SG 2012_deutsch_Inhaltverzeichnis

Transcription

Solution Guide 2012
Inhaltsverzeichnis
Inhaltverzeichnis
Vorwort
1
Hinweis für alle Leser
2
Wir über uns
3
Kurzprofil
3
Innovative Technologie
4
Secure Networks™
4
Was die Analysten sagen
5
Weitere Informationen
6
Secure Networks™
7
Access Control
8
Authentisierung als Maßnahme zum Schutz des Netzwerks
9
Authentisierungsmethoden—Der technische Ansatz
10
Policy Enforcement
16
RFC 3580—Der kleinste gemeinsame Nenner?
16
Policy—Regeln am Rand der Zivilisation
17
Mulit-User Authentication and Policy (MUA+P)
20
Sichere Gastfreundschaft mit Default Policies
21
RFC 3580 und Distribution Layer Security
22
Port Protection
24
Policy Enforcement in der Praxis
25
Detect and Locate
27
Angriffe
27
IDS Erkennungstechnologien
32
Hostbasierte Erkennung versus netzwerkbasierter Erkennung
34
Host Intrusion Detection/Prevention (HIDS/HIPS)
35
Enterasys Networks—
Networks— Solution Guide 2012
Inhaltsverzeichnis
Network IDS/IPS
38
IDS versus IPS versus DIPS
38
System Information and Event Management
40
Respond and Remediate
47
Assisted Remediation mit ToS-Rewrite
48
Proactive Prevention / NAC
49
Definition von NAC
49
Der Prozess NAC
50
Lösungsansätze
50
Enterasys NAC
54
Standardbasierte Convergence und Availability
66
Quality of Service im Netzwerk
66
Wireless LAN
76
Power over Ethernet
91
Standard Based Availability
93
Redundanz
93
IPv6
103
Simple Network Management Protocol
108
Multi Protocol Label Switching (MPLS)
109
Software Defined Networking (SDN)
118
Enterasys OneFabric Data Center Lösung
127
Einleitung und Ausblick
127
Die Enterasys OneFabric Data Center Architektur—Komponenten
128
Zusammenfassung
141
Physikalische Designs im Data Center
142
2-Tier versus 3-Tier Design
142
End-of-Row versus Top-of-Rack
143
Inhaltsverzeichnis
Überbuchung im Design
145
Logische Designs im Data Center
147
Design der Server Edge/Access Switche
147
Design der Core Switche
149
Virtuelle Welten
150
Produktportfolio
156
OneFabric Security
157
Security Information & Event Management (SIEM)
158
Enterasys Intrusion Defense
165
Network Access Control
170
OneFabric Control Center
182
Enterasys NetSight Console
184
Enterasys Policy Manager
186
Enterasys Policy Control Console
187
Enterasys Automated Security Manager
187
Enterasys Inventory Manager
188
Enterasys OneView
189
Enterasys Wireless Manager
191
Wireless Advanced Services
192
Enterasys Data Center Manager
194
Enterasys OneFabric Control Center Lizenzierung
194
OneFabric Data Center / Edge
198
Enterasys A/B/C-Serie
199
Enterasys D-Serie
223
Enterasys G-Serie
227
Enterasys I-Serie
231
Enterasys K-Serie
236
Inhaltsverzeichnis
Enterasys S-Serie
249
Enterasys WLAN
265
Media Interface Converter
283
X-Pedition Security Router
295
Dienstleistungen
300
Enterasys SupportNet—
SupportNet— Wartungslösungen
300
SupportNet Features—Leistungsumfang
301
Vorteile von SupportNet
301
SupportNet Service Level
302
Warum SupportNet?
302
Schulungs–
Schulungs– und Zertifizierungskonzept
303
Zertifizierungsprogramm
303
Literaturhinweise
308
Social Media
308
Downloads—
Downloads—DMS
309
Enterasys Knowledgebase
309
Enterasys GTAC
310
Impressum
311
1
Vorwort
Vorwort
Sehr geehrte Leserin, sehr geehrter Leser,
2012 steht unter dem Motto „OneFabric“ und so ist es nicht verwunderlich, dass
auch der diesjährige Solution Guide unter diesem Gesichtspunkt neue Trends,
Technologien und Produkte präsentiert.
OneFabric ist die Vereinfachung des Netzwerkbetriebs aufgrund einer „Fabric,“
auf der alle Netzsegmente laufen.
OneFabric vereint diese Segmente und auch die Teams, die sie in Ihrem
Unternehmen bearbeiten. Physikalische und virtuelle Netzwerk-Teams rutschen
noch weiter zusammen und können noch nahtloser das komplette Netz sicher
und effizient managen.
Auch ersparen wir Ihnen Administratoren die Magengeschwüre und stellen Ihnen
unsere Lösung für Bring Your Own Device vor, die es Ihrem Unternehmen
erlaubt, sowohl den Trend mitzumachen und Ihre Mitarbeiter mobil mit ihren
privaten Geräten ins Netz zu lassen, als auch Ihre Unternehmensapplikationen
und –daten vor Angriffen zu schützen.
In altbekannter Manier wünschen wir Ihnen ein informatives Lesevergnügen!
Ihr Enterasys Team
2
Das Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter entwickelt,
deshalb kann es jederzeit zu Änderungen des bestehenden Lösungsportfolio
kommen.
Die aktuellsten Informationen finden Sie auf der Enterasys Networks Homepage
unter enterasys.com.
Wir freuen uns auf ein persönliches Gespräch mit Ihnen und stehen Ihnen in
unseren Niederlassungen jederzeit gerne zur Verfügung:
Frankfurt am Main
+49 (0)69 47860-0
Berlin
+49 (0)30 39979-5
Leipzig
+49 (0)341 52028-12
Zürich
+41 (0)44 308-3943
Einen vollständigen Überblick über alle Büros und Kontake weltweit finden Sie
unter: www.enterasys.com/corporate/locations/
Informationsstand: 28.03.2012
3
Wir über uns
Wir über uns
Kurzprofil
Enterasys Networks ist ein globaler Anbieter von Secure Networks™ für Unternehmenskunden. Die innovativen Netzwerkinfrastrukturlösungen von Enterasys
tragen den Anforderungen von Unternehmen nach Sicherheit, Leistungs– und
Anpassungsfähigkeit Rechnung. Darüber hinaus bietet Enterasys umfangreiche
Service & Support Leistungen an. Das Produktangebot reicht von Multilayer
Switchen, Routern, Wireless LANs und Virtual Private Networks über Netzwerk
Management Lösungen bis hin zu Intrusion Detection und Intrusion Prevention
Systemen.
Enterasys ist einer der Pioniere bei der Entwicklung von Netzwerklösungen und
besitzt mehr als 600 Patente. Alle Lösungen sind standardbasiert und haben ein
Ziel: Ihre Investitionen in entscheidende Geschäftsvorteile umzusetzen. Die
Enterasys Lösungen eignen sich für alle Netzwerke unabhängig von Hersteller und
Technologie.
Über 25 Jahre Erfahrung und mehr als 26.000 weltweite Kunden bilden das
Fundament für den gemeinsamen Erfolg. Die Philosophie von Enterasys richtet sich
nach dem Motto „There is nothing more important than our customers“, in dem
unsere Kunden im Mittelpunkt stehen.
Enterasys hat seinen Hauptsitz in Andover, USA, und betreut den globalen
Kundenstamm über Niederlassungen in mehr als 30 Ländern. Das Unternehmen
beschäftigt weltweit mehr als 700 Mitarbeiter.
Seit dem 1. Oktober 2008 ist Enterasys ein Unternehmen der Siemens Enterprise
Communications Gruppe unter Führung von The Gores Group.
Weitere Informationen zu Enterasys Secure Networks™ und den Produkten und
Leistungen finden Sie unter www.enterasys.com.
Wir über uns
4
Innovative Technologie
Unsere Netzwerkinfrastruktur- und –sicherheitslösungen bieten einzigartige
Automations-, Transparenz- und Kontrollfähigkeiten, um Ihre IT-Effizienz und Nutzerproduktivität zu verbessern.
Secure Networks™
Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und ein
Servicemodell: Benutzer, Systeme, Applikationen, Event Management,
automatisierte Kontrolle und die Möglichkeit aktiv auf Ereignisse antworten zu
können. Eine flexible Infrastruktur stellt einen authentifizierten Zugang an allen
Punkten zur Verfügung, an denen ein Zugriff auf Ressourcen erfolgt, und verringert
mit einer dynamischen Autorisierung die Angriffsfläche für Denial of Service
Attacken. Zusätzlich sichert eine flexible und zuverlässige Infrastruktur die
Verfügbarkeit von Applikationen und sichert für geschäftkritische Anwendungen die
entsprechenden Bandbreiten.
5
Wir über uns
Was die Analysten sagen...
„This vendor offers a full complement of products from the data center to the access
layer, including chassis and stackable components.“
„A tightly integrated security message and solution makes this vendor a good
candidate in its target markets where security is a priority buying point.“
„Customer feedback continues to highlight customer support and service as a
differentiator.“
Gartner
Magic Quadrant for Enterprise LAN (Global)
Document ID Number: G00166799
Wir über uns
6
Weitere Informationen
Unser Management Team
Chris Crowell
Enterasys President & CEO
Edward Semerjibashian
SVP & Managing Director CEE, ME & APAC
Pressekontakt
Markus Nispel
Chief Technology Strategist
Solmsstraße 83
60486 Frankfurt am Main
Telefon: +49 69 47860 0
Fax:
+49 69 47860 109
7
Secure Networks™
Secure Networks™
Secure Networks™ ist die Strategie, die Enterasys seit Jahren erfolgreich verfolgt.
Von Gartner oftmals als Technologieführer definiert, hat Enterasys mit der
Einführung von 802.1x ein neues Zeitalter für die Sicherheit in Netzwerken
eingeläutet
Enterasys bildet die fünf wesentlichen Punkte einer holististischen IT Infrastruktur
mit eigenen Produkten ab. So wird sichergestellt, dass lediglich authentifizierte User
Zugriff auf das Netzwerk erhalten. Das Sicherheitslevel und das Zugriffsniveau der
User wird dabei in Abhängigkeit zum Sicherheitslevel des benutzten Geräts gesetzt.
Angriffe, die von authentifizierten oder nicht authentifizierten Usern auf Ressourcen
im Netzwerk durchgeführt werden, können durch die verschiedenen
Angriffserkennungstechnologien erkannt, verifiziert und verhindert werden. Ferner
ist es möglich, nachdem der Angriff erfolgreich verhindert wurde, den Angreifer aus
dem Netzwerk zu verbannen oder ihm neue Zugriffsrechte zuzuweisen. Durch die
Abbildung verschiedenster Technologien wird ein Maximum an Sicherheit erreicht,
so dass auch Angriffe auf sehr komplexe und neuere Technologien (wie Voice over
IP) erkannt und verhindert werden können.
Secure Networks™
8
Im Folgenden sind einige der Kernziele der Secure Networks™ Strategie aufgeführt:
•
Präventive Angriffsverhinderung
•
Reaktion auf Angriffe auf User-Basis (nicht nur auf Gerätebasis)
•
Das Absichern von Netzwerken unterschiedlicher Hersteller
•
Bereitstellen von Compliance Hilfsmitteln
Die nachfolgenden Abschnitte zeigen die Grundzüge der fünf Säulen der Secure
Networks™ Strategie auf und erklären, welche Beiträge die verschiedenen
Komponenten aus diesen Bereichen zur Abbildung einer ganzheitlichen Security
Infrastruktur leisten.
Access Control
Secure Networks™ bietet mit seinem breiten Spektrum verschiedenster
Funktionalitäten technische Lösungselemente für all diese Fragen.
In der Praxis gilt es nun diese Elemente in ein durchgängiges Konzept zu integrieren
und Schritte für die Implementierung und den Betrieb festzulegen.
Die Frage nach der Realisierbarkeit der ermittelten Schutzmaßnahmen geht über
Features und Algorithmen weit hinaus. Nicht alles was technisch möglich ist, stellt
sich im Endeffekt auch als praktikabel heraus.
Sicherheit und freie Kommunikation stehen sich auf den ersten Blick diametral
gegenüber. Eine Sicherheits-Policy, welche dem Anwender unzumutbare Prozeduren
auferlegt (mehrfache Anmeldung, geringe Flexibilität), hemmt die Produktivität des
Unternehmens und wird sich kurzerhand selbst aushebeln.
Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompliziert und
stelle selbst eine Gefahr für den kontinuierlichen Betrieb einer IT Infrastruktur dar,
muss hierbei durch geeignete Ansätze begegnet werden.
Es hat sich gezeigt, dass sich der zusätzliche, administrative Aufwand einer
sicherheitsbasierten Netzwerklösung nur kompensieren lässt, wenn gleichzeitig
Werkzeuge zur Verfügung stehen, welche die Transparenz und ein möglichst einfach
zu handhabendes Management garantieren.
Im Gegensatz zur Administration einzelner Netzwerkkomponenten bieten
datenbankbasierte Management Systeme die notwendige Unterstützung, um auf
Basis von Templates und Policies eine flächendeckende Anpassung des Netzes an
sich ändernde Anforderungen rationell vorzunehmen.
9
Secure Networks™
Authentisierung als Maßnahme zum Schutz des Netzwerks
Das Netzwerk eines Unternehmens entwickelt sich zunehmend zu der universellen
Plattform für Kommunikation und Geschäftsprozesse und damit zum unternehmenskritischen Faktor.
Nach Aussage von Analysten ist durch die fortlaufende Einbindung von mobilen
Endgeräten, Spachdiensten, Facility Management sowie der steigenden Integration
industrieller Produktionsanlagen mit einer Verdopplung der Endgeräte zu rechnen.
Lediglich ein Teil dieser Endgeräteplattformen (PCs, Workstations und Notebooks)
lässt sich mit geeigneten Sicherheitsmechanismen, wie Personal Firewalls, Viren
Scannern und einem gehärteten Betriebssystem ausstatten.
Monolithische Komponenten, wie zum Beispiel IP Telefone, Webcams und
Industriesteuerungen, liegen ebenso außerhalb des administrativen Zugriffs wie die
Notebooks externer Mitarbeiter und Studenten.
Medizinische Komponenten, Analysegeräte und bildgebende Systeme (Röntgen und
MRT) unterliegen eigenen Sicherheitsrichtlinien. Die Modifikation des
Betriebssystems durch geeignete Sicherheitsupdates erfordert in der Regel eine
Neukalibrierung und Rezertifizierung des Systems und lässt sich somit in der Praxis
kaum zeitnah ausführen.
Eine solch heterogene Endgerätelandschaft stellt für den Betreiber eines
Unternehmensnetzwerks also einen Risikofaktor dar, welcher in zunehmendem
Maße außerhalb einer verlässlichen Kontrolle liegt.
Die Sicherheitsbetrachtung eines Netzwerks fokussierte bisher externe Verbindung,
wie WAN und Internet, als Hauptrisikofaktor. Das Absichern dieser Übergabepunkte
mittels Firewall, Virenschutz und Content Filtering gehört mittlerweile zum üblichen
Standard.
Von einem ganzheitlichen Ansatz ausgehend ist nun in Betracht zu ziehen, welche
Risiken interner Angriffe das Ökosystem Netzwerk ausgesetzt ist. Die Antwort liegt in
intelligenten Komponenten und Lösungen, welche das Netzwerk in seiner Rolle als
unternehmenskritischen Produktionsfaktor schützen.
Secure Networks™
10
Authentisierungsmethoden—
Authentisierungsmethoden—Der technische Ansatz
Access Control definiert sich in der Zugangskontrolle für Endgeräte zum Netzwerk.
Dabei können die Endgeräte unterschiedlicher Natur sein. Ein von einem Anwender
bedientes Endgerät bietet die Möglichkeit, unabhängig vom Betriebssystem des
Endgeräts, den Anwender interaktiv zu authentifizieren. Viele Switche und die
meisten Betriebssysteme für Personal Computer und Workstations unterstützen
heutzutage den Authentisierungsstandard IEEE 802.1x.
Der ganzheitliche Lösungsansatz erfordert jedoch die lückenlose Erkennung von
Endgeräten im Netz. Dies ist nur möglich, wenn alternative Authentisierungsmethoden auch zur Verfügung stehen. Dieser Ansatz soll hier detailliert beleuchtet
werden.
IEEE 802.1x im Detail
IEEE 802.1x liefert ein komplettes Authentication Framework, das portbasierende
Zugriffskontrolle ermöglicht.
Dieses Modell sieht dabei verschiedene Abstrahierungen vor:
•
Supplicant ist das Endgerät, welches einen Netzwerkzugang anfordert.
•
Authenticator ist das Gerät, welches den Supplicant authentifiziert und den
Netzwerkzugang sperrt oder frei gibt.
•
Authentication Server ist das Gerät, welches den Backend-AuthenticationDienst (zum Beispiel RADIUS) bereitstellt.
Dabei nutzt 802.1x bestehende Protokolle, wie EAP und RADUIS, die empfohlen
aber nicht vorgeschrieben sind. Unterstützt wird 802.1x für Ethernet, Token Ring
und IEEE 802.11.
Eine Fülle von Authentifizierungsmechanismen, wie Zertifikate, Smart Cards, OneTime Passwörter oder biometrische Verfahren, sind ebenfalls vorgesehen. Die
Flexibilität wird durch die Nutzung des Extensible Authentication Protocol (EAP)
erreicht.
Primär getrieben durch die Anforderung Wireless LANs mit einem sicheren Zugangs–
und Verschlüsselungsmechanismus (802.11i und WiFi WPA) zu versehen, hat sich
802.1x im WLAN durchgesetzt; findet aber zusehends auch Beachtung innerhalb
herkömmlicher Ethernet Netzwerke.
11
Secure Networks™
Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für
RAS VPN (Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP
(IPSecurity, Layer 2 Tunneling Protocol) eine einheitliche Authentifizierung eines
Nutzers über LAN, WLAN und WAN Infrastrukturen.
In der Praxis ist es also möglich, das Modell der Network Access Control unter
Nutzung bestehender Authentisierungsinstanzen flächendeckend und
benutzerfreundlich zur Verfügung zu stellen.
Die eigentliche Authentisierung erfolgt durch die Weiterleitung der EAP Pakete
mittels EAP-RADIUS (RFC 2869) an einen RADIUS Server.
Dieser kann wiederum je nach Hersteller Schnittstellen zu Verzeichnisdiensten, wie
Active Directory ADS von Microsoft oder Novell‘s NDS über LDAP oder XML sowie
Plug-Ins für Secure ID Card Integration, haben.
Je nach Anforderung und Anwendung kann eine Vielzahl von EAP Protokollen zur
Anwendung kommen. Folgende Tabelle soll eine kurze Übersicht geben:
Secure Networks™
12
Client Server
Authentisierung
Dynamisches Key
Management
MD5
Klartextübertragung von User Daten; nur
selten genutzt
Nein
Nein
PEAP
Einbindung von MS-CHAPv2
Ja
Ja
EAP-TLS
Zertifikatsbasiertes Verfahren, benötigt PKI
Ja
Ja
EAP-TTLS
Aufbau eines verschlüsselten, authentisierten Ja
Tunnels zwischen Sender und Empfänger
Ja
Funktionsweise von MD5
Wegen der unsicheren Methode Authentifizierungsdaten unverschlüsselt zu
übertragen, wir die ursprüngliche Methode MD5 heute nur noch in Ausnahmefällen
genutzt.
Funktionsweise von PEAP
Hierbei handelt es sich um die gebräuchlichere Microsoft Variante, die im Grunde
die schon vorhandenen EAP-TTLS aufweist. Auch hier benötigt der Authentisierungsserver ein Zertifikat; auch hier wird zuerst die Verschlüsselung aufgebaut, bevor eine
Identifizierung mit User Name/Passwort stattfindet.
Funktionsweise von EAP
EAP--TLS
EAP-TLS wurde in RFC 2716 spezifiziert und bietet eine starke kryptografische
Authentisierung des Clients gegenüber dem Netzwerk. Das geschieht, indem beide
Seiten, also der Client und der Anmeldeserver, kryptografische Zertifikate vorzeigen,
um ihre Identität zu beglaubigen. Diese Methode erfordert die Bereitstellung einer
PKI (Public Key Infrastructure), welche mit dem Directory in Verbindung steht. Die
entsprechenden Zertifikate müssen auf dem Client verfügbar gemacht werden.
Gespeichert auf einer so genannten Smart Card stellen sie gemeinsam mit einer
mehrstelligen PIN-Nummer die optimale Sicherheitslösung dar.
Funktionsweise von EAP
EAP--TTLS
EAP-TLLS wurde unter anderem von den Firmen Funk Software und Certicom aus
TLS entwickelt. Die getunnelte Funktionsweise ist mit einem SSL-verschlüsselten
Webserver vergleichbar. Im Gegensatz zu EAP-TLS braucht nur der Anmeldeserver
ein eindeutiges, digitales Zertifikat, welches der Client beim Verbindungsaufbau
überprüft. Enterasys Networks—
13
Secure Networks™
Web Authentication
Endgeräte externer Mitarbeiter (Gäste, Service Personal, Studenten) entziehen sich
dem administrativen Eingriff des Administrators. In diesem Szenario ist es also nicht
praktikabel, die für die Authentisierung notwendige Konfiguration vorzunehmen.
MAC Authentication
Endgeräte ohne standardbasierte Authentisierungsfunktionen, wie Drucker, IP
Telefone und Industrieanlagen stellen eine weitere Herausforderung dar.
MAC adressbasierte Authentisierungsmethoden sowie die automatische
Endgeräteklassifizierung durch Protokolle, wie CEP und LLDP-MED sind
grundsätzlich als schwächere Sicherheitsbarriere anzusehen, da sie sich mit
verhältnismäßig einfachen Mitteln kompromittieren lassen.
Dieses Manko erfordert eine dediziertere Endgerätekontrolle, welche über eine
binäre Zugriffsentscheidung hinaus geht. Die im Weiteren erläuterte Kombination
von Authentisierung und Access Policies ermöglicht den Zugriff in eingeschränkter
Form.
Daraus resultiert, dass der Versuch sich zum Beispiel mittels einer MAC Adresse
eines Druckers Zugang auf das Netz zu verschaffen, lediglich die Kommunikation
mit dem zugewiesenen Printserver herstellt. Diese Einschränkung reduziert den
Erfolg eines solchen Angriffs auf ein Minimum.
Phone Detection (CEP)
Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das Netzwerk
angeschlossenes IP Telefon als Solches erkannt wird. Im Netzwerk werden dann
automatisch passende Parameter für Quality of Service gesetzt. Zum Beispiel kann
nach der Erkennung eines IP Telefons dessen Datenverkehr via 802.1p getagged
und damit höher priorisiert werden als anderer Datenverkehr.
Link Layer Discovery Protocol (LLDP, IEEE 802.1ab)
Der gegenseitige Austausch von Identität und Eigenschaften zwischen den
Netzwerkkomponenten optimiert deren Zusammenspiel und ermöglicht darüber
hinaus auch die Visualisierung von Layer 2 Verbindungen in grafischen Netzwerk
Management Tools.
Die verwendeten Discovery Protokolle (CDP, EDP) waren jedoch proprietärer Natur
und boten damit eine eingeschränkte Interoperabilität. Aus dieser Konzeption
Secure Networks™
14
ratifizierte die IEEE im Jahre 2005 unter der Bezeichnung 802.1ab das
herstellerunabhängige Link Layer Discovery Protokoll.
Eine durchgängige Unterstützung von LLDP durch die Netzwerkkomponenten
ermöglicht die Rekonstruktion der kompletten Layer 2 Netzwerktopologie sowie das
Erkennen neuer Netzwerkkomponenten.
Bei der Entwicklung von LLDP wurde auf eine einfache Erweiterbarkeit des
Standards Wert gelegt. Ein Beispiel hierfür ist das Link Layer Discovery ProtocolMedia Endpoint Discover—oder kurz LLDP-MED.
Mit LLDP-MED ist es möglich Netzwerkeinstellungen von Endgeräten, wie VLAN
Priorität oder Diffserv-Werte, automatisch zu erkennen. Dies erleichtet die
Integration besonderer Endgerätetypen, wie zum Beispiel IP Telefonen.
LLDP Informationen stellen darüber hinaus auch eine Entscheidungsgrundlage für
die automatische Zuordnung von Secure Networks™ Policies dar.
Multi User Authentication
Als Mitautor der IEEE Standards und somit Wegbereiter sicherer LANs, hat Enterasys
Networks schon frühzeitig damit begonnen auch bestehende Produkte nachträglich
mit den erforderlichen Funktionen zu versehen.
Diese Strategie reicht zurück bis zur zweiten Generation von Cabletron SmartSwitch
Komponenten aus dem Jahr 1998, welche über die notwendigen Authentisierungsmöglichkeiten verfügen.
In gewachsenen, heterogenen Netzwerken ist damit zu rechnen, dass nicht alle
Access Komponenten über Authentisierungs-Features verfügen. Die S-Serie löst
dieses Problem durch eine integrierte Multi User Authentication, welche es
ermöglicht auf den Uplinks Tausende User individuell zu authentisieren.
15
Secure Networks™
Bestehende Lösungen, aber auch neue Fiber-to-the-Office Konzepte, bei welchen
simple Kanal Switche im Access Bereich eingesetzt werden, lassen sich somit
flächendeckend realisieren.
Dabei ist zu berücksichtigen, dass die bei der 802.1x Anmeldung verwendeten
EAPoL Pakete von diesen „simplen“ Access Switchen weitergeleitet werden müssen.
Dies wird auch als EAP-Passthrough bezeichnet und ist bei allen Enterasys
SecureStacks verfügbar. Bei älteren Komponenten muss sichergestellt sein, dass
dies auch möglich ist; manchmal muss hierfür Spanning Tree ausgeschaltet oder
ähnliche Konfigurationsänderungen vorgenommen werden.
Multi Method Authentication
Mit der S-Serie ist Enterasys Networks nicht nur in der Lage mehrere User
gleichzeitig auf einem Port zu authentifizieren und jedem eine eigene Policy zu zu
weisen; es ist auch möglich, verschiedene Authentifizierungsmethoden gleichzeitig
auf dem Port zu betreiben.
Normalerweise geht man davon aus, dass jedes Gerät sich nur einmal
authentifiziert; also der User an seinem PC über 802.1x , der Gast mit seinem
Laptop über PWA, der Drucker basierend auf MAC Authentication.
Aber was passiert, wenn der PC auch über MAC Authentication authentifiziert ist und
sich die entsprechenden Profile auch noch widersprechen? Abgesehen davon, dass
dann das Security Design und die Policies überarbeitet werden sollten, hat
Enterasys dieses Problem im Griff.
Die Authentifizierung läuft über so genannte Authentication Sessions. Hat ein User
jetzt mehrere Authentication Sessions offen, so wird nur eine wirklich genutzt. Bis zu
drei Sessions gleichzeitig sind möglich, denn ein User kann über 802.1x, PWA oder
MAC Authentication angemeldet sein. Die Authentifizierungsmethoden werden nach
Prioritätsregeln angewandt. Die Default Prioritäten sehen folgendermaßen aus:
•
IEEE 802.1x
•
Port Web Authentication
•
MAC Authentication
•
CEP (Convergent Endpoint Detection)
Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x authentifiziert,
aber basierend auf seiner MAC Adresse lief auch MAC Authentication im
Hintergrund, da beide Methoden auf dem Port aktiviert sind. Da die 802.1x Session
höhere Priorität hat als die MAC Session, wird diese angewandt und die
entsprechende Rolle dem User zugewiesen.
Secure Networks™
16
MACSec IEEE 802.1ae
Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, dient in der 802Welt zur Sicherung der Integrität jedes übertragenen Datenpakets, zur Sicherung
der Authentizität und zur Abwehr von „Lauschangriffen“ auf die transportierten
Daten. Der Standard dient hierbei zur „Hop by Hop“ Verschlüsselung,
Authentifizierung und Integritätsprüfung. Er wird zwischen Endsystemen und dem
nächsten Switch beziehungsweise auch alternativ (aber wohl selten) zwischen
Switchen zum Einsatz kommen können. Das dazu notwendige Schlüssel
Management nach 802.1af ist jedoch noch im Draft (eine Erweiterung des 802.1x),
so dass hier noch etwas Geduld notwendig ist.
Die Hersteller von MAC Phy‘s versprechen sich natürlich hiervon mehr Geschäft, da
komplexe Chips inklusive Verschlüsselung teurer werden können. Jedoch geht man
davon aus, dass eine breite Anwendung erst stattfindet, wenn die Preise zu
bestehenden MAC Phy‘s vergleichbar sind.
Die potentiellen Anwendungsbereiche reichen von der sicheren Trennung von
Kunden in der gleichen Layer 2 Domain eines Service Providers (Ethernet First Mile,
etc.), über die Sicherung von MAN Netzen zwischen Unternehmungen, hin zu
erweiterten Sicherungen von heutigen 802.1x Unternehmensinstallationen mit
Verschlüsselung und Integritätswahrung vom Endgerät zum Switch (wie es heute
auch schon in der Wireless LAN 802.11 Welt vorhanden ist) und der Sicherheit,
dass man nur Verbindungen zu Geräten erstellt, die einem gewissen Trust Level
entsprechen.
Policy Enforcement
Die eindeutige Authentisierung eines Geräts/Benutzers stellt einen wichtigen Teil
der Access Control dar.
Auf dieser Basis müssen nun Regelwerke zugewiesen werden, welche den Zugang
mit allen Rechten und Zugängen kontrollieren, denn bereits die unterschiedlichen
Authentisierungsmöglichkeiten zeigen auf, welche differenzierte Vertrauensstellung
hier abzubilden ist.
RFC 3580—
3580—Der kleinste gemeinsame Nenner?
Die nähere Betrachtung zeigt, dass die verbreitete Methode aus dem
Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abzuleiten, zahlreiche
Unzulänglichkeiten birgt.
17
Secure Networks™
Allein die Notwendigkeit einen Campus mit weitverzweigten Layer 2 Segmenten zu
überziehen, widerspricht dem allgemeinen Trend hin zu gerouteten Segmenten.
Eine User Gruppen-/VLAN-Assoziierung generiert in der Praxis mindestens eine
umfangreiche Gruppe von Standard Usern, vor welchen zwar der Netzwerkkern
durch entsprechende Access Listen geschützt wird, die jedoch untereinander frei
und hemmungslos kommunizieren können.
Ist eines dieser Endsysteme durch Schadsoftware kompromittiert, so ist die
gesamte Gruppe einer Verbreitung ausgesetzt.
Daher wäre es wünschenswert, bereits am ersten Access Port zu entscheiden,
welche Informationen überhaupt in das Ökosystem Netzwerk eingespeist werden
dürfen.
Policies—
Policies—Regeln am Rand der Zivilisation
Diese Idee führt tief in die Historie des Enterasys-Vorläufers Cabletron Systems.
Bereits mit der zweiten Generation der SmartSwitch Familie wurde in den späten
90er Jahren die dezidierte Frame-Klassifizierung etabliert. Die Idee, einen Layer 2
Switch zu einer Layer 2/3/4 Analyse zu bewegen, war zu jener Zeit aus
Priorisierungsanforderungen mit Blick auf zeitkritische Applikationen, wie Voice und
Video, heraus geboren.
Später wurde klar, dass die Unterscheidung verschiedener Protokolle am Access
Port die erste Grundlage darstelllt, um unerwünschte Dienste und Protokolle einfach
zu verwerfen. Die Idee einer skalierbaren, verteilten Sicherheitsarchitektur eines
Netzwerks hatte etwas Faszinierendes.
„Das Konzept von Zugriffsregeln im Access Bereich hat lediglich akademischen
Wert. In der Praxis ist diese Aufgabe zu komplex, um administriert zu werden...“
Diese Aussage eines namhaften Herstellers von Netzwerkkomponenten bringt es
auf den Punkt. Das Pflegen verteilter Zugriffsinformationen mit Bordmitteln ist eine
Aufgabe, vor welcher jeder Administrator zurückschrecken wird.
Doch bereits im Jahr 2001 stellte Enterasys Networks mit dem Enterasys NetSight
Policy Manager ein Werkzeug vor, mit welchem das Erstellen und Verbreiten
komplexer Regelwerke zu einem Baukastenspiel wird. Der Schlüssel liegt in einer
dreistufigen Hierarchie:
Secure Networks™
18
Policies—
Policies—Hierarchisches Regelwerkzeug
Die oberste Ebene definiert sich zunächst aus der Rolle, welche ein Benutzer in der
Struktur des Unternehmens selbst spielt. Da sich diese Rolle bereits in den
Regelwerken des User Managements einer zentralen Betriebssystemplattform
abzeichnet, liegt es nahe, bereits bei der Authentisierung auf diese Informationen
zuzugreifen.
Unterhalb dieser Ebene sind die Services definiert, welche bereits im Groben
beschreiben, was der Benutzer tun darf—und was nicht.
Diese Services setzen sich nun aus den einzelnen Regeln zusammen, welche den
Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizieren.
Trifft die Regel zu, so wird eine zugewiesene Aktion ausgeführt:
•
Access Control—zulassen oder verwerfen
•
Tagging des Frames mit einer definierten VLAN ID
•
Redefinition von Quality of Service Parametern
•
Rate Limiting (Port, Applikations-Flow, Protokoll, Nutzer—IP oder MAC)
Mit dem Policy Manager ist es nun möglich ein solches Konstrukt aus Rollen und
Regeln zusammen zu stellen und per SNMP auf allen Netzwerkkomponenten
bekannt zu machen. Die flächendeckende Bereitstellung von Zugriffsinformationen
im Access / Distribution Bereich ist ein Garant für Skalierbarkeit einer solchen
Lösung.
19
Secure Networks™
Granularität der Secure Networks™ Policies
Wie in der Grafik dargestellt, liegt die Stärke von Policy Enforcement bei Secure
Networks™ in der Kombination aus Authentisierung, Klassifizierung und Kontrolle.
Mit diesen Maßnahmen ist es nun möglich, einem breiten Spektrum von
Bedrohungen zu begegnen, von denen einige hier beispielhaft aufgezeigt werden
sollen:
Risiko
Lösungen
Illegitime DHCPDHCP-Server tauchen immer wieder in
LANs auf und stören den Betrieb durch Zuweisung
eigener IP Adresse
Eine Deny Regel auf SourcePort TCP69 verhindert
dies
Port Scanner versuchen das Netz auszuspähen
Das Blockieren des ICMP Protokolls für
Standardbenutzer unterbindet Scan Versuche
Rogue Access Points schaffen offene WLAN
Zugänge
Auch ein AP muss sich via 802.1x authentifizieren
bevor er am Netzverkehr teilnimmt
Priorisierte Protokolle sind anfällig für Packet
Flooding
Die Kombination aus Priorisierung und Rate
Limiting schützt das Netz
Nicht alle IT Komponenten lassen einen Schutz der Layer 4 Regeln filtern Dienste, wie Telnet und SSH,
Management Ports zu
sofern der Benutzer keine Administratorenrolle
spielt
Würmer verbreiten sich exzessiv in lokalen Netzen
Für zahlreiche Attacken bietet der Policy Manager
vorgefertigte Filterregeln an
Secure Networks™
20
Multi User Authentication and Policy (MUA+P)
Die bisher aufgezeigte Kommunikationskette für den Authentifizierungsprozess wird
nun also um die Management Funktion erweitert, mit deren Hilfe Rollen und Regeln
verteilt werden.
Kombination von Access Control und Policy Enforcement
Nun gibt das zentrale Verzeichnis neben der positiven Authentisierungsbestätigung
auch die Gruppenmitgliedschaften des Benutzers an den RADIUS Server zurück.
Mittels eines kleinen Filterwerks ermittelt dieser die relevante Gruppe, deren Name
dem Switch nun als Schlüssel dient, um dem Port die entsprechende Policy zu zu
weisen.
Die Authentisierungsmethode wird also lediglich um eine Filter-ID erweitert; alle
weiteren Funktionen führt die verteilte Netzwerkarchitektur selbsttätig aus. Das an
sich sehr schlanke Standard-RADIUS-Protokoll bietet damit die Grundlage für eine
hoch skalierbare Gesamtlösung.
Im Kontext heterogener Netze, in welchen nicht alle Access Komponenten den
Einsatz von Policies unterstützen, ist es—wie bereits beschrieben—notwendig,
mehrere Benutzer an einem Port des nachgeschalteten Distribution Layers zu
authentisieren. Die Flexibilität der S-Serie Switche erlaubt nun eine Kopplung der
benutzerabhängigen Policy an die jeweils involvierte MAC Adresse.
21
Secure Networks™
Die folgende Grafik verdeutlicht das Konzept der so genannten Distribution Layer
Security. Diese Technik erlaubt die Integration
•
unterschiedlicher Benutzer (Tausende)
•
unterschiedlicher Authentisierungsmethoden (802.1x, MAC, PWA, CEP)
•
unterschiedlicher Regelwerke (Policies)
am selben Uplink Port.
Multi User Authentifizierung
Sichere Gastfreundschaft mit Default Policies
Gäste spielen eine wachsende Rolle in Netzen, deren Mobilitätsanforderungen
kontinuierlich ausgebaut werden.
Schüler und Studenten, Besucher, Wartungstechniker oder einfach Mitarbeiter
fremder Firmen, die manchmal über lange Zeiträume im Unternehmen präsent
sind—sie alle haben den Anspruch, an den Ressourcen der IT Infrastruktur teil zu
haben. Ein Horrorszenario für jeden Administrator! Der Balanceakt, einerseits
diesem Bedarf nachzukommen ohne andererseits die Sicherheitsrichtlinien des
Unternehmens zu kompromittieren, stellt eine echte Herausforderung dar.
Secure Networks™
22
Ein Teil der genannten Personengruppe lässt sich organisatorisch registrieren und
technisch mitels Web Authentication und einer restriktiven Policy in das
Sicherheitskonzept integrieren. Für die oft große Zahl sporadischer Besucher ist
dieser Aufwand unangemessen hoch. Eine einfache Lösung muss her, die ohne
Eingriff des Administrators funktioniert.
Den Schlüssel hierzu stellt die Default Policy dar. Sie erlaubt einem nichtauthentisierten Benutzer den minimalen Zugriff auf die Netzwerkinfrastruktur. Eine
solche „soziale Grundversorgung“ definiert sich beispielsweise über den Zugriff auf
VPN-, HTTP-, DHCP– und DNS-Services sowie dem Zugang zum Web-Proxy des
Unternehmens. Ein Rate Limiting begrenzt die nutzbare Bandbreite und verhindert
exzessiven Gebrauch.
Der Gast erhält also an jedem freigegebenen Port Basisdienste, ist jedoch von den
internen Ressourcen der IT Infrastruktur eindeutig ausgeschlossen.
Aber auch andere Szenarien lassen sich über Default Policies abbilden. SoftwareVerteilung findet regulär außerhalb der Bürozeiten statt. Eine angepasste Default
Policy stellt den Zugriff eines Update Servers auf das Endgerät auch dann sicher,
wenn der Benutzer nicht angemeldet ist.
Fazit: Default Policies schaffen die nötige Flexibilität in einem sicheren Netzwerk, um
Nischenszenarien zu ermöglichen ohne die Security durch manuelle Schaffung von
Ausnahmen und Lücken zu kompromittieren.
RFC 3580 und Distribution Layer Security
Die Einführung flächendeckender Netzwerksicherheit in heterogenen Netzen stellt
den Administrator, wie bereits beschrieben, vor eine Reihe spannender
Herausforderungen.
Gerade im Bereich der Low-Cost-Switche hat sich das Prinzip der User/VLANZuordnung gemäß Standard RFC 3580 weitgehend etabliert. Daher soll dieses
Thema nochmals eingehender mit Fokus auf eine Secure Networks™ Integration
beleuchtet werden.
23
Secure Networks™
RFC 3580 ist eine Methode, welche der Authentisierungsantwort des RADIUSServers eine VLAN-ID beifügt, anhand welcher der Switch dem User Port ein
entsprechendes VLAN zuweist.
In diesem Abschnitt soll beleuchtet werden, wie sich derartige Komponenten in eine
policy-basierte Lösung integrieren lassen.
Enhanced Policy mit RFC 3580
In dem abgebildeten Beispiel agiert der Distribution Layer Switch nicht als
Authentisierungsinstanz, sondern weist den eingehenden Frames anhand der VLANID eine entsprechende Policy zu.
Damit reduziert sich das Risiko unkontrollierter Client-zu-Client Kommunikation auf
den Bereich des VLANs innerhalb des einzelnen Access Switchs.
Auch das VLAN-to-Role Mapping lässt sich an zentraler Stelle im Policy Manager
konfigurieren und flächendeckend an alle Switche kommunizieren.
Secure Networks™
24
VLAN Mapping im Enterasys NetSight Policy Manager
Port Protection
Im Gegensatz zum Policy Enforcement direkt am Access Port verbleibt bei allen
Szenarien der Distributed Layer Security ein Restrisiko, da die Access Control erst in
der nachgelagerten Instanz ausgeführt wird.
Um diese Lücke zu schließen, haben die Entwickler von Enterasys die Funktionalität
des Cabletron ELS10-27MDU (Multiple Dwelling Unit) den neuen Anforderungen
angepasst und in das Portfolio der A/B/C-Serie integriert.
Das Port Protection oder Private VLAN Feature, welches Datenaustausch nur in
Richtung definierter (Uplink-) Ports zulässt, leitet die gesamte Kommunikation des
Switches direkt in die Distribution Zone und das Regelwerk der Policies. Diese
Schutzmaßnahme bewahrt die Enduser vor unkontrolliertem Verkehr innerhalb des
Switches/VLANs.
25
Secure Networks™
Policy Enforcement in der Praxis
Die Konfrontation mit einer Flut von Begriffen wie MUA+P, RFC 3580 und
Distribution Layer Security impliziert die Vorstellung einer Netzwerkarchitektur,
welche aufgrund ihrer Komplexität einfach nicht mehr zu handhaben scheint.
Es bietet sich daher an, die Migration eines LANs hin zu einem sicheren Netzwerk in
abgestuften Phasen durchzuführen, welche szenarienbedingt variieren können. Hier
ein Beispiel für die Vorgehensweise:
Step 1 – Assessment
•
Eine Bestandsaufnahme stellt den Grundstock für weitere Betrachtungen
dar. Daher sollten einige Punkte im Vorfeld festgelegt werden.
•
Welche Komponenten sind im Netz aktiv, welche Feature Sets stehen zur
Verfügung?
•
Welche Verkehrsbeziehungen sind zwischen Endgeräten und Servern
etabliert?
•
Welche Dienste werden genutzt? Welche sollten fallweise restriktiv
behandelt werden?
•
Welche Authentisierungsmethoden können/müssen eingesetzt werden? Was
unterstützen die Betriebssystemplattformen der Endgeräte?
Step 2 - Management
Die Einrichtung des Netzwerk Managements verdient ein besonderes Augenmerk.
Die Auswertung von SNMP-Traps und Syslog Meldungen stellt einen wichtigen
Faktor für die transparente Darstellung des Betriebszustandes eines Netzwerks dar.
Nach der Einführung redundanter Maßnahmen manifestieren sich einzelne Ausfälle
nicht mehr in Form von Betriebsstörungen. Umso wichtiger ist es, diese Teilausfälle
zu erkennen, um die Gesamtverfügbarkeit der Infrastruktur erhalten zu können.
Die steigende Integration intelligenter Funktionen in die Netzwerkkomponenten
erfordert ein Maß an Kontrolle, welches über einfaches Port Management hinaus
geht.
Die Enterasys NetSight Console ist in der Lage sowohl Meldungen aktiver
Komponenten intelligent auszuwerten als auch Managementaufgaben
flächendeckend und geräteübergreifend durchzuführen. Das ermöglicht dem
Administrator wiederkehrende Routineaufgaben energiesparend zu absolvieren und
Funktionsstörungen jederzeit gezielt zu lokalisieren. Die Integration des Policy
Managers in die NetSight Installation ist der erste praktische Schritt zu einem
sicheren Netzwerk.
Secure Networks™
26
Step 3 – Static Policies
Es gibt verschiedene Rahmenbedingungen, welche die flächendeckende Einführung
von Authentisierungsmethoden verzögern.
Daher bietet es sich als Vorstufe an einen statischen Schutz zu etablieren, welcher
ohne jede Authentisierung auskommt. Zu diesem Zweck werden einige wenige
Policies definiert, welche den Access Ports als Default Role zugewiesen werden.
Der Nachteil dieser statischen Lösung liegt in einer geringen Flexibilität. Jeder
Umzug von Endgeräten erfordert eine Prüfung der dem Port zugewiesenen Policy.
Die Möglichkeit, unter Einsatz des Policy Managers auf einfache Weise eine Access
Port Security zu etablieren, birgt – gerade in kleinen und mittleren Netzen – jede
Menge Charme und ist als Zwischenstufe einer Migration durchaus betrachtenswert.
Step 4 - Authentisierung
Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus.
Die Integration des RADIUS Dienstes in Verbindung mit der zentralen
Benutzerverwaltung ist möglicherweise bereits im Rahmen einer VPN- oder WLAN
Lösung vollzogen worden.
Nun gilt es im RADIUS Server ein Filterwerk zu etablieren, welches die
Gruppenzugehörigkeit eines Users auf Betriebssystemebene auf einen
entsprechenden Policy String (Filter ID) destilliert. Dem folgt die Authorisierung der
Access Switche als registrierte RADIUS Clients.
Das Aktivieren der Authentisierungsfunktion auf den Switchen stellt einen
wesentlichen Schritt in der Migration dar. Der Zugang zum Netz ist nun nicht mehr
von der reinen LAN-Connectivity bestimmt, sondern hängt von zahlreichen Faktoren
ab: Endgerätekonfiguration, Switch Einstellung, RADIUS, Directory.
Um das einwandfreie Zusammenspiel dieser Kommunikationskette risikofrei
sicherzustellen, hat sich die Durchführung einer Pilotphase bewährt. In dieser Phase
ist jedem Port zunächst eine liberale Default Policy zugeordnet, welche den Benutzer
in seinem Tun nicht einschränkt. Ein authentisierter User erhält eine neue Rolle,
welche die gleichen Freiheiten einräumt.
Während dieser Pilotphase kann der Administrator risikofrei prüfen, ob die
Authentisierungsmechanismen auch unter Volllast greifen. Ist diese Prüfung
abgeschlossen, können die vorbereiteten Policies scharf geschaltet werden.
27
Secure Networks™
Step 5 – Nächste Schritte
Die Integration von Authentisierungsmaßnahmen und Regelwerken im
Accessbereich stellt einen großen Schritt hin zu flächendeckender
Netzwerksicherheit dar. Doch das Secure Networks™ Portfolio hat weit mehr zu
bieten. Die Fähigkeit, Protokolle und Dienste auf den Layern 2, 3 und 4
flächendeckend zu kontrollieren, schafft eine solide Basis an Präventivmaßnahmen.
Der nächste Schritt Missbrauch und Attacken innerhalb des Contents oder aufgrund
von anomalem Verhalten zu erkennen und darauf zu reagieren, ist in den
nachfolgenden Kapiteln „Detect and Locate“ dokumentiert.
Neben der Sicherheitsüberprüfung des Benutzers stellt sich auch die Frage nach
dem Vertrauensstatus des Endgeräts. Im Kapitel „Proactive Prevention“ werden
Techniken beleuchtet, die es ermöglichen, die wachsende Zahl von PCs, Laptops,
Telefonen und Embedded Devices in ein erweitertes Sicherheitskonzept
einzubinden.
Rückblickend auf zahlreiche Secure Networks™ Migrationen hat sich die
Vorgehensweise bewährt, vor Ort einen auf die Bedürfnisse des Kunden
abgestimmten Workshop durchzuführen, in welchem Grundlagen vermittelt werden,
einzelne Schritte festgelegt und Konfigurationen vorab erstellt werden können.
Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung eines
Pflichtenheftes, der Planung, der Implementierung und Einweisung, professionelle
Unterstützung an.
Detect and Locate
Secure Networks™ von Enterasys schützt die Unternehmenswerte durch einen
ganzheitlichen Ansatz. Die Grundvoraussetzung hierfür ist, dass das Netzwerk in der
Lage ist, Angriffe und Gefahren auf Ressourcen im Netzwerk zu erkennen und den
Angreifer zu identifizieren. Bevor jedoch Angriffen auf die IT Infrastruktur begegnet
werden kann, muss verstanden werden, wie diese Attacken durchgeführt werden
und welche Charakteristiken zur Erkennung genutzt werden können.
Angriffe
Grundsätzlich kann dabei zwischen den folgenden Angreifertypen unterschieden
werden:
•
Automatisierte Angriffe (Viren, Würmer, Trojaner)
•
Toolbasierte Angriffe
•
Gezielte, intelligente, per Hand durchgeführte Angriffe
Secure Networks™
28
Automatisierte Angriffe
Schafft es eine Sicherheitslücke in die Nachrichten, kann man davon ausgehen,
dass ein Virus oder ein Wurm diese Sicherheitslücke nutzt, um IT Systeme
flächendeckend zu kompromittieren. Sind diese Sicherheitslücken bis dato noch
unbekannt oder existiert kein Patch dazu, spricht man häufig von Day Zero Attacken.
Die Herleitung dieses Begriffs, der eigentlich Zero-Day Angriff/Exploit lautet, kommt
jedoch von der kurzen Zeitspanne zwischen dem Entdecken einer Sicherheitslücke
und dem Verfügbarsein eines funktionierenden Angriffs (zumeist eines Exploits).
Unabhängig davon, ob die Sicherheitslücke bekannt ist und ebenfalls unabhängig
davon, ob ein Patch für diese Sicherheitslücke existiert, folgt das Schädlingsprogramm, das eine Sicherheitslücke automatisiert ausnutzen will, zumeist einem
bestimmten Schema:
•
Netzwerkdiscovery und Zielidentifizierung (optional)
Bevor ein (vernünftig programmierter) Wurm oder Virus seinen bösartigen
Code an ein Zielsystem sendet, überprüft er, ob das Zielsystem überhaupt
angreifbar ist. Die Palette der Möglichkeiten, um diese Informationen zu
erlangen, reicht vom stupiden Banner Grabbing bis zum intelligenten TCP
Fingerprint.
•
Kompromittierung des Zielsystems
Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies stellt
den eigentlichen Angriff dar. Da der durchgeführte Angriff auf eine Vielzahl
unterschiedlicher Systeme auf unter Umständen unterschiedlichen
Plattformen durchgeführt werden soll, ist der Angriff an sich meistens sehr
stupide und einfach zu erkennen.
•
Weiterverbreitung
Ist das Zielsystem kompromittiert, versucht das Schadprogramm sich weiter
im Netzwerk zu verbreiten.
Automatisierte Angriffe können sowohl von Systemen, die mit anomaliebasierten
Erkennungstechnologien arbeiten, als auch von signaturbasierten Systemen erkannt
werden.
29
Secure Networks™
Toolbasierte Angriffe
Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten Angriffe
noch Programmierkenntnisse in C und Assembler voraus. Heutzutage gibt es eine
Vielzahl von zum Teil freien Frameworks, die das Ausführen eines Schadprogramms
per Knopfdruck ermöglichen.
Diese Frameworks laden bestimmte Angriffsmodule und bieten dem Angreifer die
Möglichkeit, die dynamischen Parameter eines Angriffs per GUI zu definieren.
Dadurch werden die Hürden zum erfolgreichen Durchführen eines Angriffs enorm
gesenkt.
Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgenden
Unterteile aufgliedern lässt:
•
Socket Aufbau
Bevor der Angriffscode übermittelt werden kann,
Netzwerkverbindung zum Zielsystem aufgebaut werden.
•
muss
eine
Shell Code / Angriffscode
Nachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der
Angriffscode über den Socket verschickt. Da die Rücksprungadresse und das
Offset nicht bekannt sind, werden sehr viele verschiedene
Rücksprungadressen durchprobiert. Da bei diesen toolgesteuerten Angriffen
oftmals auch die verschiedenen Speichergrößen unbekannt sind, werden
sehr viele NOPs über das Netzwerk versendet – daraus resultiert ein großer
Speicherbedarf für das NOP-Sledge.
