitsdienste auf Nutzer erweitert werden, die zu ungemanagten Geräten, Switche/Router anderer Hersteller, VPN Concentrators oder WLAN Access Points am Edge ihres Netzwerks verbunden sind. Authentifizierung bietet Sicherheit, Priorität und Bandbreitenkontrolle bei gleichzeitigem Schutz bestehender Netzwerkinvestitionen. Die K-Serie unterstützt bis zu 8 Nutzer pro Port. Enterasys Networks— Networks— Solution Guide 2012 239 Produktportfolio Dynamische, flowbasierte Paketklassifizierung Ein weiteres einzigartiges Feature, das die K-Serie von allen kompetitiven Switchen unterscheidet, ist die Fähigkeit nutzerbasierte Multilayer Paketklassifizierung/QoS bereitzustellen. Bei der großen Anzahl der Netzwerkapplikationen, die in heutigen Netzen eingesetzt werden, ist eine traditionelle Multilayer Paketklassifizierung selbst nicht mehr genug, um den zeitgemäßen Transport betriebskritischer Applikationen zu garantieren. Bei der K-Serie erlaubt die nutzerbasierte Multilayer Paketklassifizierung Verkehrklassifizierung nicht nur nach Pakettyp, sondern auch nach der Nutzerrolle im Netzwerk und nach der dem Nutzer zugewiesenen Policy. Mit nutzerbasierter Multilayer Paketklassifizierung können Pakete basierend auf einzigartigen Kennungen, wie „All User“, „User Groups“ und Individual User“, klassifiziert werden. Dadurch wird ein granularerer Ansatz zum Managen und Maintainen von Netzwerkvertraulichkeit, Integrität und Verfügbarkeit gesichert. Netzwerktransparenz durch sehr genauen NetFlow Netzwerk Performance Management und Sicherheitskapazitäten via NetFlow sind auf den Enterasys K-Serie Switchports verfügbar, ohne dass die Switching- und Routing-Performance verlangsamt werden oder der Zukauf von teuren Tochterkarten für jedes Modul nötig wäre. Enterasys NetFlow verfolgt jedes Paket in jedem Fluss, ganz im Gegensatz zu den typischen statistischen Stichprobentechniken oder restriktiven applikationsbasierten Implementationen. Der Wert von nicht gesampleten, Echtzeit NetFlow Monitoring ist die Transparenz in exakt welcher Verkehr das Netzwerk durchläuft. Falls etwas Abnormals auftaucht, wird es vom NetFlow erfasst und passende Maßnahmen können vorgenommen werden. Zusätzlich kann NetFlow für Kapazitätsplanungen genutzt werden, was dem Netzwerk Manager erlaubt Verkehrsflüsse und -volumen im Netzwerk zu überwachen und zu verstehen, wo das Netzwerk rekonfiguriert oder upgegraded werden muss. Dadurch, dass die Administratoren genau wissen wann und wo Upgrades nötig werden könnten, wird Zeit und Geld gespart. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 240 Feature Zusammenfassung Multilayer Paketklassifizierung – erlaubt Bereitstellung kritischer Applikationen für spezifische Nutzer via Verkehrserkenntnis und Kontrolle • Nutzer, Port und Geräteebene (Layer 2 bis 4 Paketklassifizierung) • QoS Mapping für Prioritätsqueues (802.1p & IP ToS/DSCP) bis zu 8 Queues pro Port • Multiple Queuing-Mechanismen (SPQ, WFQ, WRR und Hybrid) • Granulares QoS/Rate Limiting • VLAN für Policy Mapping Switching/VLAN Services – bietet hohe Performance Konnektivität, Aggregation und schnelle RecoveryRecovery- Services • Umfangreiche Industriestandard-Compliance (IEEE und IETF) • Inbound und Outboun Bandbreitenkontrolle per Flow • VLAN Service Unterstützung ♦ Link Aggregation (IEEE 802.3ad) ♦ Multiple Spanning Trees (IEEE 802.1s) ♦ Schnelle Rekonfiguration von Spanning Trees (IEEE 802.1w) • Provider Bridges (IEEE 802.1ad), Q-in-Q Ready • Flow Setup Throttling Verteiltes IP Routing – bietet dynamische Verkehrsoptimierung, Broadcast Eindämmung und effizientere Netzwerkausfallsicherheit • Standard Routing Features beinhalten statische Routen, RIPv1/ RIPv2, Ipv4 und Multicast Routing Unterstützung (DVMRP, IGMP v1/v2/v3), policybasiertes Routing und Route Maps, VRRP • Lizenzierte Routing Features beinhalten OSFP v1/v2, PIM-SM und Ipv6 • Erweiterte ACLs Enterasys Networks— Networks— Solution Guide 2012 241 Produktportfolio Sicherheit (Nutzer, Netzwerk und Management) • • • Nutzersicherheit ♦ Authentifizierung (802.1x, MAC, PWA+ und CEP), MAC (statisch und dynamisch) Port Locking ♦ Multi-User Authentifizierung / Policies Netzwerksicherheit ♦ Access Control Lists (ACL) – elementar und erweitert ♦ Policybasierte Sicherheitsservices (Beispiel: Spoofing, nicht un terstützter Protokollzugang, Intrusion Prevention, DoS Attacken Li mitierung) Management Sicherheit ♦ Sicherer Zugang zur K-Serie via SSH, SSL, SNMP v3 Management, Kontrolle und Analyse – bietet modernisierte Werkzeuge, um Netzwerkverfügbarkeit und -zustand zu bewahren • • • Konfiguration ♦ Industriestandard CLI und Web-Management Unterstützung ♦ Multiple Firmware-Images mit editierbaren Konfigurationsdateien Netzwerkanalyse ♦ SNMP v1/v2/v3, RMON (9 Gruppen) und SMON (RFC 2613) VLAN und Stats ♦ Port/VLAN Spiegelung (1-to-1, 1-to-many, many-to-many) ♦ Nicht gesampleter NetFlow auf jedem Port ohne Einfluss auf Sys tem Switching- und Routing-Performance Automatisiertes Set-Up und Rekonfiguration ♦ Ersatz I/O Module übernehmen automatisch die Konfiguration vorheriger Module Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 242 Feature-reiche Funktionalität Beispiele zusätzlicher Funktionalitäten und Features, die von der Enterasys K-Serie unterstützt werden: • NetFlow – bietet Echtzeit-Transparenz, Applikationsprofiling und Kapazitätsplanungen • LLDP-MED – Link Layer Discovery Protocol für Medien-Endpunkt- Geräte verbessert VoIP Umgebungen • Flow Setup Throttling – (FST) effektive Vorbelegung und Schutz vor DoS Attacken • Web Cache Redirect – erhöht WAN und Internet Bandbreiteneffizienz • Node & Alias Location – verfolgt Nutzer- und Gerätelokation automatisch und verbessert Netzwerk-Management-Produktivität und Fehlerisolation • Port Protection Suite – Bewahrt Netzwerkverfügbarkeit durch Sicherung guten Protokoll- und Endstationsbenehmens • Flex-Edge Technologie – Bietet erweitertes Bandbreitenmanagement und zuweisung für anfragende Access / Edge Geräte Netzwerk Performance, Management und Sicherheitsmöglichkeiten via NetFlow sind mit jeder K-Serie verfügbar ohne Einfluss auf die Switching / Routing Performance oder den Zwang teure Tochterkarten für jedes Blade zu zu kaufen. Die K-Serie verfolgt jedes Paket in jedem Fluss – im Gegensatz zu statistischen Stichprobentechniken des Mitbewerbs. Der Enterasys Vorteil sind die Enterasys ASICs Möglichkeiten, welche NetFlow Statistiken für jedes Paket in jedem Fluss sammeln ohne Performance einzubüßen. Flow Setup Throttling (FST) ist ein proaktives Feature, welches kreiiert wurde, um Zero-Day Gefahren und Denial of Service (DoS) Attacken zu entschärfen bevor sie das Netzwerk beeinträchtigen können. FST bekämpft die Auswirkungen von ZeroDay und DoS-Attacken direkt durch die Limitierung der Anzahl neuer oder bestehender Flows, die an jedem individuellen Switchport programmiert werden können. Dies wird durch das Überwachen der neuen Flow-Eintreffen-Rate und/oder das Kontrollieren der maximalen Anzahl erlaubter Flows erreicht. Im Netzwerkbetrieb ist es sehr zeitintensiv ein Gerät zu lokalisieren oder heraus zu finden wo genau ein Nutzer angebunden ist. Dies ist besonders wichtig, wenn man auf Sicherheitsverletzungen reagiert. Enterasys K-Serie Module verfolgen die Nutzer / Geräte-Lokationsinformationen des Netzes automatisch durch Mitlesen des Enterasys Networks— Networks— Solution Guide 2012 243 Produktportfolio Netzwerkverkehrs sowie es durch einen Switch geht. Diese Informationen werden dann genutzt, um die Node/Alias Tablelle mit Informationen, wie eine MAC Adresse einer Station und Layer 3 Alias-Information (IP Adresse, IPX Adresse, etc.) zu bestücken. Diese Informationen können dann von den Enterasys NMS Suite Management Tools genutzt werden, um schnell die Switch und Port Nummer für jede IP Adresse zu ermitteln und Maßnahmen gegen dieses Gerät im Falle einer Sicherheitslücke zu unternehmen. Diese Node und Alias Funktionalität ist einzigartig bei Enterasys und reduziert die Zeit der exakten Problemlokalisierung von Stunden auf Minuten. Für Organisationen, die Unified Communications einsetzen wollen kombiniert die KSerie policybasierte Automation mit Unterstützung für mehrere standardbasierte Erkennungsmethoden, inklusive LLDP-MED, SIP und H.323, um UC Dienste für IP Telefone aller großen Hersteller automatisch zu erkennen und bereitzustellen. KSerie Switche bieten auch dynamische Mobilität für IP Clients. Wenn ein IP Telefon umzieht oder sich woanders im Unternehmensnetzwerk einwählt, ziehen die VoIP Bereitstellung, Sicherheit und Verkehr-Prioritätseinstellungen mit um, ohne dass typische manuelle Administration nötig ist – weder für Umzüge, Ergänzungen und Änderungen. Die K-Serie unterstützt weiterhin ein umfassendes Portfolio an PortschutzMöglichkeiten, wie zum Beispiel SPANguard und MACLock, welche die Möglichkeit bieten unautorisierte Bridges im Netz zu erkennen und eine MAC Adresse zu einem spezifischen Port zu begrenzen. Andere Portschutz-Möglichkeiten beinhalten Link Flap, Broadcast Unterdrückung und Spanning Tree Loop Schutz, welche vor Falschkonfiguration und Protokollfehler schützt. Enterasys K-Serie Flex-Edge Technologie bietet line-rate Verkehrsklassifizierung für alle Zugangsports mit garantierter Prioritätslieferung für Control Plane Verkehr und hochpriorisiertem Verkehr, wie im Enterasys Policy Overlay definiert. Zusätzlich zur Resourcenzuweisung von wichtigem Netzwerkverkehr, kann priorisierte Bandbreite auf einer Port für Port authentifizierten Nutzerbasis zugewiesen werden. Flex-Edge Technologie ist ideal für den Einsatz an Schaltschränken und Verteilerpunkten, die oft unter Abnutzung leiden, welche zu Netzwerkengpässen führen kann. Mit der FlexEdge Technologie müssen Unternehmen plötzliche Netzwerkengpässe nicht mehr fürchten, welche in Topologieänderungen und zufällige Paketausschüsse resultieren würden. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 244 Standards und Protokolle Switching/VLAN Services Static Routes Generic VLAN Registration Protocol (GVRP) RFC 1723 RIPv2 with Equal Cost Multipath Load Balancing 802.3u Fast Ethernet RFC 1812 RIP Requirements 802.3ab Gigabit Ethernet (copper) RFC 1519 CIDR 802.3z Gigabit Ethernet (fiber) 802.3ae 10 Gigabit Ethernet (fiber) RFC 2338 Virtual Protocol (VRRP) Router Redundancy 802.1Q VLANs Standard ACLs 802.1D MAC Bridges DHCP Server RFC 1541/ Relay RFC 2131 Provider Bridges (IEEE 802.1ad) Ready RFC 1583/RFC 2328 OSPFv2 802.1w Rapid re-convergence of Spanning RFC 1587 OSPFv2 NSSA Tree RFC 1745 OSPF Interactions 802.1s Multiple Spanning Tree RFC 1746 OSPF Interactions 802.3ad Link Aggregation RFC 1765 OSPF Database Overflow 802.3ae Gigabit Ethernet RFC 2154 OSPF with Digital Signatures 802.3x Flow Control (Password & MD5) IP Multicast (IGMP support v1, v2, v3, per- OSPF with Multipath Support VLAN querier offload) OSPF Passive Interfaces Jumbo Packet with MTU Discovery Support for Gigabit IPv6 Routing Protocol Ready Link Flap Detection Dynamic Egress Configuration) Extended ACLs (Automated VLAN Port Policy-based Routing RFC 1112 IGMP 802.S1ab LLDP-MED RFC 2236 IGMPv2 RFC 3376 IGMPv3 Standard IP Routing Features DVMRP v3-10 RFC 1812 General Routing RFC 792 ICMP RFC 2361 Protocol Independent Multicast Sparse Mode RFC 826 ARP RFC 4601 PIM SM RFC 1027 Proxy ARP Enterasys Networks— Networks— Solution Guide 2012 245 Produktportfolio Network Security and Policy Management RFC 2579 SNMPv2-TC 802.1X Port-based Authentication RFC 3417 SNMPv2-TM Web-based Authentication RFC 3418 SNMPv2 MIB MAC-based Authentication RFC 2012 TCP MIB Convergence Endpoint Dynamic Policy Mapping Discovery with RFC 2013 UDP MIB RFC 2096 IP Forwarding Table MIB (Siemens HFA, Cisco VoIP, H.323, and SIP) RFC 3411 SNMP Framework MIB Multiple Authentication Simultaneously Types per Port RFC 3412 SNMP-MPD MIB Multiple Authenticated users per Port with RFC 3413 SNMPv3 Applications unique policies per user/End System (VLAN RFC 3414 SNMP User-Based SM association independent) RFC 3580 IEEE 802.1 RADIUS Usage MIB Guidelines, with VLAN to Policy Mapping RFC 2276 SNMP-Community MIB Worm Prevention (Flow Set-Up Throttling) RFC 2613 SMON MIB Broadcast Suppression RFC 2674 802.1p/Q MIB ARP Storm Prevention RFC 2737 Entity MIB MAC-to-Port Locking RFC 2787 VRRP MIB Span Guard (Spanning Tree Protection) RFC 2819 RMON MIB (Groups 1-9) Behavioral Anomaly Detection/Flow Collector RFC 3273 HC RMON MIB (non-sampled Netflow) RFC 2863 IF MIB Static Multicast Group Provisioning RFC 2864 IF Inverted Stack MIB Multicast Group, Sender and Receiver Policy Control