•
Informationsaufbereitung
Sobald der Angriffscode übermittelt wurde, werden die daraus resultierenden
Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems)
für den User aufbereitet.
Obwohl die Angriffe, die über diese Frameworks durchgeführt werden, gezielt sind
und sich somit von den automatisierten Angriffen unterscheiden, müssen die
Angriffsschemata dennoch sehr offen gehalten werden. Nur so kann eine sehr hohe
Erfolgsquote garantiert werden. Diese Angriffe sind unter anderem durch folgende
Merkmale auffällig:
Secure Networks™
30
•
Große NOP Bereiche
•
Oftmaliges Übermitteln des Angriffscodes (da diese die Rücksprungadresse
enthält)
•
Auffällige Offsets
•
Standard Shell Code
•
Unsauberes Beenden des angegriffenen Programms (kein exit(0) innerhalb
des Shell Codes)
•
Diese Angriffe lassen sich am besten durch signaturbasierte Systeme erkennen.
Gezielte Angriffe
Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche Angriffscode
sehr schlank und sauber geschrieben ist und dass die Verbindungen und die
Codesprünge sauber geschlossen werden.
Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff geschätzt, so
dass der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach
zu überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von
179 Bytes bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde).
Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt
und können innerhalb eines Paketes erfolgreich übermittelt werden. Aufgrund der
verschiedenen Evasionsmöglichkeiten, die sich dem Angreifer bieten, um seinen
Angriff zu verschleiern, stellen diese fokussierten Attacken die größte
Herausforderung an präventive Sicherheitssysteme dar.
Gezielte Angriffe lassen sich am besten durch die Kombination von
signaturbasierten Systemen und System Information Management Systemen
erkennen.
Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie erkannt und
verhindert werden können, folgend die Beschreibung dreier bekannter und weit
verbreiteter Angriffsmuster.
31
Secure Networks™
Denial of Service
Denial of Service Attacken gelten oftmals als stupide Attacken von Angreifern, die
nicht in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur“
ausschalten wollen. In Wahrheit sind Denial of Service Attacken jedoch oftmals
„Vorboten“ eines stack- oder heapbasierten Angriffs (Buffer Overflow Attacke zur
Übernahme des Dienstes) oder dienen dazu, die Netzwerkdienste, die ein
ausgeschalteter Service offeriert hat, zu übernehmen.
Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts angesprochen
werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer,
einen DHCP Server auszuschalten, kann er seinen Dienst übernehmen und in die
Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die
Access Control Listen im Netzwerk und auf Update-Verhalten haben (bestimmte
Sicherheits-Gateway-Systeme installieren Updates über NFS mounts, die sie vom
DHCP Server erhalten).
Buffer Overflow
Angriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind für die
meisten erfolgreichen Angriffe verantwortlich. Die Tendenz geht jedoch von
pufferbezogenen Angriffen weg und hin zu Cross Site Scripting-bezogenen Angriffen.
Im Folgenden sind einige Gründe hierfür aufgeführt:
•
Sichere Frameworks für Applikationserstellung und Code Access Security
•
Stack Schutz von Betriebssystemen
•
Stack Schutzmechanismen für Compiler
Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen, warum diese
stetig an Bedeutung verlieren, ist es wichtig den Programmablauf auf dem „Stack“
und dem „Heap“ zu verstehen. Dies würde jedoch den Rahmen dieses Kapitels
sprengen.
Cross Site Scripting (XSS)
Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können zu
massiven Problemen führen (bis hin zur Kompromittierung des kompletten
Systems), sind extrem einfach für einen Angreifer zu finden und auszunutzen und
oftmals sehr schwer zu erkennen und zu verhindern.
Secure Networks™
32
XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet und basieren
auf der Dynamik der Programmiersprache mit der bestimmte Dienste, die die
genannten Protokolle nutzen, geschrieben sind.
Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss der
Unterschied zwischen Hochsprachen und Skriptsprachen verdeutlicht werden.
Vereinfacht gesagt wird ein Skript zeilenweise ausgeführt (vom Interpreter). Kommt
es zu einem Fehler oder einer falschen Anweisung endet das Skript in einer
bestimmten Zeile. Ein in einer Hochsprache (z.B. C) geschriebenes Programm wird
vor Beginn der ersten Ausführung kompiliert – grobe Fehler werden also schon bei
der Erstellung des Programms erkannt. Ferner ist es bei Skriptsprachen möglich,
Codes während der Laufzeit einzubinden.
Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der Lage, den
eigenen Code in die Webapplikation einzuschleusen (Skript Code oder
Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch das Manipulieren
bestimmter URL Variablen erreichen, die zur Laufzeit Teil des ausführenden Codes
werden.
Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster wird im
Enterasys Networks Pre-Sales-Training vermittelt. Dort werden neben den hier
genannten Angriffsschemata auch man-in-the-middle Attacken und Protokollangriffe
detailliert behandelt
IDS Erkennungstechnologien
Intrusion Detection und Prevention Systeme sind in der Lage die beschriebenen
Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie bereits
einleitend beschrieben, gibt es für die verschiedenen Angriffe verschiedene
Erkennungstechnologien. Vorab kann also festgehalten werden, dass der
bestmögliche Schutz nur dann gegeben ist, wenn das eingesetzte IDS alle
verfügbaren Erkennungstechnologien vereint und somit in der Lage ist, die jeweils
beste Technologie zur Erkennung und Prävention einzusetzen.
Grundsätzlich kann unter folgenden Erkennungstechnologien unterschieden
werden:
•
Behavior Based Anomaly Detection
♦
Die Analyse von Verkehrsbeziehungen mittels Daten aus den
Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit
dedizierten Probes oder auch mittels komponentenspezifischer Traps
♦
Bei hostbasierten Systemen ist hierunter meist die Analyse der System
Calls zu verstehen, um „ungültige“ Calls später heraus zu filtern oder
die Analyse von CPU Last und Memory pro Applikation etc.
33
•
•
Secure Networks™
Anomaly Detection
♦
Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag
Kombinationen gesetzt, etc.)
♦
Bei Host Sensoren kann man hierunter die Überwachung von Files auf
dem System verstehen („Logfiles werden nie kleiner“ oder „/etc/
passwd“ wird normalerweise nicht geändert)
Protocol based – Protocol Conformance Analysis und Decoding
♦
•
Die Decodierung von Protokollen und Überprüfung der Konformität im
Hinblick auf Standards
Signature based – Pattern Matching
♦
Die Analyse des Paketinhaltes in Hinblick auf verdächtige
Kombinationen (Verwendung von bekannten Exploits, Aufruf von
ungültigen URLs, etc.)
♦
Bei Host Sensoren versteht man darunter zum Beispiel die Analyse von
Logdateien
Eine Behavior Based Anomaly Detection basiert darauf typische Verhaltensmuster
im Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows pro Host oder den
durchschnittlichen Durchsatz zu messen und bei starken Abweichungen von diesen
Werten Alarm zu schlagen. Wichtig hierbei ist, dass es sich dabei nicht nur um das
Setzen und Messen von Schwellwerten handelt, sondern um komplexe Algorithmen,
die in der Lage sind, Systemverhalten zu erkennen, zu analysieren und normales
Verhalten in bestimmten Grenzen vorher zu sagen.
Bei der Anomaly Detection und der protokollbasierten Analyse werden "unmögliche"
Datenpakete wie falsch zusammengebaute TCP-Pakete oder fragmentierte IPPakete mit nicht definierten Offsets erkannt. Außerdem werden die Sessions der
einzelnen Verbindungen wieder zusammengesetzt und diese nach Auffälligkeiten
analysiert und Abweichungen von definierten Netzwerk Policies (zum Beispiel, dass
Mitarbeiter keine Peer-to-Peer Programme wie Napster, Kazaa, etc. verwenden
sollten) erkannt. Eine signaturbasierte Lösung kann extrem präzisen Aufschluss
über den Angriff geben, da die gesamte Paketfolge (je nach Produkt) abgespeichert
wird: Damit ist auch eine schnelle Bewertung möglich, ob der Angriff erfolgreich war.
Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signaturen von
Angriffen und Hackertechniken gespeichert sind (dabei handelt es sich um
Binärabbilder bestimmter, typischer Fragmente der durch Angriffstools oder Viren
erzeugten Datenpakete). Diese werden mit dem Datenteil der Pakete verglichen und
so erkannt.
Secure Networks™
34
Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter Angriffe jedoch
schwierig zu realisieren. Dies gelingt in den Fällen sehr gut, in denen bestimmte
(verschiedene) Angriffe einem bestimmten Muster folgen. Gut lässt sich dies anhand
von Buffer Overflow Angriffen verifizieren, die sich durch das Senden von Shell Code
und NOP-Sledges auszeichnen.
Zusammenfassend kann festgehalten werden, dass Intrusion Detection und
Prevention Systeme Datenpakete aufnehmen, Dateninhalte lesen und bestimmte
Technologien anwenden, um festzustellen, ob ein Paket oder ein
Kommunikationsfluss integer ist oder ob es sich um einen Angriff handelt. Zur
Verifizierung eines erfolgreichen Angriffs verwendet das IDS nicht nur das
Angriffspaket oder die Angriffspakete. Es bezieht in seine „Überlegung“ auch die
Antworten des angegriffenen Systems ein.
Hostbasierte Erkennung versus netzwerkbasierte Erkennung
Angriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem oder im
Netzwerk stattfinden. Bevor auf die verschiedenen Technologien im Detail
eingegangen wird, werden im Folgenden einige Vor- und Nachteile der verschieden
Systeme aufgeführt.
Vorteile hostbasierter Erkennung:
•
Netzwerkstream wurde bereits vom TCP Stack des Betriebssystems
zusammengesetzt
•
Verschlüsselungsproblematiken sind nicht vorhanden
•
Komplettes Systemverhalten kann in die Bewertung eines Angriffs
einbezogen werden
Nachteile hostbasierter Erkennung:
•
Großer Verwaltungsaufwand: Muss auf jedem Host installiert werden
•
Verschiedene Betriebssysteme benötigen verschiedene Clients
•
Betriebssystemänderungen können hostbasierte Erkennung beeinflussen
Vorteile netzwerkbasierter Erkennung:
•
Änderungen am Betriebssystem des Ziels haben keinen Einfluss auf die
netzwerkbasierte Erkennung
•
Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System kann eine
Vielzahl von Hosts überwachen
35
Secure Networks™
Nachteile netzwerkbasierter Erkennung:
•
Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffserkennung
führen
•
Single Point of Failure
•
Lokale Angriffe werden nicht erkannt
Host Intrusion Detection/Prevention (HIDS/HIPS)
Host Intrusion Detection / Prevention Systeme haben einen komplett anderen
Aufbau als netzwerkbasierte Systeme. Diese Systeme haben drei
Hauptansatzpunkte:
•
Kernel Schutz (System Call Hooking)
•
Überwachung von Konfigurationsdateien und/oder der Registrierung
•
Prüfung der Systemintegrität
Kernel Schutz
Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei
Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Benutzer, Programme
und Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die
Betriebssystemroutinen beheimatet sind. Vereinfacht könnte man sagen, dass die
Schnittstelle zwischen Betriebssystem (das die Dateien und die Hardware exklusiv
verwaltet) und dem Userland die System Calls sind. Diese Calls werden von
Applikationen und Programmen genutzt, um Zugriff auf Betriebssystemressourcen
zu erhalten.
Ein HIDS/HIPS setzt sich jetzt als überwachende Instanz zwischen das
Betriebssystem (den Kernel Space) und der Welt der Applikationen und überwacht,
ob die ankommenden Anfragen valide sind oder ob es sich um Angriffe handelt.
Diese Überwachung kann sich durch mehrere Leistungsmerkmale bemerkbar
machen:
•
Verhindern des Ausführens von Code auf dem Stack
•
Überschreiben von System Calls (Linux – LKM)
Secure Networks™
36
Überwachung von Konfigurationsdateien und Registrierung
Ein weiterer wichtiger Bestandteil eines HIDS/HIPS ist die Überwachung von
Systemkonfigurationsdateien und Systemregistern (Windows) bzw. Kernel
Konfigurationen (Linux).
So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Firewall,
Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch laufen. Auch Trojaner
und andere Schadprogramme lassen sich dadurch sehr gut identifizieren.
Prüfung der Systemintegrität
Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion Detection/
Prevention Systemen. Dadurch kann sichergestellt werden, dass wichtige
Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert
wurde. Das HIDS/HIPS bildet hierzu zu einem Zeitpunkt, an dem das zu
überwachende Systemtool noch integer ist, eine SHA-1 oder MD5 Checksumme des
Binärcodes und agiert sobald sich diese Checksumme ändern.
Systemintegrität—
Systemintegrität—Kernel Schutz
37
Secure Networks™
Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren
an, die didaktisch sehr einfach über den Enterasys EMS zu verwalten sind. Damit
können die in diesem Kapitel beschriebenen Features einfach und sicher realisiert
werden.
Enterasys Host Intrusion Prevention Systeme beschränken sich dabei jedoch nicht
nur auf den hier beschriebenen Betriebssystem- und Systemapplikationsschutz. Für
einige businessrelevante Gebiete (wie Webserver [Internet Information Server und
Apache]) gibt es eigene Application Intrusion Prevention Systeme, die für einen
idealen Schutz der entsprechenden Applikation sorgen.
Erweiterungsmöglichkeiten des HIDS
Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software
Development Kit) an, das von Kunden, Partnern oder vom Enterasys Professional
Services Team genutzt werden kann, um zusätzliche Leistungsmerkmale in die
Produkte zu integrieren. Der Entwickler kann dabei auf die gesamte Bandbreite der
integrierten Leistungsmerkmale zurückgreifen und somit neue Features schnell und
sicher integrieren.
Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätzliche
Features über eine Programmiersprache ihrer Wahl (z.B. C oder C#) zu realisieren
und diese dann gegen eine von Enterasys bereitgestellte Bibliothek (Library) zu
linken. Dadurch muss sich der Entwickler nicht um die Kommunikation des neu
erstellten Features mit der Enterasys Enterprise Management Suite beschäftigen
oder mit sicherheitsbezogenen Themen wie Authentifizierung und Verschlüsselung –
er kann sich voll und ganz auf die Realisierung des neuen Features konzentrieren.
Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogramme,
Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem
Administrator oder dem Entwickler schnell möglich ist, sich in die Thematik
einzulesen und effizient zu entwickeln.
Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich, alle
betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte
integriert, innerhalb der Enterasys Defense Suite zu nutzen.
Secure Networks™
38
Network IDS/IPS
Netzwerkbasierte Intrusion Detection und Prevention Systeme unterscheiden sich in
allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann
folgendermaßen beschrieben werden:
•
Ereigniskomponente:
Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem
Netzwerk auf und starten das so genannte Preprocessing, das dabei hilft, die
Daten in ein einheitliches Format zu bringen (dies hat den Vorteil, dass man
dadurch in der Lage ist, Signaturen in einem einheitlichen Format zu
erstellen). Danach werden diese vereinheitlichten Daten an die
Analysekomponente weitergegeben.
•
Analysekomponente:
An dieser Stelle werden die Daten, die von der Ereigniskomponente
gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der
Paketinhalt gegen die verschiedenen Paketinhalte der Signaturen kreiert.
Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann
lediglich ein Logfile oder Datenbankeintrag sein. Sollte es sich bei dem
entsprechenden Deployment um eine DIRS (Dynamic Intrusion Repsonse
System) Installation handeln, kann über ein Alarmtool auch eine Aktion
(Ändern der Port Policy) gestartet werden.
•
Monitor und Darstellungskomponente:
Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart,
Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle
verständlich (zumeist grafisch) für den Anwender / Administrator aufbereitet.
Zusammenfassend kann gesagt werden, dass durch die Kombination netzwerkund
hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht werden kann, der vor
einer Vielzahl verschiedener Angriffsszenarien schützt.
IDS versus IPS versus DIPS
Nachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe erkennen
können, werden die Aktionen, die aus diesen Informationen getroffen werden
können, diskutiert.
39
Secure Networks™
Detection
Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver
Sicherheitstechnologie (ob inline oder outline). Sollte keine proaktive
Sicherheitsimplementierung gewünscht sein, so kann man durch die Daten, die in
diesem Schritt gesammelt wurden, forensische Nachforschungen betreiben, Angriffe
zurückverfolgen, Beweise auswerten, Systemverhalten überwachen und
dokumentieren, Statistiken über die Sicherheitsentwicklungen erstellen und
Datenquellen/Ressourcen für Security Information and Event Management Systeme
bereitstellen, die daraus SoX-konforme Reports erstellen können.
Prevention
Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS) werden also
direkt in den Kommunikationsfluss integriert und entscheiden, ob ein Paket
weitergeleitet werden soll oder nicht. Intrusion Prevention ist ein sehr gutes
Werkzeug, um das Netzwerk und die darin befindlichen Komponenten aktiv vor
Angriffen zu schützen. Der Angreifer selbst bleibt davon jedoch unberührt und hat
weiterhin Zugriff auf die Ressourcen des Netzwerks. Seine Pakete werden lediglich
dann verworfen, wenn es sich dabei um schadhafte Pakete handelt.
Dynamic Response
Distributed IPS basiert auf Intrusion Detection und führt – basierend auf den
Ergebnissen des Intrusion Detection Systems – Aktionen im Netzwerk durch. Je
nach vorhandener Netzwerkinfrastruktur kann dies durch das Ändern einer Port
Policy oder durch das Verbannen eines Users aus einem bestimmten VLAN in ein
Anderes geschehen. Distributed IPS reagiert dabei auf bestimmte Ergebnisse. Wird
ein Angriff durch das Versenden eines einzelnen Paketes erfolgreich durchgeführt,
wird das DIPS diesen Angriff nicht verhindern. Es werden jedoch Aktionen gegen den
Angreifer gefahren, die verhindern, dass dieser weiterhin Schaden im Netzwerk
anrichtet.
Auch hier kann zusammenfassend festgehalten werden, dass das größte
Schutzpotential durch die Kombination der verschiedenen Technologien realisiert
werden kann.
Secure Networks™
40
Dynamic Respone in Multivendor Networks
Enterasys Networks ist der führende Anbieter von Distributed IPS Systemen. Durch
eine extrem hohe Anzahl unterstützter Devices von Fremdherstellern ist es möglich,
nahezu jede Netzwerkinfrastruktur durch den Einsatz des IDS in Kombination mit
dem Automated Security Manager über DIPS abzusichern.
System Information and Event Management
Unter SIEM (System Information and Event Management) oder SIM (System
Information Management) versteht man die hohe Kunst, alle vorhandenen Daten
aufzunehmen, zu korrelieren und daraus einen Rückschluss auf eine bestimmtes
Ereignis zu treffen.
Einsatzmöglichkeiten für SIEM
41
Secure Networks™
Zur besseren Veranschaulichung kann die IST Situation und die SOLL Situation
(bezogen auf Security Information Management) vieler Unternehmen herangezogen
werden:
Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert Dienste im
Netzwerk. Die entstehenden Logmessages werden in unterschiedlichen Formaten
auf unterschiedlichen Systemen gehalten und können sensible, wichtige
Informationen enthalten.
Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im
Netzwerk. Die entstehenden, unterschiedlich formatierten Logmessages werden
zentral ausgewertet. Die wichtigsten Daten werden in einem High Level Approach
dem entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in
Realtime sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die
Information und nicht die Lognachricht.
Die Technologie
Technologisch wird die eben beschriebene SOLL Situation dadurch erreicht, dass
alle Events (ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT
Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm
eines Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3
Systems) in einer Datenbank gespeichert und korreliert werden. Aus dieser
Korrelation wird ein neuer Überevent generiert – der so genannte Offense. Ein
Offense ist ein Alarm, der aus verschiedenen Events generiert wurde. Je mehr
Events zu einem Offense zusammengefasst werden, desto höher ist die Data
Reduction Rate. Das SIEM kann dabei Lognachrichten oder auch Flow Daten von
Netzwerkgeräten aufnehmen und diese in Relation zueinander setzen. Durch die
ganzheitliche Strategie von Secure Networks™ ist es im Umkehrschluss wiederum
möglich, Aktionen basierend auf den Offenses im Netzwerk zu starten.
Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen,
die alle erdenklichen Informationen aufnehmen und den Board of Directors (den
Administratoren) dann Anweisungen erteilen. Das Enterasys Security Information &
Event Management (SIEM) ist in der Lage, die vorhandenen Offenses einfach und
klar strukturiert darzustellen. Da das System auch für sehr große Infrastrukturen
ausgelegt ist, ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren,
welche Informationen er zu Beginn seiner Session sehen möchte. Das Enterasys
SIEM ist dabei wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich
das Ergebnis, das Endresultat, der gezogene Schluss basierend auf verschiedenen
korrelierten Events (Offense). Der Anwender ist jedoch in der Lage sich bis zur
Kerninformation vor zu arbeiten, in dem er (im übertragenen Sinne) Schale für
Schale von der Zwiebel entfernt.
Secure Networks™
42
Was bringt Enterasys Security Management ...
... für die Finanzorganisation?
•
Kosten werden eingespart
•
Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automatisiert
übernommen werden
•
Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt signifikant
•
Erhöhung des Return on Investments bei Software und Hardware
... für das operative Geschäft?
•
Verbesserte Antwortzeiten bei Attacken
•
Attacken, Hardware- und Softwarefehler werden besser erkannt. Dadurch
können bestimmte Fehlersituationen besser zugeordnet und Aktionen besser
koordiniert und geplant werden.
•
Verbesserte, einfachere Übersicht über Security Events
•
Signifikate Erhöhung der proaktiven und präventiven Sicherheit
•
Auswirkungen bestimmter Aktionen können besser bewertet werden;
Auswirkungen besser berechnet werden.
... für das Business an sich?
•
Erhöhung der Stabilität der IT Infrastruktur und damit bessere Verfügbarkeit
der Geschäftsprozesse
•
Legal Compliance
•
Befolgung aller Regularien
•
Minimierung der Auswirkungen für Unbeteiligte
•
Risiken werden minimiert. Risiken werden überhaupt erkannt!
43
Secure Networks™
Enterasys bietet mit SIEM das führende System, um die eben dargestellten
Leistungsmerkmale effizient abzubilden.
Korrelationsmöglichkeiten mit SIEM
Das Enterasys SIEM ist dabei ferner in der Lage, Ergebnisse von Vulnerability
Assessment Systemen (Sicherheitslücken-Scannern) in die Offense Bewertung
einzubeziehen. Ein intelligentes Framework macht Erweiterungen möglich, die eine
enorm hohe Skalierung auch bei extrem großen Netzwerken und extrem hohen
Datenaufkommen garantiert.
SIEM Übersicht
Secure Networks™
44
Enterasys bietet ferner durch die Kombination der hier aufgezeigten Systeme (HIDS,
NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefahren mit der
entsprechenden Aktion zu reagieren. Gefahren können dabei auch proaktiv aus dem
Netzwerk fern gehalten werden. Ein wichtiger Bestandteil dieser Secure Network™
Strategie ist es, dass dabei, wie bereits in diesem Kapitel über System Information
und Event Management zu erfahren, eine Vielzahl von Fremdherstellern einbezogen
werden können.
Schnittstellen zu externen Systemen
Eines der Ziele, die das SIEM verfolgt, ist, dem Administrator bei verifizierten,
schwerwiegenden Problemstellungen (Security Incident, Angriff, abfallende
Verfügbarkeit eines Dienstes, ausgefallener Server, etc.) darzustellen, um was es
sich bei diesem Vorfall genau handelt, wie kritisch dieser ist, was dadurch
beeinflusst wird und wer (welche Identität) dieses Problem verursacht hat.
Dabei offeriert das SIEM dem Administrator nicht nur die IP Adresse des Initiators,
sondern auch weiterführende identitybezogene Informationen (User Name, User
Gruppe, Switch Port, Switch IP Adresse, Name des Switches, Policy, MAC Adresse,
Authentifizierungsmethode und ob der Benutzer „nur“ wired oder wireless online ist
oder mehrere Verbindungsmöglichkeiten nutzt (z.B. wired und wireless und
zusätzlich VPN).
AssetAsset-Informationen im SIEM
Der Administrator hat nun die Möglichkeit die integrierten Enterasys Schnittstellen
zu nutzen, um einen bestimmten Benutzer eine neue Policy zu zu weisen oder eine
MAC Adresse für eine bestimmte Zeit vom Netzwerk zu nehmen.
45
Secure Networks™
Gefahrenquellen mit SIEM direkt aus dem Netzwerk entfernen
Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe
Skripte aufgerufen werden, die als Parameter die IP Adresse eines Angreifers
übergeben bekommen. Die Erweiterungsmöglichkeiten, die sich dadurch ergeben,
erweitern das Spektrum, innerhalb dessen die Lösung ihren Mehrwert aufzeigen
kann, enorm.
Interne Erweiterungsmöglichkeiten und Schnittstellen
Ein Security Information und Event Management System lebt davon, Events und
Flows von verschiedensten Systemen unterschiedlicher Hersteller zu lesen und
diese Events zu nutzen, um sie durch das Korrelieren mit anderen Events von
anderen Herstellern zu einer vernünftigen Aussage zu formen (Offense). Oftmals ist
es so, dass in komplexen Kundenumgebungen exotische Applikationen nicht
bekannter und kaum verbreiteter Hersteller implementiert wurden oder dass
Kunden ihre eigenen Applikationen entworfen haben, die per default von den
gängigen SIEM Lösungen nicht unterstützt werden.
Da diese Quellen sehr wertvolle Daten enthalten können, die einen spürbaren
Mehrwert während des Korrelationsprozesses darstellen könnten, bietet das SIEM
einen sehr einfachen und effektiven Weg an unbekannte Logfile Formate zu lesen
und in die Korrelation aufzunehmen.
Dabei muss der Administrator lediglich ein generisches / universales Device
anlegen und definieren, wie die Events von diesem System interpretiert werden
sollen, welches Protokoll zur Datenübertragung genutzt wird und was die Events von
diesem System zu bedeuten haben. Die folgenden Screenshots zeigen, wie dieser
Prozess mit Hilfe der Konfigurationsoberfläche innerhalb weniger Minuten realisiert
werden kann.
Secure Networks™
46
Schritt 1:
SIEM - Sensor Devices
Anlegen eines neuen generischen Devices, damit Logfiles von diesem System
aufgenommen werden und entsprechend der Mustererkennung, die man selbst
anpassen kann, gelesen und ausgewertet werden.
Schritt 2:
SIEMSIEM-QidMapping
Zuordnen des Events, so dass die SIEM „weiß“, in welche Kausalkette dieser Event
gehört und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist.
47
Secure Networks™
Respond and Remediate
Unter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk, autonom
auf auftretende Probleme zu reagieren. Dazu werden mehrere Komponenten
kombiniert. Intrusion Detection Systeme erkennen auftretenden Missbrauch oder
Sicherheitslücken und können mit Hilfe von Response Mechanismen direkt – als IPS
oder in der Secure Networks™ Architektur - mit dem ASM ins Geschehen eingreifen.
Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mitarbeiter
mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird es auch möglich,
eine Anleitung zur Selbsthilfe zu geben und somit das Helpdesk zu entlasten.
Dynamic Response (wie bereits unter Detect and Locate beschrieben) kann aber
auch auf anderem Wege erreicht werden. So unterstützt zum Beispiel die S-Serie
das so genannte Flow Setup Throttling. Man kann (vor allem auf den User Ports) pro
Port Schwellwerte definieren, welche die maximale Anzahl von Flows in einer
gewissen Zeiteinheit definieren. Überschreitet der Rechner eines Users diesen
Threshold, so ist das normalerweise nie auf regulären Traffic zurückzuführen,
sondern ein sicheres Anzeichen für einen Virus oder eine sonstige Attacke. Je nach
Konfiguration schickt der Switch dann eine Nachricht an die Managementstation
oder aber der entsprechende Port wird sofort deaktiviert (und auch hier wird eine
Nachricht an die Managementstation geschickt).
Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit
verbreitetes Szenario genutzt werden. Das hier beschriebene Beispiel wird durch
den Einsatz der folgenden Enterasys Networks Lösungen möglich:
•
Enterasys NAC
•
NetSight Console
•
NetSight Automated Security Manager
•
Enterasys IDS
Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Bevor er
jedoch Zugriff auf die Ressourcen im Netzwerk erhält, wird eine
Sicherheitsüberprüfung seines Endsystems realisiert. Dort wird festgestellt, dass der
User die in der Firmen Policy vorgeschriebene Antivirensoftware deaktiviert hat. Der
User erhält daraufhin lediglich Zugriff auf eine von Enterasys Networks
bereitgestellte Webseite, die ihm eine genaue Beschreibung des Fehlers offeriert.
Der User wird auf dieser Webseite daraufhin gewiesen, dass er die Antivirensoftware
wieder aktivieren muss, um Zugriff auf das Netzwerk zu erhalten. Versucht der User
interne oder externe Webseiten aufzurufen, so wird er bei jedem Versuch wieder auf
die von Enterasys Networks gelieferte Webseite umgeleitet. Nachdem der User die
Software wieder aktiviert hat, kann er über einfaches Klicken eines Buttons auf der
Webseite erneut Zugriff auf das Netzwerk verlangen.
Secure Networks™
48
Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem des Users keine
Agentsoftware installiert ist. Die Einwahl erfolgte über Network Credentials des
Sicherheitslückenscanners.
Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der User seine
Antivirensoftware wieder aktiviert hat und weisen ihm seine Rolle im Netzwerk zu.
Nach einiger Zeit startet der User einen Angriff auf einen internen Webserver. Diese
Attacke wird vom Enterasys Intrusion Detection System erkannt. Durch die
automatische Abstimmung des Enterasys IDS und des NetSight Automated Security
Managers wird die Rolle des Users geändert und sein Port in Quarantäne gesetzt.
Der User erhält nun lediglich Zugriff auf die von Enterasys Networks offerierte
Webseite, die ihm mitteilt, dass das Netzwerk den Angriff erkannt hat und sein
System aus dem Netzwerk entfernt wurde.
Assisted Remediation mit ToSToS-Rewrite
Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin, alle
Pakete eines Endsystems, das sich in Quarantäne befindet bzw. per DIPS vom Netz
getrennt wurde, mit einem definierten DSCP (bzw. IP Precedence) Wert zu
markieren.
Assisted Remediation mit Hilfe von ToSToS-Rewrite
So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route von den
Routern zu einem Remediation Webserver geroutet. Auf diesem läuft ein
modifizierter Proxy, der in der Lage ist, die Pakete an Zieladressen anderer
Webserver entgegen zu nehmen und mit einer Remediation Webseite zu antworten.
Dies setzt natürlich voraus, dass DHCP (falls verwendet) und DNS wie üblich
gehandhabt werden oder der Remediation Server ebenfalls auf diese antwortet.
49
Secure Networks™
Proactive Prevention / NAC
Sowohl aus Sicht der Hersteller als auch aus Sicht der Kunden bietet NAC eine
Reihe von Vorteilen und Möglichkeiten. Sie stellt aber auch eine Herausforderung
insbesondere an die Struktur und Organisation desjenigen Unternehmens, das eine
entsprechende NAC Lösung einsetzen möchte.
Definition von NAC
Im Allgemeinen kann man NAC als eine benutzerfokussierte Technologie
beschreiben, die ein genutztes Endgerät autorisiert und Zugriff auf Ressourcen
gewährt auf der Basis der Authentisierung der Identität des entsprechenden
Benutzers (oder/und Geräts) sowie auf dem Status des Geräts in Hinblick auf
sicherheitsrelevante Parameter und Einstellungen - die Compliance mit
entsprechenden Unternehmensvorgaben. Diese Parameter werden im so genannten
Pre-Connect Assessment ermittelt, dass heißt vor Anschluss an die Infrastruktur. Es
sollte aber auch dann im laufenden Betrieb eine Überprüfung erfolgen, welche dann
als Post-Connect Assessment bezeichnet wird. Teilweise wird auf den einen oder
anderen Baustein im Rahmen einer Implementierung auch verzichtet – je nach
Kundenanforderung. Ein Prozess zur Wiederherstellung der Compliance, der so
genannten Remediation, ist hier ebenfalls enthalten. Die gilt für alle Endgeräte und
Nutzer am Netz, dass heißt eigene Mitarbeiter, Partner, Gäste, Kunden und sonstige
Geräte wie Drucker, Videokameras, etc.
NAC ist aber auch nicht das Allheilmittel gegen beliebige Sicherheitsprobleme.
Insbesondere falsches Nutzerverhalten und Angriffe auf Applikationsebene können
mittels NAC kaum erkannt werden, es sei denn, man setzt intensiv auch PostConnect Assessment Techniken ein.
Secure Networks™
50
Der Prozess NAC
Es gibt hier verschiedenste Modelle zur Darstellung eines NAC Prozesses. Generell
ist die folgende Einteilung sinnvoll (lt. Gartner):
•
Policy – die Erstellung einer Policy ist notwendig, um die
Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie
die Korrektur und Quarantäneeinstellungen zu regeln
•
Baseline – erkennt den Security Status bei bzw. vor Anschluss an die
Netzinfrastruktur
•
Access Control – die Zuweisung von Zugriffsrechten aus dem Vergleich von
Policy und Baseline
•
Mitigation – bei einer Diskrepanz und limitierten Zugriffsrechten
(Quarantäne) sollte hier eine vollautomatische Beseitigung der Probleme via
Softwareverteilung, Patch Management und Konfigurationsmanagement
erfolgen
•
Monitor – es muss laufend überprüft werden, ob der Anfangsstatus sich nicht
verändert
•
Contain – falls dies doch geschieht, muss reaktiv eine erneute Quarantäne
erfolgen können
•
Maintain – es muss eine laufende Anpassung und Optimierung erfolgen
Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines
Unternehmens entsprechend anzupassen bzw. zu optimieren.
Lösungsansätze
Die großen Frameworks – das Endziel
Zunächst gestartet, um die Integrität eines Endsystems in Bezug auf Hardware- und
Softwarekonfiguration sicherzustellen (und damit einen Großteil bestehender Host
IPS und Personal Firewall Ansätze zu ersetzen), können diese Ansätze optimal durch
bestehende APIs auch zur Kommunikation des Security Status eines Endsystems in
einer NAC Umgebung genutzt werden. Die IETF teilt die Funktionen hier wie folgt ein:
51
Secure Networks™
NAC Funktionalitäten nach IETF
Der „Agent“ auf dem Endsystem ist typischerweise mehrteilig – der Posture Collector
überprüft einzelne Einstellungen (je nach Hersteller des Kollektors) wie z.B. Patch
Level, Antivirus Status, Personal Firewall Einstellungen, etc. und gibt diese an den
Client Broker weiter, dessen API von verschiedenen Posture Kollektoren genutzt
werden kann. Der Client Broker wiederum gibt diese Information an den Network
Access Requestor weiter, der neben Authentifizierung auch den Security Status an
die Serverseite leitet. Typisch für einen Network Access Requestor sind 802.1x
Supplicants oder IPSec Clients.
Beim Network Enforcement Point handelt es sich typischerweise um Switche,
Router, Access Points, Firewalls und IPS Systeme oder VPN Konzentratoren. Auf der
Serverseite werden die Komponenten der Client Seite widergespiegelt in Form der
Network Access Authority. Diese entspricht typischerweise einem RADIUS Server
bzw. einem Policy Server. Dieser steuert das Network Enforcement und den Server
Broker (ein Stück Middleware wie auch der Client Broker), der wiederum die
verschiedenen Posture Validatoren anspricht.
Für agentenbasierte Lösungen werden diese Lösungen in den nächsten 2 bis 5
Jahren wohl die dominierende Position einnehmen.
Microsoft NAP
Die Microsoft NAP Network Access Protection Lösung, die mit MS Vista und Windows
Server 2008 Einzug hält, wird wohl erst in naher Zukunft für „General Deployments“
bereitstehen. Die Beta Tests und Early Adopter Implementierungen laufen schon seit
2007. Es gibt mittlerweile auch einen NAP Client für Windows XP mit dem Service
Pack 3, der grundlegende Kundenanforderungen umsetzt. Der NAP Client
unterstützt DHCP, VPN und 802.1x Enforcement.
Secure Networks™
52
Microsoft NAPNAP-Modell
Der Enforcement Point kann aber auch in der Netzwerkinfrastruktur liegen, die
Steuerung erfolgt dann über einen RADIUS Server (Quelle: Microsoft).
Microsoft hat auf der Interop 2007 bekannt gegeben, dass sie den TNC-Standard
der Trusted Computing Group unterstützen werden. Damit zeichnet sich ab, das der
Weg zu NAP Richtung TNC führen wird.
Kombinierte NAP/TNC Architektur
Microsoft NAP ist allerdings eine sehr fokussierte Technologie, die nur für Windows
Clients wirklich Sinn macht. Da allerdings auch andere Systeme im Netzwerk
kommunizieren, sind weitere Schritte erforderlich, um eine ganzheitliche Lösung
anzustreben. Mehr hierzu ist im Kapitel „Assessment“ unter „Advanced Security
Applications – Network Access Control“ beschrieben.
53
Secure Networks™
Trusted Computing Group TCG - TNC
Da der Endgerätemarkt nicht nur aus Microsoft Produkten besteht, ist insbesondere
hier ein Standard notwendig, der sich mit der TCG und deren Sub-Group TNC-SG
Trusted Network Connect abzeichnet. Vereinzelt sind auch schon Produkte zu
finden, die diese Spezifikation unterstützen. Ein großer Durchbruch war aber in
2007 zumindest für TNC noch nicht zu sehen, obwohl schon mehr als 160
Unternehmen dort Mitglied waren. Das Modell der TNC-SG 1.1 Spezifikation sieht
auch wiederum sehr dem MS NAP Konzept ähnlich (Quelle: TNC):
TCG NACNAC-Modell
Posture Collector und Validator entsprechen jetzt den Integrity Measurement
Collectors und Verifiers, die Client und Server Broker sind die eigentlichen TNC
Clients und Server, die Network Access Requestor, Network Access Authority und
Policy Enforcement Point Instanzen bleiben identisch.
Das Zusammenspiel in heterogenen Umgebungen
Auf der Desktopebene wird Microsoft mit dem NAP Agent wohl eine maßgebliche
Rolle spielen – in Bezug auf Sicherheit zieht Microsoft hier die Daumenschrauben
stark (vielleicht auch zu stark?) an. Die Akzeptanz der TNC Implementierungen wird
in der non-Microsoft Welt groß sein, für Microsoftbasierte Endsysteme bleibt dies
abzuwarten. Eine Integration der verschiedenen Systeme ist möglich auf der
Serverseite – hier müssen intelligente Network Access Authority Server erkennen,
welche Clients installiert sind (oder clientless gearbeitet wird) und auf dieser Basis
muss eine Umleitung an den entsprechenden (Network Access Authority) Server
erfolgen. Enterasys geht mit Enterasys NAC diesen Weg des intelligenten RADIUS
Proxy und Brokers, der diese Integration übernehmen kann. Auf dem Desktop muss
sich der Kunde für jeweils einen Agenten und eine Technologie entscheiden.
Secure Networks™
54
Enterasys NAC
Enterasys hat durch seine Secure Network™ Architektur eine Basis für In- und Out-of
-Band NAC Lösungen geschaffen. Dabei wird der NAC Prozess vollständig durch die
Secure Networks™ Architektur abgebildet. Allerdings ist selbstverständlich auch in
Drittherstellernetzen ohne Secure Networks™ Unterstützung der Einsatz der
Enterasys NAC Lösung unter Verwendung von Standards wie 802.1x Authentisierung
und VLAN Zuweisung (RFC 3580) möglich.
•
Erkennung und Authentisierung durch
Secure Networks™ Authentication/
Multiuser Authentication (in
Drittherstellernetzen mit den
Authentication Features der jeweiligen
Switche – minimal RFC 3580)
•
Assessment über das integrierte
Enterasys agent based oder -less
Assessment oder über die offene
Assessment API auf beliebigen
Produkten
•
Authorization durch Secure
Networks™ Policys (L2, L4 + QoS)
•
Remediation durch die oben
beschriebene Remediation Technik
oder im Inline Betrieb In-band
•
Contain über die Integration des ASM
NAC Prozess
Das Post-Connect Assessment kann hier im Monitorprozess durch die Integration
der Enterasys SIEM und IDP Lösung erfolgen. Da hier standardisierte Webservices
Schnittstellen zur Verfügung stellen, ist natürlich auch die Einbettung beliebiger und
eventuell schon vorhandener Sicherheitsdienste möglich.
Die Enterasys NAC Lösung ermöglicht die Umsetzung der unterschiedlichen NAC
Modelle switchbased Out-of-Band mit einer einheitlichen Managementoberfläche.
Dabei kommen die Komponenten Enterasys NAC Manager für den Out-of-Band
Betrieb und das NAC Gateway zum Einsatz – die genaue Zusammenstellung wird im
Produktportfolio erläutert.
55
Secure Networks™
Die Enterasys S-Serie Switche erlauben zusammen mit der schon bestehenden Outof-Band Lösung die Umsetzung von NAC im Datenstrom an wichtigen
Übergabepunkten im Netzwerk. Damit ist der NAC Prozess für jedes Endsystem,
welches ans Netzwerk angebunden wird, identisch – egal ob der Anschluss an das
LAN, WLAN oder z.B. über einen VPN Konzentrator von außen erfolgt.
Damit ist Enterasys der einzige Hersteller, der mit einer Architektur alle möglichen
hardwareorientierten NAC Lösungen abbilden kann.
NAC für Fortgeschrittene
Die NAC Lösung von Enterasys erlaubt nicht nur den klassischen NAC Ansatz
sondern stellt viele weitere Möglichkeiten für eine einfache Umsetzung der
Zugangskontrolle zur Verfügung.
Im Zusammenhang mit einer NAC Lösung im Distribution Layer bei der am
eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt
werden stellt sich oft die Frage, ob diese überhaupt 802.1x-fähig sind oder inwiefern
eine vom Access Switch durchgeführte 802.1x Authentisierung überhaupt genutzt
werden kann, wenn dieser nur die Zuordnung eines VLANs unterstützt.
Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Umsetzung
von 802.1x im Unternehmen zu aufwändig wäre, bietet sich mit Kerberos Snooping
eine relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man
davon aus, dass die Endsysteme sich per Kerberos im Unternehmen anmelden, was
z.B. bei einer Microsoft Active Directory Umgebung der Fall ist sobald der jeweilige
Rechner in der Domäne Mitglied ist.
Die Kerberos Pakete werden dann zum NAC Gateway weitergeleitet und dort
mitgelesen, wobei Passwörter natürlich verschlüsselt übertragen werden.
Benutzername, Domänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt
sich aber herauslesen. Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es
sich um ein Endsystem handelt, das zum Unternehmen gehört (wegen der
erfolgreichen Domänenanmeldung) sowie der Benutzername, welcher die
Authentisierung durchgeführt hat. Diese Informationen können dann direkt zur
Autorisierung, dass heißt der Rechtevergabe für den jeweiligen Benutzer dienen.
Damit lassen sich die Vorteile einer 802.1x Lösung ohne deren
Implementierungsaufwand nutzen.
Secure Networks™
56
Kerberos Snooping
RADIUS Snooping
Ein netter Nebeneffekt beim Kerberos Snooping, auch ohne die Verwendung des
Benutzernamens zur Autorisierung, ist die Tatsache, dass die Benutzer hinter den
Endsystemen dem Netzwerkadministrator bekannt werden. Wird auf den Access
Switchen schon 802.1x eingesetzt, um die Endsysteme zu authentisieren, so
können mit RADIUS Snooping die Autorisierungs- bzw. Secure Networks™
Policyfeatures eines Enterasys Switch im Distribution Layer genutzt werden.
Dabei liest der Enterasys Switch die RADIUS Pakete mit und wendet das für den
Access Switch zurückgegebene Regelwerk auf die MAC Adresse des in der RADIUS
Session angegebenen Endsystems an. Zur Benachrichtigung im Fehlerfall bzw. zur
Kommunikation mit dem Benutzer bei der Anmeldung dient in der Enterasys NAC
Lösung die Remediation. Dahinter verbirgt sich ein Captive Portal wie man es aus
WLAN HotSpots kennt. Darüber können dem Benutzer im Falle eines
Netzwerkausschlusses Informationen über die Gründe übermittelt werden bzw. über
den Zugang zu einem Patch Server die Möglichkeit zur Selbstheilung geboten
werden.
Dies kann natürlich auch genutzt werden, um das Problem mit neuen Endsystemen
oder Gästen zu lösen. Hierbei werden die Webanfragen eines neuen Endsystems am
Netzwerk zu einer Webseite umgeleitet auf der das jeweilige System registriert
werden muss – dazu wird auf ein vorhandenes LDAP (z.B. Active Directory)
zurückgegriffen. Dabei werden die Daten des Benutzers des neuen Systems
eingetragen und einer der Mitarbeiter bestätigt mit seinem Domänenzugang die
Gültigkeit dieser Daten.
57
Secure Networks™
MAC Registration - Zugangskontrolle für Fremdsysteme
Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeutig
benennbar und der Zugriff zum Netzwerk transparent. Selbstverständlich lässt sich
hier die maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist
diese Lösung nahezu beliebig an Kundenwünsche anpassbar.
Assessment
Das Assessment dient der Überprüfung des Endsystems. So kann z.B. überprüft
werden, ob ein Virenscanner installiert ist, ob dieser aktuell ist und ob die
Mindestanforderungen an ein eingesetztes Betriebssystem eingehalten werde.
Enterasys bietet hierbei eine agentenbasierte sowie eine agentenlose Lösung an.
HealthHealth-Check Möglichkeiten mit Enterasys NAC
Secure Networks™
58
Über die weiter unten beschriebene Assessment API besteht die Möglichkeit zur
Integration von nahezu beliebigen weitere Assessment-Diensten.
Integrationsmöglichkeiten
Die Enterasys Network Access Control Lösung und die durch diese Produktlinie
offerierten Schnittstellen sind integraler Bestandteil der Enterasys Defense Suite.
Damit ist es möglich über die SIEM sehr einfach und komfortabel auf die Features
und Leistungsmerkmale der Enterasys Network Access Control Lösung zuzugreifen.
Assessment API
Ein Bestandteil dieser Lösung ist die Möglichkeit Endsysteme, bevor diese Zugriff
auf Netzwerkressourcen erhalten, auf Sicherheitslücken zu überprüfen. Die in diese
Lösung integrierte Scanningtechnologie kann dabei agentenbasiert oder rein über
das Netzwerk arbeiten.
Für die Kommunikation der verschiedenen unterstützen Assessment Produkte aus
dem Hause Enterasys oder von Partnerunternehmen oder unterstützen 3rd Party
Herstellern wird ein von Enterasys entwickelter Protocolstack genutzt, der die Events
der Assessmentprodukte in Events, die durch die Enterasys NAC Lösung verstanden
werden, übersetzt und die Kommunikation zwischen den Devices absichert
(Authentifizierung und Verschlüsselung).
Oftmals ist es so, dass Kunden, die über den Einsatz von Network Access Control
Lösungen nachdenken, bereits Assessment und Patch Management Systeme im
Einsatz haben. Diese bereits implementierten und erprobten Lösungsbausteine
müssen dann Teil der Network Access Control Lösung werden. Da es schier
unmöglich ist, alle auf dem Markt vorhandenen Lösungen in diesem Bereich per
Default zu unterstützen, offeriert Enterasys eine eigene Assessment API (Application
Programmers Interface), die es dem Kunden ermöglicht, bereits vorhandene
Lösungen zu integrieren. Dabei ist es wichtig zu wissen, dass nicht nur die Events
der bereits implementierten Systeme gelesen und interpretiert werden, sondern
auch die Steuerung der Scans durch die Enterasys NAC Lösung erfolgt.
Wie beim SDK (Software Development Kit), das innerhalb der Enterasys Host
Intrusion Detection Lösung angeboten wird, kann der Entwickler / Administrator
auch bei der NAC API die Entwicklungssprache frei wählen. Die Libraries, gegen die
der Code der Assessment Engines dabei gelinkt werden muss, wird in JAVA zur
Verfügung gestellt.
Durch das Bereitstellen einer aussagekräftigen und umfassenden Dokumentation
mit entsprechenden Beispielen ist die Integration neuer – noch nicht unterstützter –
Lösungen in die Enterasys Network Access Control Produktpalette effizient und
einfach realisierbar.
59
Secure Networks™
Web Services
Da die Enterasys Network Access Control Lösung viele Mehrwerte zur Erhöhung der
Gesamtsicherheit innerhalb eines Unternehmens beisteuern kann, werden die
Leistungsmerkmale der Lösung über gut dokumentierte Web Services auch anderen
Produkten und Herstellern zur Verfügung gestellt. Somit können die Features, die
die Enterasys NAC Lösungen abbilden können, auch von anderen Produkten genutzt
werden (zum Beispiel: neue Policy für eine Liste von Endsystemen). Zur Integration
eigener Applikationen muss hier der Enterasys Professional Service in Anspruch
genommen werden.
Notrufintegration von Enterasys NAC und VoIPVoIP-Management als SOA
Automated Security Manager
Für alle Enterasys Security Produkte (Enterasys Defense Suite und Enterasys
Network Access Control) bietet der Enterasys Automated Security Manager (ASM)
Schnittstellen und Features an, die genutzt werden können, um externe Devices
(z.B. Router und Switche) anzusteuern und zu konfigurieren. Durch die Flexibilität
und die Erweiterungsfähigkeiten dieses Produkts können Deployments, die mit
Enterasys Produkten realisiert wurden, in nahezu allen Unternehmensnetzwerken
ihren herstellerunabhängigen Mehrwert ausspielen.
Auch der ASM ist dabei in der Lage durch benutzerdefinierte Erweiterungen, die
auch per Script übergeben werden können, seinen Leistungsumfang zu erhöhen
und sich so auf Kundenbedürfnisse optimal einstellen zu können.
Secure Networks™
60
VPN Integration
Durch die Integration von NAC in die VPN Lösung des Kundens erreicht man
Transparenz bezüglich wer und was über VPN auf das Netzwerk zugreift. Wenn
RADIUS Accounting benutzt wird, kann man außerdem exakt nachverfolgen, wer zu
welchem Zeitpunkt im Netzwerk war. Enterasys NAC bietet momentan out-of-band
Unterstützung für die folgenden VPN Lösungen: Enterasys XSR, Cisco ASA und
Juniper SA. Die Unterstützung zusätzlicher VPN Lösungen wird für zukünftige
Versionen der NAC Lösung evaluiert. Die Integration dieser Geräte passiert über
RADIUS, allerdings wird die MAC Adresse des Endgerätes nicht benötigt, da VPNs
diese Information nicht abfragen.
Autorisierung
Die Autorisierung für VPN Geräte ist ausgegliedert, um Multi-Layer-Autorisierung zu
erlauben. Das erste Layer wird mit den RADIUS Response Attributen direkt auf dem
VPN angewandt. Da die meisten VPN Geräte das Resetten des Autorisierungslevel
eines User nicht dynamisch erlauben, ohne dass ein Re-Connecting zum VPN
passiert, bietet Enterasys ein optionales zweites Layer. Das zweite Layer ist eine SSerie zwischen dem internen Port des VPN und dem internen Netzwerk zu setzen.
Dies erlaubt der NAC Appliance die S-Serie zu nutzen, um mit IP-zu-Policy-Mapping
einen granulareren, sekundären Zugangskontrollmechanismus bereit zu stellen.
Technische Begrenzungen und Limitierungen
Die XSR und Cisco Integrationen sind nahtlos, die alle NAC Fähigkeiten bereitstellen.
Die Juniper Integration ist beschränkter: Da NAC die User IP Adresse nicht aktiv von
Juniper Geräten beschaffen kann, muss es sich auf die passive IP Beschaffung via
RADIUS Accounting verlassen. Erst dann kann dem User eine Policy zugewiesen
werden. Eine weitere Einschränkung ist, dass ein User auf einem Juniper Gerät nicht
durch die NAC Appliance aus dem Netzwerk verwiesen werden kann.
Profiling von Gerätetypen
Heutzutage müssen Netzwerkadministratoren eine große Vielfalt an Geräten in
ihrem wired und wireless Netzwerk verbinden, vorhalten, verwalten und sichern. Oft
sind Netzwerkbasisinformationen, wie MAC, IP, Host Name, etc., nicht ausreichend,
um zu entscheiden, welche Policy an welches Connecting Device vergeben wird. Es
ist wichtig zu wissen, welche Art von Gerät sich verbindet, um bessere „NetzwerkVorsorge“ betreiben zu können.
61
Secure Networks™
Enterasys NAC löst dieses Problem durch die automatische Erkennung von
Gerätetypen durch das Nutzen der folgenden Methoden:
Zusätzlich zu dem automatisch erstellten Inventar für alle Geräte, ihre Typen und
Lokationen im Netzwerk, bietet dieses Feature auch eine Lösung für andere,
typische User Fälle:
•
•
Universitäten und Unternehmen
♦
Alle Geräte können leicht identifiziert werden, so dass zwischen Gast
und Mitarbeiter, Dozenten oder Studenten unterschieden werden
kann. Policies können angewendet werden, Bandbreite und Zugang
basierend auf diesen Informationen begrenzt werden.
♦
Das Enterasys NAC kann mobile Geräte, wie iPhones, iPads und
Androids leicht erkennen, so dass Netzwerkadministratoren Richtlinien
für deren Umsetzung je nach Bedarf implementieren können.
Alle durch das Unternehmen genehmigte Systeme nutzen das selbe
Betriebssystem
♦
Wenn ein User sich von einem System authentifiziert, das ein anderes
Betriebssystem nutzt, kann ihm beschränkter oder kein Zugriff auf
Netzwerkressourcen gegeben werden.
Secure Networks™
•
62
Zugang beschränken, wenn ein Nutzer sich von einem potentiell unsicheren
Gerät ins Netz einloggt
♦
Da die BYOD (Bring Your Own Device) Bewegung immer größer wird,
ermöglicht die Fähigkeit mobile Geräte automatisch zu erkennen und
zu identifizieren es Unternehmen, zwischen Mitarbeiter-eigenen und
Corporate-Geräten zu unterscheiden und die entsprechenden Policies
anzuwenden. Diese Fähigkeit wird untenstehend im Detail beleuchtet.
Bring Your Own Device (BYOD)
Neue mobile Geräte kommen im Höllentempo auf den Markt, werden immer
erschwinglicher, werben mit ständig steigenden Prozessor-Fähigkeiten und noch
wichtiger—fangen an mit modernen Laptops und PCs zu konkurieren. Sie treiben
Flexibilität und Produktivität voran. Die Möglichkeit, Zugang zu kritischen
Applikationen und Daten in der Hand zu halten, und zwar weltweit und zu jeder Zeit,
ist offensichtlich ein Wendepunkt in der Geschichte der traditionellen IT.
Andererseits hat das explosionsartige Auftauchen dieser Geräte einige Stolpersteine
in den Weg der Netzwerkadministratoren gelegt und macht das sichere Managen
eines Unternehmensnetzes zu einer Herausforderung. Faktisch strauchelt die
Unternehmens-IT bei den Trends hinterher zu kommen. Jedes mobile Gerät bedeutet
eine neue Sicherheitsgefährdung für Netzwerk Manager, die an die Sicherheitsgefährdungsvektoren gewöhnt sind, die traditionelle Endsysteme, wie Laptops und
Desktops, mit sich bringen und selten die Fähigkeit hatten eine separate Datenverbindung herzustellen, welche etablierte physikalische Netzwerkkontrollen und
Policies überlisten können.
Allerdings haben wir heutzutage Androids, iPhones, Windows Mobile Devices,
Blackberries und verschiedene Tablets zur Verfügung, die alle in der Lage sind
gleichzeitig Verbindungen zu ungesicherten Netzwerken, wie dem Internet, und
Unternehmensnetzen herzustellen, egal ob es eine 3G oder eine WIFI Verbindung
ist. Auf den Punkt gebracht ist dies der wachsende Trend der mitarbeitereigenen
mobilen Geräte, was als Bring Your Own Device (BYOD) Bewegung bekannt ist.
Einblicke in das mobile Gerät selbst (z.B. um Gesundheit und Sicherheitsstatus zu
bestimmen) ist nicht einfach ohne agentenbasierte Mobile Device Management
(MDM)-Lösung erreicht. Doch selbst wenn solche Systeme eingesetzt werden, gibt
es Herausforderungen für Netzwerkadministratoren. Diese Herausforderungen
basieren auf zwei Faktoren. Der Erste ist, dass viele MDM Lösungen dazu neigen,
agnostisch zu sein, wenn es um die Art geht, in welcher ein Gerät (un der MDM
Agent darauf) mit dem Management System kommuniziert werden. Mit anderen
Worten, neigen sie dazu sich nicht zu kümmern wo sie verbunden ist. Sie werden vor
allem mit einem offenen Kanal zwischen dem Management System und dem
betreffenden Gerät beschäftigt sein. Daher können sie keine Ahnung haben, ob das
Telefon mit dem Unternehmensnetzwerk verbunden ist oder nicht.
63
Secure Networks™
Der zweite und wichtigste Faktor ist, dass MDM-Lösungen keine Ahnung von
Geräten haben, die keinen Agenten auf haben, aber dennoch kann der Lage sind,
sich zum Netz zu verbinden. Dieses Szenario wird zunehmend üblich und wurde mit
der BYOD (Bring Your Own Device) Bewegung tituliert, wo Organisationen mobile
Geräte von Mitarbeitern oder Dritten auf das Netzwerk lassen. Diese Bewegung
stellt ernsthafte Sicherheitsherausforderungen für Administratoren dar, die ihr
Netzwerk und ihre Anwendungen und Daten sicher zu halten haben.
Glücklicherweise adressiert die Enterasys NAC die Sicherheit mobiler Geräte im
Ganzen oder in Teilen durch seine Fähigkeit, leicht zu erkennen, zu authentifizieren,
zu bewerten (durch die Integration mit bestimmten MDM Lösungen ) mobile Geräte
und intelligente Policies entsprechend anzuwenden, unabhängig von der Mobilgerätstrategie. Hier untersuchen wir jede kurz:
•
Mobile Device Identification: Wie bereits erwähnt, kann Enterasys NAC mobile
Geräte leicht identifizieren und Richtlinien können auf der Grundlage dieser
Identifikation geschaffen werden. Diese leistungsstarke Funktion allein kann
es einer Organisation erlauben, mit oder ohne einer MDM-Lösung, Policies
auf dem Gerätetyp zu erstellen und zu zu weisen. Für die Organisationen, die
das BYOD Konzept begrüßen, ermöglicht diese Funktion Administratoren
schneller unbekannte Geräte, verbotene Geräte, etc. zu erkennen und
entsprechende Policies zu zu weisen.
•
Mobile Device Authentication: Das Enterasys NAC kann einfach mobile Geräte
am Netzwerkzugangspunkt authentifizieren, möglicherweise unbekannte
Geräte an das eigene interne (oder externe) Captive Portal System umleiten.
Dieses Feature unterstützt die Organisationen bei der Implementation eines
BYOD Programms.
•
Mobile Device Assessment: Das Enterasys NAC beinhaltet eine interne
Assessment Engine, die mit bestimmten MDM-Lösungen integrieren werden
kann, um ein noch größeres Maß an Einsicht und Kontrolle in das Mobilgerät
Umfeld zu schaffen. Die Geräte-zentrische Art der MDM-Lösungen, kombiniert
mit den Unterschieden in mobilen Geräte-Funktionalität ergibt Sicherheitsherausforderungen, die dieses Festure adressiert. Diese Integration
ermöglicht es dem NAC nicht nur zu wissen, ob das Gerät gemanaged wird,
sondern auch Status und Sicherheit des Geräts am Netzzugang. Eine solche
Einsicht ermöglicht es Administratoren, den Zugriff für bekannte Geräte, die
einen fehlgeschlagene Gesundheits-Check im Rahmen ihres MDM-System
haben, zu verweigern.
Es ist wichtig zu betonen, dass diese Funktionen es Organisationen erlauben eine
erfolgreiche BYOD Implementation ohne die Implementierung eines MDM-Systems
durchzuführen, vor allem für jene Organisationen, die keine gemanagten mobilen
Geräten haben. Die Kombination von Geräte-Typ-Profiling und Registrierung ist ein
starkes Tool, welches es Administratoren erlaubt diese Geräte entsprechend zu
Secure Networks™
64
identifizieren und bereitzustellen, bei gleichzeitiger Vermeidung der zusätzlichen
Kosten einer MDM-Lösung . Wenn die Organisation eine bessere Kontrolle über die
mobilen Endgeräte fordert, und das Assessment wichtig ist, bietet die Integration mit
Enterasys MDM noch mehr Kontrolle und Transparenz nicht nur in die Existenz,
sondern die Gesundheit der mobilen Geräte.
Mobile Devices und Virtual Desktop Infrastructure (VDI)
Bei der Betrachtung einer mobilen Geräte Strategie für die Organisation, gibt es
noch eine weitere Option, außerhalb dessen, was oben beschrieben wurde und
bietet eine einzigartige Daten- und Anwendungssicherheit. Das ist die Virtual
Desktop Infrastructure (VDI), von Anbietern wie Microsoft, Citrix und VMware zur
Verfügung gestellt. In einem solchen Szenario sind alle Daten und Anwendungen an
einem zentralen Ort, auf welchen das Gerät Remote über eine virtuelle Schnittstelle
zugreift. In Kombination mit Enterasys NAC verwendet, kann eine Organisation:
•
Den Zugriff für mobile Endgeräte im Unternehmensnetzwerk auf VDI Nutzung
beschränken
•
Nutzerbasierte Policies für die VDI-Session im Rechenzentrum durchsetzen
•
Alle anderen Verkehr zu externen Ressourcen (zB ein Internet-Proxy) routen
65
Secure Networks™
Durch den Einsatz des NAC zusammen mit einer VDI-Lösung in dieser Weise wird
kritischer geschäftlicher Daten niemals auf dem mobilen Gerät gespeichert. Sie
werden immer innerhalb des Rechenzentrums bleiben, wo sie nur angesehen und
mit VDI-Technologie für Remote Zugriff geändert werden können. Andere
Anwendungen können nicht auf diese Daten zugreifen und wenn der Mitarbeiter das
Unternehmenareal verlässt, können die Daten nicht mitgenommen werden. Der
Mitarbeiter kann andere Anwendungen nutzen, um vollen Nutzen aus dem
Funktionsumfang des Geräts zu haben, ohne dabei die Sicherheitsrichtlinien des
Unternehmens zu verletzen. All dies wird unter Verwendung von leistungsstarken
Enterasys Policies erreicht, die direkt am Netzzugang des mobilen Geräts
durchgesetzt werden—dem WLAN-AP. Natürlich ist diese Lösung voll in die Enterasys
NAC-Lösung integriert und bietet somit den vollen Umfang an NAC-Funktionalitäten,
wie zentrales End-System-Management, Gerätetyp Profiling, Standortbestimmung,
Gast-Zugang, etc.
Secure Networks™
66
Standardbasierte Convergence und Availability
Enterasys Networks hat schon immer darauf geachtet sich so nah wie möglich an
bestehenden Standards zu orientieren und neue Standards voranzutreiben. Einige
wichtige Standards werden im Folgenden beschrieben.
Quality of Service im Netzwerk
Um Quality of Service in heutigen Netzwerken zu verwenden, ist das Einführen
bestimmter Qualitätsklassen erforderlich. Das wird auch als Diffserv bezeichnet dazu später mehr. Durch den Einsatz leistungsfähiger Switche und Router, die die
entsprechenden Standards unterstützen, können so die Verzögerungszeiten
innerhalb eines Netzwerks optimiert werden. Die Sprachpakete erhalten Ende-zuEnde eine höhere Übermittlungspriorität als beispielsweise der tägliche Email
Verkehr. Die Schwierigkeit besteht darin, die Sprachdaten zu erkennen, um sie
gegenüber den restlichen Daten zu priorisieren.
Die Servicequalität eines Netzwerks kann man als eine Kombination aus
Verzögerungszeit, Bandbreite und Zuverlässigkeit beschreiben. Wichtige
Charakteristika sind folgende Parameter:
•
•
•
Verzögerungszeit
♦
Ende-zu-Ende- oder so genannte Round-Trip-Verzögerung
♦
Varianz der Verzögerungszeit (Jitter)
♦
Echtzeit Möglichkeiten
Bandbreite
♦
Peak Data Rate (PDR)
♦
Sustained Data Rate (SDR)
♦
Minimum Data Rate (MDR)
Zuverlässigkeit
♦
Verfügbarkeit (als % Uptime)
♦
Mean Time Between Failures / Mean Time To Repair (MTBF/MTTR)
♦
Fehlerrate und Paketverlustrate
67
Secure Networks™
Die eigentliche Schwierigkeit besteht nun darin, ein gewisses Maß an
Zuverlässigkeit für die neuen VoIP-Dienste bereitzustellen. Nur mit einem Ende-zuEnde-Ansatz lassen sich diese neuen Anforderungen in der IT-Infrastruktur
umsetzen. Dabei gibt es zwei Arten (IntServ und DiffServ) von Quality of Service zum
effektiven Bandbreiten Management.
Integrated Services
Die standardisierte Integrated Services (IntServ) Methode basiert auf der
Reservierung bestimmter Ressourcen. Darunter fällt beispielsweise die Technologie
Resource Reservation Protocol (RSVP). Hierzu werden bestimmte Bandbreiten für
einen Datenstrom (Flow) Ende-zu-Ende reserviert. Jedes Element in dieser Ende-zuEnde-Kette muss das Protokoll RSVP verstehen und die Bandbreiten für die
entsprechenden Flows reservieren. Damit wird ganz schnell klar, wo die
Schwachstellen von RSVP liegen. Meist versteht nicht jeder Router in der Kette
RSVP - schon gar nicht im Internet. Weiterhin muss jeder Router diese
Informationen dynamisch vorhalten und als so genannte Soft States ablegen. Das
kann bei einer großen Anzahl von Flows sehr prozessorintensiv sein.
Eine weitere Herausforderung stellt die Zugriffskontrolle für die Netzwerkressourcen
dar. Um RSVP überhaupt möglich zu machen, braucht man einen zentralen Policy
Server. Im Jahre 1999 entstand die IETF Policy Framework Working Group. Die
Resource Admission Policy Working Group der IETF hat dann die Standardisierung
von COPS (Common Open Policy Server) vorangetrieben. COPS wurde als Protokoll
entworfen, das mit einer IntServ/RSVP (Integrated Services / Resource Reservation
Protocol) Umgebung zusammen arbeitet. Die Kommunikation zwischen dem PDP
(Policy Decision Point) und PEP (Policy Enforcement Point) dient zur Übermittlung
und der Admission von RSVP / RESV Anfragen. Das Konzept skaliert aber wie RSVP
leider nicht für große Netzwerke, daher findet man COPS Implementierungen nur
sehr selten.
Policy Based Networking mit COPS
Secure Networks™
68
Insgesamt hat sich der Integrated Services Ansatz nicht durchsetzen können.
Heutzutage wird meist DiffServ verwendet.
Differentiated Services
Differentiated Services (DiffServ) als Ansatz setzt auf OSI-Layer-3 auf. Hierzu wird
das Type of Service Feld im IP-Header genutzt. Der Hauptunterschied zu IntServ
besteht darin, dass keine Ende-zu-Ende Signalisierung der Datenflows benötigt wird.
Die einzelnen Datenpakete werden zuerst klassifiziert und dann entsprechend ihrer
Prioritäten über das Netzwerk transportiert. Damit ist es möglich zwischen
bestimmten Dienstklassen (Class of Service, CoS) innerhalb einer DiffServ-Domäne
zu differenzieren, um den unterschiedlichen Anforderungen der verschiedenen
Applikationen gerecht zu werden.
Die Netzwerkkomponenten klassifizieren das Datenpaket und leiten es dann
priorisiert weiter. Die Art und Weise der Weiterleitung der Pakete wird als Per-Hop
Forwarding Behavior (PHB) bezeichnet. PHB beschreibt generell die Zuteilung
bestimmter Bandbreiten- und Speicherressourcen sowie die angeforderten
Verkehrscharakteristika wie Verzögerungszeit oder Paketverluste. Damit ist eine
Differenzierung in verschiedene Dienstklassen möglich.
Diffserv Feld
Als Unterscheidungsmerkmal zwischen den verschiedenen PHB-Weiterleitungsklassen dient der so genannte DiffServ Codepoint (DSCP), der aus den ersten sechs
Bit im IPv4-ToS-Feld besteht. Im RFC 2474 wurde das ToS-Feld im IPv4-Header in
DS Feld umbenannt. Damit sind maximal 64 Prioritätsklassen möglich.
Zur Zeit sind folgende DSCP-Werte definiert; die anderen sind noch reserviert bzw.
stehen für experimentelle Zwecke zur Verfügung.
69
Secure Networks™
DSCP
Binary
Decimal
DSCP
Binary
Decimal
Default
000000
0
AF31
011010
26
CS1
001000
8
AF32
011100
28
AF11
001010
10
AF33
011110
30
AF12
001100
12
CS4
100000
32
AF13
001110
14
AF41
100010
34
CS2
010000
16
AF42
100100
36
AF21
010010
18
AF43
100110
38
AF22
010100
20
CS5
101000
40
AF23
010110
22
EF
101110
46
CS3
011000
24
CS6
110000
48
CS7
111000
56
Die Default Klasse ist für nicht speziell klassifizierten Traffic und entspricht damit
der IP Precedence 0.
Per Hop
Behaviour (PHB)
Diffserv Code Point (DSCP)
Default
000000
0
Low Drop
Probability
Medium
Drop
Probability
High Drop
Probability
Class 1
AF11
001010
AF12
001100
AF13
001110
1
Class 2
AF21
010010
AF22
010100
AF23
010110
2
Class 3
AF31
011010
AF32
011100
AF33
011110
3
Class 4
AF41
100010
AF42
100100
AF43
100110
4
Assured
Forwarding
Expedited
Forwarding
IP
Precedence
EF101110
5
Secure Networks™
70
Die Class Selector (CS) Code Points erlauben eine Rückwärts-Kompatibilität mit den
anderen IP Precedence Werten.
Expedited Forwarding (EF, RFC 2598) ist eine Klasse, die geringe Latenzzeiten,
wenig Jitter, möglichst keinen Paketverlust und garantierte Bandbreite zur
Verfügung stellen soll.
Assured Forwarding (AF, RFC 2597) bietet eine Vielzahl von Klassen, um den Daten
Traffic zu differenzieren und das PHB mit verschiedenen Drop Probabilities zu
definieren.
Explicit Congestion Notification (ECN)
Die Bits 6 und 7 des DSCP Feldes sind mittlerweile definiert und bilden das so
genannte ECN Feld. Die Idee bei der Explicit Congestion Notification ist, dass man
im IP Protokoll eine Flusskontrolle hat, wie man sie beispielsweise im WAN Protokoll
Frame Relay durch die FECN und BECN Bits (Forward/Backward Explicit Congestion
Notification) kennt.
Den Standard zu ECN findet man in RFC 3168; die Bits sind folgendermaßen
definiert:
•
Bit 6 ist das ECN-Capable Transport (ECT) Bit
•
Bit 7 ist das Congestion Experienced (CE) Bit
In der Kombination hat man aber beschlossen, dass nicht nur der binäre Wert 10,
sondern auch die Kombination 01 ausdrückt, dass ECN unterstützt wird. Damit
kommt man zu folgender Bedeutung der ECN Werte wie in RFC 3168 definiert:
ECT BIT
CE BIT
Bedeutung
0
0
Not-ECT (Not ECN-Capable Transport)
0
1
ECT(1) (ECN-Capable Transport - 1)
1
0
ECT(0) (ECN-Capable Transport - 0)
1
1
CE (Congestion Experienced)
Die Grundidee hinter der Explicit Congestion Notification ist, dass eine
Netzwerkkomponente, die ECN unterstützt, bei Überlast im Netzwerk Pakete nicht
verwirft, sondern stattdessen weiterleitet und mit dem CE Wert markiert, sofern sie
schon vorher als ECT gekennzeichnet sind.
71
Secure Networks™
Diese Information kann dann an den TCP Stack weitergegeben werden, der
daraufhin die Window-Size in seinem Acknowledgement Paket heruntersetzt und
damit den Sender dazu bringt, die Menge der Daten, die geschickt werden, zu
reduzieren.
So gut dieses Konzept ist, so fraglich ist auch, ob es in absehbarer Zeit im Internet
genutzt wird. Denn durch das Einschalten von ECN auf meinem Rechner reduziere
ich bei Überlast mein Datenvolumen – und die anderen, die ECN nicht nutzen,
freuen sich, denn ihre Pakete haben jetzt freie Fahrt.
Ganz anders ist die Situation in einem Firmennetz, in dem man mit einer
entsprechenden Policy durchsetzen kann, dass alle ECN nutzen. So kann man in
einem Firmennetz bei Engpässen, insbesondere im WAN, für eine vernünftige
Flusskontrolle sorgen.
IP Precedence
Das ToS (Type of Service) Feld im IPv4 Header ist zwar mittlerweile als DS Feld für
die DSCP-Werte umdefiniert, die IP Precedence Bits in ihrer herkömmlichen
Bedeutung werden aber immer noch oft als Alternative zu DSCP genutzt. Die
ursprüngliche Definition des ToS Felds (Länge: 1 Byte = 8 Bits) sieht
folgendermaßen aus:
TOS Feld
Die 3 IP Precedence Bits ermöglichen es, dem IP Paket einen Prioritätswert
zwischen 0 und 7 zu zu weisen. Die weiteren Bits waren dafür gedacht optimal
bezüglich Delay, Throughput, Reliability oder Monetary Costs zu routen. Das letzte
Bit war immer noch ungenutzt und musste deswegen auf 0 gesetzt sein (MBZ Must
Be Zero). Routingprotokolle wie OSPF unterstützen zwar laut Definition die
Auswertung dieser ToS-Bits, allerdings gibt es keine Implementierungen, die dies
auch wirklich tun.
Secure Networks™
72
Anders sieht es mit den 3 Prioritätsbits, der so genannten IP Precedence aus. Mit 3
Bits kann man folgende 8 Werte beschreiben:
•
000 (0) - Routine
•
001 (1) - Priority
•
010 (2) - Immediate
•
011 (3) - Flash
•
100 (4) - Flash Override
•
101 (5) - Critical
•
110 (6) - Internetwork Control
•
111 (7) - Network Control
Die beiden höchsten Prioritäten sind für Netzwerk Traffic reserviert. So schicken
zum Beispiel Routingprotokolle ihre Nachrichten meist mit der IP Precedence 6
(Internetwork Control). Delay-sensitive Daten wie Voice werden im Allgemeinen mit
der IP Precedence 5 versandt. Während der Defaultwert für normale Daten die IP
Precedence 0 ist, bieten die verbleibenden Werte von 1-4 die Möglichkeit, den
Datent Taffic weiter zu unterscheiden und zu priorisieren.
Bei der Wahl der bisher definierten DSCP-Werte hat man Wert auf
Rückwärtskompatibilität gelegt. So wird zum Beispiel VoIP-Traffic mit Expedited
Forwarding EF = 101110 versandt, die ersten drei Bits entsprechen also dem IP
Precedence Wert 5.
Betrachtet man Quality of Service Lösungen auf anderer Ebene, wie zum Beispiel
802.1p für Ethernet oder die Experimental Bits für MPLS, finden sich auch hier 3
Bits, um Prioritäten darzustellen. Nutzt man diese QoS-Verfahren, so werden im
Allgemeinen die 3 IP Precedence Bits in die entsprechenden Felder für 802.1p oder
MPLS kopiert.
Die Realisierung von Quality of Service mit IP Precedence Werten ist also trotz der
neueren Technik mit DSCP Werten immer noch aktuell und wird es in absehbarer
Zeit auch bleiben. Die Produkte von Enterasys Networks unterstützen
dementsprechend auch sowohl das Auslesen bzw. Setzen von IP Precedence als
auch von DSCP Werten.
73
Secure Networks™
Priorisierung nach IEEE 802.1p
Der Standard IEEE 802.1p ist ein weiterer Ansatz zur Verbesserung der
Servicequalität. Hierbei werden bestimmte Datenpakete auf dem Netzwerk
priorisiert übertragen. Man versieht die Datenpakete mit einer bestimmten
Markierung, die entsprechend des Ende-zu-Ende-Ansatzes von jedem Glied in der
Kette erkannt und danach mit bestimmter Priorität übertragen werden. Beispiele für
solch einen Ansatz sind IEEE 802.1p und Differentiated Service (DiffServ). Bei IEEE
802.1p handelt es sich um eine Erweiterung des IEEE 802.1d Standards, wodurch
ein so genanntes Tag in das Datenpaket eingeschoben wird. Dieses Tag besteht aus
2 Byte und ermöglicht zum Einen Prioritätenvergabe durch 3 Bits (was 8 Prioritäten
entspricht) und zum Anderen die Bildung von Virtuellen LANs (VLANs) nach dem
Standard IEEE 802.1q. IEEE 802.1p liefert damit eine Datenpriorisierung auf
Layer 2.
IEEE 802.1p Tag
Queuing Verfahren
DSCP, IP Precedence und IEEE 802.1p geben uns die Möglichkeit Pakete mit einem
entsprechenden Wert zu markieren und so festzulegen, welchen Service ein Paket
bekommen soll. Um diesen Service nun zu ermöglichen, braucht man dedizierte
Queuing Verfahren. Enterasys Geräte unterstützen verschiedene Queuing Methoden
wie Strict, Hybrid oder Weighted Round Robin Queuing. Dabei existieren für jeden
Port mehrere Hardware Queues. Während kleinere Geräte meist mit 4 Hardware
Queues pro Port arbeiten, hat die N-Serie bis zu 16 Hardware Queues pro Port,
abhängig von der Art des Moduls.
Secure Networks™
74
Fifo Queuing
Die einfachste Art des Queuings ist das Fifo Queuing: First In, First Out. Die Pakete
werden also in der Reihenfolge, in der sie einem Outgoing Port zugeordnet werden,
auf diesem weitergeleitet. Dieses Basis Queuing Verfahren ist per Default auf allen
Ports und gilt auch für alle Subqueues bei den komplexeren Queuing Methoden.
Strict Priority Queuing
Beim Strict Priority Queuing werden den verschiedenen Subqueues Prioritäten
zugeordnet und diese dann streng entsprechend dieser Priorität abgearbeitet.
Solange für die Queues der höchsten Priorität Pakete anliegen, werden diese
weitergeleitet. Erst wenn diese Queues geleert sind, wird die Queue mit der
nächsten Priorität bearbeitet.
Dieses Verfahren hat den Vorteil, dass Pakete der höchsten Priorität mit minimaler
Latenzzeit das Gerät wieder verlassen. Daher wird Strict Priority Queuing gerne für
VoIP Pakete genutzt.
Der Nachteil besteht darin, dass man in der Planung und Klassifizierung der Pakete
sehr vorsichtig sein muss. Bekommen zu viele Pakete fälschlicherweise eine hohe
Priorität, kann der Traffic der unteren Klassen ‚verhungern’, also nicht mehr
weitergeleitet werden, da alle Kapazitäten von den höher eingestuften Paketen
verbraucht werden.
75
Secure Networks™
Weighted Round Robin Queuing
Weighted Round Robin Queuing
Beim Weighted Round Robin Queuing werden die verschiedenen Queues im
Wechsel bedient. Um den Traffic aber unterschiedlich gewichten zu können, wird
jeder Queue eine bestimmte Prozentzahl der Kapazität zugestanden, das so
genannte Weight. Auf diese Weise kann man Paketen durch eine höhere
Gewichtung der zugehörigen Queue einen besseren Service garantieren. Dabei ist es
aber immer noch gewährleistet, dass jede Queue eine gewisse Bandbreite
zugestanden bekommt.
Hybrid Queuing
Hybrid Queuing
Secure Networks™
76
Eine Mischform zwischen Priority Queuing und Weighted Round Robin Queuing
bietet das Hybrid Queuing, in dem die Vorteile beider Verfahren kombiniert werden.
Dabei wird einem Weighted Round Robin Queuing eine Priority Queue vorgelagert.
Diese Priority Queue wird im Allgemeinen für VoIP Pakete oder vergleichbaren
zeitsensiblen Traffic genutzt. Da die entsprechenden Pakete normalerweise wenig
Bandbreite benötigen, ist die Gefahr des ‚Verhungerns’ des übrigen Traffics gering,
die VoIP Pakete bekommen aber die benötigte bevorzugte Behandlung, um kurze
Latenzzeiten zu garantieren.
Der andere Traffic erhält gemäß dem Weighted Round Robin Verfahren die ihm
zugestandene Bandbreite.
Rate Limiting und Rate Shaping
Manchmal ist es auch notwendig, die von bestimmtem Traffic genutzte Bandbreite
zu begrenzen. Dies ist durch Rate Limiting oder Rate Shaping möglich. Rate Limiting
kann für ankommende (Inbound Rate Limiting) oder ausgehende (Outbound Rate
Limiting) Pakete geschehen, dabei werden Pakete, welche die konfigurierte Rate
überschreiten, verworfen. Beim Rate Shaping versucht man, den Traffic innerhalb
der vorgegebenen Rate zu halten, indem man Pakete zwischenspeichert. Rate
Shaping macht daher nur für ausgehenden Traffic Sinn.
Zur Konfiguration von QoS auf Enterasys Komponenten finden Sie weitergehende
Informationen unter
http://secure.enterasys.com/support/manuals/hardware/QoS.pdf
Wireless LAN
Wireless LAN ermöglicht Unternehmen erhöhte Flexibilität (zum Beispiel mobile
Büros, schnelle Anbindung neuer Bereiche), aber auch Kostensenkung durch
Prozessintegration (zum Beispiel Scanner im Logistikbereich), direkte
Dokumentation auf digitaler Ebene, mobile Visite im Bereich Gesundheitswesen,
Lokation-Tracking zum Auffinden von mobilen Gütern und Personen). Oft wird auch
die Bereitstellung von Gastzugängen über Wireless LAN realisiert.
Insbesondere die Trends in Unternehmen, zum Einen bestehende DECT Systeme
durch VoIP over Wireless LAN (WLAN) zu ersetzen als auch zum Anderen die
Anforderung neuer Multifunktionssysteme (insbesondere SmartPhones, PDAs) mit
GSM/GPRS, UMTS, Bluetooth und WLAN Schnittstellen gerecht zu werden und ein
kostenoptimiertes Roaming anzubieten (ein Mitarbeiter, der heute mit dem GSM
Handy im eigenen Unternehmen telefoniert, wird in Zukunft direkt ins WLAN seines
Unternehmens eingebucht und telefoniert dann über VoIP - „kostenlos“) sind hier
die wesentlichen Faktoren.
77
Secure Networks™
Viele der oben genannten Technologien und Mehrwerte wurden erst durch die WLAN
Switching Architektur vollwertig und praktikabel umsetzbar. Hierbei wird die bei der
„Thick-AP“-Architektur vorhandene verteilte Intelligenz je Access Point in eine
zusätzliche Komponente, dem so genannten WLAN Switch oder Controller
zentralisiert. Die Access Points selbst werden in so genannte „Thin-APs“
umgewandelt und fungieren nur noch als „intelligente Antennen“. Dadurch wird eine
skalierbare, flexible und zukunftssichere WLAN Umgebung geschaffen die Hunderte
von WLAN Switchen und Tausende von APs umfassen kann. Als oberste
Hierarchieebene wird meist auch noch ein WLAN Management System eingesetzt,
das zentral über WLAN Switch Grenzen hinweg Planungs-, Konfigurations-,
Monitoring- und Alarmierungsdienste zur Verfügung stellt. Typische Funktionen einer
WLAN Switching Lösung sind z.B.:
•
Automatische Kanalwahl
•
Automatische Regelung der Sendeleistung
•
Loadbalancing zwischen den APs
•
Verarbeiten von Gebäude/ Geländeplänen, um die Funkausbreitung/ Clients/
RFID-Tags/ Fremd-APs visuell darzustellen
•
Verkürztes, subnetübergreifendes Roaming
•
Automatisiertes Erkennen, Lokalisieren und Bekämpfen von Fremd-APs und
Clients
•
Zentralisierte Planung, Deployment, Reporting & Alarmierung
Durch Enterasys wurde im Speziellen der Begriff „Fit APs“ geprägt. Durch diese
Architektur bleibt ein großer Anteil der Intelligenz in den APs erhalten. Dies
ermöglicht dezentrales Traffic-Forwarding direkt am AP mit allen nötigen
Parametern, wie zum Beispiel QoS, Rate Limit, ACLs, usw., und eleminiert dadurch
den Flaschenhals am Controller.
Sicherung von WLAN Netzen
Zur Sicherung der Luftschnittstelle wurde ursprünglich der Sicherheitsstandard
Wired Equivalent Privacy (WEP) eingeführt. Dieser erwies sich jedoch schon nach
kurzer Zeit als lückenhaft, dass heißt durch das Aufzeichnen und Analysieren der
Kommunikation ist es möglich den Netzwerkschlüssel zu ermitteln und somit die
„Privacy“ zu kompromittieren.
Secure Networks™
78
Der eigentliche Standard (IEEE 802.11i) zur Sicherung von WLANs war zu diesem
Zeitpunkt noch in Arbeit, daher etablierte sich WPA als Zwischenlösung. Hier wurden
durch diverse Hilfsmittel, wie dynamische Schlüssel, bessere Authentifizierung,
insbesondere durch Berücksichtigung von RADIUS Authentifizierung, eine höhere
Sicherheit gewährleistet, welche noch nicht kompromittiert wurde.
Das Thema Sicherheit im Wireless LAN ist nach langer Diskussion nun final gelöst:
Der Standard 802.11i (auch WPA2 genannt) ist verabschiedet und bietet für alle
existierenden Sicherheitslücken innerhalb der 802.11 Familie eine adäquate
Lösung. Die Authentifizierung via 802.1x (Port Based Authentication) und dessen
gängige Methoden EAP-TLS, PEAP und EAP-TTLS (zertifikats- und passwortbasiert)
stellen neben der eigentlichen Authentifizierung die Basis für das Key Management
dar. Die Verschlüsselung ist 128-Bit AES (Advanced Encryption Standard) -basiert.
Die Integrität von Daten und Header wird durch CCM (CCM = Counter Mode
Encryption mit CBC-MAC) gewährleistet. Replay Attacks werden durch ein IV
(Initialization Vector) Sequencing mit 48 Bit IV verhindert.
Ein weiterer Punkt zur Sicherung von WLAN Netzen ist der Umgang mit Fremd-APs/
Clients sowie 802.11-fremden Störungen, wie z.B defekten Mikrowellen oder DECTStadionen, die das gesamte RF-Spektrum stören. Hierzu scannen die APs
automatisch nach anderen Geräten, die im selben RF-Band arbeiten. Dadurch
werden fremde Sender sowie natürlich die APs, die zum eigenen System gehören,
erkannt. Alle fremden Sender stellen potentielle Rogues dar. Hierbei ist eine
automatische Unterscheidung zwischen „Interfering AP“, „Rogues“ und „Ad-hoc
Clients“ wichtig.
Ein interfering AP wird auf der RF-Schnittstelle von den APs gesehen. Dieser hat
jedoch keine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt daher
nur eine Störung auf der Funkseite dar. Meist sind dies Netze in benachbarten
Gebäuden oder interne, unabhängige WLANs.
Ein Rogue hingegen hat auch eine Verbindung über die LAN Schnittstelle ins eigene
Netz und stellt damit ein erhöhtes Sicherheitsrisiko dar, da sich über diesen AP
auch fremde Clients in das interne Netz einloggen können.
Ad-hoc Clients kommunizieren direkt miteinander ohne Verbindung zum
eigentlichen Netzwerk. Dies stellt ähnlich wie die interfering APs kein direktes
Sicherheitsrisiko dar, allerdings werden sie als Störung auf der Funkseite erkannt.
Diese Unterscheidung wird automatisch vom den Systemen vorgenommen und
kategorisiert. Weiterhin stellen die Systeme Möglichkeiten zur Verfügung, um
Gegenmaßnahmen zu ergreifen, die verhindern, dass sich WLAN Clients mit einem
Rogue AP verbinden. Hierbei gibt sich das WLAN Switching System als Rogue AP aus
und sendet disassociation frames zu den am eigentlichen Rogue AP eingeloggten
Clients. Diese verlieren dadurch die Verbindung und es kann keine saubere
Kommunikation mehr aufgebaut werden. Zusätzlich können alle Arten von FremdAPs/Clients mit Hilfe von Gebäudeplänen lokalisiert werden.
79
Secure Networks™
Voice over WLAN – QoS & Security
Die Zugriffsmethode für WLANs basiert derzeit meist noch auf CSMA/CA (Carrier
Sense Multiple Access with Collision Avoidance). Damit können keine QoS Merkmale
geliefert werden.
Der IEEE 802.11e Standard beschreibt einige Erweiterungen, um diese Merkmale in
einer WLAN Umgebung zu ermöglichen. Einige Unterfunktionen dieses Wireless
Standards werden als WiFi Multimedia (WMM) vermarktet.
WMM eignet sich vor allem für Video- und Sprachübertragungen. Für den
Kanalzugriff (Medium Access Control - MAC) sind in IEEE 802.11 zwei Verfahren
spezifiziert worden: Die Distributed Coordination Function (DCF) ist ein verteilter,
zufallsgesteuerter Zugriffsmechanismus (Carrier Sense Multiple Access with
Collision Avoidance, kurz: CSMA/CA), der einen Best-Effort-Dienst liefert. Die Point
Coordination Function (PCF) ist ein zentral gesteuerter Mechanismus, bei dem die
beteiligten Stationen in regelmäßigen Abständen durch einen Master
(typischerweise ein Access Point) per Polling ein Senderecht erhalten. Auf diese
Weise kann für die beteiligten Stationen eine gewisse Bandbreite zugesichert
werden. Die Implementierung der DCF ist in IEEE 802.11 zwingend vorgeschrieben,
die Realisierung der PCF ist jedoch nur als optional klassifiziert. Daher wundert es
nicht, dass in allen bekannten Implementierungen lediglich die DCF umgesetzt
wurde. Da DCF zufallsgesteuert in einem Shared Medium, wie Wireless LAN,
arbeitet, ist bei dieser Technik jedoch keine Bandbreitengarantie möglich – die
Latenzzeit kann stark schwanken (Jitter) was für VoIP sehr negative Auswirkungen
auf die Sprachqualität hat:
Komponenten einer VoWLANVoWLAN-Lösung
Secure Networks™
80
Aus den oben genannten Gründen verwenden die meisten VoWLAN-Phone Hersteller
eine Kombination aus standardbasierten und propritären Mechanismen, um ein
schnelles Hand-Over von AP zu AP zu ermöglichen. Das Ziel dieses
Roamingvorganges ist es ein für den Enduser nicht merkbares Wechseln der
Funkzelle zu ermöglichen. Bei den heute am meisten verwendeten Codecs G.711
und G.729 beträgt die maximal zu akzeptierende Roamingzeit ca. 50ms.
Class
Applications
Traffic
Latency Delay
Packet Loss
Sensitivity
Background
FTP
Bidirectional/Asymetric
Unbounded
Low
Email
Variable Pkts
<5-10s
Web
Tolerable
Telnet
Variable Pkts
<1s
Video Gaming
Tolerable
Variable Pkts
<100ms
Interactive
Fast Interactive
Non-RT
Streaming
VOD
Unidirectional
Bounded
Cable TV
Large Pkts / Multicast
<5s
RT Streaming
IP TV
Unidirectional
Bounded
Large Pkts / Multicast
<1s
VoIP
Birdirectional
Strict & Low
Video Phone
Small Pkts
<50ms
Conversational
Low
High
Low
High
High
(VoIP, Gaming)
Internet Game
Large Pkts
(Video Phone)
Als Roaming-Vorbereitung eines VoWLAN-Clients ist es nötig, dass dieser die APs in
seinem Sendebereich kennt. Um dies umzusetzen, senden die Clients ProbeRequests. Manche VoWLAN-Clients können so konfiguriert werden, dass nur
bestimmte Kanäle (1,6,11) gescannt werden oder es werden spezielle Elemente in
den AP Becons verwendet, um die Scangeschwindigkeit zu verbessern. Ebenso
können manche Endgeräte so eingestellt werden, dass sie das Scannen erst bei
Erreichen eines bestimmten Schwellenwerts beginnen. Dieser liegt meist bei -65 bis
-70dBm. Diese Funktionen verbessern die Akkulaufzeiten und sorgen für ein
schnelleres Roaming.
81
Secure Networks™
Eine der größten Hürden in Bezug auf schnelles Roaming beim Ausrollen von
VoWLAN-Lösungen sind die Verschlüsselungstechniken. Das beste
Roamingverhalten wird bei unverschlüsseltem Verkehr oder mit WEP mit unter 8ms
erreicht. Dieser Wert umfasst die Zeitspanne vom letzten erfolgreich gesendeten
Paket auf dem alten AP bis zu dem ersten erfolgreich gesendeten Paket auf dem
neuen AP.
Roamingvorgang ohne Verschlüsselung
Durch die Einführung von 802.11i wurde die Sicherheit in WLAN-Netzen drastisch
erhöht, speziell auf 802.1x-basierende Implementierungen, allerdings auf Kosten
eines schnellen Roamingvorgangs. Durch die Einbeziehung eines RADIUS Servers
bei diesem Standard innerhalb jedes Authentifizierungsvorgangs werden die
Roamingzeiten auf 50-200ms erhöht.
Selbst unter besten Voraussetzungen mit einem lokalen, nicht unter Last stehenden
RADIUS Server werden sehr schnell die gewünschten 50ms überschritten. Dies wird
durch den Einsatz von WPA-PSK umgangen. Beide dazugehörigen Standards, WPAPSK und WPA2-PSK, erreichen fast ein ähnliches Sicherheitsniveau wie die 802.1xImplementierung, jedoch ohne Einbeziehung einer RADIUS Abfrage. Zusätzlich zu
den einfachen Verfahren ohne Verschlüsselung oder WEP wird jedoch bei jedem
Roamingvorgang die Erzeugung von Keys vorgenommen. Dieser Vorgang führt zu
einer Verzögerung von weniger als 7ms bei WPA-PAS und 5ms bei WPA2-PSK. Dies
führt in der Summe zu Gesamtroamingzeiten von 13-15ms. Das ist eine erhebliche
Verbesserung gegenüber Verfahren die einen RADIUS Server ansprechen.
Secure Networks™
82
Roamingvorgang mit WPA Verschlüsselung
Allerdings ergeben sich durch den Einsatz von WPA-PSK auch einige Nachteile. So
ist diese Technologie, wie alle Preshared-Key-Technologien, anfällig gegenüber
Wörterbuchattacken sobald ein einfacher Verschlüs selungskey gewählt wurde.
Weiterhin ist das Ändern des Keys auf den Endgeräten meist mit einem
Konfigurationsaufwand auf jedem Endgerät verbunden. Diese Punkte treffen für
eine auf RADIUS Abfrage basierende Technologie nicht zu. Um die zusätzlich
benötigten schnellen Roamingvorgänge umsetzen zu können, die bei VoWLAN
benötigt werden, wurden zwei neue Technologien entwickelt: OKC und PreAuthentication.
Opportunistic Key Caching (OKC) verteilt den Key, den ein WLAN-Phone bei der
ersten RADIUS Abfrage (für gewöhnlich beim Einschalten) erhält, auf alle APs, die
den Service beinhalten. Bei einem Roamingvorgang ist es nun nicht mehr nötig den
RADIUS Server abzufragen, da sich der passende PMK bereits auf den APs befindet.
83
Secure Networks™
Dadurch ergeben sich Roamingzeiten wie bei der PSK-Variante mit den SecurityVorteilen einer RADIUS Infrastruktur. Allerdings wird das Sicherheitsniveau einer
vollen 802.11i Implementierung nicht erreicht, da der gleiche PMK auf alle APs
verteilt und für die Authentifizierung und Verschlüsselung benutzt wird. 802.11i
fordert jeweils einen neuen PMK per Session pro AP. Zur Zeit gibt es noch wenige
Endgeräte die OKC unterstützen.
Pre-Authentication ist eine Lösung, die eine volle RADIUS Abfrage an jedem AP
benutzt, aber der Vorgang, mithilfe der das Roaming stattfindet, ist erheblich
zeitsparender. Mit Pre-Authentication führt das Endgerät eine vollwertige RADIUS
basierende Authentifizierung beim erstmaligen Verbinden mit einem AP durch.
Danach scannt das Endgerät nach jedem AP in der Umgebung mit der selben ESSID
(aber anderen BSSID) und nutzt seine existierende Verbindung zur Infrastruktur, um
eine vollwertige RADIUS Authentifizierung an den umgebenden APs durchzuführen
bevor der Roamingvorgang stattfindet. Der PMK wird sowohl von dem AP als auch
Endgerät für eine spätere Benutzung vorgehalten. Bei einem Roamingvorgang wird
über diesen Key ein Sessionkey je AP generiert. Der Zeitaufwand hierfür ist
vergleichbar mit dem bei WPA-PAK. Pre-Authentication ist anfällig gegenüber
Infrastrukturen mit hoher AP-Dichte und sehr mobilen Endgeräten. Dies kann zu
Situationen führen, bei denen ein Roamingvorgang stattfindet bevor die PreAuthentication durchgeführt wurde. Die Technologie gilt als sicherer als OKC, ist aber
erst auf wenigen Endgeräten verfügbar. Beim Siemens WL2 Handset werden beide
Funktionen unterstützt.
Load Balancing in VoWLAN-Umgebungen wird durch eine von mehreren Call
Admission Control (CAC) Funktionen erreicht. Enterasys WLAN benutzt hierzu TSPEC,
wobei ein Endgerät eine Traffic-SPECification (TSPEC) erstellt und diese an den AP
sendet. Dieser reserviert die angekündigte Menge an Up- und Down-Stream
Bandbreite. Die Implementierung erlaubt es Limits für neue und bestehende
Roaming-Verbindungen zu setzen. Weiterhin können Bandbreitenreservierungen in
unabhängigen Klassen gemacht werden, in denen z.B. Voice eine höhere Priorität
bekommt als Video. Die Implementierung beim Enterasys WLAN geht sogar soweit,
dass spezielle Aktionen definiert werden können sobald die angekündigte Up- und
Down-Stream Bandbreite überschritten wird, dies geschieht auf einer per SSIDBasis.
Secure Networks™
84
Background Traffic (Up-Stream kbps / Down- Maximum Concurrent Calls per AP
Stream kbps) 802.11b-only
(SpectralLink w. G.711 codec)
0 /0
12
20 / 20
10
100 / 100
8
200 / 200
8
500 / 500
6
1000 / 1000
4
2000 / 2000
2
LokationLokation-Tracking in WLAN Netzen
Ein weitere Technologie, die erst durch WLAN Switching ermöglicht wurde, sind
Location Based Services. Mit Hilfe dieser Technologie können Geräte geortet
werden, die eine WLAN Karte besitzen (Notebooks, VoIP WLAN Phones) sowie
dedizierte Location Tags, in denen z.B. Panic-Buttons und Bewegungssensoren
integriert sind. Diese können an wichtigen Gütern, z.B. mobilen Infusionspumpen im
Krankenhausbereich oder an Staplern in der Logistik, befestigt werden. Durch die
lokationsbezogenen Daten kann sehr einfach eine Prozessoptimierung durchgeführt
werden wie z.B standortabhänige Disponierung von Staplern im Logistikbereich.
Für die Ortung selbst werden verschiedene Technologien eingesetzt:
Anwesenheit
Ein Tag sendet z.B alle 2 Minuten oder sobald er bewegt wird ein Signal. So wird
sichergestellt, dass immer die aktuelle Lokation angezeigt wird.
Echtzeit
Ein Client/Tag wird gezielt vom User/System abgefragt und die aktuelle Lokation
zurückgemeldet.
Lokationsbezogen
Ein Tag wird bei Passieren einer bestimmten Lokation über einen so genannten
Exiter gezwungen, seine Lokation an das System zu melden.
85
Secure Networks™
Weiterhin gibt es verschiedene Ortungsmethoden:
AP Connection und RSSIRSSI-Wert
•
Die bekannte AP Lokation sowie der RSSI-Wert des Client ergibt eine
Abstandsabschätzung
•
Der Client befindet sich auf der RSSI-Kontour
•
RF-Hindernisse haben Einfluss auf die RSSI-Kontour
•
Zur Lokationsbestimmung wird die Client Sendestärke verwendet
LokationLokation-Tracking in WLAN Netzen
Trilateration
•
Bekannte AP Lokationen und Client RSSI-Werte ermöglichen Distanzangaben
•
Ab einer Anzahl von 3 Distanzwerten (APs) kann die Lokation sauber
bestimmt werden
•
RF-Hindernisse können die Qualität der Werte beeinflussen
•
Folgende Faktoren können die Werte verbessern
♦
Anzahl der Aps, die den Client sehen
♦
Geometrie der APs
♦
Qualität des RF-Models des Gebäudeplans
Secure Networks™
86
Trilateration
Serverbasierendes Pattern Matching
•
Der von mehreren APs gesehene RSSI-Pattern eines Clients kreiert einen
eindeutigen „Fingerabdruck“
•
Hat ein weiterer Client den selben RSSI-Pattern, ist er an der gleichen
Lokation
•
Client Sendestärke ist nicht relevant
•
kein RF-Model des Gebäudes notwendig
Serverunterstützte Lokation
87
Secure Networks™
802.11n802.11n- ein neuer Standard
Mit der Einführung des 11n-Standards, der in 2008 verabschiedet wurde, haben
einige signifikante Änderungen und Verbesserungen in der WLAN Technologie
Einzug gehalten.
Aus technischer Sicht sind dies 3 Hauptkomponenten:
Multiple Input Multiple Output (MIMO) Technologie
Bei 11a/b/g wurde bisher die gesamte Datenmenge über eine Antenne gesendet
und empfangen. Mit der MIMO Technologie wird der Datenstrom über einen Splitter
auf mehrere Sende-/Empfangsantennen (2 oder mehr Stück je nach Produkt)
aufgeteilt.
Übertragung über mehrere Antennen - MIMO
Die Anordnung der Antennen auf den WLAN Karten ist so gestaltet, dass die
Ausbreitung des Funksignals räumlich versetzt erfolgt und es so zu keinen
gegenseitigen Störungen bei der Übertragung kommt. Während die bisherigen
Technologien teilweise Probleme mit Reflexionen hatten, nutzt MIMO diese bewusst
und erreicht dadurch einen erhöhten Durchsatz sowie auch eine robustere
Kommunikation.
Kanalbündelung
Der einfachste Weg, um den Durchsatz in einem WLAN Netz zu erhöhen, ist die
Verdopplung des genutzten Frequenzbandes. 11n nutzt dies um 2 benachbarte 20
Mhz-Kanäle zusammen zu fassen. Diese Technologie ist am effektivsten im 5 Ghz
Secure Networks™
88
Bandbereich in dem 19, überlappungsfrei 20 Mhz-Kanäle zu Verfügung stehen. Im
2,4 Ghz-Bereich ist diese Technik weniger effektiv, da bereits mit der alten
Technologie nur 3 überlappungsfreie Kanäle verfügbar sind. Durch Kanalbündelung
wird dies auf einen Kanal vermindert, was einen praktikablen Einsatz ausschließt.
Packet Aggregierung
Bei konventionellen WLAN Techniken ist der Overhead, um ein Datenpaket zu
übermitteln fix, egal wie groß das Paket selbst ist. Bei 11n werden mehrere
Nutzdatenpakete zu einem einzigen Sende-Frame zusammengefügt. Dadurch
können mehrere Pakete mit den Overhead-Kosten eines Einzigen gesendet werden.