RFC 2922 Physical Topology MIB RFC 3291 INET Address MIB IETF and IEEE MIB Support RFC 3621 Power Ethernet MIB RFC 1156/1213 & RFC 2011 IP-MIB RFC 3415 SNMP View Based ACM MIB RFC 1493 Bridge MIB RFC 3635 EtherLike MIB RFC 1659 RS-232 MIB RFC 3636 MAU MIB RFC 1724 RIPv2 MIB IEEE 8023 LAG MIB RFC 1850 OSPF MIB RSTP MIB RFC 2578 SNMPv2 SMI USM Target Tag MIB Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 246 U Bridge MIB Private MIBs Draft-ietf-idmr-dvmrp-v3-10 MIB Ct-broadcast MIB Draft-ietf-pim-sm-v2-new-09 MIB Ctron-CDP MIB SNMP-REARCH MIB Ctron-Chassis MIB IANA-address-family-numbers MIB Ctron-igmp MIB IEEE 802.1PAE MIB Ctron-q-bridge-mib-ext MIB Ctron-rate-policying MIB Management, Control and Analysis Ctron-tx-queue-arbitration MIB SNMP v1/v2c/v3 Ctron-alias MIB Web-based Management Interface Cisco-TC MIB Industry Common Command Line Interface Cisco-CDP MIB Multiple Software Image Support with Revision Roll Back Cisco-netflow MIB Enterasys-configuration-management MIB Multi-configuration File Support Enterasys-MAC-locking MIB Editable Text-based Configuration File Enterasys-convergence-endpoint MIB COM Port Boot Prom and Image Download via Enterasys-notification-authorization MIB ZMODEM Telnet Server and Client Enterasys-netfow MIB Secure Shell (SSHv2) Server and Client Enterasys-license-key MIB Cabletron Discovery Protocol Enterasys-aaa-policy MIB Cisco Discovery Protocol v1/v2 Enterasys-class-of-service MIB Syslog Enterasys-multi-auth MIB FTP Client Enterasys-mac-authentication MIB Simple Network Time Protocol (SNTP) Enterasys-pwa MIB Netflow version 5 and version 9 Enterasys-upn-tc MIB RFC 2865 RADIUS Enterasys-policy-profile MIB RFC 2866 RADIUS Accounting TACACS+ for Management Access Control Class of Service Management VLAN Strict Priority Queuing 4 Many to-One-port, One-to-Many Ports, VLAN Weighted Fair Queuing with Shaping Mirror Sessions Enterasys Networks— Networks— Solution Guide 2012 247 Produktportfolio 8 Transmit Queues per Port Enterasys Network Management Suite (NMS) Packet Count or Bandwidth based Rate NMS Console Limiters (Bandwidth Thresholds between 64 NMS Policy Manager Kbps and 4 Gbps) IP ToS/DSCP Marking/Remarking NMS Inventory Manager 802.1D Priority-to-Transmit Queue Mapping NMS Automated Security Manager NMS NAC Manager Spezifikationen Performance / Kapazität K6 K10 Switching Fabric Bandbreite 280 Gbps 440 Gbps Switching Durchsatz 210 Mpps (gemessen in 64-byte Paketen) 330 Mpps (gemessen in 64-byte Paketen) Routing Durchsatz 210 Mpps (gemessen in 64-byte Paketen) 330 Mpps (gemessen in 64-byte Paketen) Addresstabelle Größe 32.000 MAC Adressen 32.000 MAC Adressen Unterstützte VLANs 4.096 4.096 Übertragungsqueues 8 8 Klassifizierungsregeln 8.196 /Chassis 8.196 /Chassis H: 22,15 cm B: 44,70 cm T: 35,55 cm 5U H: 31,02 cm B: 44,70 cm T: 35,55 cm 7U +5°C bis +40°C +5°C bis +40°C Lagertemperatur -30°C bis +73°C -30°C bis +73°C Betriebsfeuchtigkeit 5% bis 90% relative Feuchtigkeit, non-condensing 5% bis 90% relative Feuchtigkeit, non-condensing Stromanforderungen 100 bis 125 VAC oder 200 bis 250 VAC; 50 bis 60 Hz 100 bis 125 VAC oder 200 bis 250 VAC; 50 bis 60 Hz Physikalische Spezifikationen Chassis Abmaße (HxBxT) Umgebungsspezifikationen Betriebstemperatur Power over Ethernet Spezifikationen System Strom Automatisierte oder manuelle PoE Stromverteilung Pro-Port ein/aus, Stromlevel, Prioritätssicherheit, Overload und Kurzschlussschutz Automatisierte oder manuelle PoE Stromverteilung Pro-Port ein/aus, Stromlevel, Prioritätssicherheit, Overload und Kurzschlussschutz Systemstromüberwachung Systemstromüberwachung Total PoE Strom: 3.200 Watt mit allen Stromfelder an; 4.000 Watt mit zusätzlichem RPS Tray Standard Compliance IEEE 802.3af IEEE 802.3at Total PoE Strom: 3.200 Watt mit allen Stromfelder an; 4.800 Watt mit zusätzlichem RPS Tray IEEE 802.3af IEEE 802.3at Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio Performance / Kapazität 248 K6 K10 Agency und Standard Spezifikationen Sicherheit UL 60950-1, FDA 21 CFR 1040.10 und 1040.11, CAN/CSA C22.2 No.60950-1, EN 60950-1, EN 60825-1, EN 60825-2, IEC 60950-1, 2006/95/EC (Low Voltage Directive) UL 60950-1, FDA 21 CFR 1040.10 und 1040.11, CAN/CSA C22.2 No.60950-1, EN 60950-1, EN 60825-1, EN 60825-2, IEC 60950-1, 2006/95/EC (Low Voltage Directive) Elektromagnetische Kompatibilität FCC 47 CFR Part 15 (Class A), ICES-003 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3 -2, EN 61000-3-3, AS/NZ CISPR-22 (Class A). VCCI V-3. CNS 13438 (BSMI), 2004/108/EC (EMC Directive) FCC 47 CFR Part 15 (Class A), ICES-003 (Class A), EN 55022 (Class A), EN 55024, EN 61000-32, EN 61000-3-3, AS/NZ CISPR-22 (Class A). VCCI V-3. CNS 13438 (BSMI), 2004/108/EC (EMC Directive) Umwelt 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) 2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China RoHS) Bestellinformationen Part Nummer Beschreibung K6 Chassis K6-Chassis K-Serie 6 Slot Chassis and fan tray K6-FAN K6 Fan Tray K6-MID-KIT K6 Mid-Mount Kit K10 Chassis K10-Chassis K-Serie 10 Slot Chassis and fan tray K10-FAN K10 Fan Tray K10-MID-KIT K10 Mid-Mount Kit Power Supplies und Zubehör K-AC-PS-1400W K-Serie 1400W Power Supply K-POE-4BAY K External 4 Bay Power Shelf K-POE-4BAY-RAIL Mounting Kit for K POE-4 Bay Power Shelf K-POE-CBL-2M K PoE Power to K Chassis Cable - 2M I/O Fabric Module KK2008-0204-F2 K10 Mgmt/Fabric with (4) 10Gb via SFP+ KK2008-0204-F1 K6 Mgmt/Fabric with (4) 10Gb via SFP+ I/O Module KT2006-0224 K (24) Port 10/100/1000 802.3at PoE IOM KG2001-0224 K (24) Port 1Gb SFP IOM KK2008-0204 K (4) Port 10Gb SFP+ IOM Enterasys Networks— Networks— Solution Guide 2012 249 Produktportfolio Enterasys SS-Serie Die S-Serie ist die High End Produktlinie mit Switching, Routing und Security Funktionen für alle Anwendungsbereiche im LAN, vom Datacenter über Core bis zum Access. Mit 3 standalone Systemen sowie 5 Chassis-Typen mit 1,3,4,6,8 Slots und einer verteilten Architektur, einer hohen Skalierbarkeit mit einer Backplane Kapazität von über 6 Terabit/s und „pro Slot“ Durchsatz von 80/160 Gbit/s ist die S-Serie eine zukunftssichere Investition. Die Möglichkeiten gehen heute von 10 Gigabit Ethernet bis hin zu 40/100 Gigabit Ethernet in der Zukunft. Eine Übersicht der Systeme: SSA 130 SSA150 S1 S3 S4 S6 S8 Chassis Slots - - 1 3 4 6 8 System Switching Capacity 40 Gbps 120 Gbps 160 Gbps 120 Gbps 640 Gbps 960 Gbps 1.28 Tbps System Switching Throughput 30 Mpps 90 Mpps 120 Mpps 90 Mpps 480 Mpps 720 Mpps 960 Mpps Total Backplane Capacity - - 240 Gbps 480 Gbps 3 Tbps 4.5 Tbps 6 Tbps Max. 10/100/1000BASE-TX 48 Class 3 PoE ports per system 48 72 180 288 432 576 Maximum 1000BASE-X SFP (MGBIC) ports per system - 48 72 180 288 432 576 Maximum 10GBASE-X SFP+ ports per system 4 4 16 12 64 96 128 Je nach Chassis und Modultyp Kombination ist der Einsatz in jeder Ebene eines typischen Netzwerkdesigns möglich. S-Serie in den verschiedenen Ebenen Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 250 Bei der S-Serie handelt es sich um eine Weiterentwicklung der N-Serie, die alle Funktionen der N-Serie mit identischer Software realisiert plus weitere Funktionen wie MPLS Readiness (Hardware ready), Ipv6 sowie die Möglichkeit der Applikationsklassifizierung in Hardware bietet. In der ersten Generation der SModule steht insgesamt eine Kapazität von 1,28 Tbps und 960 Mpps zur Verfügung (in einem S8 Chassis). Damit können bis zu 576 Gigabit Ethernet oder 128 10 Gigabit Ethernets Ports via SFP+ realisiert werden. Weitere Portdichtenerhöhungen werden folgen. Alle 10/100/1000 Module sind von Hause aus High Power PoE+ 802.3at fähig, es sind nur entspreche zusätzliche Power Supplies erforderlich. SSA S1 S3 S4 S6 S8 Enterasys Networks— Networks— Solution Guide 2012 251 Produktportfolio Architektur Die Enterasys S-Serie Chassis nutzen sowohl (Switch-)Fabric-based als auch Fabricless Architekturen. Die S4 und S8 Chassis nutzen die Fabric-based Variante mit mehreren High Speed Links zwischen den I/O Modulen und den jeweiligen FabricKomponenten. Währenddessen ist das S3 Chassis Fabric-less für den Einsatz im Access Bereich optimiert. Mindestens ein I/O Fabric Modul muss in einem S4 oder S8 Chassis eingesetzt werden, für den vollen Systemdurchsatz sind jedoch 2 I/O Fabric Module im Loadsharing notwendig. Damit werden dann bis zu 1280 Gbps Switching und HA Funktionen realisiert. Im S8 Chassis ist sogar der Einsatz einer dritten I/O Fabric möglich zur Steigerung der Gesamtverfügbarkeit und Erhöhung der Redundanz. Enterasys S-Serie I/O Module sind hoch performante, voll ausgestattete Switches im einem voll verteilten Switch System mit Management- und Routing Funktionen, die vom jeweiligen On-Board Prozessorsystem übernommen werden. Die flowbasierten nTERA ASICs, zusammen mit den Prozessorsystemen formen ein sehr flexibles, skalierbares und hoch-performantes Gesamtsystem mit wesentlich höherer Prozessorleistung als vergleichbare Systeme. I/O Fabric und I/O Modules sind mit vielen unterschiedlichen Interface-Typen und Portdichten verfügbar, um alle möglichen Netzwerkdesigns optimal abzubilden. Von 10/100/1000BASE-TX, 1000BASE-X SFP, bis zu 10G BASE-X SFP+. Die SFP+ Ports können auch SFP´s aufnehmen, die SFP Ports auch 100FX SFP´s. Alle Triple Speed I/O Kupfer Module sind PoE-enabled. Viele I/O Modules haben ein oder zwei so genannte Option Module, die weitere Konfigurationsflexibilität im Bereich Media und Portdichte bieten. Dies resultiert in einfacheren und kostengünstigeren Designs. Enterasys CoreFlow2 Mit der Enterasys CoreFlow2 Technologie bietet Enterasys die Schlüsselfunktion für die Flusssteuerung von Applikationsdaten, als auch für die Datenzugriffskontrolle. Die Enterasys CoreFlow2 ASIC Technologie wurde über die letzten 15 Jahre stetig weiterentwickelt. Das patentierte ASIC Design hat eine Kapazität, um bis zu 64 Millionen Flows pro System zu verarbeiten. Dabei unterstützt der flexibel programmierbare ASIC die Klassifizierung, Sichtbarkeit und Kontrolle des Applikationsflusses in Line-Rate-Geschwindigkeit. CoreFlow2 bietet die Möglichkeit, die Klassifikation von Datenverkehr zwischen Layer-2 und Layer-7 durchzuführen. Stand heute wird anhand NMS Policies der Datenfluss zwischen Layer-2 und Layer-4 gesteuert. Eine klassische Evolution bei der Verwendung der Enterasys Policies gibt die untenstehende Grafik. Unter dem gemeinsamen Einsatz von Network Access Control und Policies können Endsystemen und auch Servern anhand ihrer Identifikation (802.1x, MAC etc.) dynamisch Kommunikationsregeln in einem LAN zugeordnet bzw. durchgesetzt werden. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 252 Mögliche Anwendungsszenarien für die von CoreFlow2 gebotenen Policies sind zum Beispiel iSCSI • Zugriffskontroll nur iSCSI Initiatoren • Überwachung der Netzwerkbandbreite pro iSCSI Target Beispiel RTP • Spezifizierte Zugriffssteuerung anhand von Audio und Video Codec Beispiel für zukünftige Features auf Basis von HTTP • Zugriffskontrolle auf Claud Service wie z.B. www.salesforce.com • Bandbreitenüberwachung www.youtube.com Enterasys Networks— Networks— Solution Guide 2012 253 Produktportfolio Der flexibel programmierbare CoreFlow2 ASIC bietet nicht nur eine Application Awareness, ferner bietet er die Möglichkeit auch zukünftige Features und Standards als Software Upgrade auf dem Switch einzuspielen. Der Enterasys CoreFlow2 ASIC kommt auf Data Center, Distribution und Core Router Fabric Einschüben der S-Serie zum Einsatz. Die wichtigsten neuen Standards (Liste nicht vollständig), die auf diese Weise Feature-Unterstützung auf der S-Serie erhalten sollen, sind: Access/Edge I/O Module Diese Module sind für den Einsatz im User-Access und der Peripherie optimiert. Die Access/Edge I/O Module ermöglichen es durch die am Markt einzigartige Flex-Edge Technologie, bandbreitenhungrigen Workstations selektiv nicht-überbuchte, line-rate Datendienste zur Verfügung zu stellen, um damit sensitive Daten in allen Situationen sicher zu übertragen. Sie unterstützen bei der Authentifizierung und Policy Zuweisung bis zu 512 Nutzer pro Modul und 8 authentifizierte Nutzer pro Port, verglichen mit den Core/Distribution Modulen, die bis zu 1.024 User/Devices pro Modul und keine Restriktion pro Port haben. Falls ein Access Modul mehr Nutzer benötigt, kann mit der Upgrade Lizenz (S-EOS-PPC) auf die gleichen Limits wie die Core/Distribution Module erweitert werden. Alle S-Serie Triple Speed I/O Module unterstützen PoE als Standard, keine weiteren Hardware oder Software Upgrades sind erforderlich: Nur entsprechende PoE Power Supplies sind dem Chassis hinzuzufügen. Die Access Module sind bei den Routing Funktionen limitiert und bieten im Gegensatz zu den anderen Module keine *BGPv4, *IS-IS für IPv4 & IPv6, *VRF, NAT , LSNAT, TWCB Funktionen, jedoch ein Upgrade auf VRF mittels S-EOS-L3ACCESS. Funktionen mit * sind nicht im ersten Release vorhanden, bitte erfragen Sie die Verfügbarkeit bei Enterasys und lassen Sie diese bestätigen. Distribution, Core und Data Center I/O Module Eine Reihe von S-Serie I/O Modulen sind für die Bereiche mit höchsten Anforderungen designed, die fortlaufend hohe Datenraten aufweisen. Gigabit und 10 Gigabit Ethernet Module mit Line Rate Forwarding und erweiterten Traffic Management Mechanismen sowie extrem große Packet-Buffer erlauben maximale Netzwerk-Performance. Distribution, Core und Data Center I/O Module sind optimiert für den Einsatz im Core und Data Center Bereiche. Die Media Flexibilität ist auch bei diesen Modulen gegeben. Hier gibt es auch Upgrade Möglichkeiten für weitere Core Routingprotokolle (Stichwort *MPLS, *VPLS und *Tunneling/GRE in Zukunft via SEOS-L3-ACCESS). Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 254 Übersicht aller Access/Edge I/O und Fabric Module (S130) Access/Edge I/O Modules (S130) Access/Edge Fabric Modules (130) Part Number ST4106-0248 SG4101-0248 ST4106-0348-F6 Used in S3/S4/S8 Chassis S3/S4/S8 Chassis S4/S8 Chassis Port Type RJ45 SFP RJ45 Port Quantity 48 48 48 Port Speed 10/100/1000 Mbps 1000 Mbps 10/100/1000 Mbps PoE Support 802.3af, 802.3at - 802.3af, 802.3at Option Module Slots 1, (Type 1) 1, (Type 1) 1, (Type 2) Module Throughput 30 Mpps 30 Mpps 45 Mpps I/O Switching Capacity 40 Gbps 40 Gbps 60 Gbps Fabric Throughput - - 480 Mpps Übersicht aller Distribution/Core/Data Center I/O und Fabric Module (S150) Distribution/Core/Data Center I/O Modules (S150) Part Number ST1206-0848 SG1201-0848 SK1008-0816 Used in S4/S8 Chassis S4/S8 Chassis S4/S8 Chassis Port Type RJ45 SFP SFP+ Port Quantity 48 48 16 Port Speed 10/100/1000 Mbps 1000 Mbps 10 Gbps PoE Support 802.3af, 802.3at - - Option Module Slots 2,(Type2) 2,(Type2) Module Throughput 120 Mpps 120 Mpps 120 Mpps I/O Switching Capacity 160 Gbps 160 Gbps 160 Gbps Distribution/Core/Data Center Fabric Modules (S150) Part Number ST1206-0848-F6 SG1201-0848-F6 SK1208-0808-F6 Used in S4/S8 Chassis S4/S8 Chassis S4/S8 Chassis Port Type RJ45 SFP SFP+ Port Quantity 48 48 8 Port Speed 10/100/1000 Mbps 1000 Mbps 10 Gbps PoE Support 802.3af, 802.3at - - Option Module Slots 2,(Type2) 2,(Type2) 2,(Type2) Module Throughput 120 Mpps 120 Mpps 120 Mpps I/O Switching Capacity 160 Gbps 160 Gbps 160 Gbps Fabric Throughput 480 Mpps 480 Mpps 480 Mpps Enterasys Networks— Networks— Solution Guide 2012 255 Produktportfolio High Availability Upgrade (HAU) High Availability Firmware Upgrade (HAU) ist eine S-Serie Funktion, die ein Firmware Update eines S-Serie Chassis oder S-Serie VSB über einen Rolling Mechanismus bereitstellt. Der Funktionsunterschied des High Availability Update (HAU) zu einem Standard Update ist, dass bei einem Standard Update alle Module eines Chassis Systems gleichzeitig einen Software Neustart durchführen und dabei die neue Software geladen wird. Hierbei werden alle Datenverbindungen deaktiviert und alle Services, die an diesem Chassis angebunden sind, unterbrochen. Bei dem HAU Software Update wird ein Rolling Update Prozess in einem Chassis genutzt. Die Module werden sequenziell neu gestartet und dabei wird nach und nach die neue Software geladen. Das S-Serie Chassis nutzt hierbei vordefinierte Gruppen, welche sequenziell gebootet werden. Der Vorteil hierbei ist, dass ein Großteil des S-Serie Chassis weiterhin ohne Einschränkungen aktive Netzwerkdaten bearbeitet . Unterbrechungen gibt es nur bei Chassis Elementen, die neu gestartet und eine neue Software laden wird. High Availability Frimware Upgrade Überblick Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 256 Die Gruppenelemente sind in der Grundkonfiguration so definiert, dass jeder S-Serie Systemslot sich in einer Gruppe befindet. Bei einem Update eines S4, der 4 Module haben kann, welche sequenzielle neu gestartet werden, sind also 4 Module Neustarts notwendig, um final die neue Software zu aktivierien . Der Administrator hat die Möglichkeit die Gruppen der einzelnen Slots eines Chassis manuell neu zu definieren und dabei eine schnellere Update Sequenz zu erreichen. So können 2 oder in einem VSB alle Systemslots eines Chassis in einer Gruppe zusammengefasst werden. Ein Update der vordefinierten Gruppen wird endgültig die akitven und neu zu startenden Systemslots/Gruppen definieren. Das Neustarten der Gruppen - also der Slots - kann mit einem zusätzlichen Delay definiert werden, so dass der Administrator die neu gestarteten Systemkomponenten kontrollieren und das Update auch, wenn notwendig, manuell stoppen kann. Hierzu ist der Update-Delay zu verändern. Der High Availability Update Prozess kann nicht nur für Updates, sondern auch für Downgrades genutzt werden. So ist dem Administrator weiterhin eine flexible Software Up-/Downgrade Möglichkeit gegeben. Die Software wird selbständig erkennen, ob ein HAU Update von Version A nach Version A.xx möglich ist. Die HAU Updates sind momentan nicht für Major Release Changes verfügbar, jedoch wird dies mit neueren Software Versionen angepasst. Momentan ist das HAU Update also primär für Minor Release Changes und Release Patches definiert. VSB System High Availability Firmware Upgrade Enterasys Networks— Networks— Solution Guide 2012 257 Produktportfolio Switching/VLAN Services Load Balancing Generic VLAN Registration Protocol (GVRP) RFC 1812 RIP Requirements 802.3u Fast Ethernet RFC 1519 CIDR 802.3ab Gigabit Ethernet (copper) RFC 2338 Virtual Protocol (VRRP) Router Redundancy 802.3z Gigabit Ethernet (fiber) Standard ACLs 802.3ae 10 Gigabit Ethernet (fiber) DHCP Server RFC 1541/ Relay RFC 2131 802.1Q VLANs RFC 1583/RFC 2328 OSPFv2 802.1D MAC Bridges RFC 1587 OSPFv2 NSSA Provider Bridges (IEEE 802.1ad) Ready RFC 1745 OSPF Interactions 802.1w Rapid re-convergence of Spanning Tree RFC 1746 OSPF Interactions 802.1s Multiple Spanning Tree RFC 1765 OSPF Database Overflow 802.3ad Link Aggregation RFC 2154 OSPF with Digital Signatures (Password & MD5) 802.3ae Gigabit Ethernet OSPF with Multipath Support 802.3x Flow Control OSPF Passive Interfaces IP Multicast (IGMPv1,v2 support & IGMPv3 Ready) IPv6 Routing Protocol Ready Jumbo Packet with MTU Discovery Support for Extended ACLs Gigabit Policy-based Routing Link Flap Detection RFC 1112 IGMP Dynamic Egress (Automated VLAN Port RFC 2236 IGMPv2 Configuration) RFC 3376 IGMPv3 Ready 802 1ab LLDP-MED DVMRP v3-10 Standard IP Routing Features RFC 2361 Protocol Independent Multicast Sparse Mode RFC 1812 General Routing RFC 4601 PIM SM RFC 792 ICMP RFC 826 ARP Distribution and Core IP Routing Features RFC 1027 Proxy ARP NAT Network Address Translation Static Routes RFC 2391 Load Sharing Using Network RFC 1723 RIPv2 with Equal Cost Multipath Address Translation (LSNAT) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 258 TWCB Transparent Web Cache Redirect Network Security and Policy Management VRF Virtual Routing and Forwarding (Ready) 802.1X Port-based Authentication Border Gateway Routing Protocol - BGPv4 Web-based Authentication RFC 3031 Multi Protocol Label Switching MAC-based Authentication Ready Convergence Endpoint Discovery with RFC 2784 Generic Routing Encapsulation Dynamic Policy Mapping Ready (Siemens HFA, Cisco VoIP, H.323, and SIP) PIM Source Specific Multicast - PIM SSM Multiple Authentication Types per Port Ready Simultaneously RFC1772 Application of BGP in the Internet Multiple Authenticated users per Port with unique policies per user/End System (VLAN RFC1997 BGP Communities Attribute association independent) RFC2385 BGP TCP MD5 Signature Option RFC 3580 IEEE 802.1 RADIUS Usage RFC2439 BGP Route Flap Damping Guidelines, with VLAN to Policy Mapping RFC2918 Route Refresh Capability for BGP-4 Worm Prevention (Flow Set-Up Throttling) RFC4271 A Border Gateway Protocol 4 (BGP- Broadcast Suppression 4) ARP Storm Prevention RFC4360 BGP Extended Communities Attribute MAC-to-Port Locking RFC4456 BGP Route Reflection RFC4486 Subcodes Notification Message for Span Guard (Spanning Tree Protection) BGP Cease Stateful Intrusion Detection System Load Balancing RFC4724 Graceful Restart Mechanism for Stateful Intrusion Prevention System and BGP Firewall Load Balancing RFC4893 BGP Support for Four-octet AS Behavioral Anomaly Detection/Flow Collector Number Space (non-sampled Netflow) RFC5065 Autonomous System Confederations for BGP Static Multicast Group Provisioning Multicast Group, Sender and Receiver Policy RFC5291 Outbound Route Filtering Capability Control for BGP-4 RFC5292 Address-Prefix-Outbound Filter for BGP-4 RFC5396 Numbers Textual Representation Route Class of Service AS Strict Priority Queuing Weighted Fair Queuing with Shaping RFC5492 Capabilities Advertisement with 11 Transmit Queues per Port BGP-4 Enterasys Networks— Networks— Solution Guide 2012 259 Produktportfolio Up to 3,072 rate limiters for S130 Class Simple Network Time Protocol (SNTP) products and up to 12,288 rate limiters for Netflow version 5 and version 9 S150 Class products Packet Count or Bandwidth based Rate RFC 2865 RADIUS Limiters. (Bandwidth Thresholds between 8 RFC 2866 RADIUS Accounting Kbps and 4 Gbps) IP ToS/DSCP Marking/Remarking TACACS+ for Management Access Control 802.1D Priority-to-Transmit Queue Mapping Management VLAN 15 Many to-One-port, One-to-Many Ports, VLAN Mirror Sessions Enterasys Network Management Suite NMS Console IETF and IEEE MIB Support NMS Policy Manager RFC 1156/1213 & RFC 2011 IP-MIB NMS Inventory Manager RFC 1493 Bridge MIB NMS Automated Security Manager RFC 1659 RS-232 MIB NMS NAC Manager RFC 1724 RIPv2 MIB RFC 1850 OSPF MIB Management, Control and Analysis RFC 2578 SNMPv2 SMI SNMP v1/v2c/v3 RFC 2579 SNMPv2-TC Web-based Management Interface RFC 3417 SNMPv2-TM Industry Common Command Line Interface Multiple Software Revision Roll Back Image Support with RFC 3418 SNMPv2 MIB RFC 2012 TCP MIB Multi-configuration File Support RFC 2013 UDP MIB Editable Text-based Configuration File RFC 2096 IP Forwarding Table MIB COM Port Boot Prom and Image Download via RFC 3411 SNMP Framework MIB ZMODEM RFC 3412 SNMP-MPD MIB Telnet Server and Client RFC 3413 SNMPv3 Applications Secure Shell (SSHv2) Server and Client RFC 3414 SNMP User-Based SM MIB Cabletron Discovery Protocol RFC 2276 SNMP-Community MIB Cisco Discovery Protocol v1/v2 RFC 2613 SMON MIB Syslog RFC 2674 802.1p/Q MIB FTP Client RFC 2737 Entity MIB Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 260 RFC 2787 VRRP MIB Ctron-alias MIB RFC 2819 RMON MIB (Groups 1-9) Cisco-TC MIB RFC 3273 HC RMON MIB Cisco-CDP MIB RFC 2863 IF MIB Cisco-netflow MIB RFC 2864 IF Inverted Stack MIB Enterasys-configuration-management MIB RFC 2922 Physical Topology MIB Enterasys-MAC-locking MIB RFC 3291 INET Address MIB Enterasys-convergence-endpoint MIB RFC 3621 Power Ethernet MIB Enterasys-notification-authorization MIB RFC 3415 SNMP View Based ACM MIB Enterasys-netfow MIB RFC 3635 EtherLike MIB Enterasys-license-key MIB RFC 3636 MAU MIB Enterasys-aaa-policy MIB IEEE 8023 LAG MIB Enterasys-class-of-service MIB RSTP MIB Enterasys-multi-auth MIB USM Target Tag MIB Enterasys-mac-authentication MIB U Bridge MIB Enterasys-pwa MIB Draft-ietf-idmr-dvmrp-v3-10 MIB Enterasys-upn-tc MIB Draft-ietf-pim-sm-v2-new-09 MIB Enterasys-policy-profile MIB SNMP-REARCH MIB IANA-address-family-numbers MIB IEEE 802.1PAE MIB Private MIBs Ct-broadcast MIB Ctron-CDP MIB Ctron-Chassis MIB Ctron-igmp MIB Ctron-q-bridge-mib-ext MIB Ctron-rate-policying MIB Ctron-tx-queue-arbitration MIB Enterasys Networks— Networks— Solution Guide 2012 261 Produktportfolio Spezifikationen S8-Chassis dimensions (H x W x D): 63.96 cm x 44.70 cm x 47.32 cm(25.19” x 17.60” x 18.63”), 14.5U S8-Chassis-POE4 dimensions (H x W x D): 72.87 cm x 44.70 cm x 47.32 cm (28.69” x 17.60” x 18.63”), 16.5U S8-Chassis-POE8 dimensions (H x W x D): 77.31 cm x 44.70 cm x 47.32 cm (30.44” x 17.60” x 18.63”), 17.5U S6-Chassis dimensions (H x W x D): 88.7 cm x 44.70 cm x 47.35 cm (34.92” x 17.59” x 18.64”), 20U S6-Chassis-POE4 dimensions (H x W x D): 97.5 cm x 44.70 cm x 47.35 cm (38.39” x 17.59” x 18.64”), 22U S4-Chassis dimensions (H x W x D): 35.56 cm x 44.70 cm x 47.32 cm (14.00” x 17.60” x 18.63”), 8U S4-Chassis-POE4 dimensions (H x W x D): 41.91 cm x 44.70 cm x 47.32 cm (16.50” x 17.60” x 18.63”), 10U S3-Chassis dimensions (H x W x D): 31.11 