Die Effektivität dieser Technologie ist je nach Anwendung verschieden. Besonders
groß ist der Vorteil z.B bei großen Filetransfers, wobei aber z.B. Echtzeitanwendungen wie Voice oder Video davon nicht profitieren.
Vorteile durch 802.11n
Erhöhte Kapazität
Bei 11n wird die Kapazität einer WLAN Zelle von 14-22 Mbps bei 11a/g auf 100200 Mbps erhöht. Verteilt auf mehrere User pro Zelle sind damit Geschwindigkeiten
von bis zu 100 Mbps pro User möglich, was sich in der Praxis in einer größeren
Bandbreite für mehr User zeigen wird.
Erhöhte Reichweite
Durch die MIMO Technologie und das bewusste Arbeiten mit Reflexionen durch die
räumlich versetzte Funkausbreitung der Funkwellen wird die Reichweite je AP
erhöht. Dies wird auch dazu führen, dass die Datenrate mit steigendem Abstand
vom AP zum Client langsamer fällt als bei den bisherigen Technologien und somit
eine größere Abdeckung mit weniger APs erreicht wird.
Höhere Verfügbarkeit / Robustheit
Bei den bisherigen Technologien kann die Performance eines WLAN Clients schon
bei kleinsten Bewegungen oder Änderungen an der Umgebung (Schließen einer Tür,
geänderter Einrichtung) stark beeinträchtigt werden. Dieses Problem wird durch
Einsatz von unterschiedlichen Antennen entschärft. Fast jedes WLAN Gerät hat 2
Antennen, wobei immer nur die aktiv ist, die das beste Signal bekommt. Durch die
MIMO Technologie sind bei 11n immer 2-3 Antennen gleichzeitig aktiv, die dadurch
die Robustheit und Verfügbarkeit erhöhen.
89
Secure Networks™
Design
Durch die Abwärtskompatibilität von 802.11n mit a/b/g wird auch die Performance
in einer 11n-Funkzelle auf die Geschwindigkeit der bisherigen Technologien
verringert. Der größte Teil der bisherigen WLAN Clients arbeitet im 2,4 Ghz-Bereich.
Durch die Einschränkung bei der Kanalbündelung in diesem Frequenzband und
einer oft geforderten Unterstützung der bisherigen WLAN Clients, wird im 2,4 GhzBereich zukünftig 11n sehr oft in einem Kompatibilitätsmodus betrieben werden. Im
5 Ghz-Bereich hingegen wird der Vorteil durch Kanalbündlung voll ausgespielt und
die neue Technik in einem 11n-only Modus gesetzt werden, wodurch die oben
genannten Vorzüge voll zum Zuge kommen. Abwandlungen dieses Designs können
je nach Anforderungen und Randbedingungen auftreten, so z.B. wenn man komplett
neue WLAN Netze (Access Points & Clients unterstützen 11n) aufgebaut (Greenfield)
oder wenn ein komplett unabhängiges 11n-Netz zu einem bestehenden 802.11a/b/
g Netz aufgebaut wird (Overlay).
11n WLANs und heterogene WLAN Client Umgebungen
Obwohl die Anzahl der installierten 11n-APs stetig steigt, findet man Client-seitig fast
ausschließlich Umgebungen in denen 11n- und 11a/b/g-Clients auf die gleiche
Infrastruktur zugreifen. Durch den bestehenden Zugangsmechanismus wird jedem
Client, unabhängig von der Geschwindigkeit mit der er verbunden ist, erlaubt die
gleiche Anzahl an Pakete zu versenden. Bei gemischten Client-Zugangstechnologien
(11n vs .11a/b/g) führt dies dazu, dass zum Beispiel ein 11b Client den Kanal
erheblich länger belegt als ein 11n Client. In der Summe wird dadurch der
Gesamtdurchsatz der Funkzelle erheblich vermindert. Dieses Verhalten wird als
Packet Fairness bezeichnet.
Durch Ändern dieses Verhaltens von Packet Fairness auf Airtime Fairness, bei dem
jedem Client die gleiche Sendezeit eingeräumt wird, wird der Gesamtdurchsatz der
Funkzelle gesteigert.
ůŝĞŶƚDŝǆ
ϭϭĂΛϲDďƉƐ
ϭϭĂΛϮϰDďƉƐ
ϭϭŶ,dϮϬΛϭϬϰDďƉƐ
ϭϭŶ,dϰϬΛϮϰϬDďƉƐ
dŽƚĂůdŚƌŽƵŐŚƉƵƚ
ĨĨĞĐƚŝǀĞĂŶĚǁŝƚŚ;DďƉƐͿ
WĂĐŬĞƚ
ŝƌƚŝŵĞ
&ĂŝƌŶĞƐƐ
&ĂŝƌŶĞƐƐ
ϰ͘ϱ
ϭ͘ϱ
ϰ͘ϱ
ϲ
ϰ͘ϱ
Ϯϲ
ϰ͘ϱ
ϲϬ
ϭϴ͘Ϭ
ϵϯ͘ϱ
Secure Networks™
90
Unten zwei Beispiele, die beide Technologien und deren Effizienz gegenüberstellen:
Packet Fairness
Airtime Fairness
Das WLAN kann zwischen Packet Fairness und Airtime Fairness je WLAN Service
flexibel in mehreren Stufen umgeschaltet werden.
91
Secure Networks™
Power over Ethernet
Im Convergence Bereich stellt sich auch die Frage der Stromversorgung für Geräte,
wie zum Beispiel IP-Telefone. Der große Vorteil von PoE ist, dass keine zusätzliche
Stromversorgung zu den Endgeräten verlegt werden muss und deren Installation
damit einfacher wird. Das ist insbesondere wichtig für IP-Telefone, schließlich ist es
für den Anwender äußerst unkomfortabel gleich zwei Kabel auf dem Schreibtisch
liegen zu haben, wobei das Eine meist noch ein externes Netzteil enthält. Ansonsten
ist PoE vor allem für Wireless Access Points, Kartenlesegeräte oder Kameras
interessant.
Der IEEE 802.3af Standard ist eine Ergänzung des 802.3 Standards, welcher die
Stromversorgung mit Gleichstrom über 10, 100 und 1000Base-T twisted pairVerkabelung beschreibt. Dabei sind auf jedem Port ausgangsseitig maximal 15,4
Watt Leistung mit einer Spannung bis zu 48 Volt verfügbar, wobei sich die
Verbraucher auch mit geringerem Maximalverbrauch anmelden können, wenn die
optionalen Klassen 1 (max. 4 W) oder 2 (max. 7,0 W) unterstützt werden. Unter
Berücksichtigung der Verlustleistung auf den Leitungen, darf das Endgerät
eingangsseitig dann maximal 12,95 W bzw. 3,84 bei Klasse 1 und 6,49 bei Klasse 2
verbrauchen. Der gelieferte Strom wird dabei auf jedem der Ports ständig
überwacht, so dass das so genannte „Power Sourcing Equipment“ (PSE), welches
den Strom liefert (dass heißt der Switch) entscheiden kann, ob ein neu
hinzugekommener Port überhaupt noch mit Strom versorgt werden darf. Würde die
insgesamt verfügbare Leistung des Switches überschritten, würde der Port nicht mit
Strom versorgt und damit eine Überlastung verhindert. Die Überwachung der PoEspezifischen Porteigenschaften mittels SNMP wurde durch die IETF in RFC 2665
standardisiert.
IEEE 802.3af-fähige Geräte müssen diverse Anforderungen erfüllen. Die Wichtigsten
beziehen sich auf Kompatibilität zwischen PoE- und nicht PoE-fähigen Geräten.
Schließlich darf es nicht passieren, dass beim Anschluss eines nicht PoE-fähigen
Geräts an einen PoE-fähigen Switch das Gerät durch eine Überspannung beschädigt
wird. Weiterhin muss PoE über die vorhandene (drahtgebundene)
Ethernetverkabelung möglich sein (Cat3, Cat5, Cat5e und Cat6). Offiziell bezeichnet
der Standard die stromeinspeisenden Geräte als PSE (Power Sourcing Equipment).
Um PoE sowohl mit PoE-fähigen als auch mit nicht PoE-fähigen Switchen einsetzen
zu können, wurden zwei Methoden der Stromeinspeisung vorgesehen: Zum Einen
durch den Switch direkt, zum Anderen über Midspan Geräte, dass heißt Geräte, die
in das Kabel zwischen Switch und Verbraucher eingeschleift werden und dann das
Endgerät mit Strom versorgen.
Es gibt zwei Gründe warum man Switch und Midspan anstelle von PoE-fähigen
Switchen einsetzt. Einerseits gibt es alte Geräte, die den Standard noch nicht
unterstützen, andererseits lohnt es sich manchmal auf Grund der geringen Anzahl
von benötigten PoE-Ports nicht alle Switche mit PoE auszustatten.
Secure Networks™
92
Die Übertragung des Stroms kann bei PoE sowohl über die Datenleitungen als auch
über die bei Ethernet bzw. Fast Ethernet ungenutzten Adernpaare 4,5 und 7,8
erfolgen. Im Falle von Gigabit Ethernet erfolgt die Einspeisung zwangsweise über
Leitungspaare, die auch für die Datenübertragung genutzt werden.
PoE enabled Switche
Enterasys bietet eine Reihe von Geräten an, die als PSE arbeiten können:
Bei der S-Serie ist dies mit einem 48 Port 10/100Base-TX Board mit externem
Powershelf realisiert. Der N5 hat dafür 4 integrierte, modulare 1200 Watt PoE
Netzteile. Die gesamte A/B/C-Serie ist ebenfalls als PoE-Variante erhältlich.
Mehr Power – IEEE 802.3at Draft
Die IEEE hat unter dem Kürzel 802.3at eine Arbeitsgruppe zur Weiterentwicklung
von Power over Ethernet gebildet. Ziel der auch als PoE+ bezeichneten Initiative ist
es, über die vier Adern eines Minimum-Ethernet- Kategorie-5-Kabels bis zu 56 Watt
Leistung zu übertragen.
Damit wird es möglich Geräte mit höherem Leistungsbedarf wie z.B. 802.11n
Access Points direkt über ein Kabel mit Strom zu versorgen.
93
Secure Networks™
Standard Based Availability
In der heutigen Zeit ist Business ohne Nutzung von IT und dem darunter liegenden
Netzwerk fast nicht mehr denkbar. Dementsprechend wichtig ist es, dass das
Netzwerk und die darauf laufenden Services permanent zur Verfügung stehen. Um
die Verfügbarkeit beliebiger Systeme ganzheitlich zu realisieren, muss auch hier vor
allem auf Standards gesetzt werden.
Redundanz
Woraus besteht hohe Verfügbarkeit? Typischerweise versteht man darunter, dass
die über das Netzwerk operierenden Dienste wie VoIP, SAP, etc. weitgehend
unbeeinflusst von Ausfällen oder Umstrukturierungen im Netzwerk bleiben. Um das
zu realisieren, müssen die einzelnen Schichten der Netzwerkkommunikation einzeln
betrachtet und gesichert werden. Für die eigentliche Sicherung gibt es zwei
grundlegende Ansätze: Zum Einen die zu sichernde Komponente so stabil wie
möglich zu machen, zum Anderen eine Redundanz (zum Beispiel in Form eines
zweiten Gerätes) bereitzuhalten, durch die alle Funktionen der ausgefallenen
Komponente übernommen werden. Im Folgenden werden die einzelnen Schichten
zusammen mit den verfügbaren Redundanzen vorgestellt.
Layer1 – physikalische Redundanzen
In der physikalischen Schicht betrachtet man grundlegende Dinge, wie eine
redundante Stromversorgung durch mehrere Netzteile, verbunden mit
verschiedenen Versorgungspfaden. Ein wichtiger Aspekt ist auch die physikalische
Absicherung der Standorte von Netzwerkkomponenten – was nutzt die sicherste
Firewall, wenn sie öffentlich zugänglich in einem nicht abgeschlossenen Rack im
Lager steht?
Datenübertragungsschicht
Auf der Datenübertragungsschicht oder Layer 2 gibt es in Abhängigkeit der
eingesetzten Technologie verschiedene Verfahren, um Redundanzen zu
ermöglichen. In der Regel bestehen diese immer aus zusätzlichen Leitungen bzw.
physikalischen Übertragungswegen in einem Layer 2 Netzwerk (auch Broadcast
Domain genannt). Bei Ethernet wurde diese Redundanz erstmalig mit dem Spanning
Tree Algorithmus möglich. Dazu wurden Weiterentwicklungen, wie Rapid Spanning
Tree und Spanning Forest, geschaffen, um schnellere Konvergenz im Fehlerfall und
Verwaltung von Spanning Trees in einer VLAN Umgebung möglich zu machen.
Secure Networks™
94
Link Aggregation IEEE 802.3ad
Sind zwei Switche durch mehrere physikalische Links verbunden, so kann dies aus
reinen Redundanzzwecken sein. In diesem Fall kann man eine Redundant Port
Lösung auf Layer 1 oder Spanning Tree als Protokoll auf Layer 2 einsetzen, um
Loops und damit Broadcast Storms zu verhindern.
Link Aggregation
Eine bessere und gerne genutzte Möglichkeit ist aber, diese physikalischen Links zu
einem logischen Link zu bündeln und so gleichzeitig Redundanz und höhere
Bandbreiten zu schaffen. Diese Technik hieß früher auf den Enterasys
Komponenten Smarttrunk, heute unterstützen alle neuen Enterasys Switche den
entsprechenden Standard nach IEEE 802.3ad - Link Aggregation.
Während es zwar möglich ist, die Bündelung der physikalischen Links und den
daraus resultierenden virtuellen Link statisch zu konfigurieren, ist es besser, ein
entsprechendes Kontrollprotokoll zu nutzen. Durch das Kontrollprotokoll ist es
möglich zu überprüfen, dass die dazugehörigen Links auch sauber laufen und beide
Switche darin übereinstimmen, welche Ports zu dem virtuellen Link gehören.
Frühere Smarttrunk Lösungen nutzten das so genannte Huntgroup Protokoll.
Switche, die nach dem Standard IEEE 802.3ad arbeiten, kommunizieren über LACP Link Aggregation Control Protocol. Dabei werden virtuelle Links gebildet, die als LAG
- Link Aggregation Group, bezeichnet werden. Wichtig ist, dass alle Links, die einem
virtuellen LAG Port angehören, gleich konfiguriert sind. Sie müssen Full Duplex sein
und die gleiche Geschwindigkeit haben. Dieser virtuelle LAG Port wird dann in der
Konfiguration der Switche genutzt wie ein ganz normaler physikalischer Port, kann
also zum Beispiel einem VLAN zugehören oder als 802.1q Trunk definiert werden.
95
Secure Networks™
In einem chassisbasierten System ist es möglich, einen LAG mit Ports verschiedener
Module zu bilden, das Gleiche gilt für ein stackbasiertes System mit mehreren
Switchen. Dies erhöht die Ausfallsicherheit, denn selbst falls ein ganzes Board
ausfällt, ist weiter eine Verbindung zwischen den beiden chassisbasierten Switchen
gegeben.
Der Standard IEEE 802.3ad bietet eine Interoperabilität zwischen verschiedenen
Herstellern. Zusätzlich sind einige Switche von Enterasys Networks, wie zum Beispiel
die N-Serie, in den Default Einstellungen schon so vorkonfiguriert, dass sie
automatisch einen LAG bilden, wenn sie mit einer entsprechenden Gegenstelle
verbunden werden. Sollte es aber nötig sein, einen Enterasys Switch mit einer
Gegenstelle zu verbinden, die kein LACP unterstützt, so kann man den LAG auch
statisch konfigurieren. Man verzichtet dann zwar auf das Kontrollprotokoll, das vor
Fehlern und Netzproblemen durch Miskonfiguration schützt, kann aber trotzdem die
Vorteile eines virtuellen, gebündelten Links nutzen. Der Traffic kann nach
verschiedenen Methoden auf die physikalischen Links verteilt werden. Möglichkeiten
sind zum Beispiel durch ein einfaches Round Robin Verfahren gegeben oder
basierend auf MAC oder IP Adressen der Pakete. Meist bietet die Untersuchung von
Absende- und Ziel-IP eine ausgewogene Verteilung auf die physikalischen Links.
Diese Methode ist daher auch der Default auf der S-Serie.
IEEE 802.3ad und Spanning Tree schließen sich natürlich nicht aus. Während
802.3ad Link Aggregation immer zwischen zwei direkt miteinander verbundenen
Switchen läuft, kann und sollte man weiterhin Spanning Tree nutzen, um Loops im
gesamten Layer 2 geswitchten Netz zu verhindern. Spanning Tree betrachtet dann
bei der Berechnung des aufspannenden Baumes den logischen LAG Port anstatt der
dazugehörigen physikalischen Ports; auch die Kosten für diesen virtuellen LAG Port
entsprechen dabei der Summe der Bandbreiten aller zugehörigen physikalischen
Ports.
Spanning Tree IEEE 802.1d
Der Spanning Tree Algorithmus verhindert Loops auf der Datenübertragungsschicht.
Die Notwendigkeit entsteht dadurch, dass Broadcasts in einem Ethernet-Netzwerk,
in dem redundante Pfade vorhanden sind, unendlich lang kreisen und somit die
verfügbare Bandbreite immer weiter verringern bis kein normaler Datenverkehr
mehr möglich ist. Der heutzutage gebräuchliche 802.1d Standard ging aus der von
Radia Perlman für die Firma DEC entwickelten, ersten Implementierung des
Algorithmus hervor.
Um Loops zu verhindern, tauschen die Netzwerkkomponenten (Switche) eines Layer
2 Netzwerks untereinander Nachrichten aus, die vom normalen Datenverkehr
unterscheidbar sind. Anhand dieser Nachrichten wird dann eine der Komponenten
zur Wurzel eines Baumes gewählt. Alle anderen Komponenten gliedern sich in
diesen Baum ein. Pfade, die nicht innerhalb dieses Baums liegen (dass heißt
redundante Pfade) werden dabei ausgeschaltet.
Secure Networks™
96
Wenn ein neuer Switch oder Link hinzugefügt wird oder ein Switch ausfällt, wird
dieser Baum neu berechnet. Solange dieser Baum nicht vollständig aufgebaut ist,
leiten die Switche nur die Nachrichten weiter, die Informationen enthalten, die für
das Aufbauen des Baumes relevant sind. Dass heißt, solange der Baum nicht
vollständig ist, ist der normale Datenverkehr im Netzwerk unterbrochen. Die
Neuberechnung des Baumes dauert typischerweise bis zu 60 Sekunden.
Zur Konfiguration von Spanning Tree auf Enterasys Komponenten finden Sie weitere
Informationen unter:
http://secure.enterasys.com/support/manuals/hardware/STP.pdf
Rapid Spanning Tree IEEE 802.1w
Der 802.1d Spanning Tree Algorithmus wurde zu einer Zeit entwickelt, in der es
ausreichend war, wenn sich das Netz nach einem Ausfall in einem Zeitraum von
circa einer Minute erholte. Heutzutage sind solche Ausfallzeiten nicht mehr
akzeptabel. Daher wurde der Spanning Tree Standard zum Rapid Spanning Tree
Standard (RSTP) weiterentwickelt, um schnellere Konvergenzzeiten zu ermöglichen.
Prinzipiell wurde die Art und Weise der Berechnung des Baumes beibehalten. Die
Nachrichten, die unter den Switchen ausgetauscht werden, enthalten nun mehr
Informationen. Außerdem wurde die Verarbeitung der Nachrichten verbessert. Die
wichtigste Neuerung im 802.1w Standard war die Möglichkeit, einen Port schneller
in den Forwarding Modus zu bringen, in dem normale Datenpakete ausgetauscht
werden können. Im alten Standard wurden die Ports erst dann aktiviert, wenn der
gesamte Baum konvergiert war.
Der neue Standard ist in der Lage sicherzustellen, dass ein Port früher aktiviert
werden kann, hierfür können Endnutzerports als so genannte Edge Ports konfiguriert
werden, die dann beim Aktivieren des Ports sofort aktiv werden (die entsprechende
Konfigurationsoption heißt adminedge= true). Außerdem können auch Ports in der
Infrastruktur im Fehlerfall schneller auf einen alternativen Port Richtung Root
umschalten, da die RSTP Switches aktiv Rückmeldungen austauschen können. In
entsprechend konfigurierten Netzwerken kann die Konvergenzzeit des Baums so auf
wenige hundert Millisekunden gesenkt werden.
VLANs IEEE 802.1q
VLANs erlauben es, einen Switch mit einer Vielzahl physikalischer Ports logisch zu
unterteilen, so dass bestimmte Portgruppen jeweils verschiedene Broadcast
Domains bilden, obwohl sie physikalisch zum gleichen Switch gehören. Der IEEE
802.1q Standard erlaubt es, die Daten aus solchen logisch getrennten Portgruppen
eindeutig (für die jeweilige Gruppe) zu kennzeichnen und sie in dieser Form zu
einem anderen Switch zu transportieren. Der Link, über den diese markierten
Pakete transportiert werden, wird in der Regel Trunk genannt. Dort können die
97
Secure Networks™
Daten wieder den einzelnen Gruppen zugeordnet werden und, falls diese Gruppen
auf diesem Switch ebenfalls existieren, zu den entsprechenden Ports geschickt
werden. Man ist also in der Lage, eine logische Broadcast Domain-Struktur über eine
physikalisch vorgegebene Struktur von untereinander verkabelten Switches zu
legen. Dadurch können die Mitarbeiter einer Abteilung mit ihren Rechnern in
derselben Broadcast Domain sein, obwohl die Abteilung auf verschiedene Gebäude
verteilt ist.
Multiple Spanning Trees IEEE 802.1s
Multiple Spanning Trees (MST) ist eine Ergänzung des 802.1q Standards. Der
802.1w Rapid Spanning Tree Standard wurde erweitert, um mehrere Spanning
Trees zu unterstützen. Diese Ergänzung erlaubt sowohl schnelle Konvergenz als
auch Load Sharing in einer VLAN Umgebung.
Mit MST wird es möglich, mehrere Spanning Tree Instanzen über Trunks hinweg
aufzubauen. Dabei können in Gruppen zusammengefasste VLANs einzelnen
Spanning Tree Instanzen zugeordnet werden. Die einzelnen Instanzen können dabei
unabhängig voneinander verschiedene Topologien haben. Dafür werden die
Spanning Tree Parameter wie Root Priorität, etc. für jede Instanz angepasst. Damit
wird ein Load Sharing für unterschiedliche VLAN Gruppen über redundante Layer 2
Wege möglich. MST benutzt dabei eine modifizierte Variante des Rapid Spanning
Tree Protokolls, genannt das Multiple Spanning Tree Protocol (MSTP) oder IEEE
802.1s.
Netzwerkschicht
Auf der Netzwerkschicht wird Redundanz hauptsächlich durch intelligente
Routingprotokolle wie OSPF und die Verbesserung der Erreichbarkeit des Default
Gateways mit VRRP erreicht. Um dies sinnvoll zu ermöglichen, müssen schon auf der
Netzwerkebene verschiedene Wege zum selben Ziel vorhanden sein.
Open Shortest Path First
Open Shortest Path First (OSPF, RFC 2328) ist ein hierarchisch aufgebautes Link
State Routingprotokoll und hat sich als De-Facto-Standard für Interior Gateway
Protokolle entwickelt.
Im Gegensatz zu BGP (Border Gateway Protokoll), das als Exterior Gateway Protokoll
für das Routing zwischen autonomen Systemen genutzt wird, dienen Interior
Gateway Protokolle dazu Routinginformationen innerhalb einer Organisation
auszutauschen.
Secure Networks™
98
Distance-Vector-Protokolle, wie RIP, sind dafür mittlerweile meist ungeeignet, da
diese sehr schlechte Konvergenzzeiten aufweisen. Und Ausfallzeiten bis zu
mehreren Minuten sind in heutigen Netzwerken nicht mehr zu tolerieren.
Link State Protokolle arbeiten eventgesteuert, die Informationen über
Topologieänderungen werden sofort durch das ganze Netz geflutet. Alle Router
reagieren sofort darauf und berechnen bestehende Ersatzwege. Somit haben Link
State Protokolle Konvergenzzeiten im Sekundenbereich. Diese schnellen
Berechnungen von Ersatzwegen werden dadurch möglich, dass bei Link State
Protokollen die gesamte Topologie eines Netzes allen Routern bekannt ist;
gespeichert in der Topologie-Datenbank.
Da dadurch außerdem die periodische Verbreitung der gesamten
Routinginformationen nicht mehr notwendig ist, arbeiten Link State Protokolle
ressourcenschonender als Distance-Vector-Protokolle.
Der hierarchische Ansatz von OSPF macht dieses Routingprotokoll skalierbar, OSPF
eignet sich daher auch für sehr große Netze. Die Hierarchie basiert auf einem
zweistufigen Area Konzept. Es gibt eine zentrale Backbone Area, an die alle anderen
Areas direkt angebunden sind. Durch Verfahren wie Route Summarization und das
Definieren von Areas als Stub Area oder Not-So-Stubby Area (NSSA, RFC 3101) wird
die Auswirkung von Topologieänderungen auf das gesamte Netz minimiert.
OSPF Area Konzept
99
Secure Networks™
OSPF ist im Moment das Standard Protokoll für Routing innerhalb des eigenen
Netzwerks. Als offener Standard, der von allen Herstellern unterstützt wird, bietet es
Kompatibilität zwischen allen Komponenten. Die schnellen Konvergenzzeiten, die
OSPF als Link State Protokoll besitzt, sind für heutige Netze unverzichtbar.
Der hierarchische Ansatz unterstützt die Implementierung in Netzwerken jeder
Größe. Netze mit OSPF als Routingprotokoll sind mit dem entsprechenden Netzwerkund Adressdesign einfach zu erweitern. Als modernes Routingprotokoll unterstützt
OSPF natürlich VLSM (Variable Length Subnet Mask) und ermöglicht so
Optimierungsverfahren wie Route Summarization.
Auf Grund seiner allgegenwärtigen Präsenz wurde OSPF auch als Routingprotokoll
für das aufkommende IP Protokoll IPv6 spezifiziert (RFC 2740) und wird auch in
Zukunft nicht aus den Netzwerken wegzudenken sein.
Equal Cost Multi Path (ECMP)
Ein Paket kann in einem gerouteten Netzwerk über unterschiedliche, gleichwertige
Pfade ans Ziel gelangen. Bei “Equal Cost Multi Path” werden diese Pfade gleichzeitig
zur Lastverteilung genutzt. Eine Redundanz wird hiermit jedoch nicht gewährleistet,
dafür muss das darunterliegende Routingprotokoll sorgen. Bei Verwendung von
ECMP wählt der Router an dem sich der Pfad gabelt, unterschiedliche next-hops für
die Pakete. Idealerweise sollten sich die Pakete natürlich gleichmäßig auf die
beiden Pfade verteilen, was natürlich mit paketeweisem Aufteilen am einfachsten
möglich wäre. Dies ist aber in der Regel nicht sinnvoll, da es dann zu
unterschiedlichen Laufzeiten und Paketreihenfolgen kommen kann. Es wird meist
versucht, die Pakete flowbasiert, dass heißt Absender-IP/Ziel-IP oder AbsenderIP+Port/Ziel-IP+Port -basiert aufzuteilen, da die zu einer Kommunikation gehörigen
Pakete dann den gleichen Weg nehmen.
Prinzipiell kann ECMP in jedem gerouteten Netzwerk verwendet werden. In der
Regel wird die maximale Anzahl der Pfade gleicher Qualität (in Einheiten der Metrik
des entsprechenden Routingprotokolls) allerdings beschränkt.
Virtual Router Redundancy Protocol
Das Virtual Router Redundancy Protocol (VRRP, RFC 2338) dient dazu, dem
Benutzer Redundanz bezüglich des Default Gateways zur Verfügung zu stellen.
Während Router untereinander Routing Protokolle nutzen, um die aktuellsten
Routing Informationen auszutauschen und so bei einem Ausfall Ersatzwege zu
lernen und zu nutzen, haben sehr viele Endclients statische Einträge für das Default
Gateway. Was nun, wenn dieser Router ausfällt? Selbst wenn es einen Ersatzweg
gibt, wie sollen die Clients darauf reagieren?
Secure Networks™
100
VRRP Konzept
Die Lösung dazu liefert das Protokoll VRRP. Die Grundidee besteht darin, einen
virtuellen Router zu nutzen und diese IP Adresse als Default Gateway auf den Hosts
zu konfigurieren.
Die physikalischen, redundanten Router kommunizieren dann über das Protokoll
VRRP und handeln aus, wer die Routing Aufgabe des Default Gateways übernimmt.
Dieser Router wird dann als Master bezeichnet, weitere redundante Router sind
Backup Router. Fällt der Master aus, so wird das über VRRP erkannt und einer der
Backup Router übernimmt die Aufgabe des Masters. Für den Client ist das absolut
transparent. Damit es keine Probleme bezüglich der ARP Einträge gibt, nutzt der
virtuelle Router eine zugehörige, für VRRP reservierte MAC Adresse.
Emulation eines virtuellen Routers
101
Secure Networks™
So dient VRRP dazu, den Single Point of Failure, den die statische Konfiguration
eines Default Gateways darstellt, zu eliminieren.
Normalbetrieb
VRRP Redirection im Fehlerfall
Secure Networks™
102
Durch die Konfiguration von zwei virtuellen Routern kann man eine zusätzliche
Lastverteilung auf die redundanten Geräte erreichen. Man nutzt zwei virtuelle IP
Adressen, jeder der Router ist dann für eine der beiden Adressen der Master, für die
andere der Backup Router. Zusätzlich müssen die Clients dementsprechend
entweder mit der Einen oder der anderen IP Adresse als Default Gateway konfiguriert
werden. Eine gleichmäßige Verteilung kann man zum Beispiel mit dem Dynamic Host
Configuration Protocol (DHCP) erreichen. So werden beide Router als Default
Gateway genutzt und man hat Lastverteilung in Kombination mit Redundanz.
Weitere Informationen findet man im zugehörigen RFC 2338.
Server Load Balancing
Heutige Netzwerkdesigns sind, unter Zuhilfenahme von Protokollen wie Virtual
Router Redundancy Protocol (VRRP) und Open Shortest Path First (OSPF), meist
schon redundant ausgelegt. Die Redundanz hat aber oft ihre Grenzen, wenn es um
den Anschluss der Server geht. Auch hier muss die Netzwerkkomponente eine
entsprechende Lösung bereitstellen.
Server Load Balancing oder Load Sharing Network Address Translation bezeichnen
das Konzept wichtige Server redundant auszulegen, um somit sowohl
Ausfallsicherheit als auch höhere Performance zu erreichen.
Die Produkte von Enterasys realisieren dies über eine Implementierung des RFC
2391 Load Sharing Network Address Translation (LSNAT). Dabei wird auf Anfragen
an einen virtuellen Server (IP) reagiert und die Anfragen werden entsprechend auf
reelle Serveradressen umgesetzt - in Abhängigkeit des angesprochenen Layer 4
Ports. Zwischen den reellen Servern werden dann die Anfragen nach wählbaren
Algorithmen, wie zum Beispiel Round-Robin, Weighted Round-Robin oder Least
Weighted Load First, verteilt. Parallel dazu überprüft man die Verfügbarkeit der
Server und verteilt die Anfragen beim Ausfall eines Servers auf die verbleibenden
Serversysteme.
Verwendung von LSNAT
103
Secure Networks™
Dieses System sorgt zum Einen für eine sehr gute Ausfallsicherheit, zum Anderen
kann dieses virtuelle Serversystem sehr gut skalieren, da man beliebig viele Server
hinzufügen kann. Diese Server müssen natürlich auf eine einheitliche Datenstruktur
zugreifen, was von dem Betriebssystem der Server unterstützt werden muss.
Unter Verwendung dieser Methode und der weiter oben beschriebenen
Redundanzverfahren lässt sich damit folgendes Szenario realisieren:
Business Continuity Services Scenario
Hier ist einmal der Zugang des Hosts zum Netz via VRRP redundant ausgelegt;
außerdem werden die Anfragen am Ziel, dass heißt beim Server, per LSNAT verteilt.
Die redundanten Wege können durch den Multi Path Support von OSPF beide
genutzt werden. Bei einem Defekt sorgt die schnelle Konvergenz von OSPF für
annähernd keine Ausfallzeit. Zwischen den Switchen werden 802.3ad Trunks
gebildet, die höhere Bandbreite und weitere Redundanz zur Verfügung stellen.
IPv6
Das Internet hat sich in den vergangenen Jahren von einem reinen Datennetzwerk
zu einer Multi Service Plattform entwickelt. Neue Kommunikationsbeziehungen
reichen von Multimedia Anwendungen über Peer-to-Peer (P2P) bis hin zu mobilen,
kabellosen Technologien. Daher rückt im Zeitalter persönlicher und mobiler
Endgeräte mit dauerhafter Internetanbindung das Protokoll IPv6 wieder ins
Interessenblickfeld von Anwendern und Anbietern.
Die neue Generation der aktuellen Version 4 soll den steigenden Anforderungen und
dem rasanten Wachstum des Internets gerecht werden. Mit IPv6 sollen ganz neue,
flexiblere Strukturen zur Verbindung der Knotenpunkte untereinander realisiert
werden.
Secure Networks™
104
Die vorhandene Adressknappheit unter IPv4 wird mit IPv6 der Vergangenheit
angehören. Die heute weit verbreitete Technologie Network Address Transalation
(NAT) wird genauso verschwinden wie Classless Inter Domain Routing (CIDR). IPv6
baut auf 128 Bit Adressen auf. Das ist viermal so viel wie heute unter IPv4. Das
bedeutet, dass IPv6 in der Lage ist, die unvorstellbare Zahl von
665.570.793.348.866.943.898.599 Adressen/qm Erdfläche bereitzustellen.
Die Angst vor einem Mangel an Adressen ist nicht unbegründet. Denn der
Adressraum des jetzigen Internetprotokolls (IPv4) ist höchst unterschiedlich verteilt.
So besitzt etwa das Massachusetts Institute of Technology (MIT) in Cambridge/USA
ein Netz, in dem sich mit rund 16 Millionen Rechnern mehr Adressen ansprechen
lassen als in ganz China. Doch im Web sind gerade 90.000 vom MIT verwendete
Adressen zu identifizieren. Bei linearer Fortschreitung der Vergabepraxis für die
restlichen IP Adressen sind Engpässe daher in wenigen Jahren vorgezeichnet.
Zusätzlich, wie mit jeder neuen Technologie, kommt auch hier die Frage nach
Sicherheit auf. War IPv4 ursprünglich nur zum einfachen Datenaustausch entwickelt
worden, besitzt IPv6 von Anfang an Sicherheitsfunktionalitäten, die heutzutage
elementar wichtig sind. Im Folgendem sollen diese näher beschrieben werden.
Sicherheitsfunktionalitäten unter IPv6
IPv6 wurde im Jahre 1994 als Standard verabschiedet. Es hat die Grundfunktionen
von IPv4 beibehalten, aber zukunftssichere Neuerungen implementiert, um den
gestiegenen Anforderungen gerecht zu werden. Um die grundsätzlichen Vorteile von
IPv6 in Bezug auf Sicherheit zu verstehen, ist es wichtig, das Protokoll näher zu
betrachten.
Erhöhter Adressraum im IPv6 Datengrammformat
Prinzipiell besteht ein IPv6-Datengramm aus dem Basis Header gefolgt von den
optionalen Zusatz Headern und den Nutzdaten.
Allgemeine Form eines IPv6IPv6-Datengramms
105
Secure Networks™
Der Ipv6 Basis Header ist doppelt so groß wie der Ipv4 Header. Der Ipv6 Basis
Header enthält weniger Felder als der Ipv4 Header, dafür ist aber die Adressgröße
für die Quell- und Zieladresse von bisher 32 Bit auf nunmehr 128 Bit erweitert
worden.
IPv6 Basis Header
Erweiterungsheader
Die wichtigste Erweiterung bei IPv6 im Vergleich zu IPv4 ist das Konzept der
Erweiterungsheader, um eine effiziente Datenübertragung und eine Erweiterung des
Protokolls zu ermöglichen.
Der Basis Header enthält nur Felder, die unbedingt für die Übermittlung eines
Datengramms notwendig sind. Erfordert die Übertragung weitere Optionen, so
können diese über einen Erweiterungsheader angegeben werden. IPv6 sieht vor,
dass einige Merkmale des Protokolls nur gezielt benutzt werden. Ein gutes Beispiel
ist hier die Fragmentierung von Datengrammen. Obwohl viele Ipv4 Datengramme
nicht fragmentiert werden müssen, enthält der Ipv4 Header Felder für die
Fragmentierung. IPv6 gliedert die Felder für die Fragmentierung in einen separaten
Header aus, der wirklich nur dann verwendet wird, wenn das Datengramm
tatsächlich fragmentiert werden muss. Dies ist bei IPv6 höchst selten, da hier in der
Regel mittels Path MTU Discovery (RFC 1981) die maximale Paketgröße via ICMPv6
ausgehandelt wird. Daher sollte IPv6 Fragmentierung nur genutzt werden, wenn die
Anwendungen nicht ihre Paketgrößen individuell adaptieren können.
Ein weiterer wesentlicher Vorteil des Konzepts der Erweiterungsheader ist die
Erweiterung des Protokolls um neue Funktionen. Es genügt, für das Feld Next
Header einen neuen Typ und ein neues Header Format zu definieren. IPv4 erfordert
hierzu eine vollständige Änderung des Headers.
Secure Networks™
106
Derzeit sind 6 optionale Erweiterungsheader definiert. Werden mehrere
Erweiterungsheader verwendet, so ist es erforderlich sie in einer festen Reihenfolge
anzugeben.
IPv6 Erweiterungsheader nach RFC 2460, 2402 und 2406:
Header
Beschreibung
Ipv& Basis Header
Zwingend erfoderlicher IPv6 Basis Header
Optionen für Teilstrecken
Verschiedene Informationen für Router
(Hop-by-Hop Options Header)
Optionen für Ziele
Zusätzliche Informationen für das Ziel
(Destination Options Header)
Routing
Definition einer vollständigen oder teilweisen
Route
(Routing Header)
Fragmentierung
Verwaltung von Datengrammfragmenten
(Fragment Header)
Authenfizierung
Echtzeitsüberprüfung des Senders
(Authentication Header)
Verschlüsselte Sicherheitsdaten
Informationen über den verschlüsselten Inhalt
(Encapsulating Securtiy Payload Header)
Optionen für Ziele
(Destination Options Header)
Header der höheren Schichten
(Upper Layer Header)
Zusätzliche Informationen für das Ziel (für
Optionen, die nur vom endgültigen Ziel des
Pakets verarbeitet werden müssen)
Header der höheren Protokollschichten (TCP,
UDP,...)
Nach Sicherheitsgesichtspunkten sind zwei Erweiterungsheader interessant, die
eine Integrität der Daten bereitstellen.
107
Secure Networks™
Authentisierung
Mit Hilfe des Authentication Headers ist es möglich, die Echtheit eines Paketes zu
überprüfen sowie die Unversehrtheit der Daten während ihrer Übertragung zu
garantieren. Mit Hilfe einer Sequenznummer kann sich der Empfänger vor Angriffen
schützen, die aus einer mehrmaligen Wiederholung des selben Paketes
hervorgehen können. Der Authentication Header (AH) ist dabei identisch mit dem
von IPv4 unter der Nutzung von IPSec. Bei der Anwendung der Authentisierung wird
zwischen zwei Verfahren unterschieden - dem Transportmodus und dem
Tunnelmodus.
Verschlüsselte Sicherheitsdaten
Der Encapsulating Security Payload (ESP) Header wird verwendet, um vertrauliche
Daten zu verschlüsseln und ihre Unversehrtheit zu garantieren. Außerdem bietet
ESP einen wirksamen Schutz vor so genannten Data-Replay Attacken. Wie auch bei
der Authentisierung unterscheidet man bei der Anwendung der Verschlüsselung
zwischen dem Transportmodus und dem Tunnelmodus. Die erste Variante wird bei
der Kommunikation zwischen zwei Rechnern verwendet. Im Normalfall geht man
hier davon aus, dass sich die Rechner nicht kennen bzw. keine gültigen Keys für
eine Verbindung besitzen. Es muss daher von einem Trust Center von beiden
Rechnern ein One Session Key angefordert werden, welcher dann für eine
begrenzte Zeit Gültigkeit hat.
Der IP Header selbst bleibt beim Transportmodus unverschlüsselt, so dass Hacker
Informationen darüber erhalten können, wohin ein Rechner Verbindungen aufbaut
und wann er wie viele Daten sendet. Zur Verbindung von zwei Firmennetzen über
öffentliche Leitungen bietet sich daher der Tunnelmodus an. Hier ist nach außen hin
nur die Kommunikation der beiden Router sichtbar; weitere Informationen werden
nicht nach außen bekannt.
Sollte bei der Übertragung der AH Header ausschließlich genutzt werden, sind IPv6
fähige Firewalls sogar in der Lage, die höheren Schichten im Datenpaket zu
überprüfen und somit Pakete zu sperren oder frei zu schalten.
ICMPv6
ICMPv6 ist integraler Bestandteil der Ipv6 Protocol Suite. Es wird zum Beispiel für
die Auto Configuration Funktion innerhalb IPv6 genutzt, bei dem die Clients
automatisch eine IPv6 Adresse beziehen. Auch das Neighbour Discovery läuft über
einen bestimmten Typ innerhalb ICMPv6. Viele Firewalls filtern jedoch die ICMP
Messages; teilweise wird diese Art des Verkehrs auch komplett geblockt. Unter IPv6
ist es aber wichtig, dass bestimmte Typen unbedingt zugelassen werden. Daher
müssen beim Ausrollen von IPv6 zwangsläufig die Firewalls mit betrachtet werden.
Secure Networks™
108
Es muss zudem auch sichergestellt werden, dass keine unerlaubten ICMP Messages
vom Zugangspunkt zur Infrastruktur geschickt werden. DHCP- und DNS-Server sind
meistens bekannt und befinden sich im Inneren des Netzes. Daher können diese
Pakettypen auch am Zugangspunkt heraus gefiltert werden, wie es Enterasys im
Rahmen der Secure Networks™ Architektur macht.
IP bleibt IP
Es bleibt festzuhalten, dass sowohl IPv6 als auch IPv4 reine Transportprotokolle
sind. Attacken, die auf höheren Ebenen, wie Buffer Overflow oder Angriffe auf WEB
Applikationen, sind bei beiden IP Varianten möglich. IKE aus der IPSec Protokollsuite
oder auch IEEE 802.1x sind als weitere Sicherheitsmechanismen unumgänglich, um
zukünftig Attacken wie Flooding und Man-in-the-Middle zu verhindern oder die
Erkennung und Entfernung von „Rogue Devices“ zu ermöglichen.
Simple Network Management Protocol (SNMP) ist das Standard Protokoll, welches
von Netzwerk Management Systemen verwendet wird, um mit entfernten
Netzwerkkomponenten zu kommunizieren. Es wird dazu verwendet, deren
Konfiguration und Leistungsinformationen auszulesen. Die erste Version dieses
Protokolls, SNMPv1, wurde 1988 veröffentlicht und lieferte fortgeschrittene
Möglichkeiten zum entfernten Netzwerk Management. Es wird heute noch von den
meisten der konkurrierenden Netzwerk Management Systemen auf dem Markt
verwendet.
Da SNMPv1 ursprünglich entwickelt wurde, um die Ressourcen der Rechner zu
schonen, verwendete es einen minderwertigen Authentifizierungsmechanismus zur
Sicherung der Kommunikation. Dieser bestand aus einem einfachen
Klartextpasswort, dem Community String. Daher wurden und werden vielerorts
immer noch IP adressbasierte Accesslisten als Zugriffsbeschränkung für SNMPv1
verwendet, was in Anbetracht der Tatsache, dass SNMP auf dem verbindungslosen
UDP-Protokoll aufbaut, natürlich auch wieder eine Sicherheitslücke ist. Das liegt
daran, dass die Absenderadresse des IP Pakets nicht stimmen muss, da kein
Handshake zum Aufbau einer Verbindung benötigt wird.
Mit SNMPv2 wurden einige neue Methoden für das Protokoll bereitgestellt. Es gab
auch mehrere Ansätze, um die Sicherheitsproblematik in den Griff zu bekommen.
Davon hat sich jedoch keiner wirklich durchgesetzt.
Mit der Weiterentwicklung der Netzwerke wurde die sichere Kommunikation
zwischen Managementstation und Netzwerkkomponenten immer wichtiger. Die
aktuellste Version des Protokolls, SNMPv3, erhöhte die Sicherheit der
Kommunikation durch Authentifizerung, Verschlüsselung und Zugriffskontrolle.
109
Secure Networks™
SNMPv3 (RFC 2571-2575) definiert verschiedene Security-Modelle. Die
nutzerbasierte Zugriffskontrolle wird durch die Definition von Views (View Based
Access Control Model (VACM)) ergänzt. Die Nutzer erhalten dadurch nur Zugriff auf
Teilbereiche der MIB. Enterasys Networks unterstützt SNMPv3 in fast allen Geräten.
Selbstverständlich wird es auch von allen Komponenten der NMS Suite unterstützt.
Multi Protocol Label Switching (MPLS)
MPLS wurde aus den Technologien von IBM ARIS, Ascend IP Navigator, Ipsilon IP
Switching und Cisco TAG Switching in den 90er Jahren entwickelt und standardisiert.
Das erste Ziel dieser Technologien war die Beschleunigung des Routing Prozesses
(des Forwarding Prozesses, um genau zu sein) durch die Fokussierung auf das so
genannte Label: Dass heißt ein Router musste nicht mehr den gesamten IP Header
lesen, um eine Entscheidung zu treffen - nur noch das dem IP Header vorangestellte
Label musste ausgewertet werden. Dies half insbesondere den Service Providern
beim Wachstum ihrer Netze. Durch die neuen Generationen von Hardware bzw. NPU
(Network Processor Unit) -basierten Routern ist dieser Vorteil in den Hintergrund
getreten. Heutzutage stehen andere Funktionen für die Service Provider (SP) im
Vordergrund:
MPLS kann auf vielen Arten genutzt werden, einige der häufigen Anwendung sind:
Layer 2 oder Layer 3 Virtual Private Networks (VPN)
VPN Services erlauben es einem Service Provider oder Träger öffentlichen Netzes
das Äquivalent dedizierter Private Network Services für mehrere Kunden über ein
gemeinsames Netz bereitzustellen, während die strikte Trennung des Traffics dieser
Kunden gewährleistet ist. Obwohl es verschiedene Ansätze gibt VPN Services mit
MPLS zu erstellen, können alle diese Ansätze entweder als Layer 2 Switched
Services oder als Layer 3 Routed Services eingestuft werden. Ein Hauptgrund, dass
MPLS neuerdings bei Campus Unternehmensnetzwerken in Betracht gezogen wird,
ist, dass Kunden gern die Vorteile und Services, die in Service Provider Netzen
implementiert werden, nutzen möchten.
Traffic Engineering (MPLS
(MPLS--TE)
Traffic Engineering ist die häufigste Anwendung für MPLS in Service Provider
Netzwerken. Traffic Engineering ist die Nutzung von MPLS in großen, komplexen
WANs, um die Ausnutzung der teuren Langstrecken-Links zu optimieren und die
Kontrolle von Traffic Flows in diesen Netzwerken zu verbessern. MPLS-TE ist eine
Anwendung, deren primärer Wert das Bedienen der Provider mit sehr großen
nationalen oder globalen WANs ist.
Secure Networks™
110
MPLS arbeitet auf einem OSI Layer, welches zwischen den traditionell definierten
Layern 2 (Daten Link Layer) und 3 (Netzwerk Layer) liegt und oft „Layer 2.5“
Protokoll genannt wird.
MPLS Header Layer 2.5 mit Bottom und Top Label
Während die MPLS Technologie in Service Provider Netzwerken gewöhnlich ist, ist es
nicht gängig in Unternehmensnetzwerken. Unternehmen nutzen oft die MPLS
Netzwerke von Service Providern, um entfernte Lokationen anzubinden, aber
normalerweise ist die MPLS Infrastruktur ist völlig transparent für das
Unternehmensnetzwerk. Der Traffic des Unternehmens wird in seinem ursprünglichen Format (ohne MPLS Labels) an den Router des Service Providers geschickt.
Der Service Provider ist dafür verantwortlich Labels hinzu zu fügen oder weg zu
nehmen. Das Unternehmensnetzwerk hat keinerlei Wissen über den Aufbau der
MPLS Infrastruktur des Service Providers.
Ein VPN Service kann durch eine Architektur aufgewertet werden, die den L3 VPN
Service Layer von einem darunter liegenden Transport Layer trennt. In diesem
Modell sind die Provider Edge Router VPN-bewusst und die Core Router stellen
Transport Services für den VPN Traffic bereit, ohne VPNs erkennen zu müssen. Das
Transport Layer bietet Konnektivität und Hochverfügbarkeitsservices durch MultiPath- und Redundanz-Fähigkeiten für den VPN Service Layer. Die Enterasys S-Serie
wird Layer 3 VPN Funktionalitäten in verschiedenen Stadien liefern. Die folgenden
Abschnitte beschreiben die heutige und zukünftige Technologie dazu.
VRF Übersicht
Auch wenn MPLS genutzt werden kann, um ein campus-weites Virtual Private
Network zu implementieren, ist es einfacher Virtual Routing und Forwarding zu
nutzen (VRF). VRF ist die Fähigkeit getrennte Routing Tabellen und Routing Prozesse
in einem einzigen physikalischen Router zu haben, um getrennte Routing Domains
zu kreiieren, was typischerweise innerhalb eines PE (Provider Edge) Routers in
einem Service Provider MPLS Netzwerk genutzt wird. Innerhalb dieser Routing
Domains kann man jegliche bekannte IP Routing Applikationen laufen lassen, die
der Kunde schon implementiert hat—wie zum Beispiel OSPF, BGP oder RIP—aber
ohne den Umstand ein komplettes Set an Protokollen und Technologien in das
Netzwerk einführen zu müssen. Server Ressourcen im Data Center können getrennt
werden, indem sie in getrennte Routing Domains platziert werden. Dies gewährleistet, dass eine komplette Trennung der Verbindungen zwischen verschiedenen
111
Secure Networks™
Gruppen passiert, aber der Vorteil eines einzigen Sets an physikalischen Routern
und der Betrieb eines gemeinsamen Management Interfaces genutzt wird.
Medizinische und industrielle Applikationen können vom Rest des Netzwerks
getrennt und mit dedizierten Netzwerkressourcen versehen werden, was Sicherheit
und Kontrolle des Zugriffs auf sensible Applikationen gewährleistet.
VRF bietet eine einfache Lösung für Campus LAN Applikationen, die auf die Netzwerkgröße limitiert sind. Es müssen keine neuen, aufwändigen Protokolle oder
Architekturen (zum Beispiel MPLS, RSVP, LDP, iBGP, etc.) in das LAN eingeführt
werden, so dass das Engineering- und Administratoren-Personal nur minimales,
zusätzliches Training benötigt. Es werden keine neuen Management oder Diagnose
Tools benötigt—alle bekannten Protokolle, wie zum Beispiel OSPF und RIP,
funktionieren unverändert innerhalb ihrer jeweiligen Routing Domains und
bestehenden Netzwerk Protokoll Analysatoren. Appliances müssen nicht
upgegraded werden, um MPLS Protokolle zu unterstützen.
VRFs können Ende-zu-Ende im Netzwerk eingesetzt werden oder in Verbindung mit
GRE Tunnel oder MPLS Labels. VRF, das kein MPLS nutzt, wird oft VRF-lite oder
Multi-VRF Customer Edge genannt und wird als „Leichtgewicht-Version“ von MPLS
gesehen, da es keine Protokolle oder Label Verteilungsprotokoll gibt.
VRF Trennung innerhalb des Routers
Secure Networks™
112
S-Serie VRF Support
Die Enterasys S-Serie unterstützt Ende-zu-Ende VRF, VRF over IPv4 and IPv6 GRE
Tunnel.
Im Ende-zu-Ende Modell gehört jedes geroutete Interface zu einem VRF und muss
manuell auf allen Routern konfiguriert werden, die am VRF teilnehmen; was
ermüdend und umständlich zu managen sein kann. Eine typische Faustregel ist,
dass Ende-zu-Ende VRF passend ist für Netzwerke mit weniger als vier Router Hops
von Edge-zu-Edge.
VRF Core Router Einsatz
Um das Skalieren von einem L3 VPN Service Set-Up zu vereinfachen und zu fördern,
ist es wünschenswert die Konfiguration einer VRF Instanz auf Routern zu
minimieren, welche dieses VRF für Edge Service nicht unterstützen müssen. Um die
Konfigurationskomplexität zu reduzieren, können VRFs über GRE Tunnel zwischen
PE Router unterstützt werden. Dies vereinfacht die Konfiguration der Core P
(Provider) Router, welche nicht VRF-bewusst sein müssen. Ein GRE Tunnel wird für
jeden VRF auf einem PE Router allen anderen VRF Instanzen auf PE Routern im
Netzwerk vorgehalten. Dies eliminiert den Bedarf VRF Instanzen jedem Core Router
vorzuhalten und führt so zu einer vereinfachten IP Core Routing Infrastruktur.
113
Secure Networks™
VRF over GRE
Sowohl Ende-zu-Ende VRF und VRF over GRE Tunnel können sichere, dedizierte
Routing Ressourcen für kritische Applikationen bereitstellen und bieten eine
einfache Lösung für Campus LAN Applikationen, die in der Netzwerkgröße limitert
sind, ohne eine neue Netzwerktechnologie, wie MPLS, einzuführen.
MPLS
Eine MPLS Architektur basierend auf einem Provider Provisioned VPN (PPVPN)
Modell nutzt die Ansicht spezifischer Knoten in jedem Layer des Netzwerks:
•
P —Provider Core Knoten—wie der Name schon sagt, ist dieses Gerät im Core
des Netzwerks und macht im Zusammenhang mit MPLS Forwarding
Entscheidungen basierend auf MPLS Labels und hat keine Kenntnis über die
Routing Infrastruktur des Kunden.
•
PE—Provider
Edge Knoten—Dieses Gerät ist die Schnittstelle zwischen dem
PE
Provider Core Knoten und der Customer Edge. Der PE ist verantwortlich für
das Hinzufügen der MPLS Label zum Traffic, sobald dieser in das Provider
Netzwerk hineinkommt, und das Enfernen derselbigen bevor der Traffic ins
CE kommt.
•
CE—Customer
Edge—Dieses Gerät ist an der Edge des Netzwerks und hat
CE
keine Kenntnis von der MPLS Infrastruktur. Es schickt oder empfängt keinen
Traffic mit MPLS Labels.
Secure Networks™
114
MPLS Netzwerkübersicht
Verschiedene VPN Modelle können innerhalb einer solchen Architektur eingesetzt
werden:
•
Virtual Private Router Networks (VPRN, z.B. RFC 4364 oder RFC 4023), was
ein virtuelles Layer 3 geroutetes Netzwerk erlaubt.
•
Virtual Leased Line Services (VLL, RFC 2764), welche eine Nachbildung eines
Point-to-Point Link bereitstellt.
•
Virtual Private LAN Segment (VPLS)/Transparent LAN Service, welches ein
Layer 2 bridged LAN nachbildet.
MPLS VPN Übersicht
RFC 4364 und RFC 4023 beschreiben eine Methode IP VPNs mit Hilfe von VRF, MPBGP und MPLS zu unterstützen. In diesem Zusammenhang gleicht ein VRF einem
VPN. Routen werden per BGP verteilt und ein MPLS Label wird genutzt, um VPNs zu
identifizieren. Mit BGP wir der Traffic isoliert und mit einem passenden MPLS Label
versehen, um das VRF zu bestimmen. Das MPLS wird weiter mit entweder einem
anderen MPLS Label oder einem IP oder Generic Routing Encapsulation (GRE)
Tunnel Header (MPLS-in-IP-GRE) eingekapselt, so dass es über den Backbone an
den richtigen Edge Router getunnelt wird. Folglich müssen die Backbone Core
Router nicht die VPN Routen von jedem VRF kennen.
115
Secure Networks™
P Router ohne VRF Wissen
S-Serie MPLS VPN Unterstützung
Die S-Serie wird MPLS in einer Art und Weise unterstützen, die auf
Unternehmenskunden fokussiert ist, die MPLS in einem Multi-Phasen-Ansatz
benutzen.
Phase 1
MPLS BGP VPNs / GRE (RFC 4023) - Da die Anzahl an L3 VPN Domainen und PE
Knoten steigt, kann das Vorhalten eines separaten GRE Tunnels für jedes VRF die
Konfigurationen komplexer machen. Um die Skalierung über die IP Core Infrastruktur
weiter zu verbessern, MPLS kann auf dem L3 VPN Service Layer eingeführt werden.
Wie im RFC 4023 definiert, MPLS kann genutzt werden, um Label Multiplexing für
mehrere VRF Instanzen über einen einzigen vorgehaltenen GRE Tunnel bereit zu
stellen; unabhängig von der Anzahl der VRFs zwischen zwei PE Routern. iBGP kann
genutzt werden, um den Austausch von VPN Routing Informationen zu vereinfachen
und die Anzahl der IGP Routing Instanzen, wie zum Beispiel OSPF oder RIP, die den
Core über GRE Tunnel durchqueren müssen, zu reduzieren. Eine einzige Instanz von
iBGP Peering vereinfacht Konfiguration und Management der PE Router im Vergleich
zu einer VRF over GRE Implementation, welche einen GRE Tunnel für jeden
gemeinsamen VRF zwischen zwei PE Routern benötigen.
Secure Networks™
116
MPLS over GRE
Phase 2
MPLS BGP L3 VPNs /dynamisch vorgehaltener Transport—In sehr großen VPN
Aufbauten, kann das Vorhalten von GRE Tunnel zwischen vielen PE Routern sehr
komplex und schwierig zu managen sein. Der nächste Schritt für verbessertes
Skalieren ist, den Vorteil einer dynamisch provisionierten Infrastruktur zu nutzen,
welche kein manuelles Vorhalten von Transport für L3 VPN Services benötigt. Es gibt
alternative Transporttechnologien, die für diesen Zweck genutzt werden können.
MPLS Core Transport—RFC 4364 definiert die Architektur für BGP/MPLS IP VPNs,
welche einen MPLS-enabled Core nutzt, um LSP Tunnel zwischen PE Routern
dynamisch zu provisionieren. Sobald neue PE Router vorgehalten werden oder neue
VPN Instanzen hinzugefügt werden, hält die dynamische Anzeige der MPLS
Infrastruktur die Vermaschung der LSP Tunnel vor, über welche die MPLS IP VPNs
Services transportiert werden. RFC 4364 IP VPN Services werden gewöhnlich in
großen Service Provider Netzwerken eingesetzt werden, welche bereits eine MPLSenabled Core Infrastruktur nutzen.
117
Secure Networks™
MPLS L3 BGP VPN unter Nutzung von RFC 4364
Shortest Path Bridging Transport—Der aufkommende IEEE 802.1aq Shortest Path
Bridging (SPB) Standard definiert einen dynamisch provisionierten Transport Service,
skalierbar für sehr große Strukturen. SPB—als eine Erweiterung des Ethernetbasierten Netzwerkens—zielt natürlich auf Aufbauten in rapide wachsenden Data
Centers und Core Netzwerkapplikationen. Da SPB eine hoch skalierbare, dynamisch
provisionierte Ethernet-basierte Infrastruktur mit Multi-Path und HochverfügbarkeitsFähigkeiten bietet, ist SPB ein idealer Kandidat für ein MPLS BGP L3 VPN Tranport
Service für das Unternehmen. In SPB wird der Ansatz der BEB Backbone Edge
Bridges und BCB Backbone Core Bridges genutzt. In diesem Modell werden die BEB
und der PE ein einzelner Switch/Router. Da SPB von Hause aus multi-point
transparente LAN Services ohne die zusätzliche Komplexität des VPLS bietet, ist der
Vorteil von SPB ermöglichenden L3 VPN Services eine Architektur für die Ethernetzentrische Netzwerkumgebung der Unternehmensdienste.
MPLS over SPB
Secure Networks™
118
MPLS bietet eine Möglichkeit, um VRF (Lite) Netze großen Unternehmensinfrastrukturen zu vereinfachen. Die Enterasys S-Serie mit seiner CoreFlow2 ASIC
Architektur wird diese Technologie unterstützen, zusammen mit SPB Shortest Path
Bridging in einem mulit-phased Ansatz via Software Upgrades. Dies festigt die
Position der S-Serie als erstklassige Switch/Router Lösung für den Data Center,
Core, Aggregation und Edge in der OneFabric Architektur.
Software Defined Networking (SDN)
Virtual Computing hat die Wichtigkeit von Netzwerkinfrastrukturen dramatisch
erhöht. Nach Epochen von Mainframes, Client/Server und Internet Computing
werden virtuelle Applikationen heutzutage in privaten und öffentlichen Clouds
gehostet, was schließlich Erreichbarkeit für mobile Nutzer und Geräte von überall
ermöglicht. Netzwerke wurden zu einer kritischen Komponente in solchen
Infrastrukturen. Netzwerke werden mit Switchen, Routern und anderen Geräten in
einer verteilten Art gebaut, um Verlässlichkeit zu skalieren und bereit zu stellen. In
dieser verteilten Umgebung wurde es immer komlexer neue Ende-zu-Ende Services
und Applikationen in einer nahtlosen und kosteneffektiven Art und Weise bereit zu
stellen. Da das Business agilere und flexiblere IT Services verlangt, wurde dies zum
Fokus für Innovation und Unterscheidungen von Herstellern, die diese Herausforderung geschafft haben—einschließlich Enterasys.
Die SDN Idee reicht zurück bis in die frühen 90er Jahre, als Cabletron den Prototyp
des Secure VNS (Virtual Network Service) baute, der zur SecureFast Lösung geführt
hat und Ipsilon das GSMP (General Switch Management Protocol) eingeführt hat. In
der Service Provider Gemeinschaft ist dieser Gedanke unter IMS (IP Multimedia
Systems) Architektur bekannt gewesen und in Voice TDM Netzwerken wurde dies
durch das IN (Intelligent Network) Konzept implementiert.
Um die gleichzeitigen Bedürfnisse nach Sicherheit, Virtualisierung, Managebarkeit,
Mobilität und Agilität in heutigen Netzwerken zu adressieren, gewinnt das SDN
Konzept Aufmerksamkeit als eine durchführbare Lösung. Die Provisionierung neuer
Services und die verlässliche Anwendungslieferung in einer dynamischen IT
Infrastruktur können mit einer solchen Architektur erreicht werden. Im Allgemeinen
trennt SDN die Daten- und die Kontrollebene des Netzwerks und bietet Interfaces/
APIs, um Services kollektiv im Netzwerk zu provisionieren, indem eher externe
Systeme genutzt werden als das Geräte durch vertreilte Geräte konfiguriert werden.
Es gibt keine Definition DER SDN Architektur, daher existieren heute verschiedene
Arten und Ansätze. Folglich kann die beste Lösung für die Anforderungen eines
Kunden eine leicht andere Architektur sein.
Weitere Anwendungsfälle für SDN sind Multi Tenancy und Server Virtualisierungsanforderungen in großen Cloud Service Provider Data Centers.
Enterasys bettet die SDN Konzepte heute schon in Unternehmensnetzwerkinfrastrukturen als Teil der OneFabric Architektur ein.
119
Secure Networks™
Trennung von Kontroll–
Kontroll– und Datenebene in einem SDN
Der vielleicht umstrittenste Teil der SDN Architektur ist: „Wieviel Kontrolle kann
zentralisiert werden und wie effizient können Netzwerkkomponenten designed sein,
ohne ein hoch performantes Kontrollebenen-Subsystem zu benötigen?“ Dies war
der Schlüsselteil von Argumentationen für neue SDN Architekturen und Protokolle,
da es CAPEX Senkungen verspricht, die unerreichbar waren, weil die Kosten des
Host-Komplexes in heutigen Access Switch Architekturen fast unerheblich in
Vergleich zu den Kosten des kompletten System Designs sind. Die Vergangenheit
hat gezeigt, dass Kontrollebenenzentralisierung eine vereinfachte Architektur
einbringen kann; jedoch haben es diese Architekturen nicht geschafft, die
Anforderungen in der realen Welt skaliert zu erfüllen. Dies trifft vor allem auf
moderne IP Netze zu, in denen die Knoten und Endsysteme stetig steigen; ebenso
die Anzahl der Flows, die von einem zentralisierten System verwaltet werden
müssen. Wir bei Enterasys glauben, dass eine verteilte Kontrollebene innerhalb des
Netzes zur Erstellung und Wartung von Topologien mit einem Hybridansatz (verteilt
und zentralisiert) zur Verwaltung der Flows in einem IP Netzwerk zwangsläufig
genutzt werden muss, um ein SDN effektiv zu skalieren und zu betreiben.
SDN Überblick
Sobald die Flow Definition sehr granular ist und schlussendlich das Applikationslayer
beinhaltet—was zu Sicherheitszwecken unumgänglich ist—wird jedes zentralisierte
System von Millionen von Flows überflutet werden, die aufgesetzt werden müssen
oder im Fall von Link/Geräte-Ausfall in einem großen Unternehmens– oder Service
Provider-Netz umprogrammiert werden müssen.Wenn nur einfache Kontrollen (wie
„Pfad“ zwischen Ressourcengruppen, z.B. Server Subnet, einrichten) benötigt wird,
Secure Networks™
120
dann ist ein zentralisierter Ansatz erreichbarer.
Anzahl neuer Flows pro Client
Die oben genannten Zahlen zeigen die tyischen neuen Flows pro Client an. In einem
Server / VM Aufbau sind diese Zahlen 10 bis 100 Mal größer—dies führt in einem
gewöhnlichen Data Center mit 1000 Servern zu einer anhaltend neuen Flow Rate
von 100k zu 1M Flows pro Sekunde, was über das komplette Netzwerk aufgesetzt
werden muss. Das Enterasys flow-basierte Switch-Flaggschiff mit CoreFlow2
Technologie bereißt schon heute bis zu 64 Millionen simultane Flows und bald bis zu
96 Millionen Flows. Wenn ein Ausfall Rerouting hervorruft oder ein anderes Ereignis,
z.B. ein Wurmausbruch, oder ein Netzwerkscan auftritt, kann diese Rate drastisch
nach oben gehen. Eine verteilte Kontrollebene—lokal an jedem Switch—kann dieser
Herausforderung effektiver nachkommen als ein zentralisiertes System. Um die Line
Rate Performance zu halten, ist der Verzug bei einer Line Rate von 10Git/s eine
Nanosekunde. Der Verzug, der auftritt während zentralisierte Echtzeit-Flow-SetupEntscheidungen bereit gestellt werden, mag nicht akzeptabel sein; daher wäre nur
das pre-provisioning von Coarse Flows (oder „Pfade“) durchführbar.
Eine alternierende und praktikablere Lösung im großen Stil mit granularerer
Kontrolle ist den Hybridansatz zu nutzen, wobei lokale und zentrale Kontrollebenenmodelle eingesetzt werden und zusammenspielen. Die lokalen und verteilten
Kontrollebenen sind verantwortlich für Topologie Management, Netzwerkvirtualisierung, Ausfallsicherung, und Adressen-Lernen sowie das Eingangsvorhalten von
Policies für neue Flows. Jedoch werden ausgesuchte Flows auch auf eine
zentralisierte Kontrollebene geschickt, um weitere Inspektions– und Policy
Entscheidugungsprozesse zu durchlaufen. Die Resultate werden zurück geschickt
und modifizieren schon aufgesetzte Flows.
121
Secure Networks™
Interfaces und APIs für ein SDN
SDN können bei Einsatz heute APIs zum Vorteil nutzen, wie CLI, SNMP, RADIUS,
NETCONF, XML, XMPP, etc. Neue APIs, wie OpenFlow, OpenStack und andere,
werden entwickelt, aber sind noch nicht ausgereift und manchmal nicht passend für
Unternehmensnetzwerke und Data Center. Auch war die Herausforderung so weit,
dass Standardisierung über mehrere Hersteller hinterher hinkt und es noch keine
einzige Wahl-API aller Hersteller gibt. Im Folgenden zeigen wir Ihnen eine Übersicht
in SDNs nutzbarer APIs mit ihren Pros und Kontras:
CLI (Command Line Interface)
Jeder Hersteller hat seine eigene Implementation, meistens existieren mehrere
verschiedene CLIs innerhalb eines Herstellerportfolios. Es existieren sogar
Management / Provisioning Tools, die versuchen die verschiedenen Herstellerimplementationen zu abstrahieren. Sie sind kostspielig und passen nur auf große Service
Provider.
SNMP (Simple Network Management Protocol)
Es gibt vergleichbare Herausforderungen wie bei CLI und außerdem nutzen viele
Hersteller SNMP nur fürs Monitoring, aber nicht zur Konfiguration und
Provisionierung. Bei Enterasys ist das anders—das Policy Provisioning ist über alle
Switche, Router und Wireless Access Points im Portfolio via SNMP abstahiert. Das
Enterasys OneFabric Control Center kann genutzt werden, um Policies via SNMP3
nahtlos über alle Layer und Technologien in einer Enterasys Infrastruktur von einem
einzigen, zentralen Kontrollpunkt zu provisionieren.
RADIUS ( Remote Authentification Dial in User Service)
Als Teil der Standardisierung von Attributen für Network Access Control (RFC 3580)
kann dieses Protokoll für dynamische Policy Provisionierung über mehrere Hersteller
hinweg genutzt werden. Verschiedene große heterogene Installationen existieren
heute. Das Enterasys OneFabric Control Center kann in solchen heterogenen
Installationen zu diesem Zweck genutzt werden und es kann sogar über die
grundlegende VLAN policies hinaus gehen, wenn die Switche, Access Points oder
Remote Access VPN Gateways weiterentwickelte Policies, wie ACLs, etc.,
unterstützen. Das Network Access Control Management des Enterasys OneFabric
Control Center abstrahiert gerätespezifische Policy Enforcement Implementationen
und stellt ein vereinheit-lichtes dynamisches Policy Provisioning und Management
Lösung bereit. Da eine typische Network Access Control Lösung primär auf das
Provisionieren der Netzwerkdienste am Edge fokussiert ist, resultiert dies im Bedarf
andere Layer statisch im Netz vorzuhalten—für Bandbreiten Management speziell
oder/und erhöhen es mit zusätzlichen Distribution Layer Funktionen, wie RADIUS
Snooping auf der Enterasys S-Serie und K-Serie, welche den Vorteil des PolicyEnterasys Networks—
Secure Networks™
122
Zuweisen am Edge nutzen, um granularere Policies für das Endsystem auch auf
dem Distribution Layer durchzusetzen.
NETCONF (Network Configuration Protocol)
Dieses Protokolll (RFC 6241) war größtenteils auf Router Implementationen
fokussiert und ist so einfach in Enterprise Produkten verfügbar. Momentan ist es nur
für Router Provisioning in Service Provider-artigen Netzen passend.
XMPP (Extensible Messaging and Presence Protocol)
RFC 6120 wurde entwickelt, um Fast-Echtzeit-Austausch von strukturierten aber
riesigen Datenmengen zwischen jeglichen 2 oder mehr Netzinstanzen zu
ermöglichen. Auch wenn auf Applikationen rund um das Presence Management
zielen, kann es doch in anderen Lösungen genutzt werden.
XML / SOAP (Extensible Markup Language / Simple Object Access Protocol)
NETCONF und XMPP sowie SOAP nutzen dieses Protokoll als Wrapper / Encoder für
ihre Nachrichtenübertragung. SOAP ist ein „Leichtgewicht“-Protokoll zum Informationsaustausch in dezentralisierten, verteilten Umgebungen. Da SOAP applikationsdefinierte Datenarten unterstützt, kann dies genutzt werden, um Daten zur
Policy Provisionierung auszutauschen. Ein Anwendungsfall hier ist die XMP/SOAPbasierte Verbindung des Enterasys OneFabric Control Center mit Virtualization
Management Suites, wie VMware vCenter und Citrix XEN Center (mit Nutzung von
Microsoft SCVMM Powershell), um Policies für virtuelle Maschinen in physikalischen
und virtuellen Netzwerkinfrastrukturen (vSwitch) zu provisionieren.
OpenFlow
Dieses Protokoll gewährt normalerweise Zugriff auf die Forwarding-Ebene. Es erlaubt
die Pfadfestlegung für einen Paket-Flow durch das Netz mit Hilfe von Software, die
auf einer getrennten Kontrollebene läuft—dem OpenFlow Controller. Diese Trennung
der Kontrolle vom Forwarding kann potentiell anspruchsvollere Traffic Management
Entscheidungen erlauben als ACLs und Routing Protokolle und bietet außerdem
auch Netzwerkvirtualisierungsfähigkeiten. OpenFlow wird hauptsächlich auf einem
sicheren Kanal zwischen Switch und Controller eingesetzt.
123
Secure Networks™
IFIF-MAP (Interface for Metadata Access Point)
Die Trusted Computing Group hat eine offene Architektur und Zusammenstellung an
Protokollen entwickelt, die designed wurde, um hochgradige Interoperabilität zu
erlauben und doch die Datensicherheit zu steigern sowie die betriebliche Integrität
von den zum IP Netz verbundenen Geräten zu schützen. Die Architektur ist als
Trusted Network Connect (TNC) bekannt. Unter seinen Protokollen bietet IF-MAP
einen sicheren, offenen und flexiblen Ansatz für Kommunikation und dem Teilen von
Daten zwischen gesicherten Applikationen, Geräten und Systemen.
OpenStacks
Das Ziel ist die allgegenwärtige Open Source Cloud Computing Plattform für
öffentliche und private Clouds herzustellen. Konzerne, Service Provider, VARs, SMBs,
Rechercheure und globale Data Center, die große Cloud Netze für öffentliche oder
private Clouds einsetzen wollen, sind potentielle Nutzer dieser Technologie.
SDN für Netzwerkautomation und Virtualisierung nutzen
Der Mehrwert von SDN in Unternehmensnetzen liegt speziell in der Möglichkeit
Netzwerkvirtualisierung und Automation für Konfiguration über das gesamte
Netzwerk/Fabric bereitzustellen, so dass neue Services und Endsysteme schnell
eingesetzt werden können und Betriebskosten minimiert werden können. Sich
entwickelnde Protokolle, wie OpenFlow, fokussieren sich speziell auf diesen Aspekt,
aber dieses Ziel kann heute auch erreicht werden, indem die Vorteile von
existierenden und bald standardisierten Topologieprotokollen, wie SPB, VLANs und
VRF/MPLS in Kombination mit SDN Architekturen, um Netzwerkressourcen
dynamisch am Edge für neue Geräte und Applikationen zu provisionieren, die das
Netz nutzen.
Beispiel Netzwerkvirtualisierung
Secure Networks™
124
Die Enterasys SDN Lösung—
Lösung—heute und morgen
Die Enterasys OneFabric Architektur mit seinem OneFabric Control Center nutzt den
Vorteil des SDN Konzepts, wobei die Kontrolle an andere IT Systeme delegiert
werden, wie VM/Cloud Management Lösungen, Provisioning Tools, DHCP/DNS
Management Tools sowie andere Tools, die Endsysteme im Netz managen—von
mobilen Geräten über VoIP zu IP Video Management Lösungen.
Kunden können mit statischem Policy Provisioning beginnen und SNMP3 in allen
Layern des Netzes zur Hilfe zu nehmen, dies in einer nachträglichen Einsatzphase
mit der Mitigation Richtung dynamischer Policies an der Edge erhöhen, und dabei
die Vorteile der Authentifizierung oder Identifizierung von Usern und Endsystemen zu
nutzen und dann den Netzbetrieb und das Provisionieren mit Hilfe von bestehenden
IT Systemen zu automatisieren. Der Core wird normalerweise statisch provisioniert
und bietet virtualisierte Netzwerkdienste.
In Zukunft könnten direkte und dynamische Flow Kontrollen möglich sein und die
Vorteile von Protokollen, wie OpenFlow, in einer Hybrid-Installation nutzen.
Enterasys SDN Architektur
125
Secure Networks™
Ein Anwenderfall für SDN ist Lokationsdienst und Provisionieren in konvergenten
Netzen. Für Sicherheit (Notfall Antwort) und Geräte Management Anforderungen
muss der VoIP Administrator detaillierte Informationen für jedes IP Telefon und
andere SIP (Session Initiation Protocol)-fähige Endpunkte haben, die am Netzwerk
angeschlossen sind. Diese Information beinhaltet die Telefonnummer, die dem
Gerät zugewiesen ist, Identifikationsinformationen, wie MAC Adresse des Telefons,
die Software und Software Version, die auf dem Telefon läuft, sowie jegliche
Konfigurationstemplates, wie z.B. Kurzwahlzuweisungen, die dem Telefon
zugewiesen wurden. Der Adminitrator benötigt ebenso detaillierte
Lokationsinformationen, einschließlich dem Switch, dem Port, an dem das Telefon
angeschlossen ist, die IP Adresse des Switches und Ports, der Sicherheitsstatus des
Telefons und die Netzwerk Policy, die dem Telefon zugewiesen wurde. Das
Hinzufügen und Warten dieser Informationen für jedes Telefon, das mit dem Netz
verbunden ist, war normalerweise ein manueller Prozess, welcher nicht gut in großen
Installationen funktioniert und die Betriebskosten signifikant erhöht. Zu garantieren,
dass die Information akurat bleibt, bedeutete dem Nutzer zu verbieten das Telefon
umzuziehen. Die Lokationsinformationen über längere Zeiträume zu warten, stellt
das größte Problem dar und ist das Aufwandsintensivste. Der Grund ist, dass dr
Voice over IP (VoIP) Controller die MAC Adresse, Telefonnummer, Gerätetyp,
Software und Softwareversion aller registierten Telefone lernt, jedoch lernt es
jegliche Lokationsinformationen nicht automatisch.
Eine einzigartige, deutliche und wertvolle Fähigkeit zur Bereitstellung automatisierter
Lokationsdienste für VoIP Telefone ist verfügbar, sobald man das OneFabric Control
Center zu einer Siemens VoIP Installation hinzufügt. Die Zugriffskontrolllösung und
deren Lokationsdienste erkennen ein IP Telefon, sobald es sich das erste Mal zum
Netz verbindet. Das Telefon und die Telefonnummer werden automatisch zu
detaillierten Lokationsinformationen zugewiesen, einschließlich dem Switch (oder
Wireless Controller) Name, Port (oder SSID und WLAN Access Points), an dem das
Telefon angeschlossen ist, die IP Adresse des Switches/Wireless Controllers, Switch
Lokationsbeschreibung, Port Lokationsbeschreibung, Port ELIN (Emergency Location
Information Number), Sicherheitsstatus des Telefons, Netzwerk Policy des Telefons
und sein momentaner Status. Diese automatische Zuweisung reduziert die
administrativen und betrieblichen Kosten, da die Informationen nicht manuell in
eine Datenbank eingegeben werden müssen und nicht fortwährend gewartet werden
müssen.
Dies ist auch wichtig, weil die Fähigkeit ein Telefon schnell zu lokalisieren kritisch ist
für die Unterstützung von Notfalldiensten. Sobald ein IP Telefon erkannt und
autorisisert wurde, kann dem gesamten Traffic des Telefons die VoIP Policy Rolle
zugewiesen werden. Diese Policy hat zwei Elemente: Das Sicherheitselement schützt
den VoIP Server vor Attacken durch das Erlauben von ausschließlich autorisierten IP
Telefonen, um VoIP Protokollpakete zum Server zu schicken. Das QoS Element der
Policy markiert und priorisiert alle Pakete, die vom Telefon kommen, um Verzug im
Netz zu minimieren und die Sprachqualität zu verbessern. Diese Priorisierung
hindert wachsende Netzwerk Traffic Level daran die Sprachqualität zu gefährden.
Secure Networks™
126
Die Enterasys OneFabric Architektur nutzt den Vorteil der SDN Architekturkomponenten, um zentralisierte Transparenz und Kontrolle im kompletten Netzwerk zu
bieten. Zentralisierte Transparenz erlaubt Infrastruktur- und Applikations-Teams
zusammen zu arbeiten, was Kosten senkt und Fehler im typischen Netzwerkbetrieb
minimiert. Die einst komplexe Aufgabe Server und Netzwerkinfrastruktur zu
provisionieren/de-provisionieren ist nun einfach: lokal definierte und global
durchgesetzte Erreichung signifikanter Größe, verbesserte Betriebseffizienz und
verlässlichere und erfolgreichere Applikationsbereitstellung.
127
Einleitung und Ausblick
Die Anforderungen für Applikationsverfügbarkeit war der Auslöser dafür, wie
Applikationen in heutigen Data Centern gehostet werden. Entwicklungsgemäß haben
sich Änderungen bei verschiedenen Data Center Komponenten ergeben,
einschließlich Server, Storage Virtualisierung und auch Netzwerkvirtualisierung. Der
Fokus heutiger Unternehmen liegt auf der Erhöhung der Geschäftsmobilität und das
Data Center ist der Schlüsselposten, der eine Menge Aufmerksamkeit auf sich zieht.
Eine der evolutionärsten Änderungen bisher ist die Servervirtualisierung selbst.
Anstoß für die Servervirtualisierung war die Möglichkeit, Kostensenkungen bei
Infrastruktur und Betriebsmittel zu erreichen, gefolgt von einer Redundanz- und
Recovery-Erhöhung. Virtualisierungsvorteile haben sich so weit entwickelt, dass nun
auch Skalierbarkeit und Flexibilität dazu gehören.
Um das Maximum an Virtualisierungsvorteilen zu erreichen, muss auch der Rest des
Data Centers weiter entwickelt werden. Data Center LAN-Technologien haben einen
ähnlichen Weg hinter sich: Zuerst die Bereitstellung von Redundanz und dann die
Gestaltung einer skalierbareren Fabric innerhalb und zwischen Data Centern.
Es gibt drei Einflussfaktoren, die für die nächste Generation der Data Center
Netzwerke beachtet werden sollten:
•
Unterstützung für Virtualisierungsinitiativen
•
Senkung der Ebenenanzahl, Performance zu verbessern
•
Unterstützung für SAN Konvergenz
Bei den modernen hoch virtualisierten und dynamischen IT-Infrastrukturen, werden
Data Center Organisationen ständig herausgefordert, ein Maximum an Skalierbarkeit
und Perfomance sowie kosteneffiziente und belastbare Infrastrukturen
bereitzustellen. Virtualisierung hat die Anforderungen dramatisch geändert. Frühere
hoch segmentierte Data Center Netzwerke unterstützen Schlüsselvorteile der
Virtualisierung, wie zum Beispiel Dynamic Virtual Machine Provisioning (VMotion/
XenMotion), nicht. Das Abflachen des Netzes löst das ursprüngliche Problem, bringt
aber andere Design Herausforderungen mit sich. Die Schlüsselvorteile der
Virtualisierung für ein Unternehmen – das Senken der Emissions- und
Betriebskosten und die Verbesserung der Ausfallsicherheit – hängen sehr von der
nächsten Generation der Data Center Architekturen ab. Das Versprechen der
Virtualisierung Kapitalinvestitionen zu reduzieren und Betriebskosten zu senken ist
auch an die Verminderung der Ebenen in Data Center gebunden. Die Senkung der
Ebenenanzahl im Data Center reduziert nicht nur Equipment (CAPEX/OPEX), sondern
128
erhöht durch die Senkung von Latenzzeiten auch die Applikationsperformance. Da
Unternehmen die Bandbreite erhöhen, nutzen sie ebenfalls die Möglichkeit die
Topologiekomplexität zu verringern. Während das Senken der Geräteanzahl die
Komplexität reduziert, bringt der dritte Einflussfaktor – SAN Konvergenz – neue
Herausforderungen und Gesichtspunkte für die nächste Generation der Data Center
Netzwerke hervor.
SAN Konvergenz ist ein hoch diskutiertes Thema und die Standards werden neu
ratifiziert oder sind im Ratifizierungsprozess, abhängig von Ihrer SAN Wahl. Im
Allgemeinen ist Infrastrukturkonsolidierung – Data und Storage teilen die selbe
Infrastruktur mit einer gemeinsamen Schnittstelle auf dem Server - der
Haupteinflussfaktor der SAN Konvergenz. iSCSI war die erste konvergierte SAN
Technologie der Industrie; Fibre Channel over Ethernet (FCoE) ist die neue hype
Technologie.
Dieses Kapitel ist auf die zukünftige Enterasys OneFabric Data Center Architektur
fokussiert, welche die Anforderungen der nächsten Generation Data Center
Netzwerke adressiert.
Die Enterasys
Komponenten
OneFabric
Data
Center
Architektur
Mit der Enterasys One Fabric Data Center Architektur können Kunden heutige Data
Center Netzwerke problemlos in ein voll konvergiertes Fabric migrieren, welches die
Anforderungen an Virtualisierung, verbesserter Performance und SAN Konvergenz
adressiert.
OneFabric Data Center im Zeitablauf
129
Die Haupttechnologiekomponenten dieser Architektur sind:
•
Virtualisierung
Die Anforderung für Transparenz und Automation adressieren, wenn virtuelle
Server (neu) eingesetzt werden
•
Data Center Überbrückung
I/O und SAN Konvergenz im Data Center Fabric effizient unterstützen
•
Virtual Switch Bonding
Erhöhung der verfügbaren Bandbreite und Aktivierung eines belastbaren
Links zu Servern und Blade Center Switchen
•
Fabric Core Mesh
Skalieren des Data Center Fabric Cores zu einer aggregierteren Kapazität mit
geringerer Latenz.
•
Applikationsbewusstsein
ApplikationsTransparenz und –kontrolle im Data Center Fabric ermöglichen
Virtualisierung
Virtualisierung ist die evolutionärste Änderung für Data Center in den letzten 10
Jahren. Server und Storage Virtualisierung ermöglichen schnelle Änderungen auf
dem Service-Layer, aber die dynamische Natur resultiert dabei in Anforderungen an
das Data Center Netzwerk. “Motion” Technologien kreiieren schnelle
Konfigurationsänderungen auf dem Netzwerk Layer, da Server/VMs unter den
physikalischen Maschinen hinzugefügt oder bewegt werden.
Um Netzwerkdienste in Echtzeit innerhalb einer virtualisierten Umgebungen zu
liefern, integriert der Enterasys Data Center Manager mit der Enterasys Network
NetSight Management Suite, um die Kluft zwischen virtueller Maschine und
Netzwerkversorgungsapplikation zu überbrücken. Das Enterasys DCM ist eine
leistungsstarke Unified Management Lösung, die Transparenz, Kontrolle und
Automation im gesamten Data Center Fabric, inklusive Netzwerkinfrastruktur,
Server, Storage Systeme und Applikationen, liefert – sowohl im physikalischen als
auch im virtuellen Umfeld.
130
Der Enterasys DCM erfordert keine spezielle Software oder Applikation, die auf den
Hypervisor oder die virtuellen Maschinen geladen werden muss. Die Lösung koppelt
direkt an den native Hypervisor und das Hypervisor Management System an. Server
und VM Transparenz und Kontrolle werden bereitgestellt ohne den Server oder das
Betriebssystem zu beeinflussen. Unternehmen haben die Freiheit den Server- oder
Hypervisor-Hersteller zu wählen, der am besten zu ihren Anforderungen passt, nicht
den Hersteller, der sie in eine Einkaufssackgasse führt. DCM ist durch die
Unterstützung aller Hauptvirtualisierungsplattformen, einschließlich Citrix XENServer
und XENDesktop, Microsoft Hyper-V und VMware vSphere, ESX, vCenter und VMware
View, einzigartig auf dem Markt.
Enterasys DCM bindet sich in existierende Workflow und Lifecycle Tools ein, um
Transparenz von A bis Z in virtuelle und physikalischen Anlagen zu bieten und um
die Konfigurationen physikalischer und virtueller Netzwerke für virtuelle Maschinen
zu automatisieren. Anstatt die Installation einer neuen Software auf dem Hypervisor
zu verlangen, nutzt Enterasys DCM die APIs aller Hersteller. Des Weiteren
veröffentlicht Enterasys APIs, um automatisierte Inventarerkennung und Kontrolle
der Hypervisor Switch Konfiguration, sowie Management der physikalischen
Netzwerkkonfiguration bereit zu stellen.
Enterasys erwartet, dass der Hypervisor Switch (vSwitch) als seine dedizierte
Software-Komponente über die Zeit verschwinden wird und durch standardbasierte
Mechanismen, wie IEEE 802.1Qbg – Virtual Ethernet Port Aggregator (VEPA), ersetzt
wird. Implementiert in die NIC Karte eines Servers und beschleunigt durch
Mechanismen, wie SR-IOV Single Root I/O Virtualization, um die Server CPU zu
entlasten, ermöglicht VEPA, dass der physikalische Switch die
Weiterleitungsentscheidung übernimmt. DCM wird dann das Management dieser
Lösungen in einer ganzheitlichen Art erlauben.
131
VEPA Paket—
Paket—Flow
Enterasys plant VEPA auf Haupt-Data-Center-Plattformen zu implementieren,
einschließlich Software Upgrades, um die Vorteile der CoreFlow2 Technologie nutzen
zu können.
Auch heute ist dieselbe Funktionalität mittels DCM und Fabric Routing möglich.
Letzeres erlaubt sogar den Einsatz von PVLAN Konfigurationen auf VMware vSphere
Distributed Virtual Switches, um den Datenverkehr zwischen einzelnen virtuellen
Maschinen umzuleiten.
132
Die Besonderheit liegt hierbei darin, dass der physikalische Switch außerhalb der
ESX Servers sowohl als „normaler“ End-of-Row/Top-of-Rack Switch agiert, aber auch
gleichzeitig zwischen den PVLANs routet. Dadurch bietet sich die Möglichkeit den
Datenstrom zwischen zwei VMs zu analysieren, regulieren und (z.B. via NetFlow) zu
exportieren. Enterasys Data Center manager erlaubt an dieser Stelle ebenfalls eine
zentrale, transparente Konfiguration und eine ebenso einfach zu realisierende
Transparenz aud alle Daten im Netzwerk.
Data Center Bridging
Das langfristige Ziel ist, den TCO durch die Einführung von Ethernet als Transport für
eine “konvergierte” Data und Storage Lösung zu senken. Storage Konnektivität wird
in der Zukunft auf einem einzigen konvergierten Netzwerk basieren – mit neuen
Protokollen und Hardware. Enterasys bietet einen einfachen und doch sehr
effizienten Ansatz, um iSCI SAN oder NFS NAS Umgebungen heute schon zu
ermöglichen, zu optimieren und zu sichern. Enterasys liefert schon heute einen
einfachen und effektiven Weg, Kommunikation durch automatische Erkennung,
Klassifizierung und Priorisierung von IP SAN Traffic zu optimieren.
Die IEEE Data Center Bridging (DCB) Task Gruppe, eine Arbeitsgruppe der IEEE
802.1 Work Group, ist auf ein Standardset fokussiert, das Ethernet zu einem
praktikableren Data Center Transport macht, sowohl für Server- als auch für StorageTraffic; besonders wenn es um Fiber Channel over Ethernet (FCoE) geht. DCB kreiiert
eine verlässlicheres, auf Ethernet Technologie basiertes Netzwerk, welches von
einem “best effort” zu „lossless“ Betrieb übergeht und bietet Engpass-Management
auf Layer 2 effizienter als traditionelles TCP-basiertes Engpass-Management und
Flow-Kontrollmechanismen. Auch wenn traditionelle Storage-Protokolle, wie iSCSI
und NFS, vom DCB profitieren werden, sind sie nicht darauf angewiesen. FCoE
ordnet einen „lossless“ Betrieb an, welcher in einer Multi-Hop Switch-Umgebung nur
mit dem Einsatz von DCB möglich ist.
Data Center Überbrückung ist hauptsächlich auf die drei (3) IEEE Spezifikationen
fokussiert:
•
IEEE 802.1Qaz – ETS &DCBX – Bandbreitenzuweisung zu Hauptverkehrsklassen (Priority Groups); plus DCB Management Protokoll
•
IEEE 802.1Qbb – Priority PAUSE – Wahlweise Verkehr auf Link durch Priority
Group PAUSIEREN
•
IEEE 802.1Qau – Dynamische Engpassbenachrichtigung
133
DCB und verschiedene Storage Technologien
Enterasys plant diesen Standard in 2 Phasen auf den Haupt-Data-CenterPlattformen zu unterstützen – mit Software und Hardware Upgrades.
Man kann erwarten, dass SAN Konvergenz in den letzten beiden Phasen auftauchen
wird. Die erste Phase wird I/O vom Server mit der Ethernet Data Fabric
konsolidieren. Die zweite Phase wird SAN im kompletten oder selektiven Fabric
konvergieren.
Die erste Phase reduziert hauptsächlich die Serverkosten, da eine dedizierte HBA
nicht mehr nötig ist. Dies spart Energiekosten am Server und verringert den
Platzbedarf. In dieser Phase wird der Betrieb durch die Kabeleinsparung zum Server
erleichtert und das wiederum spart ebenfalls Kosten. Weiterhin werden weniger
Switch Ports benötigt. Die zweite Phase reduziert die Anzahl der benötigten
Netzwerkgeräte im kompletten Fabric. Die zweite Phase benötigt ausgereifte
Standards und wird mehrere Jahre brauchen, bevor es das angewandte Mainstream
-Design in Data Centern wird.
Während IP SAN Konvergenz schon heute verfügbar ist, wird eine vollständige FCoE
SAN Konvergenz auf Netzwerken, die DCB nutzen, erst in einigen Jahren umgesetzt
werden.
134
Virtual Switch Bonding repräsentiert eine Entwicklung im Data Center Switching, die
Data Center Architekten mit einem neuen Satz an Werkzeugen ausstattet, um
Applikationsverfügbarkeit und Antwortzeiten zu verbessern und die Edge
Netzwerktopologie zu vereinfachen. Virtuelles Switching gewinnt an Akzeptanz in
Data Centern, da es eine Elastizität für Serververbindungen offeriert, die früher
manuelle Konfiguration der Server voraussetzte. Heutige Implementationen
virtuellen Switchings für Top of Rack (ToR) Switchsysteme erlauben Servern zwei
physikalische Switche als ein einziges System anzusehen, was die folgenden
Probleme löst:
•
Link Aggregation physikalischer Switche und Server automatisieren
•
L2 Netzwerk Uplinks zu Data Center Aggregation / Core Switche vermaschen
•
Non-Stop Weiterleitung von Applikationsverkehr ermöglichen, falls ein
einziges Gerät ausfällt
Flexible Server Verbindung
Enterasys Virtual Switch Bonding führt physikalische Switche in einem einzigen,
logischen Switch zusammen, um Bandbreite zu erhöhen und erstellt eine aktive
Vermaschung zwischen Servern und Switchen im Data Center. Dies ermöglicht die
Echtzeitbereitstellung von Applikationen und Diensten und vereinfacht das
Management der Netzwerkinfrastruktur. Das Enterasys S-Serie Chassis-System
implementiert ein virtuelles Chassis-System – erstmals umgesetzt in der Enterasys
N-Serie.
135
Über diese Lösung hinaus wird Virtual Switch Bonding in verschiedenen Chassis auf
den Haupt-Data-Center-Plattformen, wie S-Serie, als Software-Option verfügbar sein,
um das Chassis über traditionell 10G und zukünftig 40G/100G Ethernet Links
anschließen zu können.
Enterasys Virtual Switch Bonding löst die oben genannten Probleme und bietet:
•
Automatisierte, host-spezifische Netzwerk-/Sicherheitsprofile per Virtual Host,
per Port
•
Maximale Verfügbarkeit
fallsicherungsfähigkeiten
•
Etablierte Technologie mit mehr als 3 Millionen Switch und Router Ports im
Einsatz
•
Bewährte Enterasys BS Code Basis, heute und zukünftig
und
Ausfalltoleranz
mit
nahtlosen
Aus-
Fabric Core Mesh—
Mesh—Layer 2
Flexibilität und Performance wird im gesamten Netzwerk benötigt, nicht nur in einem
bestimmten Layer, wenn man die Bedürfnisse der Applikationen erfüllen möchte, die
das Geschäft vorantreiben. Neue Data Center Technologien, wie Server
Virtualisierung und FCoE benötigen wieder ein größeres Ausmaß an Layer 2
“flachem” Netzwerk. Das jeder-mit-jedem Kommunikationsmuster von Darstellung,
Applikation und Datenbankservern, oft in einem Scale-Out Design gesetzt, benötigen
eine nicht blockende, hoch performante Netzwerkinfrastruktur mit geringer Latenz.
In der Vergangenheit wurden Netzwerke mit aktiven und passiven Links erstellt.
Während dies Redundanz bereitstellte, haben Änderungen in der Netzwerktopologie
zu Dienstausfällen geführt bis das Netzwerk in einer neuen logischen Konfiguration
gesetzt war. Technologien haben sich entwickelt und viele heutige Netzwerke
segmentieren ihre logischen Topologien durch Standards, wie IEEE 802.1Q-2005
Multiple Spanning Tree Protocol (MSTP), um mehrere Topologien zu ermöglichen,
damit alle Links bestmöglich genutzt werden. Dies ist ebenfalls die Best Practice
Empfehlung für heutige Data Center Netzwerke. Für mehr Informationen und Best
Practices besuchen Sie http://www.enterasys.com/solutions/DataCenter.aspx.
Während MSTP erlaubt alle Links bestmöglich zu nutzen, werden nicht alle Links
gleich genutzt. Das kommt daher, dass die Segmentierung immer noch aktive/
redundante Links innerhalb jeder VLAN Gruppierung hat. Netzwerke der nächsten
Generation müssen eine aktive/aktive Konfiguration unterstützen, welche:
136
•
Ausfälle beinhaltet, so dass nur direkt betroffener Verkehr bei der
Wiederherstellung beeinflusst wird
•
Schnelle Wiederherstellung von Broadcast und Multicast Konnekti- vität
ermöglicht
•
Nutzt alle verfügbaren
breitenverlust
•
Ermöglicht schnelle Verbindungswiederherstellung nach Ausfall
physikalischen
Verbindungen,
kein
Band-
Es gibt zwei konkurrierende Standards in Ratifizierung, welche die Flexibilität
zukünftiger Data Center LANs erhöhen werden, einschließlich:
•
Shortest Path Bridging (SPB) – IEEE 802.1aq work group
•
Transparent Interconnect of Lots of Links (TRILL) – IETF TRILL work group
Jeder dieser Standards ist darauf ausgerichtet die Netzwerktopologie zu
vereinfachen und eine aktive Vermaschung zwischen Edge und Core in Data Center
Netzen bereitzustellen.
Enterasys ist ein Innovator in Netzwerk Fabrics mit vielen Industriepatenten im Feld
und lieferte 1996 das erste Layer 2 vermaschte Ethernet Netzwerk der Industrie:
Eine aktive Vermaschung auf Basis eines intelligenten Router Protokolls. Damals
war es unter SecureFast bekannt und OSPF wurde als VLSP (VLAN Link State
Protocol) genutzt, um MAC Adress-Ereichbarkeit auszutauschen.
IETF TRILL und IEEE SPB nutzen beide IS-IS als Routing Protokoll, um ähnliche Ziele
zu erreichen. Das IEEE hat bestätigt alle existierenden und neuen IEEE Standards
(besonders die IEEE Data Center Bridging Protokolle, aber auch die existierenden
Management Protokolle, Ethernet IEEE 802.1ag (OAM), etc.) via IEEE SPB zu
unterstützen. IEEE SPB nutzt einen Header vom Provider Backbone Bridging
Standard, genannt MAC in MAC Encapsulation (IEEE 802.1ah), was in der SPB-M
Implementation resultiert. TRILL erlaubt verschiedene Pfade (Equal Cost
Multipathing) und nutzt auch verschiedene Pfade für Unicast und Broad/Multicast.
Bei näherer Betrachtung scheint dies ein Problem zu sein, da es genau deswegen
bei manchen IEEE Protokollen zu Problemen mit TRILL kommt. Sie benötigen die
selben Pfade. Und natürlich können verschiedene Pfade (mit unterschiedlichen
Latenzen) auch zu unvollständiger Paketlieferung führen, zum Beispiel wenn
Unknown Unicast Flooding zu Unicast geändert wird. Mit SPB wird der Rahmen nicht
mehr durch die MAC in MAC Encapsulation verändert und nur ein Pfad wird für
jeglichen Verkehr zwischen einer bestimmten Quelle und Ziel genutzt.
137
Die Enterasys OneFabric Data Center wird anfangs IEEE SPB nutzen, welches in
2011 ratifiziert und mit dialogfähigen Implementationen in 2012 verfügbar werden
soll. SPB wird mit einem Software Upgrade auf Schlüssel-Data-Center-Plattformen
verfügbar sein, was die CoreFlow2 Technologie implementiert.
SPB baut auf die existierende Data Center Layer 2 LANs, die MSTP nutzen, auf und
ist hiermit auch voll dialogfähig. Es wird dadurch die Flexibilität zukünftiger
Netzwerke verbessern. Aufgrund der Tatsache, dass es ein IEEE Standard ist, erlaubt
es existierende Infrastrukturen mit wenig oder keinen Unterbrechungen zu
migrieren. Die folgenden Vorteile können mit SPB erreicht werden
Plug and Play
•
Minimale oder keine Konfiguration nötig, um eine aktive Vermaschung zu
erstellen
Verringerte Anzahl an Sprüngen
•
Mit allen Links aktiv in der Fabric nimmt der Verkehr immer den kürzesten
Weg
•
Verringerte Latenz zwischen Applikationen
Höher aggregierte Kapazität
•
Keine ungenutzten (blockierten) Links resultieren in einer höher aggregierten
Fabric Kapazität
Skalierbarkeit
•
100te bis 1000de Switche innerhalb einer einzigen Domain möglich
Flexibilität
•
Schnelle Verbindungswiederherstellung nach Ausfall
•
Bei Ausfall ist nut der direkt betroffene Verkehr während der
Wiederherstellung betroffen, nicht direkt betroffener Verkehr läuft einfach
weiter
•
Schnelle Wiederherstellung von Broadcast und Multicast Verbindungen
138
Shortest Path Bridging Domain
Besonders für größere Data Center Fabrics mit komplexen Topologien über mehrere
Lokationen wird SPB ein Schlüsselelement werden, um die Vorteile von
Virtualisierung und Konvergenz voll zu nutzen. Kleinere Netzwerke benötigen diese
Funktion möglicherweise nicht – wegen der erhöhten Server und Switch
Performance verringert sich die Anzahl der Knoten im Data Center dramatisch, also
werden viele mittelgroße Unternehmen keine komplexen Topologien mehr
benötigen.