cm x 44.70 cm x 47.32 cm (12.25” x 17.60” x 18.63”), 7U S3-Chassis-POE4 dimensions (H x W x D): 37.46 cm x 44.70 cm x 47.32 cm (14.75” x 17.60” x 18.63”), 9U S1-Chassis dimensions (HxWxD): 8.69cm x 44.88cm x 60.27cm (3.42” x 17.67” x 23.73”), 2U S-Series Stand Alone (SSA) dimensions (H x W x D): 4.44 Agency und Standard Spezifikationen Sicherheit: UL 60950-1, FDA 21 CFR 1040.10 and 1040.11, CAN/CSA C22.2 No. 60950-1, EN 60950-1, EN 60825-1, EN 60825-2, IEC 60950-1, 2006/95/EC (Low Voltage Directive) Elektromagnetische Kompatibilität: FCC 47 CFR Part 15 (Class A), ICES- 003 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZ CISPR-22 (Class A). VCCI V-3. CNS 13438 (BSMI), 2004/108/EC (EMC Directive) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 262 Power over Ethernet (PoE) Spezifikationen IEEE 802.3af IEEE 802.3at Total PoE Power: 16.000 Watt @ 240vAC Input oder 8.000 Watt @ 120vAC Input (8 Bay PoE power shelf) Total PoE Power: 8.000 Watt @ 240vAC Input oder 4.000 Watt @ 120vAC Input (4 Bay PoE power shelf) Total PoE Power: 500 Watt (SSA Switch) Unterstützt Class 1 (4 W), Class 2 (7,5 W), Class 3 (15,4 W) und Class 4 PoE Geräte Ein voll bestücktes S-Serie Multi-Slot Chassis kann ein Klasse 3 PoE Gerät auf alles Ports gleichzeitig versorgen Ein S-Serie SSA Switch kann ein Klasse 3 PoE Gerät auf 32 Ports gleichzeitig versorgen Automatisierte oder manuelle PoE Stromverteilung Pro-Port enable/disable, Kurzschlussschutz Power Level, Prior-Sicherheit, Überlastung Systemstromüberwachung Bestellinformationen Part Nummer Beschreibung S8 Chassis S8S8-Chassis S-Series S8 Chassis and fan trays (Power supplies ordered separately) S8S8-ChassisChassis -POE4 S-Series S8 Chassis and fan trays with 4 bay PoE subsystem (System and PoE Power supplies ordered separately) S8S8-ChassisChassis -POE8 S-Series S8 Chassis and fan trays with 8 bay PoE subsystem (System and PoE Power supplies ordered separately) S8S8-POEPOE -8BAY8BAY-UGK S-Series 8 bay PoE upgrade kit for the S8 (PoE Power supplies ordered separately) S8S8-POEPOE -4BAY4BAY-UGK S-Series 4 bay PoE upgrade kit for the S8 (PoE Power supplies ordered separately) S6 Chassis S6S6-Chassis S-Series S6 Chassis and fan trays. Front to back cooling. (Power supplies ordered separately) S6S6-ChassisChassis -POE4 S-Series S6 Chassis and fan tray with 4 bay POE subsystem. Front to back cooling. (System and POE power supplies ordered separately) S6S6-MidmountMidmount-Kit S-Series S6 Chassis 19” midmount installation rack kit, can be used with all S6 chassis types S6S6-FAN S-Series Fan Tray (For use w/ S6) Enterasys Networks— Networks— Solution Guide 2012 und 263 Part Nummer Produktportfolio Beschreibung S4 Chassis S4S4-Chassis -Series S4 Chassis and fan tray (Power supplies added separately) S4S4-ChassisChassis -POE4 S-Series S4 Chassis and fan tray with 4 bay PoE subsystem (System and PoE Power supplies ordered separately) S4S4-POEPOE -4BAY4BAY-UGK S-Series 4 bay PoE upgrade kit for the S4 (PoE Power supplies ordered separately) S3S3-Chassis S3S3-Chassis S-Series S3 Chassis and fan tray (Power supplies ordered separately) S3S3-ChassisChassis -POE4 S-Series S3 Chassis and Fan Tray with 4 bay PoE subsystem (System and PoE Power supplies ordered separately) S3S3-POEPOE -4BAY4BAY-UGK S-Series 4 bay PoE upgrade kit for the S3 (PoE Power supplies ordered separately) S1S1-Chassis S1S1-Chassis S-Series S1 Chassis and fan tray. Compatible with Fabric Modules only. (Power supplies ordered separately) S1S1-MountMount-kit S-Series S1 Chassis 19” accessory mounting kit. Supports midmount and rail kit installation options for 2 and 4 post racks, can be used with the S1 chassis S1S1-FAN S1 Chassis fan tray, Spare (For use w/ S1) Power Supplies & Fans S-ACAC-PS S-Series AC power supply, 20A, 100-240 VAC input (1200/1600 W) (For Use w/ S3/S4/S6/S8) S-ACPS--15A AC-PS S-Series AC power supply, 15A, 100-240VAC input(930/1600W) (For use w/ S3/S4/S6/S8) S-POEPOE -PS S-Series PoE power supply, 20A, 100-240 VAC input, (1200/2000 W) (For Use in 4/8 Bay PoE power subsystems) S-DCDC-PS S-Series 48-60v DC Power Supply (For Use w/ S3/S4/S6/S8) (1200W) S-FAN S-Series Fan Tray (For use w/ S3/S4/S8) S130 Class I/O Fabric Modules ST4106ST4106-03480348-F6 S-Series I/O-Fabric Access Module, 1280Gbps Load Sharing - 48 Ports 10/100/1000BASE-TX via RJ45 with PoE (802.3at) and one Type2 option slot (Used in S4/S8) S130 Class I/O Modules ST4106ST4106-0248 S-Series I/O Access Module - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and one Type1 option slot (Used in S3/S4/S8) SG4101SG4101-0248 S-Series I/O Access Module - 48 Ports 1000BASE-X ports via SFP and one Type1 option slot (Used in S3/S4/S8) S150 Class I/O Fabric Modules ST1206ST1206-08480848-F6 S-Series I/O-Fabric Distribution & Core Module, 1280Gbps Load Sharing - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and two Type2 option slots (Used in S4/S8) SG1201SG1201-08480848-F6 S-Series I/O-Fabric Distribution & Core Module, 1280Gbps Load Sharing - 48 Ports 1000BASE-X ports via SFP and two Type2 options slots (Used in S4/S8) SK1208SK1208-08080808-F6 S-Series I/O-Fabric Distribution & Core Module, 1280Gbps Load Sharing - 8 Ports 10GBASE-X Ethernet via SFP+ and two Type2 option slots (Used in S4/S8) S150 Class I/O Modules ST1206ST1206-0848 S-Series I/O Distribution & Core Module - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and two Type2 option slots (Used in S4/S8) SG1201SG1201-0848 S-Series I/O Distribution & Core Module - 48 Ports 1000BASE-X ports via SFP and two Type2 options slots (Used in S4/S8) SK1008SK1008-0816 S-Series I/O Distribution & Core Module - 16 Ports 10GBASE-X Ethernet via SFP+ (Used in S4/S8) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio Part Nummer 264 Beschreibung Option Modules SOK1208SOK1208-0102 S-Series Option Module (Type1) - 2 10GBASE-X Ethernet ports via SFP+ (Compatible with Type1 & Type2 option slots) SOK1208SOK1208-0104 S-Series Option Module (Type1) - 4 10GBASE-X Ethernet ports via SFP+ (Compatible with Type1 & Type2 option slots) SOK1208SOK1208-0204 S-Series Option Module (Type2) - 4 10GBASE-X Ethernet ports via SFP+ (Compatible with Type2 option slots) SOG1201SOG1201-0112 S-Series Option Module (Type1) - 12 1000BASE-X ports via SFP (Compatible with Type1 & Type2 option slots) SOT1206SOT1206-0112 S-Series Option Module (Type1) – 12 Ports 10/100/1000BASE-TX via RJ45 with PoE (802.3at) (Compatible with Type1 & Type2 option slots) SSA (S(S-Series Stand Alone) SSASSA-T4068T4068-0252 S-Series Stand Alone (SSA) - Access - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included - Please order separately) SSASSA-T1068T1068-0652 S-Series Stand Alone (SSA) - Distribution &Core - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included - Please order separately) SSASSA-G1018G1018-0652 S-Series Stand Alone (SSA) - Distribution/Core - 48 Ports 1000BASE-X via SFP and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included - Please order separately) SSASSA- ACAC-PSPS-600W S-Series Stand Alone (SSA) - AC power supply (600 W) SSASSA- ACAC-PSPS-1000W SSA Chassis AC power supply, 15A, 110-240VAC input, (1000/1200 W), (Not for use in Japan) SSASSA-FANFAN-KIT S-Series Stand Alone (SSA) - Replacement fan assembly (Single Fan) Optional Licenses S-EOSEOS-L3L3-S150 S-Series Advanced Routing License, (For use on S150 Class Modules), (Enables L3 GRE tunnels) S-EOSEOS-L3L3-S130 S-Series Advanced Routing License (For use on S130 Class Modules) (Enables VRF, BGP) S-EOSEOS-PPC S-Series Per Port User Capacity License Upgrade (For use on S130 Class Modules) S-EOSEOS-VSB S-Series Multi-slot Virtual Switch Bonding License Upgrade (For use on S130/S150 Class Modules) SSASSA-EOSEOS-VSB S-Series SSA Virtual Switch Bonding License Upgrade (For use on SSA Only) SSASSA-EOSEOS-2XUSER SSA S150 double user capacity license Bundles S1S1-S150S150-10G10G-BUN S1 Chassis and fan tray, (2) 1000W power supplies, 16 ports SFP+ (SK1208-0808-F6 and (2) SOK1208-0204) S3S3-108SFP108SFP-BUN S3 Chassis SFP Bundle, 108 Ports SFP, 4 ports SFP+ S4S4-64SFPP64SFPP-BUN S4 Chassis SFP+ Bundle, 64 Ports SFP+ S6S6-96SFPP96SFPP-BUN S6 Chassis SFP+ Bundle, 96 Ports SFP+ S8S8-348TRPL348TRPL-BUN S8 Chassis Triple Speed Bundle, 348 Ports Triple Speed, 4 ports SFP+ Enterasys Networks— Networks— Solution Guide 2012 265 Produktportfolio Enterasys WLAN Die Enterasys WLAN Lösung stellt die zentrale Infrastruktur zur Verfügung, um mobile Anwendungen einfach, sicher und mit einer hohen Verfügbarkeit kosteneffizient betreiben zu können. Hierdurch wird die Integration von neuen Anwendungen ohne zusätzlichen Invest in die Infrastruktur möglich. Durch die hohe Intelligenz des Systems ist es möglich eine Vielzahl von Anwendungen auf dieser WLAN-Infrastruktur zu betreiben und gleichzeitig der jeweiligen Anwendung die von ihr geforderten Bandbreiten und Dienstgüten zur Verfügung stellen zu können. Die Lösung besteht aus folgenden Hauptbestandteilen, auf die Nachfolgend detailliert eingegangen wird: Enterasys Wireless Portfolio Die Lösung erlaubt eine Vielzahl von Topologien und Designs, um die komplexen Anforderungen heutiger Netze zu erfüllen. Weiterhin ist die Lösung vollständig in das bestehende Enterasys-Portfolio integriert, um ein einheitliches Verwaltung zu ermöglichen. So ist z.B das Management der Komponenten aus der NMS Console, dem Policy Manager und dem Inventory Manager möglich. Eine vollwertige Gästelösung inklusive Captive Portal und Accountverwaltung läuft ebenso auf den Controllern. Zusätzlich besteht die Möglichkeit einer einheitlichen Gästelösung für LAN und WLAN über das NAC Gateway. Reporting und Dashboard Funktionen werden vom neuen NetSight Plug-In OneView übernommen. Das controllerübergreifende Konfigurieren der WLAN Umgebung übernimmt der WLAN Manager. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 266 Zum Erweitern bestehender LANs oder zur Abdeckung von Außenbereichen unterstützen alle APs (Ausnahme AP 2605) Wireless Distribution Servcie (WDS) im Point-to-Point oder Point-to-Multipoint Modus. Hierbei sind theoretisch bis zu 8 Hops möglich. WDS Beispielszenario 1 WDS Beispielszenario 2 Enterasys Networks— Networks— Solution Guide 2012 267 Produktportfolio Alle Access Points unterstützen durch die einzigartige VNS (Virtual Network Service) Architektur eine Vielzahl von Netzwerktopologien, Designs und Parameter: VNS Architektur mit Parametern Die VNS-Architektur erlaubt es, die Topologien vor und nach einer Authentifizierung flexibel zu ändern. Dadurch wird es zum Beispiel möglich, in einer Infrastruktur mit vielen Außenstellen die Gäste zentral am Gästeportal des Controllers in der Hauptstelle zu authentifizieren und nachdem dies erfolgreich durchgeführt wurde, durch Ändern der Topologie, den Traffic des WLAN-Clients dezentral in der Außenstelle auszubrechen. Beispiel: zentrale Gästeauthentifizierung in der Hauptstelle und dezentraler Ausbruch nach erfolgreicher Authentifizierung in Außenstelle Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 268 Weiterhin erlaubt diese Architektur das so genannte single SSID Design. Dadurch werden die Rechte des Users an dessen Identiät gebunden - nicht nur an die SSID. • per User Topologie • per User/ Applikation QoS und Ratelimit • per User ACL Somit werden weniger SSIDs benötigt, was zu einer einfacheren Konfiguration der Clients führt. Weiterhin ergeben sich durch die geringere Anzahl von Beacons weniger Störungen in der Luft, was zu einer Verbesserung der Performance führt. Diese wenigen SSIDs können zusätzlich einfacher gegen Angriffe geschützt werden. Enterasys Wireless Access Points und Sensoren Es gibt je nach Anforderung 6 Modellgruppen zur Auswahl. Bei allen Modellgruppen gibt es jeweils eine Variante mit externen Antennenanschlüssen sowie eine Variante mit internen Antennen. Eine Ausnahme hierbei ist der RBT-4102 der sowohl über interne Antennen als auch externe Antennenanschlüsse verfügt. Die Access Points AP 2630, AP 2640, AP 3630, AP 3640 sowie der RBT-4102 verfügen über ein ThickAP Image. Dieses kann über ein kostenfreies Firmware Upgrade auf ein Fit-Image geändert werden, so dass der AP vollwertig in einer Controllerumgebung arbeiten kann. Nach unten rundet der AP 2605 das Portfolio ab. Auch dieser Access Point hat 2 Radios, allerdings sind die externen Antennen fest montiert und nicht abnehmbar. Weiterhin wird direkt am Access Point kein WDS und keine Filterregeln unterstützt. Nun ist mit dem AP 3660 auch ein vollwertiger 11n Outdoor Access Point verfügbar. Enterasys AP 3605 / Enterasys AP 3610 (interne Antennen) und Enterasys AP 3620 (externe Antennen) • Volle 11n Funktion mit 802.3af PoE Vorteile: Keine propritäre PoE-Infrastruktur nötig Kein Upgrade der Edge-Switche nötig Keine Kompromisse bei der Performance nötig Kosteneffizienz durch geringe Leistungsaufnahme Einfache und kostengünstige Migration zu 11n • 3x3 MIMO Enterasys Networks— Networks— Solution Guide 2012 269 Produktportfolio • Beide Radios sind abwärtskompatibel mit 5 Ghz 802.11 a/n und 2,4 Ghz 802.11g/g/n • Kanalbündelung (20Mhz & 40 Mhz) • DFS2 Unterstützung – alle Kanäle in 5 Ghz Bereich verfügbar • Dual Radio 802.11a/n + b/g/n • Multi-SSID (16 per AP) mit individueller Unterdrückung • Load Balancing & Auto Failover • Plug & Play Installation mit Auto-Discover und zentraler Konfiguration • 10/100/1000baseT mit 802.3af PoE (Lieferung ohne Netzteil) • Wand- & Deckenmontage, Plenum-Gehäuse • AP 3605 arbeitet mit 2x3 MIMO und unterstützt keine Mitigator-, Sensor- und WDS-Funktion Enterasys AP 3610 / AP 3605 Enterasys AP 3620 (interne Antennen) (externe Antennen) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 270 Enterasys AP 2605 / Enterasys AP 2610 (interne Antennen) und Enterasys AP 2620 (externe Antennen) • Dual Radio 802.11a + b/g • Multi-SSID (16 per AP) mit individueller Unterdrückung • Load Balancing & Auto Failover • Plug & Play Installation mit Auto-Discover und zentraler Konfiguration • 10/100baseT mit 802.3af PoE (Lieferung ohne Netzteil) • Wand- & Deckenmontage, Plenum-Gehäuse • AP 2605 unterstützt keine Mitigation-, Sensor- und WDS-Funktion Enterasys AP 2605 Enterasys AP 2610 Enterasys AP 2620 Enterasys AP 2650 (interne Antennen) und Enterasys AP 2660 (externe Antennen) • Outdoor AP für extreme Umweltanforderungen • Dual Radio 802.11a + b/g • Multi-SSID (16 per AP) mit individueller Unterdrückung • Load Balancing & Auto Failover • Plug & Play Installation mit Auto-Discover und zentraler Konfiguration • 10/100baseT mit 802.3af PoE (Lieferung ohne Netzteil) • Temperaturbereich von -40°C bis +70°C • IP65 – resistent gegen Vibration, Dunst und Wasser Enterasys Networks— Networks— Solution Guide 2012 271 Produktportfolio • Vibrationsgeprüft – keine sichtbaren Anschlüsse • Zertifizierungen: ATEX, cULus, FM, NEMA 4x, Class 1 Div 2 rating (non incentive) Enterasys AP 2630 (interne Antennen) und Enterasys AP 2640 (externe Antennen) – StandaloneStandalone-APs • Dual Radio 802.11a + b/g • Multi-SSID & VLANs (8 per AP) mit individueller Unterdrückung • WEB-GUI für Konfiguration – Upgrade auf Fit-AP möglich • Plug & Play Installation • Robustes, standardisiertes QoS • VLAN-Trunking • Multi-Protokoll-Unterstützung: 802.11e, 802.11d,802.11h, TSPEC, U-APSD • 10/100baseT mit 802.3af PoE (Lieferung ohne Netzteil) • Wand- & Deckenmontage, Plenum-Gehäuse Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 272 Enterasys AP 2630 Enterasys AP 2640 (interne Antennen) (externe Antennen) Enterasys AP 3630 (interne Antennen) und Enterasys AP 3640 (externe Antennen) – StandaloneStandalone-APs • Dual Radio 802.11a/n + b/g • Multi-SSID & VLANs (8 per AP) mit individueller Unterdrückung • WEB-GUI für Konfiguration – Upgrade auf Fit-AP möglich • Plug & Play Installation • Robustes, standardisiertes QoS • VLAN-Trunking • Multi-Protokoll-Unterstützung: 802.11e, 802.11d, 802.11h, TSPEC, U-APSD • 10/100/1000baseT mit 802.3af PoE (Lieferung ohne Netzteil) • Wand- & Deckenmontage, Plenum-Gehäuse • WDS • 802.1x Enterasys Networks— Networks— Solution Guide 2012 273 Produktportfolio Enterasys AP 3630 Enterasys AP 3640 (interne Antennen) (externe Antennen) Enterasys AP 3660 11n Outdoor AP • 3x3 MIMO • Beide Radios sind abwärtskompatibel mit 5 Ghz 802.11a/n und 2,4Ghz 802.11g/n • Kanalbündelung (20 Mhz & 40 Mhz) • GFS2 Unterstützung – alle Kanäle im 5 Ghz Bereich verfügbar • Dual Radio 802.11a/n + b/g/n • Multi-SSID & VLANs (16 per AP) mit individueller Unterdrückung • Load Balancing & Auto Failover • Plug & Play Installation mit Auto-Discover und zentraler Konfiguration • 10/100/1000baseT mit 802.3af PoE (Lieferung ohne Netzteil) • Geeignet für Außenmontage -40 C bis 60 C • Optionales Outdoor Power Supply • 6 externe Antennenanschlüsse Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 274 AP 3660 Q3/2012 wird unsere neue AP37XX-Serie erwartet. Diese wird mit unten genannten Typen und Funktionen ausgestattet: AP3705 • 2x2: 2 Streams • 2 Funkradios • Spectrum Analyse PoE 802.3af • Beamforming Enterasys Networks— Networks— Solution Guide 2012 275 Produktportfolio AP3710 – I (internal Antennas) –E (external Antennas) • 3x3 3 Streams (450 Mbit per radio) • 2 Funkradios • Spectrum Analyse PoE 802.3af (at) • Beamforming AP3725 – I (internal Antennas) –E (external Antennas) – gleiche Bauform wie 3710 • 3x3 3 Streams (450 Mbit per radio) • 2x 1GE NICs • 2 Funkradios für Client Traffic • Ein 2x2 Dualradio für Sensor-Funktionen • Spectrum Analyse PoE 802.3at • Beamforming Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 276 Bestellinformationen Part Nummer Beschreibung Thin Access Points WSWS-AP2605 Dual Radio 802.11a/b/g indoor access point with two integrated dual-band diversity omnidirectional antennas WSWS-AP2610 Dual Radio 802.11a/b/g indoor access point with two internal dual-band diversity omnidirectional antennas WSWS-AP2620 Dual Radio 802.11a/b/g indoor access point with two detachable dual-band diversity omnidirectional antennas WSWS-AP2650 Dual Radio 802.11a/b/g outdoor access point with internal dual-band diversity omnidirectional antennas WSWS-AP2660 Dual Radio 802.11a/b/g outdoor access point with four RP SMA connectors (Note: antennas not included) WSWS-AP3605 Dual Radio 802.11a/b/g/n indoor access point with six internal dual-band omnidirectional antennas (Note: 2x3 MIMO) WSWS-AP3610 Dual Radio 802.11a/b/g/n indoor access point with six internal dual-band omnidirectional antennas WS--AP3620 WS Dual Radio 802.11a/b/g/n indoor access point with three detachable dual-band omnidirectional antennas WSWS-AP3660 Dual Radio 802.11a/b/g/n outdoor access point with six external reverse polarity type-N jack connectors (Note: antennas not included) Standalone Access Points (Note: All standalone APs can be operated as a thin AP) WSWS-AP2630AP2630-EU Dual Radio 802.11a/b/g standalone indoor access point with two internal dual-band diversity omnidirectional antennas - Rest of World (Limited Country Availability) WSWS-AP2640AP2640-EU Dual Radio 802.11a/b/g standalone indoor access point with external dual-band diversity antenna - Rest of World (Limited Country Availability) WSWS-AP3630AP3630-ROW Dual Radio 802.11a/b/g/n standalone indoor access point with internal dual-band antenna - Rest of World (Limited Country Availability) WSWS-AP3640AP3640-ROW Dual Radio 802.11a/b/g/n standalone indoor access point with external dual-band antenna - Rest of World (Limited Country Availability) Enterasys Wireless Controller Zur Zeit befinden sich 4 Modelle im Portfolio. Alle unterstützen das selbe Featureset und unterscheiden sich lediglich in der Anzahl der unterstützten Access Points und Hardware. Besonders zu erwähnen ist der Hochverfügbarkeitsmodus der Controller. In diesem können die Access Points ohne zu rebooten von einem Controller zum Backup-Controller wechseln. Dies erlaubt z.B. eine hoch verfügbare VoWLANUmgebung, in der es selbst dann zu keiner Gesprächsunterbrechung kommt, wenn einer der Controller ausfällt. Weiterhin sind hierfür keine zusätzlichen Lizenzen auf den Backup-Controller nötig. Durch das Fit-Design der Access Points können diese, mit dem richtigen Design, selbst bei vollständigem Ausfall der Controller den WLANService anbieten. Dies funktioniert selbst beim Reboot des Access Points und weiterem Ausfall der Controller. Zur Konfiguration der WLAN-Infrastruktur ist bei allen Controllern der Enterasys Assistent inklusive. Zusätzlich zu den Controllern und Lizenzen für die zu unterstützende Access Point Anzahl ist jeweils pro Controller ein „Regulatory Domain Key“ nötig, um die gesetzlichen Bestimmungen hinsichtlich Leistung und Kanalwahl einzuhalten. Für den europäischen Bereich ist dies der „WS-CTLREG8P-ROW“. Enterasys Networks— Networks— Solution Guide 2012 277 Produktportfolio Enterasys Wireless Service Engine V2110 Enterasys hat als erster Hersteller in 2011 einen virtuellen WLAN Controller auf dem Markt gebracht. Dieser wird in folgenden Parametern ausgeliefert: • VMware ESXi 4.1 • 8-120 APs supported • 240 APs in H/A • 2 GigE Interfaces • 1 GigE Management Interface • 2048 Users Voraussetzungen der ESX Plattform: • CPU mit 4 Cores • 2 GB RAM • 2x1 Gbps Data Plan Ethernet Interfaces ♦ • 1x1 Gbps Admin Port ♦ • Kann auf dem Gerät konfiguriert werden, wenn nötig USB Controller ♦ • E1000 Driver Serial Port fähig ♦ • VMXNet3 Driver Enabled für USB Flash Drives 25 GB „SCSI“ Disk Er kann mit folgender Bestellnummer geordert werden: WS-V2110-8-ROW. Ein weiterer Länder Key ist nicht nötig. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 278 Enterasys Wireless C25 Controller • 2x10/100/1000 BaseT Ports • Data und Control-Plane auf einer CPU • Einfacher Power Supply • Interne Festplatte • 1.0 U (19” rack) • Lieferung mit 16 AP Unterstutzung, via Lizenz auf 48 erweiterbar, 96 • APs im High-Availability –Modus (Upgrade im 16 AP Step) Enterasys Wireless C4110 Controller • 4x10/100/1000 BaseT Port + 1 Mgmt. Port 10/100/1000 Base T • Dual, Hot-swap Power Supplys • Hot-swap Lüfter • Internes Hard-Drive Raid 1 • 1 U (19” rack) • Lieferung mit 50 AP Unterstützung, via Lizenz auf 250 erweiterbar, 500 APs im High-Availability –Modus (Upgrade in 25 AP Steps) Enterasys Networks— Networks— Solution Guide 2012 279 Produktportfolio Enterasys Wireless C5110 Controller • 1x10/100/1000 BaseT Port • 2x10G Short Range LC Anschluss Ports • Dual, Hot-swap Power Supplys • Hot-swap Lüfter • Internes Hard-Drive • 1 U (19” rack) • Lieferung mit 150 AP Unterstützung, via Lizenz auf 525 erweiterbar, 1050 APs im High-Availability –Modus (Upgrade in 25 AP Steps) Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 280 Enterasys Wireless Management Suite siehe Enterasys NetSight Console Kabel und Blitzschutz Part Nummer Beschreibung RBT4K-AG-T20F 20 inch Pigtail cable for the 4102, 2620, and 36xx with a Reverse SMA Female connector to Reverse N Plug Connector RBT4K-AG-PT20M 20 inch Pigtail cable for the 4102, 2620, and 36XX with a Reverse SMA Female connector to Reverse N Jack Connector RBTES-L200-C20F 20 feet of LMR200 cable with Reverse N Female Connector RBTES-L400-C06F LMR400 - 6FT cable REV-N plug RBTES-L400-C50F 50 feet of LMR400 cable with Reverse N Female Connector RBTES-L400-C75F 75 feet of LMR400 cable with Reverse N Female Connector RBTES-L600-C25F 25 feet of LOW Loss LMR600 cable with Reverse N Female Connector RBTES-L600-C50F 50 feet of LOW Loss LMR600 cable with Reverse N Female Connector RBTES-AG-LPM RoamAbout Lightening Protector 2.4/5GHz Reverse N Male Antennen Part Nummer Beschreibung WS-AI-2S03360 Indoor, 2.4-2.5 GHz, 3.5dBi, Omni, Ceiling mount (for AP2620) WS-AI-DS06360 Indoor, 2.3-2.7/4.9-6 GHz,5/6dBi, Omni, Ceiling mount (for AP2620) WS-AI-DT04360 Indoor, 2.4-2.5/4.9-5.9 GHz, Triple-feed, 3/4 dBi, Omni, Ceiling (for AP3620) WS-AI-DT05120 Indoor, 2-3-2.7/4.9-6.1 GHz, Triple-feed, 5 dBi, 120 deg, Sector (for AP3620) WS-AIO-2S07060 In/Outdoor 2.4 -2.5 GHz, 7.5 dBi, 60 deg, Panel (for AP2620) WS-AIO-2S14090 In/Outdoor, 2.4-2.485 GHz, 14 dBi, 90deg, Panel (for AP2620) WS-AIO-2S18018 In/Outdoor, 2.3-2.5 GHz, 18 dBi, 18 deg, Panel (for AP2620) WS-AIO-5S12060 In/Outdoor, 5.15-5.35 GHz, 12 dBi, 60 deg, Panel (for AP2620) WS-AIO-5S15090 In/Outdoor, 4.9-6 GHz, 14/15 dBi, 90/60deg, Panel (for AP2620) WS-AIO-5S17017 In/Outdoor, 5.47-5.85 GHz, 17 dBi, 17deg, Panel (for AP2620) WS-AIO-DS05120 In/Outdoor, 2.4-2.5/4.9-5.9 GHz, 5 dBi, 120 deg, Panel/Ceiling (for AP2620) WS-AO-5D16060 Outdoor, 5.15-5.875 GHz, Dual-polarization 16 dBi, 60deg, Sector (for AP3620) WS-AO-5D23009 Outdoor, 5.15-5.875 GHz, Dual-polarization, 23 dBi, 9 deg, Panel (for AP3620) WS-AO-DS05360 Outdoor, 2.4-2.5/5.15-5.875 GHz, 5 dBi, Omni, Baton (for AP 2620/ 3620) Enterasys Networks— Networks— Solution Guide 2012 281 Produktportfolio WĂƌƚEƵŵŵĞƌ ĞƐĐŚƌĞŝďƵŶŐ t^ͲEdϬϭ džƚĞƌŶĂůƵĂůĂŶĚŶƚĞŶŶĂĨŽƌWϮϲϮϬ͕Ϯ͘ϰͬϱ',nj͕ϰͬϱĚŝ;^ƉĂƌĞͿ t^ͲEdϬϮ džƚĞƌŶĂůƵĂůĂŶĚŶƚĞŶŶĂĨŽƌWϯϲϮϬ͕Ϯ͘ϰͬϱ',nj͕ϰͬϱĚŝ;^ƉĂƌĞͿ t^ͲͲZW^DdZD ĐĐĞƐƐƉŽŝŶƚĂŶƚĞŶŶĂƉŽƌƚƚĞƌŵŝŶĂƚŽƌ;ZͲ^DƉůƵŐϱϬK,DϭtͿ͘ZĞƋƵŝƌĞĚƚŽ ƚĞƌŵŝŶĂƚĞƵŶƵƐĞĚƉŽƌƚƐŝŶŽƵƚĚŽŽƌŝŶƐƚĂůůĂƟŽŶƐ͘ Montage Enterasys Wireless AP2620 Antenneninstallationsbeschreibung 1 Antenna connector (Reverse Polarity Type-N jack) 2 Cable from antenna to lightning protector (Reverse Polarity Type- N plugs on both ends) 3 Lightning protector (Reverse Polarity Type-N jacks on both ends) 4 Lightning protector ground terminal 5 Cable from lightning protector to AP pigtail (Reverse Polarity Type- N plugs on both ends) 6a AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N jack) 6b AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N plug) 7 AP pigtail connector to AP external antenna connector. 