Fabric Core Mesh—
Mesh—Layer 3 basiertes, steigerndes Fabric Routing
Warum stellt traditionelles Layer 3 Routing ein Problem in der konvergierten Data
Center Fabric dar? Server Virtualisierung und FCoE benötigen große Layer 2 „flache“
Netzwerke, um zu funktionieren und ihr volles Potential zu erreichen. Aber Server
Subnet Aufteilung braucht Routing für Inter-Server Kommunikation. In ausschließlichen SPB oder RSTP/MSTP Designs resultiert dies in potentiellen Engpässen an
Router Schnittstellen, die herkömmlich am Edge der Data Center Fabric
angeschlossen sind. Zusammen mit traditionellem VRRP, wo es ein einziges aktives
Layer 3 Default Gateway. Diese Designs sind für Lastverteilung ineffizient und
erhöhen die Latenz im Netzwerk Fabric Routing ist ein Mechanismus, um verteiltes
Routing in SPB und RSTP/MSTP integriertes Switchen/Routen bereitzustellen, um
den Bedarf für maximalen Durchsatz, niedrigster Latenz und optimierten Traffic
Flows in der Data Center Fabric zu adressieren. Im Zusammenhang mit LAN und
WAN ist Nord-Süd Traffic der Client Server Traffic, der zwischen Nutzern in einer
Filiale und dem Data Centet läuft, das die Applikation hostet, auf die zugegriffen
wird. Im Zusammenhang mit dem Data Center ist Ost-West Traffic der Traffic, der
zwischen den Servern in einer Data Center Fabric läuft. Fabric Routing ist primär auf
geroutetem Ost-West Traffic ausgerichtet. Es ist eine einzigartige Innovation von
Enterasys, der auf VRRP aufbaut und damit dialogfähig ist, so dass Administratoren
ihr Wissen für die Implementation zu ihrem Vorteil nutzen können. Es kann auch im
Campus LAN angewandt werden und bietet Mehrwert, was ein typischer Wertbeitrag
139
der OneFabric Architektur von Enterasys ist.
Traffic Flows ohne Fabric Routing
Im obrigen Bild wird der Traffic zwischen den Servern im VLAN1 und VLAN2 durch
den VRRP Master für jedes VLAN/Subnet geroutet, welche an der Edge der Fabric
sitzt. Das ist eine typische Installation, als ob die Server visualisiert werden und
bewegen sich durch die Fabric; es gibt keine Möglichkeit den optimalen Pfad oder
Ort für die Router festzusetzen—also werden sie irgendwo an der Edge
angeschlossen. Dies resultiert in einer 3fachen Steigerung der Latenz (6 vs. 2 Hops),
einer unnötigen Brandbreitenerhöhung an 5 zusätzlichen Links in der Fabric sowie
einer Limitierung der aggregierten Routing Performanz zwischen den 2 VLANs in der
Fabric zu einem einzigen Link (in diesem speziellen Beispiel).
Fabric Routing ist eine Erweiterung den VRRP, die vollständig kompatible mit
existierenden VRRP Routern ist. Das VRRP Auswahlverfahren und Protokoll bleiben
unverändert. Das Ermöglichen von Fabric Routing per VRRP Router ID erlaubt dem
Enterasys Switch/Router eine neue Phase des „Active-Backup“ zu übernehmen. Die
„Active-Backup“ Phase erlaubt dem Switch/Router jeglichen Frame einzusammeln,
der für die VRRP MAC Adresse bestimmt ist—was in ARP Antworten vom VRRP
Master zu den Endsystemen inkludiert ist, das ARP für ihre Gateway Adresse oder
eine andere Destination (falls Proxy-ARP genutzt wird) im spezifischen Subnet.
Fabric Routing zusammen mit SPB bietet die selbe Traffic Flow Effizienz (Shortest
Path) für Layer 2 und Layer 3 Traffic innerhalb der Data Center Fabric. Wenn es
innerhalb einer RSTP/MSTP Domain genutzt wird, wird dies die Traffic Flows
optimieren im Vergleich zu einer traditionellen VRRP Konfiguration.
140
Fabric Routing Konfiguration mit multiplen VLANs und VRRP IDs
Applikationsbewusstsein
Die meisten Netzinfrastrukturkomponenten, die heute eingesetzt werden, stellen
keine Daten bereit, um Applikationen zu kontrollieren und zu überwachen. Netzwerk
werden typischerweise so implementiert, das alle Services und Applikationen die
gleiche Priorität bekommen, oder ein sehr rudimentäres Priorisierungsschema
bekommen. Mit der wachsenden Nutzung von Virtualisierung, SOA Architekturen,
Cloud Computing und weitergehende Netzwerkkonvergenz, kann dieses typische
Szenario den heutigen Anforderungen nicht mehr entsprechen. Dies betrifft sowohl
Access Netzwerke als auch Data Center Fabrics. In jedem Bereich des Netzwerks
wird es kritischer Applikationen ordentlich zu identifizieren, um die Verfügbarkeit
durch Überwachung und Kontrollverstärkung zu gewährleisten. Diese Ziel kann nicht
nur durch das Überprüfen des Verkehrs auf dem Transport-Layer erreicht werden.
CoreFlow2 stattet IT Administratoren mit mehr Transparenz in kritische
Betriebsapplikationen aus und gibt ihnen mit diesem Instrument die Möglichkeit
bessere Kontrollen durchzuführen, um die SLAs zu erreichen, die das Geschäft
erfordert. Ein Beispiel einiger Einsatzgebiete, die durch CoreFlow2 ermöglicht
werden, beinhalten*:
141
SAN
•
Ermöglicht Zugangskontrolle für iSCI Ziele mit Granularität für den Initiator
•
Überwachung der Bandbreitennutzung per iSCI Ziel
IP Voice & Video
•
Erlaubt QoS und Zugangskontrolle für RTP Mediastreams und Kon- trolldaten
Cloud
•
Erlaubt rollenbasierte Zugangskontrolle für Cloud Dienste wie salesforce.com
•
Bandbreitenüberwachung für bestimmte Seiten wie youtube.com
* Implementationsdetails pro Produktkategorie sind Thema der Entwicklungs-Roadmap. Wir verweisen
hier auf die Produktdatenblätter und Release Notes.
Erweiterte Transparenz wird zeitnah in einem nachfolgenden Release des Enterasys
NetSight umgesetzt. NetSight wird die nativen, rohen NetFlow Aufzeichnungen, die
von CoreFlow2 gesteuerten Geräten generiert werden, aggregieren, um
Applikationslevel-Transparenz im gesamten Netz zur Verfügung zu stellen.
Ausgewählte Enterasys Produkte werden auch Antwortzeitmessungsproben von
Applikationen, verteilt in der gesamten Netzwerkinfrastruktur, unterstützen. Dies
wird dem IT Administrator weiter helfen, Applikationsantwortzeiten im seinem Netz
zu überwachen, um SLAs zu erfüllen, höhere Applikationsverfügbarkeit zu liefern
und ein effizienteres Trouble Shooting zu erlauben.
Zusammenfassung
Data Center LANs entwickeln sich stetig weiter. Was gestern funktionierte,
funktioniert heute nicht und wird morgen antiquiert sein. Geschäftsdruck zwingt die
IT neue Applikationsbereitstellungsmodelle anzunehmen. Edge Computing Modelle
gehen vom Applikationen im Edge zu virtuellen Desktops in Data Centern über. Die
Entwicklung des Data Centers zu privaten, hybrid Could Services und auch öffentlich
Cloud Integrationen ist schon im Gange. IP SAN Konvergenz ist heute da, aber FCoE
Konvergenz wird hinterher hängen, da als Schlüsseltechnologien, wie DCB, noch
nicht verfügbar sind. Mit der Unterstützung einen offenen Standardansatzes, bietet
Enterasys bereits eine vereinfachte Data Center Fabric Lösung, die
Applikationsperformance verbessert und Geschäftsmobilität erhöht, was Kunden
einen zukunftssicheren Ansatz für Data Center Fabric Architekturen bietet. Virtuelles
Switching wird zunehmende Flexibilität in Data Centers bieten und vermaschte
Technologien werden die Flexibilität durch die gesamte Fabric erweitern.
142
IEEE SPB ist der zeitnahe brauchbar Kandidat für Data Center Vermaschung und
wird unterstützt werden.
Physikalische Designs im Data Center
Prinzipiell werden Data Center Designs heute und auch morgen durch zwei
Entscheidungen bestimmt.
•
Wie viele Ebenen soll das Datacenter haben? 2-Tier oder 3-Tier Design?
•
Wie werden Server direkt angebunden? End-of-Row (EoR) oder Top-of-Rack
(ToR) Access ?
2-Tier versus 33-Tier Design
Vereinfacht gesagt geht es dabei um die Frage ob das Data Center einen eigenen
Core Switch inklusive Routing Instanz bekommt oder ob es nur bei Aggregation und
Access Switche für die Server bleibt.
ĂƚĂĞŶƚĞƌϮͲdŝĞƌĞƐŝŐŶ
ĂƚĂĞŶƚĞƌϯͲdŝĞƌĞƐŝŐŶ
Dabei müssen auch einige Vor- und Nachteile jeden Ansatzes beachtet werden:
Ein 2-Tier Data Center profitiert in der Regel von geringeren Latenzzeiten, einer
kleinerer Überbuchungsrate und eine allgemein vereinfachte Konfiguration aller
Komponenten.
143
Zusätzlich wird durch den Einsatz weniger Geräte natürlich auch weniger Strom
verbraucht, was sich ebenfalls positiv auf die Betriebskosten auswirkt. Nachteilig
verhält sich jedoch die schlechtere Skalierbarkeit, falls alle Ports an den Aggregation
Switchen in Benutzung sind. Weiterhin kann eine einfache anfängliche Verwaltung
im Laufe von Expansionen durch die erhöhte Komplexität weiterer Switche leiden.
Bei einem 3-Tier Data Center Design bietet die hierarchische Struktur exzellente
Möglichkeiten zur späteren Expansion. Durch die weitere Konsolidierung der
Aggregation Uplinks bestehen somit auch ein geringerer Aufwand, falls später neue
Paare hinzugefügt werden. Als Preis für die erhöhte Flexibilität müssen jedoch
Einbußen bei der von der zusätzlichen Ebene verursachten Latenz des Netzwerks
hingenommen werden. Weiterhin verbraucht die zusätzlich benötigte Hardware
mehr Strom und Platz im Data Center. Ebenfalls führt die Konsolidierung der Uplinks
zu einer erhöhten Überbuchung von Ports und Bandbreite.
Prinzipiell lässt sich bei der Designauswahl nur die Empfehlung aussprechen, dass
ein 2-Tier Design bei den meisten Installationen die bessere Wahl ist. Das „flache“
Netz ist dabei wesentlich leistungsfähiger und entspricht auch zukünftigen
Ansprüchen von kommenden Storage Technologien. Ein 3-Tier Design bietet sich
eigentlich nur für sehr große Data Center an oder für jene, die in absehbarer Zukunft
sehr schnell wachsen werden.
EndEnd-ofof-Row versus TopTop-ofof-Rack
Wie beim Gesamtdesign des Data Centers bieten sich bei der Anbindung der Access
Switche und Server wieder zwei Möglichkeiten, die ebenfalls mit individuellen Vorund Nachteilen einhergehen. Bei End-of-Row (EoR) Installationen übernimmt ein
Access Switch (Paar) die Anbindung einer ganzen Reihe von Serverracks.
EndEnd-ofof-Row Design
144
Vorteile
•
Server können überall platziert werden und somit Hitzestaus besser
vermeiden
•
Bessere Portnutzung im Vergleich zu ToR Design
•
Verbraucht weniger Platz in Racks, Strom, Kühlung und CAPEX
•
Weniger Management durch weniger Switche
•
Üblicherweise geringere Überbuchung (optimiert durch die Back- plane)
•
Chassis Switche bieten
Skalierbarkeit
•
Weniger Switch Hops bedeuten eine geringere Latenz
üblicherweise mehr
Features und
bessere
Nachteile
•
Verkabelung wird komplexer, je mehr Server in der Reihe vorhanden sind
Im Gegensatz dazu steht das Top-of-Rack (ToR) Design, welches einen Switch (oder
zwei physikalische Switche als einen virtuellen Switch) pro Rack vorsieht. Dieser
konsolidiert die Verkabelung auf Rack-Ebene vor den Aggregation Switchen und
erleichtert somit die Kabelführung – jedoch auf Kosten von Latenz und häufig
ungenutzten Ports.
TopTop-ofof-Rack Design
145
Vorteile
•
Vereinfachtes Ausrollen von Komponenten im Rack
•
Verkabelung ist vermeintlich einfacher und billiger
Nachteile
•
Variierende Anzahl der Server im Rack führen zu einer unterschiedlichen
Anzahl von aktiven Switch Ports und somit zu teils ungenutztem CAPEX
•
Anzahl ungenutzter Ports ist höher als beim End-of-Row (EoR) Szenario
•
Höhere Strom- und Kühlungsanforderungen als im End-of-Row (EoR) Szenario
•
Technologieupdate bedeutet automatisch den Austausch eines 1 Rack Unit
(RU) ToR Switches
•
ToR führt weitere Bedenken bei der Skalierbarkeit ein, insbesondere
Überbuchung auf Uplinks und zusätzliche Switch Hops bedeuten wiederum
eine höhere Latenz
Überbuchung im Design
Die Überbuchung der vorhandenen Ressourcen ist ein wohlbekannter Ansatz im
Access Bereich. Dieser Ansatz unterliegt jedoch vollkommen anderen
Voraussetzungen im Data Center. Der Einzug von Virtualisierungslösungen stellen
dieses Prinzip in den Mittelpunkt, um eine optimale Auslastung der vorhandenen
Hardware durch die Software zu gewährleisten. Dies führt allerdings unweigerlich
dazu, dass Server im Gegensatz zu traditionellen Betrachtungen nun wesentlich
mehr Daten pro Interface übertragen. Um trotzdem den Anforderungen gerecht zu
werden, muss das Netzwerk im Data Center diesen Umstand kompensieren und
darüber hinaus auch die Dynamik im ständigen Wandel mittragen können. Prinzipiell
lassen sich dabei unterschiedliche Zonen im Data Center identifiziere: Presentation/
Web Server, Application Server und Database Server.
146
Jede dieser Ebenen unterliegt seinen ganz eigenen Traffic-Mustern, die sich primär
durch unterschiedliche Quality-of-Service, aber auch durch spezielle
Sicherheitsanforderungen auszeichnen. Für sich alleine betrachtet, ist dies keine
untypische Herausforderung; die Mobilität der Server durch die Virtualisierung
hingegen schon. Zwar besteht nach wie vor die Möglichkeit einer manuellen,
statischen Zuordnung der Ressourcen, jedoch verspielt dies den größten Vorteil der
Servervirtualisierung an sich und limitiert maßgeblich den Return-of-Invest.
Somit sollte bei der Planung vorab eine möglichst geringe Überbuchungsrate
zwischen Down- und Upstreams avisiert werden und natürlich dabei auch Themen
wie Link-Ausfall Szenarien nicht übergangen werden.
Diese Herausforderungen werden zusätzlich noch mit dem Einzug der Konsolidierung
zwischen Daten- und Speichernetz verstärkt. Speichernetze legen nicht nur ein sehr
last-intensives Kommunikationsverhalten an den Tag, sondern erfordern spezielle
Berücksichtigungen in Bezug auf die Zeitfenster, in denen die Daten zugestellt
werden. Die Parallelisierung in solchen Netzen führt zu so genannten „Bursts“, die
besonders bei einer zu großen Überbuchungsrate ein Problem darstellen. Dabei wird
eine große Menge an Daten von verschiedenen Stellen im Netz versandt und muss
teils gleichzeitig am Ziel ankommen. Um eine Überlastung des Puffers am Switch zu
vermeiden (ein so genanntes „Incast Problem“), sollte neben den Überbuchungsraten darauf geachtet werden, dass die eingesetzten Switche über genug
Speicherkapazität verfügen und das Netzwerk solche „Bursts“ abfangen kann. Ist
dies nicht der Fall, so kann es durchaus zum Verlust der gesamten Transaktion
kommen und dramatische Leistungseinbußen zur Folge haben.
147
Logische Designs im Data Center
Nach der Positionierung der Hardware steht nun die Frage nach dem
umspannenden logischen Design an. Auch hier kommen mehrere unterschiedliche
Technologien zum Einsatz und weitere Neue sind am Horizont bereits erkennbar. Im
Allgemeinen lässt sich auch hier wieder das Netzwerk für eine vereinfachte
Betrachtung in Core und Edge/Access unterteilen.
Design der Server Edge/Access Switche
Im Edge Bereich sind maßgeblich zwei komplementär wirkende Technologien im
Einsatz – MSTP und Virtual Switch Bonding.
RSTP und MSTP
Das Rapid Spanning Tree Protokoll (RSTP IEEE 802.1w) ist ein alter Bekannter und
findet sich im Data Center in der Erweiterung durch das Multiple Spanning Tree
Protokoll (MSTP IEEE 802.1s) wieder. Neben einer schnellen Umschaltzeit bietet
MSTP den Vorteil, die Last effektiv über mehrere Spanning Tree Instanzen für
einzelne VLAN Gruppen zu verteilen.
Obwohl MSTP schon etwas länger verfügbar ist, zeigen Tests jedoch noch akzeptable
Umschaltzeiten im Mittel von 0,4 Sekunden und bietet damit auch heute noch eine
standardbasierende, valide Option im Data Center.
148
Bei der direkten Anbindung von Servern kommt die etwas jüngere Technologie des
Virtual Switch Bondings zum Einsatz. Hierbei werden mehrere physikalische Switche
zu einer logischen Einheit zusammengefasst, die auch als einzelner Knoten im
Netzwerk konfiguriert wird. Neben dem zusätzlichen Gewinn an Redundanz ist
hierbei die Option von Link Aggregation Groups (LAG IEEE 802.3ad) über mehrere
physikalische Switche einer der größten Vorteile.
Enterasys Virtual Switch Bonding verzichtet dabei jedoch nicht auf bisher bekannte
und bewährte Funktionalitäten und vereint diese mit der CoreFlow2 Technologie
erfolgreich auf der S-Serie:
•
Automatisierte Link Aggregation über mehrere, physikalische Switche
•
Vermaschte L2 Netzwerk Anbindung zu Data Center Aggregation / Core
Switche
•
“Non-stop forwarding” von Applikationsdaten
•
Automatische “Host-spezifische” Netz-/Sicherheitsprofile pro virtu- ellem Host
(pro Port bei Einsatz von CoreFlow2 Produkten)
•
Unterstützt Tausende virtuelle Hosts pro System bei Einsatz von CoreFlow2
Produkten
149
Design der Core Switche
Auch im Core Bereich stehen einige grundlegende Überlegungen an, die sich sowohl
an heutigen, aber auch an zukünftigen Standards orientieren sollten. Dabei sollte
nicht außer Acht gelassen werden, dass eine vorausschauende Planung einen
zukünftigen Übergang wesentlich erleichtert und somit hohe Kosten für ein
komplettes Redesign vermeiden kann.
Data Center Core Design - Heute
Im Core des Data Center Netzwerks wird heutzutage oftmals MSTP und RSTP analog
zum Edge Bereich eingesetzt. Hier stellt die Reife der Protokolle und das
existierende Know-How der Administratoren einen enormen Vorteil dar, der
maßgeblich Einfluss auf die Designentscheidungen nimmt. Dabei steht vor allem die
Kompatibilität der Standards mit den existierenden Produkten im Vordergrund, die
nicht selten auch Komponenten verschiedener Hersteller umspannen. Dies wirkt
sich nicht zuletzt auf die Operational Expenses (OpEx) aus, die wesentlich geringer
ausfallen als bei proprietären Lösungen und sich besonders beim Training des
Personals bemerkbar machen. Gerade bei schnell wachsenden Data Centern, aber
auch bei langen Redesign Zyklen ist es daher empfehlenswert, um so mehr auf
standardbasierte Lösungen und Protokolle zu setzen, um eine maximale Flexibilität
bei der Auswahl der zukünftigen Hardware zu gewährleisten.
Data Center Core Design – In der Zukunft
Es stehen jetzt schon einige neue Standards in den Startlöchern, die besonders die
Vermaschung und Konvergenz von Storage- und Datennetzen optimieren.
Technologien, wie zum Beispiel Fibre-Channel-over-Ethernet erfordern eine
besonders geringe Latenz in großräumigen Layer 2 Netzen. Diese Netze müssen
außerdem flexibel skalierbar, non-blocking und extrem performant sein, da
besonders das Jeder-zu-Jeder Kommunikationsverhalten sehr hohe Ansprüche stellt.
Zusammenfassend lässt sich also sagen, dass diese Next Generation Netzwerke
eine active/active Konfiguration mit folgenden Eigenschaften unterstützen müssen:
•
Eingrenzung von Fehlverhalten, damit nur direkt betroffener Traffic bei der
Wiederherstellung verzögert wird
•
Ermöglichung einer schnellen Wiederherstellung von Unicast, Broadcast und
Multicast Kommunikation
•
Nutzung der kompletten physikalischen Infrastruktur, ohne Verluste an
Bandbreite, während die Latenz und Hops zwischen Servern minimiert wird
•
Schnelle Umschaltung, falls die Konnektivtität aussetzen sollte
150
Wie zuvor in der Einleitung erwähnt, werden Enterasys Switche auch in Zukunft
diesen Anforderungen durch den Einsatz von Shortest Path Bridging und Data
Center Bridging gerecht.
Segmentierung von Load Sharing im Layer 3 Core
Gerade in größeren Campus Netzen ist eine Aufteilung zwischen verschiedenen
Bereichen erwünscht, egal ob es sich dabei um verschiedene Abteilungen, Kunden
oder Unternehmen handelt. Damit auch auf Layer3 Ebene eine Redundanz
gewährleistet werden kann, kommen meist die Protokolle OSPF-ECMP oder VRRP
zum Einsatz. VRRP hat besonders im Data Center den Nachteil, dass bestehende
Links für den Ausfall reserviert und aktiv an der Datenübertragung teilnehmen.
OSPF-ECMP hingegen bietet ebenfalls Redundanz für den Datenpfad, erlaubt aber
auch die gleichzeitige aktive Nutzung aller Verbindungen um die Last zu verteilen.
Bei der Segmentierung im Data Center wird überraschenderweise sehr häufig auf
MPLS verwiesen, obwohl eine solche Konfiguration sehr schnell zu komplex werden
kann für ein Data Center. In solchen Fällen bietet sich jedoch ebenso VRF an, um
mehrere getrennte Routing Domänen zu schaffen, die besonders im non-Provider
Bereich wesentlich einfacher zu handhaben sind. VRF ermöglicht die Konfiguration
mehrerer virtueller Routing Instanzen innerhalb eines physischen Routers. So
können dabei genauso dedizierte Bereiche für kritische Applikationen und Bereiche
wie bei MPLS erstellt werden, ohne jedoch Administratoren mit der Komplexität der
Konfiguration zu konfrontieren.
Virtuelle Welten
Wie kann man ein Netzwerk Design erstellen, welches einem Data Center im
ständigen Wandel gerecht wird? Enterasys bietet hierfür eine Lösung für zwei recht
unterschiedliche Szenarien – Server und Desktop Virtualisierung.
Server Virtualisierung
Ein Beispiel für die Vielseitigkeit von NAC Integrationen lässt sich anhand von
virtuellen Servern ausmachen. Cluster und virtuelle Server werden in Netzwerken
immer beliebter. Besonders, da eine dynamische Umverteilung der Software auf die
Hardware eine optimale Auslastung und Flexibilität garantiert. Jedoch sind
Netzwerke meist nicht so flexibel und es ist umständlich Konfigurationen (z.B.
Priorisierung von Daten) manuell anzupassen.
151
Noch schwieriger wird dies, falls virtuelle Systeme automatisch „umziehen“ – z.B.
bei einem Hardware Ausfall. Damit auch das Netzwerk beim typischen Drag-andDrop Verhalten mithalten kann, bietet NAC mit der Lokalisierung der Server einen
einfachen Weg, Rekonfigurationen im Netzwerk zu automatisieren.
Weitere technische und auch organisatorische Probleme zeichnen sich nun
ebenfalls immer deutlicher in Umgebungen mit virtuellen Switchen ab. So ist es
schwierig eine klare Linie zwischen den Zuständigkeitsbereichen eines
Systemadministrators und eines Netzwerkadministrators zu ziehen.
152
Aktuelle Virtualisierungssoftware ermöglicht es mittlerweile einen kompletten Switch
auf einem Host abzubilden (oder gar auf mehreren Hosts als Distributed Virtual
Switch). Dies beinhaltet allerdings auch Einstellungen, die nicht nur für die isolierte
Datacenter Plattform wichtig sind, sondern auch für das Unternehmensnetzwerk. So
sind aus rein administrativer Sicht VLANs zu erstellen und zu routen, als auch aus
Sicherheitssicht die Kommunikation zwischen virtuellen Maschinen zu protokollieren und analysieren.
Enterasys bietet an dieser Stelle mit der NetSight Datacenter Manager Lösung die
Möglichkeit genau diese Probleme zu beheben. Der Datacenter Manager ist ein
offenes Framework, welches Informationen zwischen NAC und der Virtualisierungssoftware synchronisiert. In der aktuellen Version werden sowohl VMWare vSphere,
als auch Citrix XenCenter hierbei unterstützt (weitere Produkte in späteren
Versionen). Im einfachsten Fall werden so Detailinformationen einer virtuellen
Maschine in der Endsystemübersicht des NAC Managers (z.B. Name der VM, UUID,
...etc.) oder NAC/Location Daten innerhalb der Virtualisierungssoftware angezeigt.
Dies erleichtert nicht nur die Identifikation von virtuellen Maschinen im Netzwerk,
sondern liefert auch wertvolle und zeitsparende Informationen zur Lokalisierung im
Fehlerfall.Darüber hinaus können jedoch auch automatisierte Konfigurationen auf
beiden Seiten vorgenommen werden. So erlaubt der Datacenter Manager die
Erstellung von NAC Endsystem Gruppen als (Distributed) Virtual Switch Portgroups,
inklusive erweiterter Einstellungen wie einer VLAN ID oder des Port Modes (isolated,
community, promiscious). Auf der anderen Seite wird die Information, welche VM an
einer bestimmten Portgroup angeschlossen ist, zur Zuordnung einer VM in eine NAC
153
Endsystem Gruppe verwendet. Diese Zuordnung kann sogar derart geschehen, dass
ein Administrator zuerst die Konfiguration bestätigen muss, um unabsichtliche
Fehlkonfigurationen zu vermeiden.
Auf diese Weise lassen sich die zuvor erwähnten Probleme auf elegante Weise
lösen. Ein Netzwerkadministrator kann innerhalb des NAC Managers alle Regel und
Gruppen für VMs erstellen und damit auch entscheiden welche VLANs zu verwenden
sind oder ob Traffic zwischen den Hosts erst über einen physikalischen Switch
geleitet wird (z.B. um Flowdaten zu analysieren).
Der Systemadministrator hingegen muss seine VM nur an eine bereits
vorkonfigurierte Portgroup anschließen, ohne sich Gedanken über die tatsächliche
Konfiguration im Unternehmensnetzwerk zu machen. Darüber hinaus können beide
Seiten nun innerhalb ihrer Tools zu jeder Zeit sehen, welche virtuelle Maschine an
welchem physikalischen Switch angeschlossen ist und welche Zugangspolicy
zugewiesen wurde. Natürlich können darüber hinaus auch die bewährten
Mechanismen von NAC für ein Assessment und Remediation von virtuellen
Maschinen genutzt werden. Obwohl NAC eigentlich eine Lösung ist, die Endsysteme
im Auge behalten soll und mit den Servern meist wenig zu tun hat, kann dennoch
diese Funktionalität hier sinnvoll sein und eine adaptive Netzwerkumgebung in
Virtual Datacenter Bereichen bereitstellen.
154
Desktop Virtualisierung
Auf den ersten Blick erscheint der Unterschied zwischen virtuellen Servern und
Desktops eigentlich gar nicht so groß. Aus der Perspektive der Sicherheit, gibt es
jedoch gravierende Differenzen was den Zugang zum Netzwerk anbetrifft.
Mittlerweile haben wir uns daran gewöhnt, dass Desktop Systeme sich im Netzwerk
authentisieren und sogar unterschiedliche Zugriffsprofile erhalten. Dies ist im
Access Bereich relativ einfach, da Clients in der Regel an genau einem
physikalischen Port angeschlossen werden und somit eindeutig klar ist, welchen
Weg die Daten des Clients im Netzwerk nehmen werden.
Bei der Desktop Virtualisierung erfolgt der Zugriff jedoch über Thin Clients, Tablet
PCs oder gar Telefone und die Datenpfade der Clients beginnen konsolidiert an
einigen, verhältnismäßig wenigen Server Ports. An dieser Stelle ist es extrem
schwierig zu unterscheiden, welche Pakete zu welchem Benutzer gehören und
traditionelle Verfahren wie NAC können nicht ohne Weiteres eins-zu-eins angewandt
werden. Dieses Problem wird um so deutlicher, je dynamischer sich die Virtual
Desktop Umgebung verhält. So ist das Ziel einer solchen Konfiguration meist die
automatische Provisionierung von Client Desktops on-the-fly, bei dem dem ein
Virtual Desktop System bei Verbindungsaufbau aus einer Vorlage erzeugt werden
kann. Die Notwendigkeit für eine differenzierte Zuweisung von Zugangsprofilen ist
im Data Center dabei sogar noch größer als im Access Bereich, da Clients hier direkt
im „Herzen“ des Netzwerks agieren und eine Sicherheitsverletzung ein deutlich
höheres Risiko darstellt.
Auch an dieser Stelle bietet Enterasys Data Center Manager eine Lösung für die
prominentesten Vertreter von Desktop Virtualisierungslösungen am Markt an. So
kann DCM die Zuordnung zwischen Virtual Desktop und dem entfernten Benutzer
nicht nur feststellen, sondern auch gleich an Enterasys NAC kommunizieren.
155
Dank der Multiuser Authentication Funktionalität der S-Serie ist es dann ein Leichtes
mittels NAC die einzelnen Flows im Datacenter zu unterscheiden und entsprechend
mit den passenden Zugangsprofilen zu versehen.
Enterasys DCM Virtual Desktop Integration im Überblick:
•
Clients verbinden sich durch sichere, verschlüsselte Tunnel zum Virtual
Desktop im Data Center und alle Benutzer haben in der Regel vollen Zugriff
auf das Data Center Netz vom Virtual Desktop
•
Die Netzwerkinfrastruktur sollte automatisch den Zugriff unter Be- zugnahme
der Identität des Benutzers und Desktops einschränken. Dies beinhaltet die
Verfolgung von Benutzern und Virtual Desktops in der Data Center
Infrastruktur für Reports und Troubleshooting Zwecke.
•
Benutzer-zu-VD Zuordnung ist am Citrix XDDC (Desktp Delivery Controller)
verfügbar
•
Vmware VMView 4.5 unterstützt mit PCoIP User Auth (nutzt 802.1x im Data
Center)
•
Enterasys DCM ermittelt VM Daten und Remote User Informationen und stellt
diese Enterasys NAC zur Verfügung
•
Enterasys NAC und die Multiauthentication Funktionalität der S-Serie
identifizieren Flows von Tausenden Benutzern und weisen individuelle
Sicherheitsprofile an einzelnen physikalischen Ports zu
Produktportfolio
156
Produktportfolio
Dieses Kapitel gibt Ihnen einen Überblick über das breite Produktportfolio von
Enterasys Networks. Die Produkte gliedern sich in drei Familien, die
unterschiedliche Bereiche abdecken:
Produktportfolio
•
OneFabric Security
Dieser Bereich umfasst die Enterasys Security Suite bestehend aus SIEM,
NBAD und IDP sowie die Enterasys Network Access Control Lösung.
•
Die NetSight Netzwerk Management Lösung.
•
OneFabric Data Center und OneFabric Edge
Hier sind die klassischen Connectivity Hardware Komponenten wie Switche,
Router, Wireless und WAN Router enthalten.
Jedes Produkt wird zunächst kurz, bei neueren Produkten auch ausführlicher
beschrieben. Es folgt eine Liste der verfügbaren Komponenten mit Abbildungen und
den zugehörigen Produktnummern. Im Anschluss folgen die technischen
Eigenschaften der Produkte wie unterstützte Funktionalitäten, Kapazitäten,
Spezifikationen und unterstützte RFC- und IEEE-Standards.
157
Produktportfolio
OneFabric Security
Enterasys Networks entwickelt die sicherheitsrelevanten Merkmale seiner
Netzwerkkomponenten ständig weiter und bietet gleichzeitig dedizierte
Sicherheitsprodukte wie die Enterasys Security Suite und Enterasys Network Access
Control. Das Secure Networks™ Konzept sichert alle Teile des
Unternehmensnetzwerks mit Intrusion und Network Defense sowie Network Access
Control Lösungen. Im Gegensatz zu anderen industriellen Sicherheitsmodellen
schützt Secure Networks™ die gesamte Netzwerkinfrastruktur.
Enterasys Security Suite und Enterasys NAC
Die Enterasys NAC Lösung ermöglicht eine umfassende Zugangskontrolle im
Netzwerk, unabhängig von der eingesetzten Topologie.
Die Security Suite ermöglicht mit SIEM ein Umbrella Security Information und Event
Management, welches mit einer verhaltensbasierten Netzwerkanomalieanalyse
(NBAD) in einem Produkt kombiniert wird. Dies ermöglicht die Auswertung aller
Verkehrsströme im Netzwerk. Erkannte Anomalien werden mit Events aus
bestehenden Systemen wie Firewalls, Proxys, Domänencontrollern, etc. korreliert.
Über externe Schnittstellen, wie Enterasys NAC, wird ein reaktiver Eingriff ins
Netzwerk, wie die Quarantäne eines auffälligen Systems, möglich. Das Intrusion
Detection und Prevention System sichert zusätzlich das Netzwerk mit den oben
erläuterten IDS/IPS Methoden ab und kann die gewonnenen Informationen dem
SIEM zur weiteren Korrelation zur Verfügung stellen.
Produktportfolio
158
Security Information & Event Manager (SIEM)
Der Secrity Information & Event Manager (SIEM) ermöglicht eine zentrale Übersicht
über alle Ereignisse und Flows und ist die zentrale Schlüsselkomponente, bei der
alle Meldungen zusammenlaufen.
Zentrales EventEvent- und FlowFlow-Management mit dem SIEM
In dem SIEM erfolgt eine Normalisierung von Eventdaten, eine Eventkorrelation über
Produktgruppen hinweg sowie die Event Priorisierung/Roll-Up. False Positives
können durch diese umfassende Korrelation besser erkannt werden. Durch die
vordefinierten Importfilter für die meisten Eventformate ist eine einfache Darstellung
des Security Status möglich.
Mandantenfähige Übersicht mit dem SIEMSIEM-Dashboard
159
Produktportfolio
Einen Überblick der momentan unterstützen Ereignisquellen, Flowtypen sowie Vulnerability Scanner finden Sie unter: http://www.enterasys.com/company/literature/
Enterasys_SIEM_Supported_DSMs.pdf
Reporting
Der SIEM ermöglicht ein einfaches Zusammenstellen eigener Reports mit dem
Report Wizard. Damit ist das Erstellen von Executive Level Reports genauso einfach
wie die Erstellung technischer Reports für den laufenden Betrieb.
SIEM Reports
Selbstverständlich sind die Reports in offenen Formaten, unter anderem XML,
HTML, PDF und CSV exportierbar.
SIEM und Distributed IPS
Im Zusammenspiel mit dem Automated Security Manager kann direkt auf Vorfälle im
Netzwerk reagiert werden. So können betroffene Systeme mit einer Quarantäne
belegt werden.
DIPS mit ASM und SIEM
Produktportfolio
160
Asset Management
Über die Integration von Vulnerability Scannern wie z.B. Qualys und die Einbindung
von Authentisierungslogs oder NAC Events können Kontextdaten zu den Systemen
im Netzwerk gesammelt.
Kontextinformationen im Asset Manager
Damit werden die relevanten Daten zu einem Angreifer oder einem angegriffenen
System auf einen Blick sichtbar.
NBAD - verhaltensbasierte Netzwerkanomalie Erkennung
Hier wird das normale Verhalten eines Netzwerks analysiert. Durch statistische
Methoden werden dann Anomalien erkannt, indem nach bekannten Signaturen wie
Portscans oder plötzlichen Veränderungen und Abweichungen vom bisherigen
Verhalten gesucht wird. Dazu kann ein kurzfristiger Anstieg der Bandbreite oder der
Anzahl der Verbindungen zählen oder bisher nicht beobachtete Verbindungen. Damit
können insbesondere Day Zero Attacken erkannt werden.
Verarbeitung von Flows und Applikationserkennung mit QFlow
161
Produktportfolio
Um das Verhalten des Netzwerks zu untersuchen, werden die Flow Informationen
der Netzwerkkomponenten ausgewertet. Damit ist eine genaue Analyse des
Netzwerkverkehrs von Layer 2-4 (je nach Quelle – NetFlow/SFlow/JFlow) möglich.
Weiterhin können dedizierte Flow Sensoren eingesetzt werden, die eine Analyse bis
auf Layer 7 sowie das Mitschneiden von bis zu 64 Byte jeden Flows ermöglichen.
MSSP – Managed Security Service Provider
Besonders interessant ist der Einsatz des SIEM für Anbieter von Sicherheits- und
Reporting-Dienstleistungen. Durch die verteilte Architektur und den Einsatz
dedizierter Appliances zur lokalen Aufnahme und Verarbeitung von Flow- und
Eventdaten können unterschiedliche Kunden und Lokationen über einen zentralen
SIEM ausgewertet werden.
So besteht die Möglichkeit Reports gemäß Kundenanforderungen zu erstellen und
damit Mehrwerte der Sicherheitsdienstleistungen zu dokumentieren. Ebenso lässt
sich der Verwaltungsaufwand durch eine zentrales Security Operation Center
erheblich optimieren und die damit verbundenen Kosten auf ein Minimum
reduzieren. Je nach Kundenwunsch kann die Datenspeicherung sowohl zentral beim
Service Provider erfolgen als auch im eigenen Netzwerk verbleiben.
Ebenso sind Reports über die Netzauslastung, Applikationsnutzung und andere
Daten, die nicht zwingend mit der Netzwerksicherheit zu tun haben, möglich. Dies
bietet sich vor allem für Provider von Hosting Diensten oder ISPs an, die ihren
Kunden sowohl Sicherheits- als auch Netzwerkauswertungen anbieten möchten.
Die beliebig skalierbare Architektur ermöglicht Unternehmen darüber hinaus
dynamisch mit ihrem Kundenstamm zu wachsen und die Dienstleistungen
transparent zu kalkulieren.
Produktportfolio
162
SIEM – Appliances
Die Einstiegsappliance ist die DSIMBA7-SE. Sie ermöglicht alle Funktionalitäten der
DSCC in einem Gerät zu nutzen, inklusive eines Qflow Sensors mit 250 Mbps
Kapazität. Die nächstgrößere Appliance unterstützt 750 Geräte mit 2500 Events/
Sek und 100k Flows in der Minute. Mit den Upgrades DSPLUS7-UP und DSIMBA7DEV kann die Leistung erhöht werden. Mit dem Upgrade DSPLUS7-UP kann die
Appliance auf insgesamt 5000 Events/Sek und 200k Flows aufgerüstet werden. Für
jedes Gerät, welches über 750 hinausgeht, muss eine DSIMBA7-DEV Lizenz
erworben werden.
Die DILMA Appliances spezialisieren sich ausschließlich auf die Verarbeitung von
externen Eventdaten. Hierbei handelt es sich um den kleinen Bruder der SIEM,
jedoch ohne Unterstützung von Flowdaten, NBAD und Offenses. Zum Vergleich eine
Auflistung der einzelnen Produktmerkmale:
ILM
SIEM
Verwaltet Netz- und Sicherheitsevents
•
•
Verwaltet Host- und Applikationslogs
•
•
Archiviert Daten revisionssicher
•
•
Schwellwertbasierende Korrelation und Alarme
•
•
Vorlagen für Compliance Reporte
•
•
Verwaltet Flowdaten und Network Behavior Analysis
•
•
Unterstützt Asset Profile und deren Verwaltung
•
Unterstützt Offense Workflows und Remediation
•
Unterstützt Offense Management Funktionen
•
Bietet integrierte Netz-, Sicherheits-, Applikations- und Identity Darstellung
•
DSIMBA7DSIMBA7-LU
163
Produktportfolio
Events/Sek
Flows/Min
Devices
DSIMBA7DSIMBA7-SE
1.000
25k
750
DSSES7DSSES7-UP (für DSIMBA7DSIMBA7-SE)
+1.500
(2.500 total)
DSIMBA7DSIMBA7-LU
2.500
100k
750
DSPLUS7DSPLUS7-UP (für DSIMBA7DSIMBA7-LU)
+2.500
(5.000 total)
+100k
(200k total)
DSIMBA7DSIMBA7-DEV
+1
Integrated Log Management Appliance
DILMA
1.000
750
DILMSDILMS-2.5KUPG (für DILMA)
2.500 total
DILMSDILMS-5KUPG (für DILMA)
5.000 total
DILMSDILMS-10KUPG (für DILMA)
10.000 total
[Upgrade auf SIEM nicht mehr möglich]
DILMADILMA-DCON (benötigt mind. einen DILMADILMA-EVP)
DILMADILMA-UPG (DILMA zu DCON)
DILMSDILMS-SIEMUPG (DILMA 2500 zu DSIMBADSIMBA-LU)
2.500
200k
DILMSDILMS-SIEMUPG2 (DILMA 5000 zu DSIMBADSIMBA-LU)
1.000
400k
SIEM – Event Appliance
Diese Appliance ermöglicht es, hohe Ereignisraten zu verarbeiten. Das Basismodel
unterstützt 5.000 Events/Sek und kann auf 10.000 Events/Sek erweitert werden.
Events/Sek
DSIMBA7DSIMBA7-EVP
5.000
DSEVPS7DSEVPS7-UP (für DSIMBA7DSIMBA7-EVP)
2.500 (bis max 10.000 total)
Integrated Log Management Appliance
DILMADILMA-EVP
2.500
DILMSDILMS-EVPEVP-UPG (für DILMADILMA-EVP)
2.500 (bis max 10.000 total)
DILMSDILMS-EVPEVP-AUPG (DILMA(DILMA-EVP zu DSIMBA7DSIMBA7-EVP)
DILMS-EVPDILMSEVP-SUPG (DILMA(DILMA-EVPEVP-UPG zu DSEVPS7DSEVPS7-UP)
Produktportfolio
164
SIEM – Flow Appliance
Bei hohem Flow-Aufkommen kommt diese Appliance zum Einsatz. Sie verarbeitet in
der Basisvariante 200k Flows/Min und kann bis auf 600k Flows/Min aufgerüstet
werden.
&ůŽǁƐͬDŝŶ
^/DϳͲ&W
ϮϬϬŬ
^&W^ϳͲhW
нϮϬϬŬ;ϰϬϬŬƚŽƚĂůͿ
^&W^ϳͲhW
нϮϬϬŬ;ϲϬϬŬƚŽƚĂůͿ
SIEM - Behavioral Flow Appliances
Ist es nicht möglich aus der Netzwerkinfrastruktur Flowdaten zu erzeugen oder
sollen Layer 7 Daten zusätzlich extrahiert werden, so können die QFlow Appliances
ähnlich einem IDS aus gespiegeltem Datenverkehr die benötigten Flowdaten
erzeugen. Ein großer Vorteil ist hier, dass durch die Layer 7 Analyse eine genaue
Zuordnung der Applikationen möglich wird.
NBAD QFlow Sensor
DSNBA7DSNBA7-5050-TX
Behavioral Flow Sensor 50 Mbit TX
DSNBA7DSNBA7-250250-SX
Behavioral Flow Sensor 250 Mbit SX
DSNBA7DSNBA7-250250-TX
Behavioral Flow Sensor 250 Mbit TX
DSNBA7DSNBA7-1G1G-SX
Behavioral Flow Sensor 1 Gbit SX
DSNBA7DSNBA7-1G1G-TX
Behavioral Flow Sensor 1 Gbit TX
Mehr Informationen dazu unter: http://www.enterasys.com/products/advancedsecurity-apps/dragon-security-command.aspx
165
Produktportfolio
Enterasys Intrusion Defense
Die Enterasys Intrusion Defense deckt die klassische Intrusion Detection und
Prevention Lösung ab. Dabei kommen Network und Host Intrusion Detection und
Prevention Systeme zum Einsatz. Alle Komponenten der Intrusion Defense können
über eine einheitliche Oberfläche, den Enterprise Management Server, verwaltet
und konfiguriert werden.
Mit Version 7.3 wurde die Reporting Oberfläche komplett überarbeitet. Hier steht ein
modernes Interface mit vordefinierten Reports zur Verfügung.
7.3 Reporting Interface
Auf der Appliance Seite wird nun einheitlich auf Dell als Basissystem gesetzt, so
dass im gesamten Security Portfolio ein einheitliches Hardware Management
möglich ist.
Produktportfolio
166
Enterprise Management Server
Der Enterprise Management Server (EMS) besteht aus einer Vielzahl von
Komponenten. Die Policy Management Tools unterstützen eine einfache, zentrale
und unternehmensweite Verwaltung und Überwachung der Enterasys Intrusion
Defense Komponenten. Dazu zählen unter anderem auch Assistenten, die die
Einbindung neuer Sensoren erleichtern und den Konfigurationsaufwand minimieren.
Das Alarmtool bietet eine zentrale Alarm- und Benachrichtigungsverwaltung. Die
Security Information Management Anwendungen ermöglichen das zentrale
Überwachen, Analysieren und Erstellen von Reports für alle Security Ereignisse mit
einer Realtime, Trending und Forensics Konsole.
EMS Frontend
Der Enterprise Management Server ist die Grundlage jeder Enterasys Intrusion
Defense Installation und wird zur Konfiguration und Verwaltung benötigt. Der Server
ist als eigenständige Appliance, als Software zur Installation auf eigener Hardware
sowie als integrierte Appliance (EMS+NIDS+HIDS) verfügbar. Eine Hochverfügbarkeit
des Systems kann einfach durch den Einsatz von mehreren EMS Servern
gewährleistet werden, welche während des Regelbetriebs permanent synchronisiert
werden. Die EMS Client Software ist für die Betriebssysteme Windows, Solaris und
Linux verfügbar unter http://dragon.enterasys.com
167
Produktportfolio
Enterasys IDS Komponenten
Eine Enterasys IDS Installation setzt sich aus einem EMS sowie Network und Host
Sensoren zusammen. Dabei stehen EMS und Netzwerksensor als Appliance oder
reine Software zur Verfügung. Für kleine Installationen gibt es hier auch eine
Integrated Appliance, welche in einem Gerät EMS und Netzwerksensor
Funktionalität ermöglicht. Alle Appliances sind in einer Hardware-only Variante
erhältlich, in der Preisliste an der Endung „H“ in der Produktnummer erkennbar.
EMS Appliance
Die Produktnummern für die EMS Appliances beginnen in der Preisliste mit DEMAxx, die letzten beiden Stellen stehen für die Anzahl der verwalteten Systeme. Dabei
ist zu beachten, dass jede verwaltete Appliance als ein System zählt – eine EMS
Appliance und ein Netzwerksensor zählen z.B. als zwei Systeme.
Größe
Anzahl verwalteter Systeme
SE
2 (nur als Software, nicht als Appliance verfügbar)
ME
25
LE
100
U
unbegrenzt
Die Enterasys Enterprise Management Server Appliances beinhalten die Hardware
(unabhängig von der Lizenz), die vorinstallierte EMS Software sowie die EMS Lizenz.
Als neue Hardwarebasis wird hier seit Anfang 2008 auf Dell Appliances gesetzt.
Diese tauchen in der Preisliste nun als DEMA-ME statt DSEMA7-ME auf. Der
Upgrade auf die nächsthöhere Lizenz ist in der Preisliste mit DSEMA7-XL-UG
gekennzeichnet, M/L stehen hier für den jeweiligen Upgrade Schritt (ME-LE, LE->U).
Beim Einsatz der reinen Softwarelösung ist auch eine SE-Lizenz erhältlich – die
Produktnummern beginnen hier mit DSEMS7-XX, die Upgrades entsprechend mit
DSEMS7-XX-UG.
Produktportfolio
168
Netzwerk Sensor
Der Netzwerk Sensor stellt das klassische NIDS dar. NIDS (Network Intrusion
Detection Systeme) haben die Aufgabe Datenpakete innerhalb des Netzwerks zu
untersuchen. Sie arbeiten wie oben bei Intrusion Detection Systeme beschrieben.
Durch die Einführung der Host Intrusion Detection Systeme hat sich der Begriff NIDS
für diese "ursprünglichen" Intrusion Detection Systeme herausgebildet.
Der Network Sensor ist als Appliance sowie als Software verfügbar. Für die Enterasys
N-Serie gibt es einen integrierten Security Prozessor mit Network Sensor, der direkt
in die Hardware integriert werden kann. Eine hochverfügbare Network Sensor
Lösung wird im Moment in Kooperation mit Crossbeam Systems realisiert.
Die Artikelnummern für die Appliances beginnen mit DNSA-<Bandbreite>-<HW>,
wobei die Bandbreiten unten erläutert werden, die HW entspricht entweder SX-Glas,
oder TX-Kupfer. Die Software Artikelnummern beginnen mit DSNSS7-<Bandbreite>.
Lizenz
Durchsatz
E
10 Mbit/s, (nur als Software verfügbar)
FE
100 Mbit/s
GE250
250 Mbit/s
GE500
500 Mbit/s
GIG
1 Gbit/s
MG
2,5 bis 4 Gbit/s (mittels Upgrade)
10GIG
10 Gbit/s
Als Einstiegsprodukt ist eine integrierte Netzwerk Sensor/Server Appliance
verfügbar, die beide Funktionalitäten in einem Gerät vereint – unter DSISA7-(S/T)X
verfügbar.
Enterasys Intrusion Prevention und Detection
Die IDP Appliances beinhalten die Hardware, die NIPS Lizenz sowie eine HIDS Lizenz
(für dieses System). Die Appliances sind außerdem mit Fail Safe Open NICs
ausgerüstet, dass heißt bei einem Stromausfall kann das IPS so konfiguriert werden,
dass der Datenverkehr durchgeschleift wird. Die Artikelnummern beginnen mit
DSIPA7-<Bandbreite>-(S/T)X; als Bandbreiten sind im Moment 100,250,500,1000
und 2500 (DIPA-MG) Megabit/s verfügbar. Der Einsatz in einer Crossbeam Lösung
ist mit der Artikelnummer DSIPS7-GIG-CXB möglich.
169
Produktportfolio
IDS to IPS Upgrade
Die IDS Appliances können auf IPS aufgerüstet werden. Dafür ist eine neue,
zusätzliche Lizenz sowie für die Fail-Open Funktionalität eine andere Netzwerkkarte
notwendig. Die Artikelnummern beginnen mit DSIPS7-<Bandbreite>-(S/T)X.
Ausnahme hierzu ist das Upgrade der DNSA-MG MultiGig Appliance zur DIPA-MG mit
der Artikelnummer DIPS-MG.
Host Sensor und Web Server Intrusion Prevention
Der Host Sensor ist ein hostbasiertes Intrusion Prevention Werkzeug, das Web
Attacken abwehren kann und die heute gängigen Betriebssysteme in Echtzeit auf
Missbrauch und verdächtige Aktivitäten überwachen kann.
Host Sensoren in Form von Host Intrusion Detection Systeme (HIDS) verfügen in den
meisten Fällen über Komponenten, die Systemprotokolle untersuchen und
Benutzerprozesse überwachen. Fortschrittliche Systeme bieten auch die Möglichkeit
Viren und Trojaner Codes zu erkennen. Das Enterasys HIDS zeichnete sich dadurch
aus, dass es den bekannten NIMDA-Virus bereits bei seiner Verbreitung im
September 2001 erkannte ohne ein Update der Signaturdatenbank durchführen zu
müssen. HIDS sind agentenbasiert, dass heißt es sollte auf jedem zu schützenden
Server/PC oder auch auf Firewalls separat installiert werden. Zu beachten ist, dass
die IDS Lösung auch das entsprechende Betriebssystem bzw. Firewall System
unterstützen muss.
Der Host Sensor kann auch auf einem dedizierten Analysesystem dazu dienen Logs
von kommerziellen Firewalls, Routern, Switchen und anderen IDS Geräten
auszuwerten. Die Korrelation der Meldungen solcher Komponenten ist ein weiterer
wichtiger Baustein der EIP (DIPS).
Enterasys Host Sensor Software
Beinhaltet die Host Sensor Software Lizenz. Die Software ist für die Betriebssysteme
Windows, Linux, Solaris, HPUX und AIX auf https://dragon.enterasys.com verfügbar.