8 AP2620 Access Point 9 Connection to switch Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 282 Enterasys Wireless AP3620 Antenneninstallationsbeschreibung 1 Antenna connector (Reverse Polarity Type-N jack) 2 Cable from antenna to lightning protector (Reverse Polarity Type- N plugs on both ends) 3 Lightning protector (Reverse Polarity Type-N jacks on both ends) 4 Lightning protector ground terminal 5 Cable from lightning protector to AP pigtail (Reverse Polarity Type- N plugs on both ends) 6a AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N jack) 6b AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N plug) 7 AP pigtail connector to AP external antenna connector. 8 AP3620 Access Point 9 Terminator cap. A terminator cap is used when the AP does not perform wireless data transmission on this connector. 10 Connection to switch Enterasys Networks— Networks— Solution Guide 2012 283 Produktportfolio Weitere Infos bezüglich Antennen/ Antenneninstallation unter: https://extranet.enterasys.com/sites/dms/DMSAssetLib/Product%20Lines/HiPath% 20Wireless%20Access%20Points/Documents/HiPath%20Wireless%20Guides/Antennas% 20and%20Accessories/9034559-02_HWAP_ExtAnt_InstGde.pdf Media Interface Converter Steckbare Transceiver liefern Geschwindigkeits- und Medien-Flexibilität für Enterasys Produkte, die über entsprechende Ports verfügen. Alle EnterasysTransceiver sind von höchster Qualität und in Übereinstimmung mit den Industriestandards. Enterasys testet die Transceiver in Verbindung mit allen Produktplattformen, um Kompatibilität und Compliance zu gewährleisten. Es sind unterschiedliche Medientypen, Portgeschwindigkeiten und Übertragungsentfernungen verfügbar, um sich jeglicher Umgebung anzupassen. Enterasys Transceiver bieten Konnektivitätsoptionen für Ethernet über Twisted-PairKupfer- und Glasfaserkabel mit Übergangsgeschwindigkeiten von 100 Megabit pro Sekunde bis zu 10 Gigabit pro Sekunde. Twisted-Pair-Kupfer-Transceiver unterstützen Übertragungsentfernungen von bis zu 100 Meter; optische Transceiver unterstützen Multi-Mode und Single-Mode Faserkabeltypen mit Übertragungsdistanzen von bis zu 110 Kilometern. Direct-Connect Kupfer- und GlasfaserkabelLösungen mit integrierten Transceivern bieten kostengünstige Optionen für 10 Gigabit Ethernet Konnektivität mit Entfernungen von 1 bis 20 Metern. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 284 Fast Ethernet Produktportfolio 100 Mbps Modular Interfaces SFP Modules Kategorie Modell MGBIC-LC04 MGBIC-LC05 MGBIC-N-LC04 Stapelbare Switche B5 x x x C5 x x x Modulare Chassis Produkte S-Serie x x x G-Serie G3 x x x D-Serie D2 x x Transceiver Kompatibilität Gigabit Ethernet Produktportfolio 1 Gbps Ethernet Modular Interfaces SFP Modules x x x x x x x x B5 x x x x x x x x C5 x x x x x x x x S-Serie S-Serie x x x x x x x XSR XSR G-Serie G3 x x x x x x x x D-Serie D2 x x x x x x x x I-Serie I-Serie Security NAC x x x x x x x x x x x x x 2S4082-25-SYS 7S4280-19-SYS I-MGBIC-GTX A4 I-MGBIC-GZX Stapelbare Switche I-MGBIC-GSX Modell I-MGBIC-GLX MGBIC-MT01 MGBIC-BX10-D MGBIC-BX10-U MGBIC-LC09 MGBIC-LC07 MGBIC-LC03 MGBIC-LC01 MGBIC-08 Sub-Modell MGBIC-02 Kategorie Enterasys Networks— Networks— Solution Guide 2012 x x x 285 Produktportfolio 10 Gigabit Ethernet Produktportfolio 10 Gbps Ethernet Modular Interfaces XFP Modules SFP+ Interconnect Cable Assemblies Laserwire Cables Modell Stapelbare Switche B5 x x x x x x x x C5 x x x x x x x x S-Serie S-Serie x x x x x x x x G3 G3K-IOMs x x x x x x 10GB-LW-XFP 10GB-LW-SFPP 10GB-C10-SFPP 10GB-C03-SFPP 10GB-C-01-SFPP 10GB-ER-SFPP 10GB-LRM-SFPP 10GB-LR-SFPP 10GB-SR-SFPP 10GBASE-ZR-XFP 10GBASE-ER-XFP 10GBASE-LR-XFP 10GBASE-LRM-XFP 10GBASE-SR-XFP 10GBASE-CX4-XFP Kategorie G-Serie Sub-Modell SFP+ Modules x Transceiver Spezifikationen— Spezifikationen—10 Gigabit Ethernet 10GBASE10GBASE -ZRZR-XFP 10GBASE10GBASE -ER** Typ XFP XENPAK Connector Typ LC SC Kabeltyp SMF SMF Core Größe (microns) 9 9 - Modal B/W MHzMHz-Km - Max. Distanz 80 km 40 km Wellenlänge nm 1550 1550 Tx Power Min/Max dBm 0 / 4,0 -1 / 2 Rx Min/Max dBm -25 / -7,0 -16 / -1,0 Link Power Budget dB 25 15 Notiz Benötigt min.11 dB Dämpfung Benötigt min. 3 dB Dämpfung. Mehr als 30 km lange Links benötigten eine kleiner Dämpfung für B1.1 oder B1.3 Single Mode Fibre Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 286 10GBASE10GBASE -ERER-XFP 10GBASE10GBASE -ERER-SFPP Typ XFP SFP+ Connector Typ LC LC Kabeltyp SMF SMF Core Größe (microns) 9 9 Modal B/W MHzMHz-Km - - Max. Distanz 40 km 40 km Wellenlänge nm 1550 1550 Tx Power Min/Max dBm -1 / 2 -1 / 2 Rx Min/Max dBm -16 / -1,0 -16 / -1,0 Link Power Budget dB 15 15 Notiz Benötigt min. 3 dB Dämpfung. Mehr als 30 km lange Links benötigten eine kleiner Dämpfung für B1.1 oder B1.3 Single Mode Fibre Benötigt min. 3 dB Dämpfung. Mehr als 30 km lange Links benötigten eine kleiner Dämpfung für B1.1 oder B1.3 Single Mode Fibre 10GBASE10GBASE -LR** 10GBASE10GBASE -LRLR-XFP Typ XENPAK XFP Connector Typ SC LC Kabeltyp SMF SMF Core Größe (microns) 9 9 Modal B/W MHzMHz-Km - - Max. Distanz 10 km 10 km Wellenlänge nm 1310 1310 Tx Power Min/Max dBm -8,2 / 0,5 -14,4 / 0,5 Rx Min/Max dBm -16 / -1,0 -16 / -1,0 Link Power Budget dB 6,2 6,2 Enterasys Networks— Networks— Solution Guide 2012 287 Produktportfolio 10GB10GB-LRLR-SFPP 10GBASE10GBASE -SR** Typ SFP+ XENPAK Connector Typ LC SC Kabeltyp SMF SMF Core Größe (microns) 9 62,5 (OM1) 50 (OM2) 50 (OM3) 50 (OM4) Modal B/W MHzMHz-Km - 200 500 2000 4700 Max. Distanz 10 km 33 m 82 m 300 m 550 m Wellenlänge nm 1310 850 Tx Power Min/Max dBm -8,2 / 0,5 -7,3 / 1,0 Rx Min/Max dBm -16 / -1,0 -9,9 / -1,0 Link Power Budget dB 6,2 2 10GBASE10GBASE -SRSR-XFP 10GBASE10GBASE -SRSR-SFPP Typ XFP SFP+ Connector Typ LC LC Kabeltyp MMF MMF Core Größe (microns) 62,5 (OM1) 50 (OM2) 50 (OM3) 50 (OM4) 62,5 (OM1) 50 (OM2) 50 (OM3) 50 (OM4) Modal B/W MHzMHz-Km 200 500 2000 4700 200 500 2000 4700 Max. Distanz 33 m 82 m 300 m 550 m 33 m 82 m 300 m 550 m Wellenlänge nm 850 850 Tx Power Min/Max dBm -7,3 / 1,0 -7,3 / 1,0 Rx Min/Max dBm -9,9 / -1,0 -9,9 / -1,0 Link Power Budget dB 2,6 2,6 Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 288 10GBASE10GBASE -LRMLRM-XFP 10GB10GB-LRMLRM-SFPP Typ XFP SFP+ Connector Typ LC LC Kabeltyp MMF MMF Core Größe (microns) 62,5 (OM1) 50 (OM2) 50 (OM3) 62,5 (OM1) 50 (OM2) 50 (OM3) Modal B/W MHzMHz-Km 500 500 500 500 500 500 Max. Distanz 220 m 220 m 220m 220 m 220 m 220m Wellenlänge nm 1310 1310 Tx Power Min/Max dBm -4,5 / 1,5 -4,5 / 1,5 Rx Min/Max dBm -6,5 / 1,5 -6,5 / 1,5 Link Power Budget dB 2 2 Notiz XFP – OM1 und OM2 benötigen MCP SFP+ - Kein Mode Conditioning Patch Cord (MC)P benötigt 10GBASE10GBASE -LX4** 10GBASE10GBASE -CX4CX4-XFP Typ XENPAK XFP Connector Typ SC CX4 Kabeltyp MMF Kupfer CX4 Core Größe (microns) 62,5 / 50 - Modal B/W MHzMHz-Km 500 - Max. Distanz 300 m 15 m Wellenlänge nm 1275, 1300, 1325, 1350 - Tx Power Min/Max dBm -7,3 / -1,0 - Rx Min/Max dBm -9,9 / -1,0 - Link Power Budget dB 2,6 - Notiz OM1 und OM2 MMF benötigen Mode Conditioning Patch Cords Kompatibel mit CX4 compliant Kabeln bis zu 15 m in Länge Enterasys Networks— Networks— Solution Guide 2012 289 Produktportfolio 10GB10GB-C01C01-SFPP 10GB10GB-C03C03-SFPP Typ SFP+ SFP+ Connector Typ Integriertes SFP+ Integriertes SFP+ Kabeltyp Kupfer Kupfer Core Größe (microns) - - Modal B/W MHzMHz-Km - - Max. Distanz 1m 3m 10 m 1m 3m 10 m Wellenlänge nm - - Tx Power Min/Max dBm - - Rx Min/Max dBm - - Link Power Budget dB - - Notiz Pre-terminated Kupferkabel mit integrierten SFP+ Connector Modulen Pre-terminated Kupferkabel mit integrierten SFP+ Connector Modulen 10GB10GB-C10C10-SFPP 10GB10GB-LWLW-SFPP 10GB10GB-LWLW-XFP Typ SFP+ SFP+ XFP Connector Typ Integriertes SFP+ - - Kabeltyp Kupfer - - Core Größe (microns) - - - Modal B/W MHzMHz-Km - - - Max. Distanz 1m 3m 10 m - - Wellenlänge nm - - - Tx Power Min/Max dBm - - - Rx Min/Max dBm - - - Link Power Budget dB - - - Notiz Pre-terminated Kupferkabel mit integrierten SFP+ Connector Modulen Laserwire (LW) SFP+ Adapter Laserwire (LW) XFP Adapter Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 290 10GB10GB-LWLW-03 10GB10GB-LWLW-05 Typ LW Adapter LW Adapter Connector Typ Integrierter LW Integrierter LW Kabeltyp MMF MMF Core Größe (microns) - - Modal B/W MHzMHz-Km - - Max. Distanz 3m 5m Wellenlänge nm 850 850 Tx Power Min/Max dBm - - Rx Min/Max dBm - - Link Power Budget dB - - Notiz Pre-terminated Laserwire-Kabel mit integrierten Transceivers. Benötigt SFP+ oder XFP Adapter Pre-terminated Laserwire-Kabel mit integrierten Transceivers. Benötigt SFP+ oder XFP Adapter 10GB10GB-LWLW-10 10GB10GB-LWLW-20 Typ LW Adapter LW Adapter Connector Typ Integrierter LW Integrierter LW Kabeltyp MMF MMF Core Größe (microns) - - Modal B/W MHzMHz-Km - - Max. Distanz 10 m 20 m Wellenlänge nm 850 850 Tx Power Min/Max dBm - - Rx Min/Max dBm - - Link Power Budget dB - - Notiz Pre-terminated Laserwire-Kabel mit integrierten Transceivers. Benötigt SFP+ oder XFP Adapter Pre-terminated Laserwire-Kabel mit integrierten Transceivers. Benötigt SFP+ oder XFP Adapter *Übertragungsdistanzen werden nur als Richtwert genannt; nutzen Sie die optischen Spezifikationen und die spezifischen Characteristiken ihrer FiberInstallation, um die erreichbaren Distanzen festzulegen. **Abgekündigtes Produkt; Spezifikationen sind nur als Referenz aufgeführt. Enterasys Networks— Networks— Solution Guide 2012 291 Produktportfolio Transceiver Spezifikationen— Spezifikationen—Gigabit Ethernet MGBICMGBIC-LC07 MGBICMGBIC-08 Typ SFP SFP Connector Typ LC LC Kabeltyp SMF SMF Core Größe (microns) 9 9 Modal B/W MHzMHz-Km - - Max. Distanz 110 km 80 km Wellenlänge nm 1550 1550 Tx Power Min/Max dBm 0 / +5,0 0 / +5,0 Rx Min/Max dBm -30 / -9 -24 / -3 Link Power Budget dB 30 24 Notiz Benötigt minimum 14 dB Dämpfung Benötigt minimum 8 dB Dämpfung I-MGBICMGBIC-GZX MGBICMGBIC-LC09 Typ SFP SFP Connector Typ LC LC Kabeltyp SMF SMF Core Größe (microns) 9 9 Modal B/W MHzMHz-Km - - Max. Distanz 80 km 10 km Wellenlänge nm 1550 1310 Tx Power Min/Max dBm 0 / +5,0 9,5 / -3 Rx Min/Max dBm -24 / -3 -20 / -3 Link Power Budget dB 24 10,5 Notiz Benötigt minimum 8 dB Dämpfung, I-MGBIC für I-Serie nur -40° bis +60°C I-MGBICMGBIC-GLX MGBICMGBIC-BX10BX10-D Typ SFP SFP Connector Typ LC Simplex LC Kabeltyp SMF SMF Core Größe (microns) 9 9 Modal B/W MHzMHz-Km - - Max. Distanz 10 km 10 km Wellenlänge nm 1310 Tx 1490, Rx 1310 Tx Power Min/Max dBm 9,5 / -3 -9 / -3 Rx Min/Max dBm -20 / -3 -22 / -3 Link Power Budget dB 10,5 13 Notiz I-MGBIC für I-Serie nur -40° bis +60°C Single Fiber Applikation, müssen in D- & U-Paaren genutzt werden Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 292 MGBICMGBIC-BX10BX10-D MGBICMGBIC-LC03 Typ SFP SFP Connector Typ Simplex LC LC Kabeltyp SMF MMF Core Größe (microns) 9 62,5 50 Modal B/W MHzMHz-Km - 160 400 Max. Distanz 10 km 2 km 1 km Wellenlänge nm Tx 1310, Rx 1490 1310 Tx Power Min/Max dBm -9 / -3 -9 / -1 Rx Min/Max dBm -22 / -3 -19 / -1 Link Power Budget dB 13 10 Notiz Single Fiber Applikation, SFP's müssen in Dund U-Paaren genutzt werden Keine Mode Conditioning Patch Cords nötig MGBICMGBIC-LC01 I-MGBICMGBIC-GSX MGBICMGBIC-MT01 Typ SFP SFP SFP Connector Typ LC LC MTRJ Kabeltyp MMF MMF MMF Core Größe (microns) 62,5 62,5 50 50 62,5 62,5 50 50 62,5 62,5 50 50 Modal B/W MHzMHz-Km 160 200 400 500 160 200 400 500 160 200 400 500 Max. Distanz 220 m 275 m 500 m 550 m 220 m 275 m 500 m 550 m 220 m 275 m 500 m 550 m Wellenlänge nm 850 850 850 Tx Power Min/Max dBm -9,5 / -3 -9,5 / -3 -9,5 / -3 Rx Min/Max dBm -17 / 0 -17 / 0 -17 / 0 Link Power Budget dB 7,5 7,5 7,5 Notiz I-MGBIC für I-Serie nur -40° bis +60°C Enterasys Networks— Networks— Solution Guide 2012 293 Produktportfolio MGBICMGBIC-02 I-MGBICMGBIC-GTX Typ SFP SFP Connector Typ RJ45 RJ45 Kabeltyp Cat5, Twisted Pair Cat5, Twisted Pair Core Größe (microns) - - Modal B/W MHzMHz-Km - - Max. Distanz 100 m 100 m Wellenlänge nm - - Tx Power Min/Max dBm - - Rx Min/Max dBm - - Link Power Budget dB - - Notiz I-MGBIC für I-Serie nur -40° bis +60°C Transceiver Spezifikationen – 100 Megabit Ethernet MGBICMGBIC-LC05 MGBICMGBIC-LC04 Typ SFP SFP Connector Typ LC LC Kabeltyp SMF MMF Core Größe (microns) 9 62,5 50 Modal B/W MHzMHz-Km - 160 400 Max. Distanz 10 km 2 km Wellenlänge nm 1310 1310 Tx Power Min/Max dBm -15 / -8 -20 / -15 Rx Min/Max dBm -28 / -8 -30 / -14 Link Power Budget dB 13 Notiz 10 Ebenso MGBIC-N-LC04 *Übertragungsdistanzen werden nur als Richtwert genannt; nutzen Sie die optischen Spezifikationen und die spezifischen Characteristiken ihrer Fiber-Installation, um die erreichbaren Distanzen festzulegen Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 294 Bestellinformationen Part Nummer Beschreibung 10GB-ER-SFPP 10Gb, 10GBASE-ER, IEEE 802.3 SM, 1550 nm Long Wave Length, 40 km, LC SFP+ 10GB-LR-SFPP 10Gb, 10GBASE-LR, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC SFP+ 10GB-LRM-SFPP 10Gb, 10GBASE-LRM, IEEE 802. 3 MM, 1310 nm Short Wave Length, 220 m, LC SFP+ 10GB-SR-SFPP 10Gb, 10GBASE-SR, IEEE 802. 3 MM, 850 nm Short Wave Length, 33/82 m, LC SFP+ 10GBASE-ZR-XFP 10Gb, 10GBASE-ZR, SM, 1550 nm Long Wave Length, 80 km, LC XFP 10GBASE-ER-XFP 10Gb, 10GBASE-ER, IEEE 802.3 SM, 1550 nm Long Wave Length, 40 km, LC XFP 10GBASE-LR-XFP 10Gb, 10GBASE-LR, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC XFP 10GBASE-LRM-XFP 10Gb, 10GBASE-LRM, IEEE 802. 3 MM, 1310 nm Long Wave Length, 220 m, LC XFP 10GBASE-SR-XFP 10Gb, 10GBASE-SR, IEEE 802. 3 MM, 850 nm Short Wave Length, 33/82 m, LC XFP 10GBASE-CX4-XFP 10Gb, 10GBASE-CX 4, IEEE 802.3 TwinAxial, Copper SFF-8470, 15 m, LC XFP 10GB-C10-SFPP 10Gb, pluggable copper cable assembly with integrated SFP+ transceivers, 10 meters 10GB-C03-SFPP 10Gb, pluggable copper cable assembly with integrated SFP+ transceivers, 3 meters 10GB-C01-SFPP 10Gb, pluggable copper cable assembly with integrated SFP+ transceivers, 1 meter CX4-CBL-15 CX4 cable, 15 meters CX4-CBL-05 CX4 cable, 5 meters CX4-CBL-02 CX4 cable, 2 meters 10GB-LW-SFPP 10Gb, Laserwire SFP+ adapter for use with Laserwire cable assembly 10GB-LW-XFP 10Gb, Laserwire XFP adapter for use with Laserwire cable assembly 10GB-LW-20 10Gb, Laserwire cable assembly, (requires Laserwire SFP+ or XFP adapters), 20 meters 10GB-LW-10 10Gb, Laserwire cable assembly, (requires Laserwire SFP+ or XFP adapters), 10 meters 10GB-LW-05 10Gb, Laserwire cable assembly, (requires Laserwire SFP+ or XFP adapters), 5 meters 10GB-LW-03 10Gb, Laserwire cable assembly, (requires Laserwire SFP+ or XFP adapters), 3 meters MGBIC-LC07 1Gb, IEEE 802.3 SM, 1550 nm, 110 km, LC SFP MGBIC-08 1Gb, 1000BASE-LX/LH, IEEE 802. 3 SM, 1550 nm Long Wave Length, 80 km, LC SFP MGBIC-LC09 1Gb, 1000BASE-LX, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC SFP MGBIC-LC03 1Gb, 1000BASE-LX, MM, 1310 nm Long Wave Length, 2 km, LC SFP MGBIC-BX10-D 1Gb, 1000BASE-BX10-D Single Fiber SM, Bidirectional, 1490nm Tx/ 1310nm Rx, 10 km, Simplex LC SFP (must be paired with MGBIC-BX10-U) MGBIC-BX10-U 1Gb, 1000BASE-BX10-U Single Fiber SM, Bidirectional, 1310nm Tx/ 1490nm Rx, 10 km, Simplex LC SFP (must be paired with MGBIC-BX10-D) MGBIC-LC01 1Gb, 1000BASE-SX, IEEE 802.3 MM, 850 nm Short Wave Length, 220/550 m, LC SFP MGBIC-MT01 1Gb, 1000BASE-SX, IEEE 802.3 MM, 850nm Short Wave Length, 220/550 m, MTRJ SFP MGBIC-02 1Gb, 1000BASE-T, IEEE 802.3 Ca t5, Copper Twisted Pair, 100 m, RJ45 SFP I-MGBIC-GZX I-Series only, -40°C to +60°C, 1Gb, 1000BASE-LX/LH, IEEE 802.3 SM, 1550 nm Long Wave Length, 80 km, LC SFP I-MGBIC-GLX I-Series only, -40°C to +60°C, 1Gb, 1000BASE-LX, MM – 550 m, SM – 10 km, 1310 nm Long Wave Length, LC SFP I-MGBIC-GSX I-Series only, -40°C to +60°C, 1Gb, 1000BASE-SX, IEEE 802.3 MM, 850 nm Short Wave Length, 220/550 m, LC SFP I-MGBIC-GTX I-Series only, -40°C to +60°C, 1Gb, 1000BASE-T, IEEE 802. 3 Cat5, Copper Twisted Pair, 100 m, RJ45 SFP MGBIC-LC05 100Mb, 100BASE-LX10, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC SFP MGBIC-LC04 100Mb, 100BASE-FX, IEEE 802.3 MM, 1310 nm Long Wave Length, 2 km, LC SFP Enterasys Networks— Networks— Solution Guide 2012 295 Produktportfolio X-Pedition Security Router Die VPN Technologie verbindet die Vorteile des Internets (IP-basierte, einfache Technologie – "überall" Zugriff möglich) und der modernen Kryptographie zu einer völlig neuen Betrachtungsweise des Zugriffs auf Unternehmensnetze. Anwendungsbereiche des XSR Enterasys Networks stellt mit den X-Pedition Security Routern eine ganze Palette von Lösungen für die sichere Anbindung von Mitarbeitern und Außenstellen bereit. Mehr Informationen unter: http://www.enterasys.com/products/security-enabledinfrastructure/xsr-series.aspx XSRXSR-1805, 1850 Der XSR-1805 ist das Einstiegsprodukt der Enterasys Familie von Sicherheitsroutern für Zweigstellen. Er bietet leistungsfähige IP-Routing Fähigkeiten in Kombination mit fortschrittlichen Sicherheitsmerkmalen wie Gateway-to-Gateway und Client-toGateway Virtual Private Networking. Der rack-mountable XSR-1850 ist das richtige Produkt für Zweigstellen mit geschäftskritischen Applikationen, die 24 Stunden am Tag, 7 Tage in der Woche verfügbar sein müssen. Er bietet über 200 parallel laufende IPSec/3DES VPN Tunnels und zusätzlich eine optionale Stromversorgung und redundante Lüfter. Der XSR-1805 ist die kleinere Variante, von Haus aus mit weniger Speicher ausgestattet, aber bis zur Kapazität des XSR-1850 aufrüstbar. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 296 XSRXSR-1805 XSRXSR-1850 Optionen XSRXSR-18051805-RKMT Rackmount kit for XSR-1805 XSRXSR-18XX18XX-VPN VPN code upgrade for XSR-1800 series XSRXSR-18XX18XX-FW Firewall code upgrade for XSR-1800 series XSRXSR-18XX18XX-VPNVPN-FW VPN & Firewall code upgrade for XSR-1800 series XSRXSR- RPC XSR 1850 series Redundant power center, chassis and 1 pwr supply. Compatible w/XSR-1850 rev level OL or higher. European ESD restrictions to some older hardware revisions XSRXSR- RPOWERRPOWER-1850 Redundent Power supply for XSR1850,up to 4 mount in XSR-RPC XSR--128MB 128MB--MEM XSR 128 Mb Memory upgrade for XSR-1850 XSRXSR-3020, 3150, 3250 Die Security Router der XSR 3000 Serie ermöglichen ein einfaches und leistungsfähiges Betreiben von WANs durch die Kombination umfangreicher IPRouting Merkmale, eine breit gefächerte Auswahl an WAN-Schnittstellen, vielfältige Sicherheitsfunktionalitäten wie Gateway-to-Gateway/Client-to-Gateway VPN und Policy Managed Stateful Inspection Firewalling. Im Gegensatz zu anderen WANGeräten bieten die XSR-Router hoch entwickelte Sicherheitslösungen und sind in der Lage selbst dann Wirespeed-Leistung zu liefern, wenn alle Funktionalitäten aktiviert sind. Außerdem haben sie im Gegensatz zu typischen SicherheitsAppliances die Möglichkeit zum umfangreichen IP-Routing und eine Vielzahl verfügbarer WAN-Schnittstellen. Enterasys Networks— Networks— Solution Guide 2012 297 Produktportfolio XSRXSR-3150 XSRXSR-3250 Optionen XSRXSR-30203020-FW Firewall feature set for XSR-3020 XSRXSR-30203020-VPN VPN feature set for XSR-3020 XSRXSR-30203020-VPNVPN-FW Firewall & VPN feature set bundle for XSR-3020 XSRXSR-3XXX3XXX-FW Firewall feature set for XSR-3150, XSR-3250 XSRXSR-3XXX3XXX- VPN VPN feature set for XSR-3150, XSR-3250 XSRXSR-3XXX3XXX- VPNVPN-FW Firewall & VPN feature set bundle for XSR-3150, XSR-3250 XSRXSR-512MB512MB-MEM Upgrade to 512MB DRAM for the XSR-3150 and XSR-3250. Kit contains two 128MB memory cards (available with XSR Release 6.0) XSRXSR-NCCNCC-250250-4XX Spare NIM Carrier Card for XSR-3250 Kapazitäten XSR 1805 XSR 1850 XSR 3020 XSR 3150 XSR 3250 NIM Slots 2 2 2 2 6 Fixed 10/100/1000 LAN Ports - - 3 3 3 Fixed 10/100 LAN Ports 2 2 - - - Mini-GBIC Mini-GBIC Mini-GBIC Optional Gigabit Ethernet * IPIP-Routing Performance 50k PPS 60k PPS 250k PPS 525k PPS 600k PPS VPN Tunnels 50 200 1000 3,000 (upgradeable) 3,000 (upgradeable) VPN Throughput 100Mbps 100 Mbps 100 Mbps 350 Mbps 350 Mbps Firewalling Throughput 180Mbps 200 Mbps 1.1Gbps 2Gbps 2+Gbps Simultaneous Firewall Sessions 12,500 80,000 150,000 400,000 450,000 Redundant Power Supplies No Optional No Standard Standard * Use of optional Mini-GBIC disables use of 1 fixed LAN port. Enterasys Networks— Networks— Solution Guide 2012 Produktportfolio 298 Spezifikationen • XSRXSR-1805 Abmaße 35.6 cm (14") L x 25.4 cm (10") W x 6.4 cm (2.5") H Gewicht 3.18 kg (7 lbs) • XSRXSR-1850 Abmaße 25.4 cm (10") L x 43.1 cm (17') W x 5.0 cm (2") H Gewicht 4.08 kg (9 lbs) • XSRXSR-3020 Abmaße 53.3 cm (21") L x 42.9 cm (16.9") W x 4.2 cm (1.6") H Gewicht: 7.72 kg (17 lbs) • XSRXSR-3150 Abmaße 53.3 cm (21") L x 42.9 cm (16.9") W x 4.2 cm (1.6") H Gewicht: 9.09 kg (20 lbs) • XSRXSR-3250 Abmaße 53.34 cm (21") L x 43.22 cm (16.9") W x 6.4 cm (2.5") H Gewicht: 13.154 kg (29 lbs) XSR--1805, 1850, 3020, 3150, 3250 XSR • Betriebstemperatur 0° C bis 40° C (32° F bis 104 ° F) • Temperaturgrenzwerte -40° C bis 70° C (-40° F bis 158° F) • Zulässige Feuchtigkeit 5% bis 90% (non-condensing) • Energieverbrauch (bei 100 bis -240~ Volts) 25W Weitere Informationen finden Sie unter: http://www.enterasys.com/products/ security-enabled-infrastructure/xsr-series.aspx Enterasys Networks— Networks— Solution Guide 2012 299 Produktportfolio XSR Network Interface Module Für die X-Pedition Security Router Serie sind eine Vielzahl von Network Interface Modulen für alle wichtigen Technologien im WAN Bereich verfügbar. NIMNIM-BRIBRI-STST-01 1 port ISDN BRI with S/T interface NIMNIM-BRIBRI-STST-02 2 port ISDN BRI with S/T interface NIMNIM-ADSLADSL-ACAC-01 1 port ADSL NIM (Annex AC – POTS) NIMNIM-ADSLADSL-B-01 1 port ADSL NIM (Annex B – ISDN) NIMNIM-CT1E1/PRICT1E1/PRI-1 1 port chan T1/E1 ISDN PRI with CSU/DSU NIM-- CT1E1/PRINIM CT1E1/PRI-2 2 port chan T1/E1 ISDN PRI with CSU/DSU NIMNIM- CT1E1/PRICT1E1/PRI-4 4 port chan T1/E1 ISDN PRI with CSU/DSU NIMNIM-DIRELAYDIRELAY-02 2-port T1/E1 Drop and Insert Card NIMNIM-E1E1-COAXCOAX-BLN G.703 Balun with 120-ohm UTP (RJ-45F) to 75W dual-BNC cables NIMNIM-SERSER-02 2 port High speed serial NIM NIMNIM-SERSER-04 4 port High speed serial NIM NIMNIM-T1/E1T1/E1-01 1 port fractional T1/E1 DSU/CSU NIM NIMNIM-T1/E1T1/E1-02 2 port fractional T1/E1 DSU/CSU NIM NIMNIM-T1/E1T1/E1-04 4 port fractional T1/E1 DSU/CSU NIM NIMNIM-T3/E3T3/E3-01 1 port fractional T3/E3 DSU/CSU NIM NIMNIM-ETHRETHR-01 One port 10/100 Copper ethernet NIM NIMNIM-FIBRFIBR-01 One port 100Base-Fx MMF NIM NIM--232 232--CAB CAB--04 NIM 4 port RS232/EIA530 DTE serial cable for NIM-SER-xx NIMNIM-DBU1DBU1-CABCAB-04 4 port combination V.35/RS232 DTE serial cable for NIM-SER-xx NIMNIM-V35V35-CABCAB-04 4 port V.35 DTE serial cable for NIM-SER-xx NIMNIM-X21X21-CABCAB-04 4 port X.21 DTE serial cable for NIM-SER-xx Enterasys Networks— Networks— Solution Guide 2012 Dienstleistungen 300 Dienstleistungen Unternehmensweite Netze bilden das Nervensystem für eine effektive und effiziente Kommunikations- und Informationsbasis. Themen wie Service und Support, sowie Training der Mitarbeiter werden immer mehr zur Voraussetzung werden, um die Flexibilität zu gewährleisten, die ein sich immer schneller veränderndes Anforderungsprofil von Unternehmen fordert. Ein Netzwerk kann wachsenden Anforderungen an Funktionalität gerecht werden, wenn zum Einen die Produkte, sprich die Hard- und Software, und zum Anderen Service und Support, Training und Professional Service Leistungen konzeptionell aufeinander abgestimmt sind. Die Verfügbarkeit des Netzwerks erhält ihre ständig wachsende Bedeutung für das gesamte Unternehmen, indem immer mehr Funktionalität in das Netzwerk verlagert wird, z.B. in Form von kritischen Daten, organisations- oder kommunikationsrelevanten Anwendungen. Sämtliche Aktivitäten laufen darauf hinaus, eine optimale Verfügbarkeit des Netzwerkes sicherzustellen. Maßnahmen wie Service und Support sowie Training spielen hierbei eine absolute Schlüsselrolle. Um den vielfältigen Anforderungen innerhalb eines Unternehmens gerecht werden zu können, sollten Wartungskonzepte Berücksichtigung finden, die Ihre Bedürfnisse abdecken. Bestimmte Grundbausteine, wie z.B. Telephon-Support, FirmwareUpgrades oder ein Vorabaustausch sollten auf die gesamte Netzwerk- und SecurityInfrastruktur abgestimmt werden, um sicherzustellen, dass die Funktionsbereitschaft im Falle von Beeinträchtigungen in kürzester Zeit wiederher-gestellt werden kann. Enterasys SupportNet: Wartungslösungen Ihr Netzwerk läuft 24x7 und obwohl Sie Support Mitarbeiter zu dessen Unterstützung haben, an wen wendet sich Ihr Team, wenn technische Fragen auftreten? SupportNet ist für Kunden designed, die ihre Netzwerkressourcen durch technisches Produktwissen, welches nur vom Hersteller bereitgestellt werden kann, ergänzen möchten, Mit Support Leveln, die von 24x7 Telefon-Support bis zu einem 2 Stunden vor Ort Support