Die Host Sensoren stehen unter der Artikelnummer DSHSS7-(1/25/100/500)-LIC
zur Verfügung; die Zahl gibt dabei die verfügbaren Lizenzen an. Zusätzlich steht eine
WebIPS Lizenz als Add-on für den Hostsensor unter DSHSS7-WebIPS zur Verfügung.
Produktportfolio
170
Implementierungsmöglichkeiten von IDS im Netz
In heutigen, geswitchten Umgebungen ist ein IDS erst nach sorgfältiger Überlegung
zu platzieren. Strategische Knotenpunkte (Internetzugang, Partnerzugänge,
Serverfarmen, Domain Controller, Personalabteilung, etc.) sollten von einem IDS
abgedeckt werden. Mögliche Angreifer werden auf der Suche nach einem lohnenden
Ziel von den Sensoren frühzeitig erkannt.
Enterasys IDS Lizenzierung
Die Lizenzverwaltung für das IDS/IPS erfolgt über das Portal unter https://
dragon.enterasys.com. Dort kann ein Account angelegt werden über den auch
Testlizenzen erstellt werden können. Des Weiteren werden die nach dem Kauf eines
Enterasys Produkts erhaltenen Lizenznummern in diesem Portal aktiviert und an die
Hostnamen der jeweiligen Systeme gebunden. In Zukunft wird dieses Portal
voraussichtlich im Extranet zentral mit eingebunden. Des Weiteren wird mit 7.3 auch
die Macrovision Lizenzierung für das Enterasys IDS Produkt verwendet.
Dabei werden auf Seiten des EMS die Anzahl der verwalteten Systeme, sowie für die
Sensoren, deren Funktion und Durchsatz lizenziert. Für den EMS sind die Varianten
SE-2, ME-25, LE-100, U-Unlimited verfügbar – 2 bedeutet hier die Verwaltung zweier
Systeme, wird also der EMS für das Reporting verwendet, zählt er hier auch als
verwaltetes Gerät. Somit kann nur EMS und ein Netzwerk Sensor verwaltet werden.
Zu beachten ist, dass die genutzten Funktionen auf einem Gerät hier nicht zählen,
dass heißt für den EMS zählt ein System, welches IDS, IPS und Host Sensor betreibt
als ein System.
Auf Seiten der Sensoren sind die Funktionalitäten IDS, IPS , Host IDS und WebIPS
verfügbar. Bei IDS bzw. IPS wird außerdem die verfügbare Bandbreite über die
Lizenz freigeschaltet. Die Funktionen werden jeweils an einen Hostnamen
gebunden. Weitere Informationen finden Sie unter http://www.enterasys.com/
products/ids.
Network Access Control
Mit Enterasys Network Access Control kann in allen Netzwerken ein wirksamer
Schutz des Netzwerkzugangs gewährleistet werden – unabhängig von dem
gewählten Policy Enforcement Point Typ. Für bestehende Enterasys Kunden werden
die Secure Networks™ Features der bestehenden Komponenten durch die Out-ofBand Lösung zu einer vollständigen NAC Lösung aufgewertet. Dies ist natürlich auch
in einem Drittherstellernetzwerk möglich, sofern die verwendeten Komponenten
Authentisierung (möglichst standardnah – IEEE 802.1x) sowie Autorisierung (RFC
3580) unterstützen.
171
Produktportfolio
OutOut-ofof-Band NAC
Gleichzeitig wurde ein Augenmerk auf die Unterstützung vieler neuer und
innovativer Features gelegt. So ist das im Lösungsportfolio beschriebene RADIUS
und Kerberos Snooping in die Lösung integriert und ermöglicht somit an zentraler
Stelle, z.B. im Distribution Layer, die Einführung von benutzerbezogener
Authentisierung und Autorisierung ohne die Hürde eines kompletten 802.1x
Rollouts. In den folgenden Abschnitten werden wir nun im Detail auf die einzelnen
funktionalen Module der Enterasys NAC Lösung eingehen.
Authentifizierung
Enterasys NAC unterstützt eine ganze Bandbreite von Authentifizierungsmechanismen, um eine möglichst umfassende Kompatibilität sicher zu stellen:
•
802.1x portbasierte Authentifizierung
•
EAP-TLS, PEAP, EAP-MD5, EAP-TNC, EAP-SIM oder EAP-TTLS via RADIUS
Server
•
MAC-basierte Authentifizierung (via MAC Adresse durch RADIUS Server)
•
IP-basierte Authentifizierung (für Layer 3 Controller)
•
Webbasierte Authentifizierung
•
Lokaler Webserver und URL Redirect – Überprüfung durch RADIUS
•
Webbasierte MAC Registrierung (typischer Gastzugang)
•
Default Authentifizierungsrolle (Erfassung ohne Authentifizierung)
•
RADIUS Snooping
•
Kerberos Snooping
Produktportfolio
172
Das NAC Gateway agiert dabei als RADIUS Proxy/Server. Dies wird durch weitere
Optionen abgerundet, die unter anderem eine einfache Verwaltung von Gästen im
Netzwerk erlauben. Dazu gehören zum Beispiel eine eMail-gesteuerte Zugangsanfrage (so genanntes Sponsoring), multiple Gast-Zugangs-Policies oder auch ein
vereinfachtes Management Portal für das Empfangspersonal. Besonders für externe
Mitarbeiter bietet sich hier auch die Möglichkeit an, den Zugang nur für einen
bestimmten Zeitraum zu erlauben.
Im NAC Manager werden die Authentisierungsparameter vorgegeben. So kann
bestimmt werden, ob die Authentisierungsanfragen für MAC Authentisierung lokal
beantwortet werden oder an den zentralen RADIUS Server weitergeleitet werden.
Weiterhin wird die Assessment Konfiguration festgelegt, dass heißt welche
Überprüfung für die jeweiligen Endsysteme vorgenommen werden.
Es können dabei nicht nur mehrere AAA Konfigurationen mit unterschiedlichen
RADIUS Servern angelegt werden, sondern auch dedizierte LDAP Server angegeben
werden. Die Unterscheidung, welche Gruppe zu nehmen ist, kann nur auf den
Access Switch bezogen sein oder aber auch auf Teile der Benutzernamen mit Hilfe
von Wildcards. So lässt sich immer sicherstellen, dass der korrekte Server (egal, ob
RADIUS oder LDAP) für die korrekte Domäne und die aktive NAC Konfiguration
verwendet wird.
Autorisierung
Um ein Maximum an Flexibilität zu erreichen, besteht mit der neuen „Rule Matrix“
die Möglichkeit, Zugriffsrechte anhand einer Vielzahl von Parametern zu definieren.
So reicht die Bandbreite an Zuordnungsmerkmalen von der Art der Authentifizierung
über die Lokation des angeschlossenen Gerätes bis hin zur Uhrzeit. Dies
gewährleistet die erfolgreiche Umsetzung verschiedenster Unternehmensrichtlinien
direkt am Netzwerkzugang.
173
Produktportfolio
Regelbausteine in der “Rule Matrix”:
•
Device (als Host Name, MAC oder IP)
•
Authentication type
•
Username/-group (als Username, LDAP oder RADIUS Attribut)
•
Location
•
Time
Dies wird zusätzlich durch eine Erweiterung der Kommunikation mit
Verzeichnisdiensten ergänzt. So kann die NAC-Engine direkt Parameter via LDAP
abfragen und die Ergebnisse in das Regelwerk mit einbeziehen. Weitere
Konfigurationsoptionen umfassen unter anderem auch die Ausgabe
benutzerdefinierter RADIUS Parameter und damit eine vollwertige RADIUS Server
Implementation. Der RADIUS Server auf dem NAC Gateway unterstützt ebenfalls
RADIUS Accounting und erleichtert damit die exakte Erkennung, wann ein Benutzer
sich abgemeldet hat. Diese Funktionalität legt auch gleichzeitig den Grundstein für
Aktionen, die beim Logout ausgeführt werden und für spätere Reporting Optionen.
In Kombination mit den der „Rule Matrix“ können so unterschiedliche Mobility Zonen
eingerichtet werden, die ein dynamisches Management von drahtgebundenen und
drahtlosen Zugangspunkten innerhalb einer einheitlichen Konfigurationsoberfläche
ermöglichen. Der komplette Prozess läuft dabei völlig transparent für das Endsystem
ab, so dass der Benutzer selbst nicht mit zusätzlichen Konfigurationshürden belastet
wird. Ein Endsystem muss sich also nur anmelden und alles Weitere findet im
Hintergrund statt.
Produktportfolio
174
So können als mögliche Aktionen sowohl dynamische Policies (bei Enterasys
Infrastrukturen) gesetzt oder bei Drittherstellern VLAN IDs/Namen (RFC 3580) an
den Access Switch gesendet werden. Es sind aber auch beliebige RADIUS Attribute
je nach Switch Hersteller konfigurierbar (um ACLs und ähnliche Konfiguration zu
aktivieren).
Selbstverständlich ist dies für einzelne Domänen und Switche separat
konfigurierbar und erlaubt damit auch in komplexen Netzwerken eine umfassende,
zentrale Verwaltung.
175
Produktportfolio
Assessment
Die Enterasys NAC Lösung erlaubt die zentrale Konfiguration des Endsystem
Assessments über den NAC Manager.
Agent based Assessment
Agentless Asessment
Zum Freischalten der Assessment Funktionalitäten in der Enterasys NAC Lösung
wird zusätzlich eine NAC-ASSESS-LIC pro Appliance benötigt.
Durch eine Kombination der Secure Networks™ Distributed IPS Funktionalität und
Enterasys NAC kann Endsystemen der Zugang zum Netzwerk dauerhaft verwehrt
werden. Damit ist ein – nach Gartner unverzichtbarer Bestandteil von NAC möglich –
ein kombiniertes Pre- und Post-Connect Assessment der Endsysteme.
Damit ist auch eine der letzten Lücken geschlossen. Schließlich war es einem
infizierten Endnutzer bis jetzt möglich nach der Aktivierung der Quarantäne durch
den ASM einfach auf einen anderen Port zu wechseln. Durch die Integration des
ASM mit dem NAC Manager wird die MAC Adresse des Endsystems jetzt bei
auffälligem Verhalten in eine Blacklist aufgenommen, so dass dem Endsystem bei
erneuter Authentisierung direkt der Zugang zum Netzwerk verwehrt wird.
Das Assessment wurde sowohl in einer agentenbasierten als auch in einer
agentenlosen Version von Enterasys in die NAC Lösung integriert, dass heißt ein
Assessment ist auch ohne zusätzlichen Assessment Server möglich.
Selbstverständlich ist die Ankopplung externer Assessment Dienste möglich. Dafür
wurde eine komplett offene Assessment API geschaffen, die durch den Enterasys
Professional Service erweiterbar ist. Besonders deutlich zeigt sich die Flexibilität des
Assessments in Kombination mit anderen Verfahren, wie zum Beispiel mit Microsoft
NAP.
Produktportfolio
176
Um Microsoft NAP flächendeckend erfolgreich einzusetzen, ist auch eine
entsprechende Kompatibilität der Endsysteme zu dem Verfahren erforderlich. Dies
lässt sich jedoch in der Praxis so gut wie nie umsetzen und erschwert einen Rollout
in Umgebungen erheblich, die nicht überall NAP oder gar 802.1x kompatibel sind. So
ist das Assessment von Enterasys in der Lage zu erkennen, ob ein Client durch NAP
geschützt wird oder ob durch eigene Assessment Tests geprüft werden soll. Ebenso
kann in Umgebungen ohne 802.1x-Kompatibilität beispielsweise Kerberos Snooping
verwendet werden in Kombination mit dynamischen LDAP Anfragen, um weitere
Merkmale wie die Gruppenzugehörigkeit mit in Betracht zu ziehen.
Besonders bei Gastzugängen ist die dynamische Erkennung und Zuordnung der
Assessment-Varianten umso wichtiger, da hier nicht gewährleistet werden kann,
dass alle Gäste über NAP-kompatible Systeme verfügen.
Dadurch wird eine flächendeckende, lückenlose und fortlaufende Sicherheit aller
Endsysteme gewährleistet, unabhängig von den spezifischen Assessment- und
Remediation-Möglichkeiten von nicht-kompatiblen Clients. Es ist davon auszugehen,
dass eine vollständige Migration zu den großen Assessment Frameworks wie NAP
noch einige Jahre in Anspruch nehmen wird. Gerade deshalb ist eine flexible Lösung,
die eine Migration je nach Bedarf erlaubt und unterstützt, der beste
Investitionsschutz.
Reporting und Management
Die gesamte Enterasys NAC Lösung wird über dieselbe Oberfläche, den Enterasys
NMS NAC Manager verwaltet. Dieser ist Bestandteil der NMS Suite und dient der
zentralen Verwaltung aller NAC Gateways. Der NAC Manager ist auch zentrale
Sammelstelle für alle Informationen bezüglich neuer Endsysteme und dedizierter
Endsystemkonfigurationen. Im Betrieb liegt die gesamte Konfiguration dezentral auf
den jeweiligen NAC Gateways und Controllern, der NAC Manager wird nur für
Konfigurationsänderungen und Reporting Funktionalitäten benötigt.
177
Produktportfolio
Hierbei bietet das neue Reporting Dashboard eine transparente, zentrale
Oberfläche, um jederzeit über den Zustand im Netzwerk informiert zu werden. Durch
die separat verwaltbare Oberfläche können so auch andere Abteilungen auf diese
Informationen zugreifen und nach Bedarf den aktuellen Status des Netzwerkes
einsehen.
Besonders für den Einsatz im Helpdesk bietet sich der Zugriff auf diese Daten an, da
hier übersichtlich der Status einzelner Endsysteme abgefragt und präsentiert
werden kann. Dies beinhaltet nicht nur Infrastrukturangaben wie den Switchport
oder eine erfolgreiche/fehlgeschlagene Authentifizierung, sondern auch
weitreichende Detailinformationen aus dem Assessment, dem verwendeten
Username oder gar dem Betriebssystem. Damit wird die Suche nach Informationen
bei der Fehlersuche erheblich verkürzt und liefert einen immer aktuellen
Netzwerkstatus zu jedem Endsystem.
Produktportfolio
178
Automated VoIP Deloyments
Beim Automated VoIP Deployment handelt es sich um die Verknüpfung der Daten
des Enterasys NAC und der Siemens DLS Server. Es handelt sich also um eine
bidirektionale Integration zwischen den Webservices beider Dienste, die sowohl
Infrastrukturdaten an den DLS und VoIP Endgeräte Informationen an den NAC
Manager sendet.
SOA basierte Integration von NAC und VoIP Device Management
Das Zusammenspiel aus NAC und VoIP Infrastruktur erlaubt neben dem NACtypischen Asset Tracking auch umfassendere Location Services, wie zum Beispiel
einer automatisierten Rufumleitung, je nach Standort. Auch können spezielle
Konfigurationen „location based“ automatisiert an ein Telefon weitergegeben
werden. Dies können einfache Dinge wie eine Raumbezeichnung sein oder durchaus
komplexe Stammdaten in Abhängigkeit zur jeweiligen Autorisierung (je nach
Leistungsumfang der Telefone). Mehr unter
http://www.enterasys.com/company/literature/auto-voip-deploy.pdf
179
Produktportfolio
Device phone number
(e.g. 43254)
ŶƚĞƌĂƐǇƐED^EDĂŶĂŐ Ğƌ͗ŶĚƐǇƐƚĞŵsŝĞǁ
Device Type and SW version
(e.g. OpenStage 80:V1 R4.14.0)
>^/W/ŶĨƌĂƐƚƌƵĐƚƵƌĞ
Damit ist eine ähnliche Dynamik erreichbar, wie man sie schon von zentralen
Nutzerprofilen auf Desktop PCs her kennt und erlaubt eine optimale Nutzung der
gesamten Telefonie unter Einsatz von minimalem administrativem Aufwand.
Location und Status Tracking
Alle gewonnenen Informationen werden auf dem NAC Manager in einer zentralen,
offenen SQL Datenbank abgelegt und stehen somit über Standardschnittstellen zur
Verfügung. So können automatisierte Benachrichtigung über Zustandsänderungen
per eMail versendet oder weitere Systeme über Statuswechsel informiert werden.
Die neue „Notification Engine“ unterstützt dabei mit der Einrichtung von
Benachrichtigungsoptionen, Filtern und frei konfigurierbaren Nachrichteninhalten.
Diese Funktionalität ermöglicht die Automatisierung von Umzugsmeldungen im
Netzwerk und reduziert den administrativen und finanziellen Aufwand erheblich.
Natürlich können umgekehrt auch Konfigurationsdaten über einfach Schnittstellen
erstellt oder geändert werden und damit ebenfalls automatisierte Aktualisierungen
der NAC Konfiguration durch externe Systeme vorgenommen werden.
Produktportfolio
180
Da in der NetSight Datenbank für alle Endsysteme die Daten bei der Anmeldung
hinterlegt werden, kann somit jeder Benutzer im Netzwerk in Sekundenbruchteilen
lokalisiert werden. Diese Informationen dienen dem NMS Console Compass sowie
dem Automated Security Manager zum Suchen und können auch zur Realisierung
einer E911 Notrufortung verwendet werden.
Identity und Access Management
Besonders deutlich wird das Zusammenspiel der vorliegenden Infrastrukturdaten in
Kombination mit offenen Schnittstellen zur Ein- und Ausgabe von Daten am Beispiel
einer IAM (Identity und Access Management) Integration. Hierbei werden sowohl
Infrastrukturdaten (beispielsweise ein Umzug in ein anderes Gebäude) an einen IAM
Server sofort weitergeleitet als auch Richtlinien (z.B. Stellenwechsel oder Kündigung
eines Mitarbeiters) vom IAM Server an die NAC Konfiguration weitergegeben.
181
Produktportfolio
Dies führt zu einer optimalen Verzahnung aus Richtlinienvergabe (IAM) und
Kontrollinstanz (NAC), die automatisiert und mit überschaubaren Betriebskosten bei
der Einhaltung von Betriebsprozessen unterstützt und ein Maximum an Sicherheit
gewährleistet.
Als switchbasierte Out-of-Band Lösung wird das NAC Gateway eingesetzt. Damit
können sowohl Enterasys auch als Drittherstellerkomponenten in der NAC Lösung
eingesetzt werden. Das NAC Gateway dient dabei aus Sicht des Switches als
Authentisierungsbroker, dass heißt es leitet die Authentisierungsanfragen
gegebenenfalls an einen RADIUS Server weiter oder beantwortet sie selbst.
Ab Version 3.3 der NetSight Suite wird das NAC Gateway ebenfalls als virtuelle
Appliance für VMWare ESX(i) 4 Umgebungen verfügbar sein (NAC-V-XX). Das NAC-V20 Gateway entspricht hierbei der SNS-TAG-ITA.
NAC Gateway
Des Weiteren ist es natürlich in der Lage die angeführten Zusatzfunktionalitäten
abzubilden. Das NAC Gateway wird in unterschiedlichen Varianten angeboten, die
sich vor allem an der Zahl der unterstützten, gleichzeitig authentisierten Benutzer
orientiert.
NAC Gateway
Unterstützte End User
SNS-TAG-LPA
2.000
SNS-TAG-HPA
3.000
SNS-TAG-ITA (onboard assessment supported)
3.000
NAC-V-10
1.000
NAC-V-20
3.000
Zusätzlich ist zu beachten, dass im Moment nur das SNS-TAG-ITA per Lizenz auf das
Enterasys onboard Assessment aufgerüstet werden kann.
Produktportfolio
182
Mit OneFabric Control Center bietet Enterasys Networks eine Ende-zu-Ende
Netzwerk Management Lösung an, mit der Netzwerke effizienter und effektivier
administriert werden. Dies trägt wesentlich zur Senkung der Betriebskosten bei.
Selbstverständlich sind alle OneFabric Control Center Komponenten darauf
abgestimmt, eine Secure Networks™ Lösung optimal zu unterstützen. Besondere
Bedeutung kommt hier dem Enterasys Policy Manager und dem Automated Security
Manager zu, da diese Tools speziell für das autonome Management von Secure
Networks™ entwickelt wurden.
Enterasys NetSight—
NetSight—Zentrale Weboberfläche
Enterasys Networks liefert Ihnen eine durchdachte Management Lösung, mit der Sie
die von Ihnen benötigten Komponenten als Plug-In zu Ihrem zentralen Management
hinzufügen können. Mit der Installation von NetSight werden alle Komponenten in
einer Oberfläche bereitgestellt und können über eine zentrale Weboberfläche
aufgerufen werden. Eine Installation unterschiedlicher Client Plug-ins oder deren
Aktualisierung entfällt.
183
Produktportfolio
•
Zentrales Management zum Konfigurieren, Überwachen und Troubleshooten
des gesamten Netzwerks
•
Client Server Architektur
•
Verteiltes Management
•
Basis für das Management der Secure Networks™ Lösungen, hierzu
existieren verschiedene Plug-In Anwendungen
•
Einheitliches Management und Überwachung der Wireless Infrastruktur mit
dem Wireless Manager
•
Zentrales Management zur Administration der rollenbasierten Secure
Networks™ Policys
•
Support für Quality of Service Administration
Enterasys NAC Manager
•
Konfiguration von Enterasys Network Access Control
Enterasys OneView
•
Web-Basierende Reports,
•
Netzwerk Analyse, Trouble-Shooting und Helpdesk Werkzeuge
•
Management Lösung zum dynamischen Schutz vor Gefahren wie Viren und
Attacken
•
Kombiniert die Elemente von Enterprise Network Management und Intrusion
Defense
•
Aktiviert automatisiert Policys auf den Netzwerkkomponenten sobald eine
Gefahr erkannt wurde
•
Netzwerkweite Firmwareupgrades sofort oder zu einem bestimmten Zeitpunkt
•
Auf einen Klick Hardware, Software und Konfigurationen aller Geräte sichern
und verwalten
•
Überwachung und Archivierung der Konfigurationen Ihres Netzes
Produktportfolio
184
•
Einfache Kontrolle der Zugriffsrechte für Endnutzer, z.B. zur gezielten
Freigabe von Ressourcen in Seminarräumen
Die NetSight Console ist das Herzstück von OneFabric Control Center. Sie wurde
entwickelt, um den Workflow der Netzwerkadministratoren wieder zu spiegeln. So
bietet die NetSight Console umfassende Managementunterstützung für sämtliche
Komponenten und Lösungen von Enterasys Networks, aber auch alle anderen
SNMP Geräte können mit der NetSight Console administriert werden. Mit der
NetSight Console lassen sich viele Netzwerkaufgaben automatisieren, was zu
erheblichen Zeit- und Kostenersparnissen in unternehmenskritischen Umgebungen
führt. Die modernen Funktionen sorgen für verbesserte Netzwerk Performance und
vereinfachtes Troubleshooting. Dazu gehören auch umfangreiche Überwachungsfunktionen, robustes Alarm- und Event-Management, Netzwerk-Discovery, GruppenElement-Management und integrierte Planung. Tasks wie Subnet Discovery, Alarm
Paging, TFTP Downloads, System Backups und vieles mehr werden automatisch
durchgeführt. Um auf Geräte von Drittanbietern noch umfassender zu unterstützen,
steht die Command Scripts Funktionalität zur Verfügung. Hiermit lassen sich eigene
CLI Scripte (z.B. via SSH) erstellen und ausführen, in denen verschiedene Werte aus
NetSight wiederverwendet werden können. Auf diese Weise können Geräte mit
einem einfachen Mausklick in der GUI umkonfiguriert oder deren Status abgefragt
werden, selbst wenn diese Möglichkeit nicht via SNMP zur Verfügung stehen sollte.
Topology Manager und Topology Maps
Mit dem Topology Manager ist es möglich, automatisch Topology Maps erstellen zu
lassen. Dadurch bekommt der Administrator mit einem Klick einen Überblick über
die Netzwerktopologie. Er sieht die einzelnen Layer-2 und Layer-3 Verbindungen der
Komponenten untereinander. Informationen über Link Geschwindigkeit oder Link
Aggregation können einfach abgelesen werden. Damit wird die Problemfindung
extrem vereinfacht und die Troubleshootingzeitverkürzt sich enorm. Im Rahmen der
Neuentwicklung des Enterasys Wireless Managers zeigt der Topology Manager nun
auch Wireless Informationen, wie z.B. Access-Points, Mobility Zones und die
Controller Availability an. Eine Senkung der Betriebskosten ist das Resultat.
185
Produktportfolio
Darstellung der aktuellen Spanning Tree Topologie
Compass
Zur Fehlerbehebung ist es enorm wichtig, ein gewisses Maß an Transparenz über
das Netzwerk zu bekommen. Eine weitere herausragende Funktionalität der
NetSight Console ist es, mit dem Compass Tool Benutzer und Geräte anhand des
Benutzernamens, der IP oder MAC Adresse oder des Hostnamens suchen und
anzeigen zu lassen. Der Anwender bekommt innerhalb von Sekunden ein aktuelles
Bild und muss keine umständlichen oder chronisch veralteten Tabellen pflegen.
NetSight Compass
Produktportfolio
186
So kann man in kürzester Zeit Fragen folgender Art beantworten:
•
Wo ist diese IP in meinem Netzwerk?
•
Wo sind alle Teilnehmer eines IP Subnetzes im Netzwerk?
•
Welche Benutzer sind auf einem Switch authentifiziert?
Dies funktioniert natürlich nicht nur mit Enterasys Komponenten, sondern kann
auch mit Geräten anderer Hersteller kombiniert werden. Compass sucht die
Informationen aus bekannten MIB Variablen und Tabellen.
Durch den Einsatz des Enterasys Policy Managers sind Unternehmen in der Lage
Business- und IT-Konzepte aufeinander abzustimmen. Die Kombination aus
intelligenten Hardware Komponenten von Enterasys Networks zusammen mit dem
Enterasys Policy Manager ermöglicht eine optimale Benutzerverwaltung innerhalb
der IT Infrastruktur. Dazu gehört neben den Klassifizierungsregeln am Netzwerkzugang auch die Unterstützung des Port Authentifizierungsstandards IEEE 802.1x.
Eine optimale Sicherheitslösung für den Zugang zum Netzwerk wird dadurch
bereitgestellt.
Der Enterasys Policy Manager ist das zentrale Element der rollenbasierten
Administration in der Secure Networks™ Lösung von Enterasys Networks, dass heißt
in der Kombination und Aufeinanderabstimmung von IT- und Business-Konzepten.
187
Produktportfolio
Die Enterasys Policy Control Console (PCC) ist eine Anwendung, die normalen
Anwendern das Potential der Secure Networks™ Policies zur Verfügung stellt. Damit
kann die IT-Administration gezielt eine vordefinierte Reihe von Netzwerk Policies
auch nicht-technischen Mitarbeitern in deren Arbeitsumgebung zur Verfügung
stellen. Für diese ist ein einfacher Zugriff auf diese Einstellungen über ein
Webinterface möglich. Damit kann ein Trainer oder Lehrer über ein einfaches
Webinterface den Zugang zum Internet für seine Teilnehmer mit einem Klick einbzw. ausschalten.
Diese Delegation ermöglicht es der IT-Abteilung sich auf wichtigere Aufgaben zu
konzentrieren, indem die alltäglichen Anforderungen durch Erstellung und
Anwendung von Netzwerk Policies an die Benutzer delegiert wird.
Der Enterasys Automated Security Manager (ASM) ist ein elementarer Bestandteil
der Secure Networks™ Architektur. Mit diesem Tool kann dynamisch auf Attacken
und Anomalien innerhalb des Netzwerks reagiert werden. Sollte es zu auffälligen
Aktivitäten in der Infrastruktur kommen, können diese über das Enterasys Intrusion
Defense System erkannt werden. Informationen über Sender-IP und Art der Attacke
werden sofort vom IDS bereitgestellt. Um zeitnah auf diese Attacke zu reagieren,
werden diese Informationen über SNMPv3 an den ASM weitergeleitet. Dieser kann
unmittelbar die Lokation der auffälligen IP Adresse erkennen und lokalisieren (z.B.
Standort A, Gebäude B, Etage C, Verteiler D, Switch E, Port F). Damit kann sofort die
Regel auf dem entsprechenden Switch Port geändert werden. Es können nur noch
bestimmte Dienste freigeschaltet werden oder der Port wird komplett gesperrt. Das
Ganze kann auch mit einer zeitlichen Komponente verbunden werden. Je nach Art
des Angriffs kann individuell die Regel geändert werden. Damit kann überprüft
werden, ob beispielsweise nach zwei Minuten die Auffälligkeit wieder auftritt und
danach erst der Port komplett gesperrt werden. Somit werden diese IP Adresse und
der damit verbundene Rechner vom Netz genommen. Die anderen Systeme können
ohne Behinderung weiter arbeiten. Es kommt zu keiner Unterbrechung der
Geschäftsabläufe. Zudem wird Zeit gewonnen, um den befallenen Rechner zu
überprüfen und gegebenenfalls zu warten. Die entsprechende Aktion kann jederzeit
über die so genannte „Undo Action“ manuell wieder zurückgenommen werden.
Durch den Automated Security Manager können erstmals in der Industrie
dynamische Reaktionen auf kritische Events erfolgen. Es ist nicht mehr notwendig,
einen Mitarbeiter abzustellen, der ständig vor einer IDS Konsole sitzt, um im
Angriffsfall zeitnah reagieren zu können. Das Secure Network™ nimmt diese
Aufgabe gerne ab.
Produktportfolio
188
Eine große Herausforderung innerhalb eines Unternehmens ist die Inventarisierung
der vorhandenen Komponenten. Dies gilt nicht nur für die IT, sondern zieht sich über
alle Geschäftsbereiche hinweg. Mit Hilfe des Inventory Managers lässt sich eine
einfache und schnelle Katalogisierung von IT Informationen durchführen.
Vorhandene Hardware und zugehörige Seriennummer, eingesetzte Firmware
Versionen, eingebaute Speicherausstattung oder aktuelle Konfigurationen können
beispielsweise ausgelesen, zentral abgelegt und verwaltet werden. Ältere Firmware
Versionen können automatisiert aktualisiert werden. Konfigurationen können
regelmäßig, zeitgesteuert gespeichert und archiviert werden. Damit ermöglicht der
Enterasys Inventory Manager ein effektives Change Management, was die
Verwaltung vereinfacht und die Betriebskosten enorm senkt.
189
Produktportfolio
Enterasys OneView
Mit NetSight OneView wird das Management Featureset von NetSight um die
Funktionalitäten Reporting, Service Dashboards, Trouble Shooting Tools und
Monitoring erweitert. OneView ist eine komplett webbasierende Applikation. In
NetSight Version 4.0 liegt der primäre Fokus von OneView auf dem Reporting und
der Anzeige von Dashboard Informationen zur Enterasys Wireless Infrastruktur.
Neben dieser Hauptausrichtung wurden die aus der Console bekannten FlexViews
als webbasierende FlexViews in OneView integriert. Des Weitern können alle in der
NetSight Console registrierten Devices in der Detailansichten über die OneView
Weboberfläche angezeigt werden. Ebenso werden alle Events die in die Console
einfließen über die Web-Ansicht zur Verfügung gestellt. In den nächsten Versionen
von Enterasys NetSight werden die Applikationsbereiche Console, Inventory
Manager, NAC Manager, Policy Manager suggsessive in OneView integriert.
Im Reporting Tab stellt OneView historische und echtzeit Reports der überwachten
Infrastruktur dar. Neben einer zusammengefassten Ansicht und Reports, kann in die
einzelnen Events hineingezoomt werden. Mit dem Ad Hoc Reporting bietet OneView
ein umfassendes Reporting, bei dem alle verfügbaren Parameter in die
Reportsauswahl aufgenommen werden. So stehen neben den reinen Performance
Daten, auch die Event Logs der NetSight Management Suite für den Report zur
Verfügung. Alle Management Konfigruationen können direkt per OneView in Form
einer PDF Datei erzeugt werden.
Produktportfolio
190
Das Device Tab gibt einen Detailüberblick über alle mit NetSight gemanagten
Geräte. Über die Browser Oberfläche können für jedes Geräte web-basierende
FlexViews und direkter Zugriff auf die WebView des Gerätes, wie im NetSight
Console Client, aufgerufen werden. Des Weiter bietet die Oberfläche für einen
schnellen Zugriff die Suche, Sortierung und Filterung der Geräte mit einem
Bookmark zu versehen. Über den Tab Event Logs gibt OneView webbasierenden
Zugriff auf die Event Logs, die seitens des NetSight zur Verfügung stehen. Auch hier
besteht die Möglichkeit Events durch Sortierung und Filterung nach bestimmten
Geräten zu durchsuchen. Dieses ist ein große Hilfe im Falle von Troubleshooting
oder forensischen Datenzusammenstellung. Durch einen Doppelklick auf einen
Event werden alle Details des Events angezeigt.
OneView liefert über den Wireless Tab alle Details, Dashboards und Top N
Information für das Monitoring und den aktuellen Status der Enterasys Wireless
Infrastruktur. Per Suche und Sortierung besteht die Möglichkeit Informationen
genau nach persönlichen Wünschen zusammenzustellen. Aus der High-Level-Report
Ansicht kann per Mausklick direkt in die genauen Details eingetaucht werden. Mit
OneView wurde die NetSight Management Suite um ein starkes Reporting,
Monitoring und Troubleshooting Werkzeug erweitert. Innerhalb von wenigen
Mausklicks sind Reports nach den persönlichen Anforderungen erstellt, als PDF
Datei gespeichert oder mit einem weiteren Mausklick die Details zu einem Ereignis
oder Gerät eröffnet.
191
Produktportfolio
Enterasys Wireless Manager
Der neue Wireless Manager komplettiert den ganzheitlichen Enterasys Netzwerk
Management Ansatz LAN und WLAN Infrastruktur durch eine einzige Management
Plattform zu administrieren. Hierzu bringt der Wireless Manager eine Vielzahl von
komfortablen Funktionen mit sich, um die WLAN Infrastruktur zentral und per
template-basierenden Konfigurationsbausteinen effizienter und effektiver zu
konfigurieren. Dieses beugt Fehlkonfigurationen präventiv vor und der Administrationsaufwand der Einzelkomponenten wird drastisch gesenkt. Der Wireless Manager
fügt sich nahtlos in die etablierte Benutzer- und Rechtestruktur der NetSight
Management Suite ein. Für die Administration werden nun nicht mehr verschiedene
Tools benötigt. Mit NetSight wird nur noch eine Applikation gestartet, welche alle
Bereiche für die LAN und WLAN Administration mit einer einheitliche Benutzeroberfläche abdeckt. Mit Hilfe von Templates werden z.B. Unternehmensspezifische
Standardeinstellungen wie Logging, Security, Access Points Länderein-stellungen
etc. nur einmal konfiguriert und nach Bedarf mehrfach für Konfigurationen auf
unterschiedlichen Wireless Controllern und Access Points angewandt. Die
Konfigurationen von bestehenden Controllern können importiert und auf neue
Controller appliziert werden. Die zur Verfügung stehenden Konfigurationsassistenten
führen unkompliziert, Schritt-für-Schritt durch die dienste-orientierte Wireless Konfiguration. Auf diese Weise werden schnell und sicher Konfigurationen für Daten-,
Sprach- und Gast-Wireless LANs erstellt.
Produktportfolio
192
Wireless Advances Services
Mit den Wireless Advanced Services bietet Enterasys einen umfassenden Wireless
IDS/IPS Schutz für alle etwaigen Funkrisiken. Die integrierte Wireless
Sicherheitslösung schützt drahtlose Netze vor allem, was durch Standards, wie z.B.
802.11i, nicht abgedeckt wird. NMS Wireless Advanced Services schützt die WLAN
Infrastruktur gegen eine Vielzahl von Wireless Gefahren, wie z.B. fehlkonfigurierte
Access Points und Clients, MAC Spoofing, Man-in-the-Middle Attacken etc. Durch
automatisches Baselining der WLAN Umgebung wird die Entstehung von False
Positive Meldung minimiert. Zur Performance Optimierung kann die WLAN
Infrastruktur durch NMS Wireless Advanced Services in verschiedenen Ansichten
dargestellt werden. So kann in Echtzeit betrachtet werden, ob ein Access Point
optimal platziert ist, ob es WLAN Fehlkonfigurationen gibt, wie die aktuelle Kanal
Abdeckung des Access Point bzw. IDS/IPS Sensor aussieht und welche
Verbindungsgeschwindigkeit der Access Point bietet. Das intuitive Dashboard gibt
dem Administrator einen zusammengefassten Überblick über die WLAN
Infrastruktur. Aufgetretene System- und Security Events können Low-Level oder
detailliert bis auf eine forensische Ebene ausgewertet werden. Ebenso können aus
den zur Verfügung stehenden Daten automatische Konformitätsberichte nach SOX,
HIPAA, PCI DSS etc. auf Knopfdruck erstellt werden.
Zusätzlich zu den oben genannten Auswertungen hinsichtlich Security, ist es möglich
Informationen zu der allgemeinen WLAN Performance zu erhalten. Mit Hilfe dieser
Funktion können Interferenzen, Brandbreitenprobleme, Abdeckungslücken und
Fehlkonfigurationen angezeigt und analysiert werden.
193
Produktportfolio
Produktportfolio
194
Enterasys Data Center Manager
Verweis zum Data Center Kapitel.
Enterasys OneFabric Control Center Lizenzierung
Historisch bedingt war das Enterasys NetSight in einer Vielzahl an Varianten
erhältlich. Zum 1. Oktober 2011 wurde ein stark vereinfachtes Lizenzmodell
eingeführt. Zum Einen werden allen Bestandteile von OneFabric Control Center als
einzelne Bausteine angeboten. Dabei wird NetSight Console immer als Grundlage
vorausgesetzt. Auf dieses Fundament können Policy Manager, Inventory Manager,
NAC Manager, Automated Security Manager und OneView einzeln A-La-Carte
Lizenziert werden. Des Weiteren gibt es zwei Bundle Pakete mit unterschiedlichen
Plug-in Ausprägungen. Die Varianten unterscheiden sich in NetSight und NetSightBase. Die nachfolgende Tabelle veranschaulicht die Bestandteile des jeweilige
Pakets. Beide Pakete sind nach Anzahl der zu verwaltenden SNMP Geräte (Devices:
z.B. Switch, Wireless Controller, etc.) gestaffelt. Bei NetSight-Base sind drei und bei
NetSight 25 gleichzeitige NetSight Benutzer lizenziert. Der in der NetSight Console
enthaltene Wireless Manager ist in Hinblick auf die Wireless Controller nicht separat
zu lizenzieren, lediglich die durch ihn zu verwaltenden Thin Access Points sind bei
der Lizenierung zu berücksichtigen. Jedes NetSight und NetSight-Base Paket kann
mit der lizenzierten Anzahl von verwaltenden SNMP Geräten das 10-fach (Device
Count x 10) an Thin Access Points per NetSight Wireless Manager bedienen.
3
X
X
X
NMSNMS-BASEBASE-25
25
250
3
X
X
X
NMSNMS-BASEBASE-50
50
500
3
X
X
X
NMSNMS-BASEBASE-100
100
1000 3
X
X
X
NMSNMS-BASEBASE-250
250
2500 3
X
X
X
NMSNMS-BASEBASE-500
500
5000 3
X
X
X
NMSNMS-BASEBASE-U
U
U
X
X
X
3
OneView
100
NAC Manager
10
ASM
IM
PM
Console
User
Thin AP‘s
Geräte
NMSNMS-BASEBASE-10
195
Produktportfolio
OneView
NAC Manager
ASM
IM
PM
Console
User
Thin AP‘s
Geräte
NMSNMS-5
5
50
25
X
X
X
X
X
X
NMSNMS-10
10
100
25
X
X
X
X
X
X
NMSNMS-25
25
250
25
X
X
X
X
X
X
NMSNMS-50
50
500
25
X
X
X
X
X
X
NMSNMS-100
100
1000 25
X
X
X
X
X
X
NMSNMS-250
250
2500 25
X
X
X
X
X
X
NMSNMS-500
500
5000 25
X
X
X
X
X
X
NMSNMS-U
U
U
X
X
X
X
X
X
25
NetSight Wireless Management
Für Kunden, die den primären Fokus auf dem Wireless Management haben, wurden
spezielle NetSight Bundle geschnürt. Diese Bundle umfassen die für Wireless
relevanten NetSight Bestandteile Console, Policy und Inventory Manager. Hinsichtlich der Lizenzierung startet die NetSight Wireless Management Suite bei 10 verwalteten Geräten (z.B. Wireless Controller, Standalone APs etc.) und 10 Access-Points.
Die nächst höhere Stufe umfasst 50 gemanagte Geräte und 50 Access-Points. Die
Kapazität der verwalteten APs kann in 50/250/500/1.000 Schritten erhöht werden.
Part Nummer
Beschreibung
NS-WB-10
NetSight Wireless Management Suite (beinhaltet 10 AP Lizenzen und
bis zu 10 gemanagete Geräte)
NS-WB-50
NetSight Wireless Management Suite (beinhaltet 500 AP Lizenzen
und bis zu 50 gemanagete Geräte)
NS-WM-CAPUP50
NetSight WM Kapazitäten Upgrade für 50 Aps (benötigt NS-WB-10,
NS-WB-50 oder Console)
NS-WM-CAPUP250
NS-WM-CAPUP500
NS-WM-CAPUP1000 NetSight WM Kapazitäten Upgrade für 1000 Aps (benötigt NS-WB10, NS-WB-50 oder Console)
Produktportfolio
196
NetSight Wireless Advanced Services (WAS)
Als Grundlage für den Einsatz der Wireless Advanced Services wird ein lizenziertes
Wireless Management (NS-WB-x) vorrausgesetzt. In der Basis WAS Lizenz ist eine
Sensor Lizenz, für die Umwandlung eines Access-Points in einen Wireless Sensor,
enthalten. Die Lizenzierung der Sensoren kann flexibel in 1/10/25/50/100 Schritten vollzogen werden. Für den Funktionumfang Forensic und RF Performance wird
eine seperate Lizenz angeboten.
Part Nummer
Beschreibung
NSNS-WADVSVC4
NetSight Wireless Advanced Services mit Reporting und einer Sensor
Lizenz (benötigt NS-WB-10, NS-WB-50 oder NMS Console)
NSNS-WASWAS-FOR
NetSight Wireless Advanced Services Forensics und RF Performance
NSNS-WASWAS-CAPUP1
NetSight WAS Kapazitäten Upgrade für einen Sensor (benötigt NSWADVSVC4)
NSNS-WASWAS-CAPUP10
NetSight WAS Kapazitäten Upgrade für 10 Sensor (benötigt NSWADVSVC4)
NSNS-WASWAS-CAPUP25
NSNS-WASWAS-CAPUP50
NSNS-WASWAS-CAPUP100
Enterasys NetSight Lizenzierung
Die Lizenzierung für die Enterasys NetSight Produktreihe wurde in der Entwicklung
über unterschiedliche Mechanismen abgedeckt – in den frühen 1.x und 2.x Varianten wurde die Lizenzierung mittels eines einzeiligen Schlüssels vorgenommen, der
nach der Installation eingespielt werden konnte. Dieser hatte folgendes Format:
„PEVGI06XXXXXXXXX“. Der erste Buchstabe stand für das Produkt (C=Console,
P=Policy Manager, I=Inventory Manager, A=ASM, T=Trusted Access Manager bzw.
NAC Manager); der zweite Buchstabe stand für die Lizenzgröße (S=Small,
M=Medium, L=Large, U=Unlimited). Dieser Key wurde bei der Bestellung per Post
zugesandt. Mit NetSight 3.x wurde mit Macrovision ein industrieweit genutztes Lizenzierungsverfahren eingeführt. Dabei wurden die unterschiedlichen Lizenzierungsgrößen (SE,ME,LE,U) sowie die Kürzel für die einzelnen NMS Komponenten (C,
P,I,A,T) beibehalten, die Policy Control Console mit PCC ist neu hinzugekommen. Die
Lizenzverwaltung erfolgte dabei über ein bei Enterasys gehostetes
Lizenzierungsportal, welches zunächst unter https://myportal.enterasys.com
erreichbar war.
197
Produktportfolio
Heute ist die Lizenzierung unter https://extranet.enterasys.com/MySupport/
Licensing/ in das globale Kundenportal integriert. Hier kann, auch nur zu
Evaluierungszwecken, ein Account erzeugt und eine für 30 Tage gültige Testlizenz
erzeugt werden. Beim Kauf einer NetSight Lizenz erhält der Kunde eine Entitlement
ID. Im Lizenzportal aktiviert er diese unter Angabe der MAC Adresse des
eingesetzten Servers den gültigen Lizenzkey. Dieser ist unmittelbar abrufbar und
lässt sich zusätzlich via Mail oder Post versenden. Das Format dieser Lizenz geht
über mehrere Zeilen und enthält alle Informationen bezüglich Lizenzgröße, etc.:
INCREMENT NetSightEval ets 2008.0601 1-jun-2008 uncounted \
VENDOR_STRING="type=server tier=m devices=250 clients=25 \ model=all" HOSTID=
ANY ISSUED=17-jan-2008 START=17-jan-2008 \ SIGN="03D3 3151 DC2C
67C7 936B C202 55E7 A254 62B5 8D5F 8FAF \ 78E8 97EE C2CF 3625 186D 269E
84BF 7AFC C414 60C5 7967 2EF3 \ XXXX ECA8 5109 0E7C XXXX XXXX XXXX"
Kunden mit einem bestehenden Wartungsvertrag können ohne weitere Kosten über
das Lizenzportal unter https://extranet.enterasys.com/My-Support/Licensing/
Pages/NetSightUpgrade.aspx auf die neuste Version upgraden.
Produktportfolio
198
OneFabric Data Center / Edge
Diese Produktlinie bietet eine komplette Lösung für den LAN Switching und Routing
Bereich vom Access bis zum Core. Abgerundet wird sie durch WAN und WLAN
Komponenten.
Applikationsbasierte Dienste (Sicherheit, Quality of Service, etc.) durch Layer 2/3/4
Klassifizierung und Unterstützung von Secure Networks™ zeichnen diese
Produktlinie aus. Sowohl standalone, als auch stackable und chassisbasierte
Systeme sind verfügbar.
A/B/CA/B/C-Serie
LAN Edge L2/L3 stapelbare Switching Lösung
D-Serie
Kompakter, leiser L2 Edge Switch für
Klassenräume und Büroumgebungen
G-Serie
Fixed/modularer, hoch dichter L2/L3 LAN Edge
Switch, kleinere Distribution
I-Serie
Edge Switching für Industrieapplikationen
K-Serie
Konvergenzbereiter, modularer Switch fü EdgeEinsatz optimiert
S-Serie
Terabit-Klasse, konvergenzbereiter, modularer
Switch für Edge-to-Core und Data Center Einsatz
Wireless LAN
Wireless Netzwerkinfrastruktur
XSR Branch Router
Sicherheitsrouter für Filialbüros
OneFabric Data Center / Edge Portfolio
199
Produktportfolio
Enterasys A/B/C Serie
Die A/B/C Serie sind kostengünstige Switche mit Routing und Secure Networks™
Unterstützung, die im Access Bereich (in der 10/100 Ethernet Variante) sowie im
Server Bereich (in der 10/100/1000 Ethernet Variante mit 10Gbit Uplink) zum
Einsatz kommen.
Sie sind in drei unterschiedlichen Varianten verfügbar, die C-, B- und A-Serie. Diese
bieten beim Stacking ein einfaches Management bei gleichzeitig hoher Portdichte
von 48 Enduser-Ports und 4 Uplink-Ports pro Switch und bis zu 384 Enduser Ports
pro Stack. Dabei können bis zu 8 Switche miteinander verbunden werden. Alle
Varianten bieten hochverfügbares Stacking mittels einer Closed Loop Stacking
Lösung, bei der der klassische Single Point of Failure beim Stacken vermieden wird.
Die Modelle der C-, B- und A-Serie sind dabei nicht untereinander, aber sehr wohl
innerhalb derselben Serie kombinierbar.
Die Switche sind außerdem in einer PoE-fähigen Variante verfügbar (am P am Ende
der Bestellnummer erkennbar). Eine Besonderheit ist hier die adaptive Erkennung
des durch die Endgeräte verbrauchten Stroms, die eine optimale Verteilung der
maximal verfügbaren Leistung erlaubt. Alle Module verwenden die selben,
optionalen redundanten Netzteile.
Für die Verwendung in einem Distribution Layer Security Szenario haben die Module
noch die Fähigkeit, EAP-Forwarding zu unterstützen, so dass auch eine zentrale
802.1x Authentisierung über den Switch hinweg möglich ist, ohne dass auf
Spanning Tree verzichtet werden muss. Weiterhin kann die Kommunikation
zwischen den Access Ports so eingeschränkt werden, dass nur noch zwischen
Access- und Uplink Ports ein Datenaustausch möglich ist und somit eine optimale
Sicherheit auch bei nachgelagerter Authentisierung erreicht wird.
Lifetime Warranty
Die Switche aus der A/B/C Serie können bis zu 30 Tage nach dem Eingang der Ware
beim Kunden bei Enterasys registriert werden. Dadurch erhält man eine Lifetime
Warranty (LW), welche die fehlerfreie Funktion der Switche für mindestens fünf
Jahre nach der Einstellung des Produktes bei Enterasys Networks garantiert.
Die Garantie umfasst kostenlose Firmware Bugfixes sowie das Bereitstellen von
Ersatzgeräten nach vorhergehender Beratung durch das GTAC.
Mehr Informationen dazu unter:
http://www.enterasys.com/company/literature/enterasys-lw-ds.pdf
Produktportfolio
200
Enterasys C5/B5
Der Enterasys B5 ist ein leistungsstarker Gigabit Ethernet Edge Switch, der
skalierbare, wire-rate Performance für die Unterstützung brandbreitenintensiver und
verzögerungssensitiver Anforderungen heutiger Applikationen bietet. Bei einem
Support für 16.000 MAC Adressen ist der B5 einer hervorragende Wahl für
Umgebungen, die komplette mehrschichtige Switching-Leistungen und Support für
hochdichte 10/100/1000 Ethernet Ports und statische Routing-Leistungen
erfordert. Der B5 ist sowohl für Gigabit Ehternet Netzwerke als auch für 100 Mbps
Netzwerke gut geeignet, die möglicherweise in eine Gigabit Ethernet Umgebung
ausgelagert werden. Zusätzlich zu den komplett mehrschichtigen SwitchingLeistungsfähigkeiten, bietet der B5 auch grundlegende Routing-Eigenschaften, RIP,
statisches IPv4 Routing und IPv6 Management-Support inbegriffen. Zusammen mit
einer Switch-Kapazität von 188 Gbps bietet der B5 bis zu 48 10/100/1000
Ethernet Ports, sowie die Option von Gigabit und 10 Gigabit Ethernet Uplink Ports.
Der B5 mit seiner wire-rate Stacking Kapazität ermöglicht es bis zu 8 B5 (sowohl 24
Port als auch 48 Port Kombinationen) in einem einzigen Stack zu verbinden und so
einen virtuellen Switch zu schaffen, der 1,5 Tbps Kapazität und bis zu 384
10/100/1000 Ethernet Ports sowie 32 Gigabit Ethernet oder 16 10 Gigabit
Ethernet Uplink Ports zur Verfügung stellt. Der B5 unterstützt hunderte von
individuellen Policys, die eine granulare Definition von Netzwerkzugangsleistungen
für jede Rolle ermöglichen und somit die Nutzung der Netzwerkressourcen mit
Geschäftszielen und Prioritäten abgleicht.
Der Enterasys C5 ist die ein leistungsstarker Gigabit Ethernet Switch, der zusätzlich
zu den oben genannten B5-Features eine Switch-Kapazität von 264 Gbps aufweist
und so 2 10 Gigabit Ethernet Uplink Port bereitstellt. Der C5 mit seiner wire-rate
Stacking Kapazität ermöglicht es bis zu 8 C5 (sowohl 24 Port als auch 48 Port
Kombinationen) in einem einzigen Stack zu verbinden und so einen virtuellen Switch
zu schaffe, der 2,11 Tbps Kapazität und bis zu 384 10/100/1000 Ethernet Ports
sowie 32 Gigabit Ethernet oder 16 10 Gigabit Ethernet Uplink Ports zur Verfügung
stellt.