reichen, erlaubt SupportNet es Ihnen auf unsere Experten zu zugreifen, um eingehende Troubleshooting Informationen und Antworten auf Ihre technischen Fragen zu erhalten–durch einen kostenfreien Anruf oder den Besuch unseres Online WEB-Support Portals . Erweitern Sie Ihren Gewährleistungs-Support mit einer ausgezeichneten Support Möglichkeit von Enterasys Networks. Enterasys Networks— Networks— Solution Guide 2012 301 Dienstleistungen SupportNet Features Leistungsumfang • 24x7 Telefon Support: Unbegrenzter und kostenfreier Zugang zu unserem 100%internen Support Center zu jeder Tageszeit • Firmware Updates und Upgrades: Erhalten Sie online Zugang zu wertvollen Firmware Updates und Upgrades, welche von unserer Webseite geladen werden können. • Software und Secure Network Appliance Support (SNA): Zugang zu neuen Rel eases garanti eren, dass Ihre Applikati onssoftware und Sicherheitsapplikationen aktualisiert und auf Hochleistung arbeiten. • Web Support: Nutzen Sie die Vorteile des 24x7 Web Support, um allgemeine Fragen und technische Dokumentationen mit Hilfe unserer Knowledgebase zu klären. • Ersatzteile: Sie können einen Vorabaustausch defekter Produkte aus einem unserermglobal verteilten Lager gemäß der von Ihnen gewählten Zeiten bekommen: nächster Werktag, gleicher Werktag, 2 Stunden oder 4 Stunden Lieferoptionen, auch als 7x24 Stunden Service Level . • Techniker Vor Ort: Ein Enterasys zertifizierter Techniker wird Ihnen wenn nötig helfen die Netzwerkfehler zu diagnostizieren, die Logistik vor Ort zu managen und bei technischen Eskalationen die Verbindung zu Produkt-Ingenieuren herstellen. Dieser Service ist basierend auf folgenden Service Leveln verfügbar: nächster Werktag, gleicher Werktag, 2 Stunden oder 4 Stunden rund um die Uhr. Vorteile von SupportNet Unsere Kompetenz • 94% aller Anfragen werden von unserem Support Team beim ersten Kontakt gelöst • 97% Kundenzufriedenheit • 100% Internes Service Center Verbesserte Netzwerkverfügbarkeit & Produktivität • SupportNet kann Ihnen helfen, die Auswirkungen eines ungeplanten Ausfalls zu minimieren und die Mitarbeiterproduktivität zu erhöhen. Enterasys Networks— Networks— Solution Guide 2012 Dienstleistungen 302 Verringerte Betriebskosten • Es ist wahrscheinlich, dass die Betriebskosten Ihrer Technikumgebung während des Lebenszyklus der Produkte den Einkaufspreis übersteigen. SupportNet kann helfen die Betriebskosten zu minimieren und eine lange Lebensdauer des Netzes zu gewährleisten. SupportNet Service Level SupportNet Service Levels Software Applikation Support NBD Teile Austausch Gute Option SBD Teile Austausch 4 Stunden Teile Austausch NBD vor Ort Antwort Beste Option SBD vor Ort Antwort Telefon Support 24x7 24x7 24x7 24x7 24x7 24x7 24x7 Software Releases Inklusive Nur SNA** Nur SNA** Nur SNA** Nur SNA** Nur SNA** Nur SNA** Web Support Inklusive Inklusive Inklusive Inklusive Inklusive Inklusive Inklusive Firmware Upgrades N/A Inklusive Inklusive Inklusive Inklusive Inklusive Inklusive Hardware Austausch N/A 8x5 mit 4 Stunden Lieferung 24x7 mit 4 Stunden Lieferung Lieferung am nächsten Werktag 8x5 mit 4 Stunden Lieferung 24x7 mit 4 Stunden Lieferung Vor Ort Arbeit N/A Lieferung am nächsten Werktag Nicht inklusive Nicht inklusive Nicht inklusive Lieferung am nächsten Werktag 8x5 mit 4 Stunden Lieferung 24x7 mit 4 Stunden Lieferung 4 Stunden vor Ort Antwort *Service Level variieren je nach Lokation. Mehr Information unter www.enterasys.com/support **SupportNet Services für Secure Network Appliance (SNA) beinhaltet ein Abo für Software Releases und Signatur Dateien Updates. (NBD= Next Business Day/nächster Werktag; SBD= Same Business Day/gleicher Werktag) Warum SupportNet? Enterasys versteht, dass anspruchsvoller Service und Support eine kritische Komponente Ihrer gesamten Netzwerk Verfügbarkeit ist. Deshalb komplettiert unser SupportNet Portfolio – eine Zusammenstellung aus innovativen und flexiblen Service- und Support-Angeboten – Ihre Lösung. SupportNet Kunden profitieren von einer 94% Lösungsrate durch den ersten Kontakt mit unserem 100% internen Support Center Team. Die Techniker haben im Durchschnitt über 12 Jahre technische Erfahrung mit Enterasys. Zusätzlich haben SupportNet Kunden eine Zufriedenheitsrate von ca. 97% . Enterasys SupportNet bietet alle Support Services nach der Implementation, die Sie benötigen – online, vor Ort oder per Telefon – um hoch verfügbare Netzwerke und Services zu erhalten. Enterasys Networks— Networks— Solution Guide 2012 303 Dienstleistungen SchulungsSchulungs- und Zertifizierungskonzept Umfassende technische Trainingsprogramme sind als Voraussetzung anzusehen, um die Flexibilität zu gewährleisten, die ein sich immer schneller veränderndes Anforderungsprofil von Unternehmen fordert. Um sowohl alle anfallenden Dienstleistungen wie Planung, Installation, Konfiguration als auch die Supportleistungen im vollen Umfang erbringen zu können, ist es zwingend erforderlich, dass das IT Personal entsprechende Trainings- bzw. Zertifizierungsmaßnahmen durchläuft. Enterasys hat sein Trainingsprogramm auf praktische Lernziele abgestimmt, welche relevant sind, um mit Technologien oder Infrastruktur-Design-Zielen wie z. B. Sicherheits- und Policy-Management vollstens vertraut zu sein. Zertifizierungsprogramm Das Zertifizierungsprogramm basiert auf einem mehrstufigen Konzept, welches nach erfolgreichem Abschluss der entsprechenden technischen Zertifizierungstrainings zur Qualifikation zum Enterasys Certified Specialist – ECS Enterasys Certified Expert – ECE Enterasys Certified Architect – ECA führt. Die Zertifizierung zum Enterasys Certified Architect entspricht dabei der höchsten Zertifizierungsstufe. Enterasys Networks— Networks— Solution Guide 2012 Dienstleistungen 304 Specialist – Nach dem Trainingsbesuch und dem erfolgreichen Abschluss der Prüfung kann ein Schulungsteilnehmer den Zertifizierungstitel zum Specialist (Enterasys Certified Specialist – ECS) in einem oder auch mehreren der folgenden Technologiebereiche erlangen. Dabei handelt es sich um die folgenden in sich abgeschlossenen Themen: • Switching Management • Routing • Wireless • NMS Wireless Advanced Services • Policy • SIEM • Advanced SIEM • NAC • IPS Expert – Schulungsteilnehmer können den Zertifizierungstitel Expert (Enterasys Certified Expert – ECE) in den folgenden Technologiegebieten erreichen: • Networking • Wireless Technologies • Network Security • Security Information Management Enterasys Networks— Networks— Solution Guide 2012 305 Dienstleistungen Architect – Die höchste Zertifizierungsstufe zum Architect (Enterasys Certified Architect – ECA) kann in den Bereichen Networking oder Security erreicht werden. Enterasys Networks— Networks— Solution Guide 2012 Dienstleistungen 306 Zertifizierungen Enterasys bietet einen modularen Ansatz für technische Zertifizierungstrainings an. Die einzelnen Kurse sind praxis-, „Hands On“-orientiert, um mit den Lösungen von Enterasys im Detail vertraut zu werden; diese planen, supporten und optimieren zu können und somit die Verfügbarkeit sowie die Flexibilität von Systemen und Lösungen zu gewährleisten und dadurch reibungslose Geschäftsabläufe sicher zu stellen. Die entsprechenden Zertifizierungsprüfungen erfolgen im Allgemeinen unmittelbar am Ende des jeweiligen Kurses, wobei die Prüfungsgebühr bereits in der Kursgebühr enthalten ist. Nachprüfungen werden gesondert berechnet. Alle abgelegten und bestandenen Zertifizierungen sind für zwei Jahre gültig. Schulungslokationen Enterasys bietet Zertifizierungsschulungen in einer Vielzahl von Lokationen auf der ganzen Welt an. Deutschsprachige Schulungen werden im Schulungszentrum in Frankfurt am Main , Berlin, München oder auch Leipzig durchgeführt. Dadurch wird eine kostengünstige und flexible Möglichkeit geboten, sich das erforderliche Wissen anzueignen sowie die Zertifizierung für die unterschiedlichen Technologien und Lösungen abzulegen und zu erhalten. Die Übersicht über alle Kurse weltweit finden Sie aus unserer Trainings-Webseite. Dort finden Sie auch stets den aktuellsten Trainingsplan: http://www.enterasys.com/services-training/ClassSchedule.aspx OnOn-Site Trainings Zertifizierungstrainings können auch am Kundenstandort durchgeführt werden. Unsere erfahrenen Trainer führen Schulungen auch außerhalb der Enterasys Lokationen mit entsprechendem Equipment und Schulungsmaterial durch. Wenn sechs oder mehr Teilnehmer an einem Standort ausgebildet werden sollen, kann dies eine Alternative sein. Selbstverständlich können auch Customized Trainings, abgestimmt auf individuelle Inhalte und entsprechende Trainingsdauer durchgeführt werden. Fragen hierzu beantworten Jan Heinbokel ([email protected]) oder Kinga Dobroszek ([email protected]). Enterasys Networks— Networks— Solution Guide 2012 307 Dienstleistungen Enterasys ServiceService-Units Um maximale Flexibilität zu erzielen, bietet Enterasys Service Einheiten „Units“ zu Erwerb an, die jederzeit innerhalb eines Jahres für Professional Services Leistungen oder Trainings eingelöst werden können. Enterasys entwickelt einzigartige Secure Networks™ Lösungen, die die Integrität, Leistungen und Sicherheit für Ihre Netzwerkinfrastruktur und die entsprechenden Ressourcen und Anwendungen liefern. Enterasys Professional Services Leistungen unterstützen erheblich bei der Umsetzung der Secure Networks™ Lösung und beschleunigen somit das Return of Investment. Enterasys Services Units vereinfachen es, Zugriff auf Professional Services Einsätze zu erwerben und zu reservieren und bieten gleichzeitig die Möglichkeit, diese Ressourcen zu einem gewünschten Zeitpunkt zu nutzen. Durch den Kauf von Enterasys Service Units erhalten Sie Zugriff auf unser Gesamtportfolio von Professional Services Angeboten. Weitere Informationen zu den Enterasys Service Units erhalten Sie unter: http://www.enterasys.com/services-training/enterasys service units.pdf Enterasys Networks— Networks— Solution Guide 2012 Literaturhinweise 308 Literaturhinweise • www.enterasys.com Unsere Homepage in Englisch • www.extranet.enterasys.com Unser Portal für Enterasys Partner und zentrale Dienste wie Lizenzverwaltung • www.enterasys.com/products/ Unsere Produktlinien • www.extranet.enterasys.com Unsere Handbücher für die verschiedenen Produkte • www.extranet.enterasys.com Unsere Downloadlibrary, unter der Sie Firmware & Release Notes finden • www.10gea.com/ 10 Gigabit Ethernet Alliance • www.wi-fi.com Wireless Fidelity • grouper.ieee.org/groups/ IEEE Standards Working Groups • www.faqs.org Internet FAQ Archives Social Media iTUNES APP: My Enterasys für iPhone und iPad TWITTER ACCOUNT: Enterasys FACEBOOK ACCOUNT: Enterasys Networks ENTERASYS BLOG: blogs.enterasys.com Enterasys Networks— Networks— Solution Guide 2012 309 Literaturhinweise Downloads - DMS • www.extranet.enterasys.com Firmware, Software, Release Notes • www.enterasys.com/products/visibility-control/index.aspx Enterasys Network Management Suite • www.extranet.enterasys.com Hardware & Software Manuals • www.dragon.enterasys.com/ SIEM und IDP downloads+manuals INFO: Für das DMS (Download Management System) benötigt man ein Extranet Account Enterasys Knowledgebase Dies ist ein wertvolles Werkzeug, welches Zugriff auf häufig gestellte Fragen (FAQ), Anleitungen, Release Notes und weitere Artikel mit Know-How Ratschlägen, Beispielkonfigurationen, Problemlösungen und hilfreichem Material bietet.Für eine Übsicht zum Thema “Best Practice for Enterasys Knowledgebase Searches”, sehen Sie bitte auf folgender URL nach: https://knowledgebase-enterasys.talismaonline.com/ article.aspx?article=10104&p=1. Ansonsten ist die Knowledgebase erreichbar über: https://knowledgebaseenterasys.talismaonline.com/ Enterasys Networks— Networks— Solution Guide 2012 Literaturhinweise 310 Enterasys GTAC Support in Deutsch Montag - Freitag von 9:00 - 18:00 Uhr (MET) Support in Englisch Montag - Sonntag ganztägig Hotline Nummer für: Deutschland: 0800 / 1014-164 Österreich: 0800 / 2927-74 Schweiz: 0800 / 5620-89 per Email: [email protected] Einen Online RMA Antrag finden Sie unter: www.enterasys.com/support/rma.aspx Das Online Case Management finden Sie unter: www.extranet.enterasys.com Enterasys Networks— Networks— Solution Guide 2012 311 Impressum Impressum Herausgeber Enterasys Networks Germany GmbH Solmsstr. 83 60486 Frankfurt am Main Tel: +49 (0)69/47860-0 Fax: +49 (0)69/47860-109 Überarbeitung Christopher Bullock Christopher Feussner Jan Heinbokel Sarah König Daniel König-Schieber Jochen Müdsam Markus Nispel Kurt Semba Bastian Sprotte Enterasys Networks— Networks— Solution Guide 2012