201
Produktportfolio
Enterasys C5/B5 – QoS
Robuste Quality of Service (QoS) Eigenschaften ermöglichen starken Support für
integrierte Multimedia Netzwerke, Voice over IP (VoIP) und Video inbegriffen, sowie
für alle Arten von datenintensiven Anwendungen. Die B5 Policy Leistungsfähigkeit
ermöglicht die Zusammenarbeit zwischen hoch angepassten Layer 2/3/4 Paket
Klassifizierungsleistungen und den 8 hardware-basierenden Prioritätsqueues, die
mit jedem Ethernet Port verbunden sind, um eine Reihe differenzierter Services mit
maximal 8 unterschiedlichen Dringlichkeitsstufen zu unterstützen. In Verbindung mit
seiner nicht blockierenden L2 Switching und L3 Routing Bauweise stellt der
intelligente B5-Queuing-Mechanismus sicher, dass auftragskritische Anwendungen
vorrangigen Zugriff auf Netzwerkresourcen erhalten.
Der C5/B5 bietet ein sicheres Netzwerk, indem er seine Autentifizierungs- und
Sicherheitsfeatures nutzt, die am Port-Level oder am User-Level angebracht werden
können. Bei Nutzung des NetSight Policy Manager oder einer standard CLI
ermöglicht die rollenbezogene Bauweise den Netzwerkadministrator, individuelle
Rollen oder Profile zu definieren, die operative Gruppen innerhalb einer Firma
repräsentieren (z. B. Angestellter, Leiter, Gast, etc.). Mehrere Benutzer/Geräte pro
Port können mittels IEEE 802.1X, MAC Adresse oder Web-Authentifikation,
authentifiziert werden und dann einer vordefinierten operativen Rolle zugewiesen
werden. Netzwerkabläufe können leicht zugeschnitten werden, um
geschäftsorientierten Anforderungen zu genügen, indem jede Rolle mit
individualisiertem Zugriff zu den Netzwerk-Services und Anwendungen beliefert wird
(z. B. sollte ein Gast andere Zugriffsmöglichkeiten als ein Angestellter haben).
Die C/B-Serien Produktlinie liefert hohe Port-Dichte in einem 1U-footprint und ist
umweltfreundlich im Design. Bei Erhöhung der Port-Dichte innerhalb eines
gegebenen Rack-Zwischenraums verringert der C5/B5 die Kühlanforderungen. Die
gesamtelektrischen Anforderungen des C5/B5 reduzieren sich weiter durch ein
niedriges, ständiges Gebläse und eine extreme Toleranz für hohe
Umgebungstemperaturen. Eine hoch skalierbare Architektur und die Limited
Lifetime Warranty stellen sicher, dass eine C5/B5 Netzwerkanschaffung für die
Zukunft ein sicheres, Feature-reiches und kosteneffektives Netzwerk aufrecht hält.
Enterasys C5/B5 - Zuverlässigkeit und Verfügbarkeit
Das C5/B5-Design berücksichtigt Redundanz und Fehlerschutzmechanismen
komplett mit automatischen Fehler- und Recoveryleistungen, um ein zuverlässiges
Netz zu bieten. Eine integrierte Stromversorgung ist die primäre Stromquelle für den
C5/B5; komplette Strom-Redundanz wird durch eine optionale, externe
Stromversorgung geliefert. Zusätzlich zu der Standard-Version des C5/B5 gibt es
auch eine Power over Ethernet (PoE) Version des C5/B5, die Netzwerkgeräte
unterstützt, die externe Stromversorgung benötigen, wie z. B. Wireless Access
Points, VoIP Telefone und Netzwerkkameras.
Produktportfolio
202
Enterasys C5/B5 - Investitionsschutz
Der C5/B5 ist ein kosteneffektiver, Feature-reicher, stapelbarer Switch, der heute
breitgefächerte Features bietet und auch zukünftig Vorteile liefert. Kunden können
ihr Netzwerk vergrößern und weiterentwickeln, während die Investition durch
Hinzufügen von C5's/B5’s in vorhandene C/B-Serie-Netzwerke und/oder Stacks
geschützt wird. Wenn mehrere C5's/B5’s gestackt sind, übernimmt jeder Switch im
Stack die Eigenschaft, die allen Switchen im Stack gemein ist, um betriebliche
Kompatibilität sicherzustellen.
Der C5/B5 unterstützt hunderte von individuellen Policys, die eine granulare
Definition von Netzwerkzugangsleistungen für jede Rolle ermöglichen und somit die
Nutzung der Netzwerkressourcen mit Geschäftszielen und Prioritäten abgleicht.
Enterasys C5/B5—
C5/B5—Features, Standards und Protokolle
MAC Address Table Size
IEEE 802.3af – PoE
32,000
IEEE 802.3at – High Power PoE (up to 30W
per port)
IEEE 802.3i – 10Base-T
VLANs
IEEE 802.3u – 100Base-T, 100Base-FX
4,094 VLAN IDs
IEEE 802.3z – GE over Fiber
1,024 VLAN Entries per Stack
Full/half duplex auto-sense support on all
ports
Switching Services Protocols
IGMP Snooping v1/v2/v3
IEEE 802.1AB – LLDP
Jumbo Frame support (9,216 bytes)
ANSI/TIA-1057 – LLDP-MED
Loop Protection
IEEE 802.1D – MAC Bridges
One-to-One and Many-to-One Port Mirroring
IEEE 802.1s – Multiple Spanning Trees
Port Description
IEEE 802.1t – 802.1D Maintenance
IEEE 802.1w –
Reconvergence
Rapid
Spanning
Protected Ports
Tree Selectable LAG Configuration Ready (6 x 8,
12 x 4, 24 x 2)
IEEE 802.3 – Ethernet
Host CPU Protection – Broadcast/ Multicast/
IEEE 802.3ab – GE over Twisted Pair
Unknown Unicast Suppression
IEEE 802.3ad – Link Aggregation
Spanning Tree Backup Root
IEEE 802.3ae – 10 Gigabit Ethernet (fiber)
STP Pass Thru
203
Produktportfolio
IEEE 802.3ae – 10 Gigabit Ethernet (fiber)
Tagged-based VLAN
IEEE 802.3af – PoE
VLAN Marking of Mirror Traffic
IEEE 802.3at – High Power PoE (up to 30W
per port)
Security
ARP Spoof Protection
DHCP Spoof Protection
IEEE 802.1X Port Authentication
MAC-based Port Authentication
ports
RADIUS Accounting for network access
RADIUS Client
Loop Protection
RFC 3580 – IEEE 802.1X RADIUS Usage
Guidelines
Multi-user Authentication
Port Description
Password Protection (encryption)
Protected Ports
Secure Networks Policy
Selectable LAG Configuration Ready (6 x 8, 12
Secured Shell (SSHv2)
x 4, 24 x 2)
Host CPU Protection – Broadcast/ Multicast/
Secured Socket Layer (SSL)
Unknown Unicast Suppression
User and IP Phone Authentication
Web-based Port Authentication
STP Pass Thru
IPv4 Routing
Standard Access Control List (ACLs)
VLAN Support
Generic Attribute Registration Protocol (GARP) Extended ACLs
Generic VLAN Registration Protocol (GVRP)
VLAN-based ACLs
IEEE 802.1p – Traffic classification
ARP & ARP Redirect
IEEE 802.1Q – VLAN Tagging
DVMRP
Protocol-based VLANs with Enterasys Policy
IP Helper Address
IEEE 802.3ac – VLAN Tagging Extensions
RFC 826 – Ethernet ARP
Port-based VLAN (private port/private VLAN)
RFC 1058 – RIP v1
Produktportfolio
204
RFC 1256 – ICMP Router Discovery Messages RFC 3493 – Basic Socket Interface for IPv6
RFC 1519 Classless Inter-Domain Routing
RFC 3513 – Addressing Architecture for IPv6
RFC 1724 – RIPv2 MIB Extension
RFC 3542 – Advanced Sockets API for
RFC 2236 – IGMPv2
RFC 3587 – IPv6 Global Unicast Address
Format
RFC 2328 – OSPF version 2
RFC 3736 – Stateless DHCPv6
RFC 2338 – IP Redundancy VRRP
Dual IPv4/IPv6 TCP/IP Stack
RFC 2362 – PIM-SM
RFC 2453 – RIP v2
MIB Support
RFC 3046 – DHCP/BootP Relay
Enterasys Entity MIB
RFC 3376 – IGMPv3
RFC 3768 – VRRP – Virtual
Redundancy Protocol Static Routes
Router
Enterasys Policy MIB
Enterasys VLAN Authorization MIB
ANSI/TIA-1057 – LLDP-MED MIB
IPv6 Routing
IEEE 802.1AB – LLDP MIB
RFC 1981 – Path MTU for IPv6
IEEE 802.1X MIB – Port Access
RFC 2373 – IPv6 Addressing
IEEE 802.3ad MIB – LAG MIB
RFC 2460 – IPv6 Protocol Specification
RFC 826 – ARP and ARP Redirect
RFC 2461 – Neighbor Discovery
RFC 951, RFC 1542 – DHCP/
RFC 2462 – Stateless Autoconfiguration
BOOTP Relay
RFC 2463 – ICMPv6
RFC 1213 – MIB/MIB II
RFC 2464 – IPv6 over Ethernet
RFC 1493 – BRIDGE-MIB
RFC 2473 – Generic Packet Tunneling in IPv6 RFC 1643 – Ethernet-like MIB
RFC 2271 – SNMP Framework MIB
RFC 1724 – RIPv2 MIB Extension
RFC 2711 – IPv6 Router Alert
RFC 1850 – OSPF MIB
RFC 2740 – OSPFv3
RFC 2096 – IP Forwarding Table MIB
RFC 2893 – Transition Mechanisms for IPv6
Hosts + Routers (6 over 4 configured)
RFC 2131, RFC 3046 – DHCPClient/Relay
RFC 3315 – DHCPv6 (stateless + relay)
RFC 3484 – Default Address Selection for
IPv6
RFC 2233 – IF-MIB
RFC 2465 – IPv6 MIB
RFC 2466 – ICMPv6 MIB
205
Produktportfolio
Queuing Control – Strict and Weighted
RFC 2618 – RADIUS Authentication Client Round Robin
MIB
Source/Destination IP Address
RFC 2620 – RADIUS Accounting Client MIB
Source/Destination MAC Address
RFC 2668 – Managed Object Definitions
Dynamic and Static MAC Locking
for 802.3 MAUs
EAP Pass-Thru
RFC 2674 – P-BRIDGE-MIB
RFC 2474 Definition of Differentiated
RFC 2674 – QBRIDGE-MIB VLAN Bridge MIB Services Field
RFC 2737 – Entity MIB (physical branch only)
RFC 2787 – VRRP-MIB
Management
RFC 2819 – RMON-MIB
Alias Port Naming
RFC 2933 – IGMP MIB
Command Line Interface (CLI)
RFC 2934 – PIM MIB for IPv4
Configuration Upload/Download
RFC 3413 – SNMP v3 Applications MIB
Dual IPv4/IPv6 Management Support
RFC 3414 – SNMP v3 User-based
Editable Text-based Configuration File
Security Module (USM) MIB
TFTP Client
RFC 3584 – SNMP Community MIB
Multi-configuration File Support
RFC 3621 – Power over Ethernet MIB
NMS Automated Security Manager
NMS Console
Quality of Service
NMS Inventory Manager
8 Priority Queues per Port
NMS Policy Manager
802.3x Flow Control
Node/Alias Table
Class of Service (CoS)
RFC 768 – UDP
Ingress Rate Limiting
RFC 783 – TFTP
IP ToS/DSCP Marking/Remarking
RFC 791—IP
IP Precedence
RFC 792 – ICMP
IP Precedence
RFC 793 – TCP
IP Protocol
RFC 826 – ARP
Layer 2/3/4 Classification
RFC 854 – Telnet
Multi-layer Packet Processing
RFC 951 – BootP
Produktportfolio
206
RFC 1157 – SNMP
RMON (Stats, History, Alarms, Events,
RFC 1321 – The MD5 Message-Digest Filters, Packet Capture)
Algorithm
Secure Copy (SCP)
RFC 1901 – Community-based SNMPv2
Secure FTP (SFTP)
RFC 2030 Simple Network Time Protocol
(SNTP)
(SNMP) v1/v2c/v3
RFC 3176 – sFlow
SSHv2
RFC 3413 – SNMPV3 Applications
RFC 3164 – The BSD Syslog Protocol
RFC 3414 –User-based Security
TACACS+ support
Module (USM) for SNMPv3
Authentication, Authorization and Auditing
RFC 3415 – View-based Access Control
Web-based Management
Model for SNMP
Webview via SSL Interface
RFC 3826 – Advanced Encryption
Standard (AES) for SNMP
Technische Eigenschaften
C5G124C5G124-24
C5G124C5G124-24P2
C5G124C5G124-48
C5G124C5G124-48P2
Throughput Capacity
wire-speed Mpps
(switch/stack)
35.7 Mpps / 285.7 Mpps
35.7 Mpps / 285.7 Mpps
71.4 Mpps / 571.4 Mpps
71.4 Mpps / 571.4 Mpps
Switching Capacity
(switch/stack)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
96 Gbps (71.4 Mpps) /
768 Gbps (571.4 Mpps)
96 Gbps (71.4 Mpps) /
768 Gbps (571.4 Mpps)
Stacking Capacity
(switch/stack)
128 Gbps (95.2 Mpps) /
1024 Gbps (761.8 Mpps)
128 Gbps (95.2 Mpps) /
1024 Gbps (761.8 Mpps)
128 Gbps (95.2 Mpps) /
1024 Gbps (761.8 Mpps)
128 Gbps (95.2 Mpps) /
1024 Gbps (761.8 Mpps)
Aggregate
Throughput Capacity
(switch/stack)
176 Gbps (130.9 Mpps) /
1408 Gbps (1047.5 Mpps)
176 Gbps (130.9 Mpps) /
1408 Gbps (1047.5 Mpps)
224 Gbps (166.6 Mpps) /
1792 Gbps (1333.2 Mpps)
224 Gbps (166.6 Mpps) /
1792 Gbps (1333.2 Mpps)
802.3af
Interoperable
N/A
Yes
N/A
Yes
802.3at
Interoperable
N/A
Yes
N/A
Yes
System Power
N/A
850 watts per switch with
up to 30 watts per port
Per-port switch power
monitor:
• Enable/disable
• Priority safety
• Overload & short circuit
protection
N/A
monitor:
• Enable/disable
• Priority safety
protection
Performance
PoE Specifications
207
Produktportfolio
C5G124C5G124-24
C5G124C5G124-24P2
C5G124C5G124-48
C5G124C5G124-48P2
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
Physical Specifications
Dimensions (HxWxD)
Net Weight
5.03 kg (11.10 lb)
6.21 kg (13.70 lb)
5.42 kg (11.95 lb)
6.60 kg (14.55 lb)
MTBF
395557 hours
289425 hours
311897 hours
229532 hours
Physical Ports
• (24) 10/100/1000
autosensing, autonegotiating MDI/MDI-X
RJ45 ports
• (4) Combo SFP ports
• (2) dedicated stacking
ports
• (1) DB9 console port
• (1) RPS port
• (24) 10/100/1000 PoE
(.af+.at) autosensing,
auto-negotiating MDI/
MDI-X RJ45 ports
ports
• (1) RPS port
• (48) 10/100/1000
RJ45 ports
ports
• (1) RPS port
• (48) 10/100/1000 PoE
MDI-X RJ45 ports
ports
• (1) RPS port
Power Requirements
Normal Input Voltage
100—240 VAC
100—240 VAC
100—240 VAC
100—240 VAC
Input Frequency
50—60 Hz
50—60 Hz
50—60 Hz
50—60 Hz
Input Current
2 A Max
12 A Max
2 A Max
12 A Max
Power Consumption
65 watts
125 watts
101 watts
150 watts
IEC 6-2-1 Standard
Operating
Temperature
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
IEC 6-2-14
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
Heat Dissipation
222 BTUs/Hr
428 BTUs/Hr
345 BTUs/Hr
513 BTUs/Hr
5% - 95% non-condensing
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
44 dB
45.5 dB
46 dB
45.5 dB
Operating
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
Non-operating
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
Temperature
Humidity
Operating Humidity
Vi bration
Shock
Drop
Acoustics
Front of switch
(normal operation)
Altitude
Produktportfolio
208
C5G124C5G124-24
C5G124C5G124-24P2
C5G124C5G124-48
C5G124C5G124-48P2
Agency and Regulatory Standard Specifications
Safety
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
EMC
FCC Part 15 (Class A), ICES
-003 (Class A), BSMI, VCCi
V-3, AS/NZS CISPR 22
(Class A), EN 55022 (Class
A), EN 55024, EN 61000-3
-2 and EN 61000-3-3
A), EN 55024, EN 61000-3
-2 and EN 61000-3-3
A), EN 55024, EN 610003-2 and EN 61000-3-3
FCC Part 15 (Class A), ICES003 (Class A), BSMI, VCCi V
-3, AS/NZS CISPR 22 (Class
A), EN 55022 (Class A), EN
55024, EN 61000-3-2 and
EN 61000-3-3
Environmental
2002/95/EC (RoHS
Directive), 2002/96/EC
(WEEE Directive), Ministry
of Information Order #39
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
C5K125C5K125-24
C5K125C5K125-24P2
C5K125C5K125-48
C5K125C5K125-48
C5K175C5K175-24
Throughput
Capacity wirespeed Mpps
(switch/stack)
65.5 Mpps / 523.8
Mpps
65.5 Mpps / 523.8
Mpps
101.2 Mpps / 809.5
Mpps
101.2 Mpps / 809.5
Mpps
65.5 Mpps / 523.8
Mpps
Switching
Capacity (switch/
stack)
88 Gbps (65.5
Mpps) / 704 Gbps
(523.8 Mpps)
88 Gbps (65.5
Mpps) / 704 Gbps
(523.8 Mpps)
136 Gbps (101.2
Mpps) / 1088 Gbps
(761.8 Mpps)
136 Gbps (101.2
Mpps) / 1088 Gbps
(761.8 Mpps)
88 Gbps (65.5
Mpps) / 704 Gbps
(523.8 Mpps)
Stacking Capacity
(switch/stack)
128 Gbps (95.2
Mpps) / 1024 Gbps
(761.8 Mpps)
128 Gbps (95.2
Mpps) / 1024 Gbps
(761.8 Mpps)
128 Gbps (95.2
Mpps) / 1024 Gbps
(761.8 Mpps)
128 Gbps (95.2
Mpps) / 1024 Gbps
(761.8 Mpps)
128 Gbps (95.2
Mpps) / 1024 Gbps
(761.8 Mpps)
Aggregate
Throughput
Capacity (switch/
stack)
216 Gbps (160.7
Mpps) / 1728 Gbps
(1285.6 Mpps)
216 Gbps (160.7
Mpps) / 1728 Gbps
(1285.6 Mpps)
264 Gbps (196.4
Mpps) / 2112 Gbps
(1571.3 Mpps)
264 Gbps (196.4
Mpps) / 2112 Gbps
(1571.3 Mpps)
216 Gbps (160.7
Mpps) / 1728 Gbps
(1285.6 Mpps)
802.3af
Interoperable
N/A
Yes
N/A
Yes
N/A
802.3at
Interoperable
N/A
Yes
N/A
Yes
N/A
System Power
N/A
850 watts per switch
with up to 30 watts
per port Per-port
switch power monitor:
• Enable/disable
• Priority safety
• Overload & short
circuit protection
N/A
850 watts per switch
with up to 30 watts
per port
monitor:
• Enable/disable
• Priority safety
• Overload & short
circuit protection
N/A
Performance
PoE Specifications
Dimensions
(HxWxD)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
Net Weight
4.92 kg (10.85 lb)
6.10 kg (13.45 lb)
5.31 kg (11.70 lb)
6.49 kg (14.30 lb)
4.97 kg (10.95 lb)
MTBF
365615 hours
273083 hours
284345 hours
213965 hours
395839 hours
209
Produktportfolio
C5K125C5K125-24
C5K125C5K125-24P2
C5K125C5K125-48
C5K125C5K125-48
C5K175C5K175-24
• (24) 10/100/1000
• (48) 10/100/1000
• (48) 10/100/1000
• (24) SFP
• (2) SFP+ ports
• (2) dedicated
Physical Ports
• (24) 10/100/1000
•
•
•
•
•
autosensing, autonegotiating MDI/MDI
-X RJ45 ports
(2) Combo SFP ports
(2) SFP+ ports
(2) dedicated
stacking ports
(1) DB9 console port
(1) RPS port
•
•
•
•
•
PoE (.af+.at) autosensing, autonegotiating MDI/MDI
-X RJ45 ports
(2) Combo SFP ports
(2) SFP+ ports
(2) dedicated
stacking ports
(1) RPS port
•
•
•
•
•
autosensing, autonegotiating MDI/
MDI-X RJ45 ports
(2) Combo SFP ports
(2) SFP+ ports
(2) dedicated
stacking ports
(1) RPS port
•
•
•
•
•
PoE (.af+.at) autosensing, autonegotiating MDI/
MDI-X RJ45 ports
(2) Combo SFP ports
(2) SFP+ ports
(2) dedicated
stacking ports
(1) RPS port
stacking ports
• (1) RPS port
Power Requirements
Normal Input
Voltage
100—240 VAC
100—240 VAC
100—240 VAC
100—240 VAC
100—240 VAC
Input Frequency
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
Input Current
2 A Max
12 A Max
2 A Max
12 A Max
2 A Max
Power
Consumption
74 watts
130 watts
120 watts
165 watts
69 watts
IEC 6-2-1
Standard
Operating
Temperature
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
IEC 6-2-14
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
Heat Dissipation
253 BTUs/Hr
445 BTUs/Hr
408 BTUs/Hr
565 BTUs/Hr
234 BTUs/Hr
5% - 95% noncondensing
IEC 68-2-6, IEC 68-236
IEC 68-2-6, IEC 68-236
IEC 68-2-6, IEC 68-236
IEC 68-2-6, IEC 68-236
IEC 68-2-6, IEC 68-236
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
45 dB
45.5 dB
47 dB
46 dB
46 dB
Operating
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
Non-operating
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
UL 60950-1, CSA
22.1 60950, EN
60950-1 and IEC
60950-1
UL 60950-1, CSA
22.1 60950, EN
60950-1 and IEC
60950-1
UL 60950-1, CSA
22.1 60950, EN
60950-1 and IEC
60950-1
Temperature
Humidity
Operating
Humidity
Vi bration
Shock
Drop
Acoustics
Front of switch
(normal
operation)
Altitude
Safety
UL 60950-1, CSA
22.1 60950, EN
60950-1 and IEC
60950-1
UL 60950-1, CSA
22.1 60950, EN
60950-1 and IEC
60950-1
Produktportfolio
210
C5K125C5K125-24
C5K125C5K125-24P2
C5K125C5K125-48
C5K125C5K125-48
C5K175C5K175-24
EMC
FCC Part 15 (Class A),
ICES-003 (Class A),
BSMI, VCCi V-3, AS/
NZS CISPR 22 (Class
A), EN 55022 (Class
A), EN 55024, EN
61000-3-2 and EN
61000-3-3
ICES-003 (Class A),
BSMI, VCCi V-3, AS/
NZS CISPR 22 (Class
A), EN 55022 (Class
A), EN 55024, EN
61000-3-2 and EN
61000-3-3
FCC Part 15 (Class
A), ICES-003 (Class
A), BSMI, VCCi V-3,
AS/NZS CISPR 22
(Class A), EN 55022
(Class A), EN 55024,
EN 61000-3-2 and
EN 61000-3-3
ICES-003 (Class A),
BSMI, VCCi V-3, AS/
NZS CISPR 22 (Class
A), EN 55022 (Class
A), EN 55024, EN
61000-3-2 and EN
61000-3-3
ICES-003 (Class A),
BSMI, VCCi V-3, AS/NZS
CISPR 22 (Class A), EN
55022 (Class A), EN
55024, EN 61000-3-2
and EN 61000-3-3
Environmental
2002/95/EC (RoHS
Directive), 2002/96/
EC (WEEE Directive),
Ministry of
Information Order
#39 (China RoHS)
2002/95/EC (RoHS
Ministry of
Information Order
#39 (China RoHS)
2002/95/EC (RoHS
Ministry of
Information Order
#39 (China RoHS)
2002/95/EC (RoHS
Ministry of
Information Order
#39 (China RoHS)
2002/95/EC (RoHS
(WEEE Directive),
Ministry of Information
Order #39 (China RoHS)
B5G124B5G124-24
B5G124B5G124-24P2
B5G124B5G124-48
B5G124B5G124-48P2
Throughput Capacity
wire-speed Mpps
(switch/stack)
35.7 Mpps / 285.7 Mpps
35.7 Mpps / 285.7 Mpps
71.4 Mpps / 571.4 Mpps
71.4 Mpps / 571.4 Mpps
Switching Capacity
(switch/stack)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
96 Gbps (71.4 Mpps) /
768 Gbps (571.4 Mpps)
96 Gbps (71.4 Mpps) /
768 Gbps (571.4 Mpps)
Stacking Capacity
(switch/stack)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
Aggregate
Throughput Capacity
(switch/stack)
96 Gbps (71.4 Mpps) /
768 Gbps (571.4 Mpps)
96 Gbps (71.4 Mpps) /
768 Gbps (571.4 Mpps)
144 Gbps (107.1 Mpps) /
1152 Gbps (857.1 Mpps)
144 Gbps (107.1 Mpps) /
1152 Gbps (857.1 Mpps)
802.3af
Interoperable
N/A
Yes
N/A
Yes
802.3at
Interoperable
N/A
Yes
N/A
Yes
System Power
N/A
monitor:
• Enable/disable
• Priority safety
protection
N/A
monitor:
• Enable/disable
• Priority safety
protection
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
Performance
PoE Specifications
Dimensions (HxWxD)
Net Weight
4.92 kg (10.85 lb)
6.10 kg (13.45 lb)
5.31 kg (11.70 lb)
6.49 kg (14.30 lb)
MTBF
394679 hours
345093 hours
308359 hours
260806 hours
Physical Ports
• (24) 10/100/1000
RJ45 ports
ports
• (1) RPS port
• (24) 10/100/1000 PoE
MDI-X RJ45 ports
ports
• (1) RPS port
• (48) 10/100/1000
RJ45 ports
ports
• (1) RPS port
• (48) 10/100/1000 PoE
MDI-X RJ45 ports
ports
• (1) RPS port
211
Produktportfolio
B5G124B5G124-24
B5G124B5G124-24P2
B5G124B5G124-48
B5G124B5G124-48P2
IEC 6-2-1 Standard
Operating
Temperature
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
IEC 6-2-14
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
Heat Dissipation
222 BTUs/Hr
428 BTUs/Hr
345 BTUs/Hr
513 BTUs/Hr
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
44.5 dB
45 dB
45.5 dB
44.5 dB
Operating
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
Non-operating
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
Temperature
Humidity
Operating Humidity
Vi bration
Shock
Drop
Acoustics
Front of switch
(normal operation)
Altitude
Safety
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
EMC
A), EN 55024, EN 61000-3
-2 and EN 61000-3-3
A), EN 55024, EN 610003-2 and EN 61000-3-3
A), EN 55024, EN 610003-2 and EN 61000-3-3
55024, EN 61000-3-2 and
EN 61000-3-3
Environmental
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
Produktportfolio
212
B5K125B5K125-24
B5K125B5K125-24P2
B5K125B5K125-48
B5K125B5K125-48P2
Throughput Capacity
wire-speed Mpps
(switch/stack)
65.5 Mpps / 523.8 Mpps
65.5 Mpps / 523.8 Mpps
101.2 Mpps / 809.5 Mpps
101.2 Mpps / 809.5 Mpps
Switching Capacity
(switch/stack)
88 Gbps (65.5 Mpps) /
704 Gbps (523.8 Mpps)
88 Gbps (65.5 Mpps) /
704 Gbps (523.8 Mpps)
136 Gbps (101.2 Mpps) /
1088 Gbps (809.5 Mpps)
136 Gbps (101.2 Mpps) /
1088 Gbps (809.5 Mpps)
Stacking Capacity
(switch/stack)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
48 Gbps (35.7 Mpps) /
384 Gbps (285.7 Mpps)
Aggregate
Throughput Capacity
(switch/stack)
136 Gbps (101.2 Mpps) /
1088 Gbps (809.5 Mpps)
136 Gbps (101.2 Mpps) /
1088 Gbps (809.5 Mpps)
184 Gbps (136.9 Mpps) /
1472 Gbps (1095.2 Mpps)
184 Gbps (136.9 Mpps) /
1472 Gbps (1095.2 Mpps)
802.3af
Interoperable
N/A
Yes
N/A
Yes
802.3at
Interoperable
N/A
Yes
N/A
Yes
System Power
N/A
monitor:
• Enable/disable
• Priority safety
protection
N/A
monitor:
• Enable/disable
• Priority safety
protection
Dimensions (HxWxD)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
H: 4.4 cm (1.73“)
W: 44.1 cm (17.36“)
D: 36.85 cm (14.51“)
Net Weight
4.92 kg (10.85 lb)
6.10 kg (13.45 lb)
5.31 kg (11.70 lb)
6.49 kg (14.30 lb)
MTBF
374029 hours
328905 hours
297808 hours
252940 hours
Physical Ports
• (24) 10/100/1000
RJ45 ports
• (2) 10GE ports
ports
• (1) RPS port
• (24) 10/100/1000 PoE
MDI-X RJ45 ports
• (2) 10GE ports
ports
• (1) RPS port
• (48) 10/100/1000
RJ45 ports
• (2) 10GE ports
ports
• (1) RPS port
• (48) 10/100/1000 PoE
MDI-X RJ45 ports
• (2) 10GE ports
ports
• (1) RPS port
IEC 6-2-1 Standard
Operating
Temperature
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
IEC 6-2-14
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
Heat Dissipation
200 BTUs/Hr
335 BTUs/Hr
321 BTUs/Hr
427 BTUs/Hr
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
Performance
PoE Specifications
Temperature
Humidity
Operating Humidity
Vi bration
213
Produktportfolio
B5K125B5K125-24
B5K125B5K125-24P2
B5K125--48
B5K125
B5K125B5K125-48P2
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
45.5 dB
45 dB
46 dB
45.5 dB
Operating
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
10000 ft (3048 m)
Non-operating
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
15000 ft (4572 m)
Shock
Drop
Acoustics
Front of switch
(normal operation)
Altitude
Safety
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
UL 60950-1, CSA 22.1
60950, EN 60950-1 and
IEC 60950-1
EMC
A), EN 55024, EN 61000-3
-2 and EN 61000-3-3
A), EN 55024, EN 610003-2 and EN 61000-3-3
A), EN 55024, EN 610003-2 and EN 61000-3-3
55024, EN 61000-3-2 and
EN 61000-3-3
Environmental
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
2002/95/EC (RoHS
(China RoHS)
Redundante Power Supply Equipment Spezifikationen
STKSTK-RPSRPS-1005CH3 Power Shelf
Dimensions (H x W x D)*
Power Supply Slots
5.5 cm (2.2”) x 44.0 cm (17.3”) x 18.0 cm
(7.0”)
3
Weight
5.27 kg (11.6 lbs)
5.5 cm (2.2”) x 44.0 cm (17.3”) x 35.1 cm
(13.8”)
Weight
0.95 kg (2.09 lbs)
Power Supply Slots
8
Power Supply Slots
22.26 cm (8.77”) x 44.0 cm (17.3”) x 26.4
cm (10.4”)
2
Produktportfolio
214
Weight
STKSTK-RPSRPS-1005PS Power Supply
5.27 kg (11.6 lbs)
*Note: dimensions include integrated rack 4.3 cm (1.7”) x 15.4 cm (6.06”) x 34.0 cm
mount ears
(13.39”)
Net Weight (Unit Only)
2.1 kg (4.63 lb)
Dimensions (H x W x D)
Gross Weight (Packaged Unit)
19.6 cm (7.7”) x 5.2 cm (2.04”) x 25.7 cm 3.53 kg (7.77 lb)
(10.1”)
MTBF
800,000 hours
1.75 kg (3.85 lbs)
Operating Temperature
0° C to 50° C (32° F to 122° F)
3.20 kg (7.04 lbs)
Storage Temperature
MTBF
-40° C to 70° C (-40° F to 158° F)
300,000 hours
Operating Relative Humidity
5% to 95%
AC Input Frequency Range
0° C to 50° C (32° F to 122° F)
50-60 Hz
Storage Temperature
AC Input Voltage Range
-30° C to 73° C (-22° F to 164° F)
100 - 240 VAC
Maximum Output Power
5% to 95%
1005 W continuous
50 – 60 Hz
Power Supply Slots
100 – 240 VAC
2
156 W continuous
5.5 cm (2.2”) x 44.0 cm (17.3”) x 18.0 cm
(7.0”)
215
Produktportfolio
Weight
0.95 kg (2.09 lbs)
50 – 60 Hz
Note: dimensions include integrated rack AC Input Voltage Range
mount ears
100 – 240 VAC
156 W continuous
Power Supply Slots
8
22.26 cm (8.77”) x 44.0 cm (17.3”) x26.4 cm
4.45 cm (1.75”) x 44.5 cm (17.5”) x 16.5 cm
(10.4”)
(6.5”)
Weight
5.27 kg (11.6 lbs)
3.47 kg (7.63 lbs)
4.95 kg (10.89 lbs)
Dimensions (H x W x D)
MTBF
19.6 cm (7.7”) x 5.2 cm (2.04”) x 25.7 cm
589,644 hours at 25° C (77° F)
(10.1”)
1.75 kg (3.85 lbs)
0° C to 50° C (32° F to 122° F)
Storage Temperature
3.20 kg (7.04 lbs)
-30° C to 73° C (-22° F to 164° F)
MTBF
300,000 hours
5% to 95%
0° C to 50° C (32° F to 122° F)
50 – 60 Hz
Storage Temperature
-30° C to 73° C (-22° F to 164° F)
100 – 240 VAC
5% to 95%
500 W continuous
Produktportfolio
216
Bestellinformationen
Part Nummer
Beschreibung
C5 Switche
C5G124-24
(24) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and external RPS
connector. Total active ports per switch: (24) Gigabit ports
C5G124-24P2
(24) 10/100/1000 PoE (.at + .af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed stacking ports and
external RPS connector. Total active ports per switch: (24) Gigabit ports
C5G124-48
C5G124-48P2
(48) 10/100/1000 PoE (.at + .af) RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed dedicated stacking
ports and external RPS connector. Total active ports per switch: (48) Gigabit ports
C5K125-24
(24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and
external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 1GE or 10GE SFP+ ports
C5K125-24P2
(24) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking
ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 1GE or 10GE SFP+ ports
C5K125-48
(48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking ports and
external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 1GE or 10GE SFP+ ports
C5K125-48P2
(48) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated high-speed stacking
ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 1GE or 10GE SFP+ ports
C5K175-24
(24) SFP, (2) SFP+ ports, (2) dedicated high-speed stacking ports and external RPS connector. Total active ports
per switch: (24) SFP, (2) 1GE or 10GE SFP+ ports
Optional Software Licenses
C5L3-LIC
C5 advanced IPv4 (OSPF, PIM-SM, DVMRP and VRRP) and IPv6 routing licensing (OSPF) (per switch)
Cables
STK-CAB-SHORT
Stacking cable for connecting adjacent B5/C5 switches (30cm)
STK-CAB-LONG
Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m)
STK-CAB-2M
Stacking cable for B5/C5 models (2m)
STK-CAB-5M
SSCON-CAB
Spare DB9 Console Cable
Redundant Power Supplies
STK-RPS-1005CH3
3-slot modular power supply chassis (power supply STK-RPS-1005PS sold separately)
STK-RPS-1005PS
1005W 802.3at PoE redundant power supply with load-balancing support
STK-RPS-150CH2
2-slot modular power supply shelf (power supply STK-RPS-150PS sold separately)
STK-RPS-150CH8
STK-RPS-150PS
150W non-PoE redundant power supply
217
Part Nummer
Produktportfolio
Beschreibung
B5 Switche
B5G124-24
B5G124-24P2
B5G124-48
B5G124-48P2
B5K125-24
(24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and
external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 10GE ports
B5K125-24P2
(24) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed
stacking ports and external RPS connector. Total active ports per switch: (24) Gigabit ports + (2) 10GE ports
B5K125-48
(48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed stacking ports and
external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 10GE ports
B5K125-48P2
(48) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated high-speed
stacking ports and external RPS connector. Total active ports per switch: (48) Gigabit ports + (2) 10GE ports
Cables
STK-CAB-SHORT
Stacking cable for connecting adjacent B5/C5 switches (30cm)
STK-CAB-LONG
Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m)
STK-CAB-2M
STK-CAB-5M
SSCON-CAB
STK-RPS-150CH2
STK-RPS-150CH8
STK-RPS-150PS
150W Non-PoE redundant power supply
STK-RPS-500PS
500W 802.3at PoE redundant power supply
Enterasys A4
Der Enterasys A4 ist ein leistungsstarker, schneller Ethernet Edge Switch, der
skalierbare, wire-rate Performance für die Unterstützung brandbreitenintensiver und
verzögerungssensitiver Anforderungen heutiger Applikationen bietet. Mit einem
Support für 8.000 MAC Adressen ist der A4 eine hervorragende Wahl für
Umgebungen, die Support für 100Base-FX Ethernet Ports mit Gigabit Uplinks
benötigen. Der A4 bietet weiterhin Multi-Layer-Paketklassifizierung und
Prioritätsqueuing für unterschiedliche Dienste. Zusammen mit einer SwitchKapazität von 12,8 Gbps bietet der A4 bis zu 24 100Base-FX Ethernet Ports sowie 4
Gigabit Ethernet Uplink Ports. Der A4 mit seiner wire-rate Stacking Kapazität
ermöglicht es bis zu 8 A4 in einem einzigen Stack zu verbinden und so einen
virtuellen Switch zu schaffen, der 102,4 Gbps Kapazität und bis zu 192 100Base-FX
Ethernet Ports sowie 16 Gigabit Ethernet Uplink Ports zur Verfügung stellt.
Produktportfolio
218
Robuste Quality of Service (QoS) Eigenschaften ermöglichen starken Support für
integrierte Multimedia Netzwerke, Voice over IP (VoIP) und Video inbegriffen, sowie
für alle Arten von datenintensiven Anwendungen. Der A4 bietet 8 hardware-basierte
Prioritätsqueues für jeden Ethernet Port, um eine Reihe differenzierter Services mit
maximal 6 unterschiedlichen Dringlichkeitsstufen zu unterstützen. In Verbindung mit
seiner nicht blockierenden L2 Switching Bauweise stellt der intelligente A4-QueuingMechanismus sicher, dass auftragskritische Anwendungen vorrangigen Zugriff auf
Netzwerkresourcen erhalten. Der A4 offeriert durch seine Authentifizierungs- und
Sicherheits-Features ein sicheres Netzwerk, welche auf Portlevel oder auf Userlevel
angewandt werden können. Der Switch unterstützt ein einzelnes Gerät/Nutzer pro
Port, welches via IEEE 802.1x oder MAC Adresse authentifiziert werden kann.
Enterasys A4 - Zuverlässigkeit und Verfügbarkeit
Das A4-Design berücksichtigt Redundanz und Fehlerschutzmechanismen zusammen mit automatischen Fehler- und Recoveryleistungen, um ein zuverlässiges Netz
zu bieten. Eine integrierte Stromversorgung ist die primäre Stromquelle für den A4;
komplette Strom-Redundanz wird durch eine optionale, externe Stromversorgung
geliefert. Ein virtueller Switch kann durch das Verbinden von maximal 8 A4s in
einem einzigen Stack kreiiert werden, welches dann mit einer einzigen IP Adresse
mit redundantem Management gemanagt werden kann. Die A4 closed-loop stacking
Kapazität nutzt bidirektionale Switchverbindungen, um die Konnektivität innerhalb
des virtuellen Switches zu halten – unabhängig von jeglichen Fehlern auf dem
pysikalischen Switchlevel. Bis zu 8 Ethernet Ports können gruppiert werden, um eine
Multi-Link-Aggregation Gruppe (LAG) zu erstellen. Der A4 kann mehrere LAGs verteilt
über mehrere A4s innerhalb eines Stacks unterstützen, um Datenkommunikationsunterbrechungen aufgrund eines Switchlevel-Fehlers zu verhindern.
Enterasys A4 - Investitionsschutz
Der A4 ist ein kosteneffektiver, feature-reicher, stapelbarer Switch, der heute
breitgefächerte Features bietet und auch zukünftig Vorteile liefert. Alle A-Serie
Produkte beinhalten eine Lifetime Garantie, die Garantie und Supportleistungen für
die andere Hersteller zusätzliche Gebühren berechnen (bis zu 10% der anfänglichen
Entwicklungskosten auf jährlicher Basis). Weiterhin inkludiert die Lifetime Garantie
Vorabaustausch der Hardware, Firmware-Upgrades und Telefonsupport.
A4 Stack 8F8T 24FX
219
Produktportfolio
Technische Eigenschaften
A4H254A4H254-8F8T
A4H124A4H124-24FX
Durchsatzkapazität wire-speed Mpps
(Switch/Stack)
8,3 Mpps / 66,7 Mpps
9,5 Mpps / 76,2 Mpps
Switchingkapazität (Switch/Stack)
11,2 Gbps / 89,6 Gbps
12,8 Gbps / 102,4 Gbps
Aggregierte Durchsatzkapazität (Switch/
Stack)
Keine dedizierten Stacking Ports am A4,
10/100/1000 können für Stacking oder
Uplinks genutzt werden
Keine dedizierten Stacking Ports am A4,
10/100/1000 können für Stacking oder
Uplinks genutzt werden
H: 4,4 cm
B: 44 cm
T: 36,5 cm
H: 4,4 cm
B: 44 cm
T: 36,5 cm
Performance
Physikalische Spezifikationen
Dimensionen (HxBxT)
Nettogewicht
4,78 kg
4,85 kg
MTBF
333.954 Stunden
333.685 Stunden
Physikalische Ports
(8) 10/100 auto-sensing, auto-negotiating
MDI/MDI-X RJ45 Ports
(8) 100Base-FX MT-RJ Ports
(2) 10/100/1000 Stacking/Uplink RJ45
Ports
(1) DB9 Console Port
(1) RPS Port
(24) 100Base-FX MTRJ Fiber Optic Ports
(2) 10/100/1000 Stacking/Uplink RJ45
Ports
(1) DB9 Console Port
(1) RPS Port
100-240 VAC
100-240 VAC
Stromversorgung
Normaler Input
Input Frequenz
50-60 Hz
50-60 Hz
Input Strom
1,0 A Max
1,0 A Max
Stromverbrauch
47 Watt
66 Watt
Temperaturen
IEC 6-2-1 Standard-Betriebstemperatur
0° bis 50°
0° bis 50°
IEC 6-2-14 Nicht-Betriebstemperatur
-40° bis 70°
-40° bis 70°
Wärmeabgabe
161 BTUs/Std.
224 BTUs/Std.
Feuchtigkeit
5%-95% non-condensing
5%-95% non-condensing
Vibration
IEC 68-2-6, IEC 68-2-36
IEC 68-2-6, IEC 68-2-36
Erschütterung
IEC 68-2-29
IEC 68-2-29
Fall
IEC 68-2-32
IEC 68-2-32
Sicherheit
UL 60950-1, CSA 22.1 60950, EN 609501, IEC 60950-1
UL 60950-1, CSA 22.1 60950, EN 609501, IEC 60950-1
EMC
FCC Part 15 (Class A), ICES-003 (Class A),
BSMI, VCCI V-3, AS/NZS CISPR 22 (Class
A), EN 55022 (Class A), EN 55024, EN
61000-3-2, EN 61000-3-3
FCC Part 15 (Class A), ICES-003 (Class A),
BSMI, VCCI V-3, AS/NZS CISPR 22 (Class
A), EN 55022 (Class A), EN 55024, EN
61000-3-2, EN 61000-3-3
Umwelt
2002/95/EC (RoHS Directive), 2002/96/
EC (WEEE Directive), Ministry of
Information Order #39 (China RoHS)
2002/95/EC (RoHS Directive), 2002/96/
EC (WEEE Directive), Ministry of
Information Order #39 (China RoHS)
Regulatorische StandardStandard -Spezifikationen
Produktportfolio
220
Redundante Stromversorgung – Equipment Spezifikationen
STKSTK -RPSRPS-150CH2 Power Shelf
STKSTK -RPSRPS-150CH8 Power Shelf
STKSTK -RPSRPS-150PS Power Supply
Power Supply Slots
2
8
-
Dimensionen
H: 5,5 cm
B: 44 cm
T: 18 cm
H: 22,26 cm
B: 44 cm
T: 26,4 cm
H: 19,6 cm
B: 5,2 cm
T: 25,7 cm
Gewicht
0,95 kg
5,27 kg
1,75 kg
MTBF
-
-
300.000 Std.
Betriebstemperatur
-
-
0° bis 50°
Lagertemperatur
-
-
-30° bis 73°
Feuchtigkeit
-
-
10%-90%
Stromversorgung
-
-
50-60 Hz, 100-240 VAC
Maximum Ausgangsleistung
-
Stetig 150 W
Part Nummer
Beschreibung
A4 Switche
A4H124-24FX
(24) 100Base-FX MTRJ Ports, (2) SFP Ports, (2) 10/100/1000 Uplink/Stacking RJ45 Ports und externer RPS
Connector. Summe aktiver Port pro Switch: 28
A4H254-8F8T
(8) 100Base-FX Ports, (8) 10/100 RJ45 Ports, (4) SFP Ports und externer RPS Connector. Summe aktiver Port
pro Switch: 20
Kabel
SSCON-CAB
Redundante Stromversorgung
STK-RPS-150CH2
2-Slot modular Power Supply Shelf (PS STK-RPS-150PS einzeln erhältlich)
STK-RPS-150CH8
8-Slot modular Power Supply Shelf (PS STK-RPS-150PS einzeln erhältlich)
STK-RPS-150PS
150W Non-PoE redundantes Power Supply
Unterstützte Funktionalitäten
MAC Address Table Size
8,000
Embedded Services
Ingress Rate Limiting
VLANs
IP TOS Rewrite
4,096 VLAN IDs
Layer 2/3/4 Classification
1,024 VLAN Entries per Stack
Multi-layer Packet Processing
221
Produktportfolio
Switching Services
MIB Support
IEEE 802.1D – MAC Bridges
Enterasys Entity MIB
IEEE 802.1s – Multiple Spanning Trees
Enterasys VLAN Authorization MIB
IEEE 802.1t – 802.1D Maintenance
IEEE 802.1X MIB – Port Access
IEEE 802.1w – Rapid Spanning Tree
Reconvergence
IEEE 802.3ad MIB – LAG MIB
RFC 826 – ARP and ARP Redirect
IEEE 802.3ab – GE over Twisted Pair
RFC 951 – BOOTP
IEEE 802.3ad – Link Aggregation
RFC 1213 – MIB/MIB II
RFC 1493 – BRIDGE-MIB
RFC 1643 – Ethernet-like MIB
RFC 2131 – DHCP Client
RFC 2233 – IF-MIB
ports
RFC 2618 – RADIUS Authentication Client
MIB
Loop Protection
RFC 2620 – RADIUS Accounting Client MIB
Port Description
RFC 2668 – Managed Object Definitions for
802.3 MAUs
Protected Ports
RFC 2674 – P-BRIDGE-MIB
Per-Port Broadcast Suppression
RFC 2674 – QBRIDGE-MIB VLAN Bridge MIB
RFC 2737 – Entity MIB (physical branch only)
STP Pass Thru
RFC 2819 – RMON-MIB
RFC 2863 – IF-MIB
Security
IEEE 802.1x Port Authentication
RFC 3289 – DiffServ MIB
MAC-based Port Authentication
RFC 3413 – SNMP v3 Applications MIB
Password Protection (encryption)
RFC 3414 – SNMP v3 User-based Security
Module (USM) MIB
RADIUS Client
Secured Shell (SSHv2)
Model for SNMP
Secured Socket Layer (SSL)
Produktportfolio
222
RFC 3580 – IEEE 802.1X Remote RFC 1157 – SNMP
Authentication Dial In User Service (RADIUS)
RFC 1901 – Community-based SNMPv2
Usage Guidelines
RFC 3584 – SNMP Community MIB
RFC 3413 – SNMP Applications MIB
RFC 3414 – SNMP User-based Security
VLAN Support
Generic Attribute Registration Protocol (GARP) Module (USM) MIB
Module (USM) MIB
IEEE 802.1p – Traffic classification
IEEE 802.1q – VLAN Tagging
Model for SNMP
IEEE 802.1v – Protocol-based VLANs
RMON (Stats, History, Alarms, Events)
IEEE 802.3ac – VLAN Tagging Extensions
Simple Network Time Protocol (SNTP)
Port-based VLAN (private port/private VLAN)
SSH
Tagged-based VLAN
Syslog
VLAN Marking of Mirror Traffic
Telnet
Text-based Configuration Upload/Download
Management
Web-based Management
Alias Port Naming
Webview via SSL Interface
Command Line Interface (CLI)
Configuration Upload/Download
Quality of Service
6 User Addressable Priority Queues per Port
FTP/TFTP Client
802.3x Flow Control
IP DSCP – Differentiated Services Code Point
IP Precedence
NMS Console
IP Protocol
Queuing Control – Strict and Weighted Round
Robin
NMS Policy Manager
Source/Destination IP Address
Node/Alias Table
Source/Destination MAC Address
RFC 854 – Telnet
Mehr dazu unter http://www.enterasys.com/products/security-enabled-infrastructure/
securestack-aseries.aspx
223
Produktportfolio
Enterasys DD-Serie
Die D-Serie ist im Prinzip eine miniaturisierte Variante der B-Serie zum Einsatz in
Konferenzräumen oder Verteilerräumen ohne Klimatisierung. Der lüfterlose Betrieb
bis zu Temperaturen von 40° Celsius – sowie mit Lüfter bis zu 60° Celsius
ermöglichen einen flexiblen Einsatz bei Unterstützung aller Secure Networks™
Features.
Der D2 bietet 12 Kupfer Gigabit Ethernet Ports sowie 2 Gigabit SFP-Ports,
insgesamt können 12 Gigabit Ports gleichzeitig aktiv sein. Es steht eine Variante
mit, sowie eine ohne PoE Unterstützung zur Verfügung. Dabei ist eine redundante
Stromversorgung über ein zweites Powersupply möglich. Für die Stromversorgung
kommen in beiden Varianten ausschließlich externe Powersupplys zum Einsatz, die
sich über zwei redundante Anschlüsse im Betrieb wechseln lassen.
Für den D2 wird eine Vielfalt an Montagemöglichkeiten geboten – zum Einsatz in
Konferenz-, Büro- oder Schulungsräumen stehen Montagekits für eine
Wandbefestigung, die Anbringung unter einem Schreibtisch sowie für
Schulungsräume auch abschließbare Metallcontainer zur Verfügung. Für den
Einsatz im Rack wird ein Kit zur Installation zweier D2s nebeneinander angeboten.
Die D-Serie unterstützt analog zur B-Serie mit einer optionalen Policy-Lizenz alle
SecureNetworks™ Features.
D2G124D2G124-12
12 X 10/100/1000 FIXED CONFIG L2 SWITCH & POWER BRICK
D2G124D2G124-12P
12 X 10/100/1000 FIXED POE L2 SWITCH & POWER BRICK
Optionen
D2D2-PWR
SECURESWITCH D2 EXTERNAL POWER BRICK
D2D2-PWRPWR-POE
EXTERNAL POE POWER BRICK FOR D2 SWITCHES
D2D2-RMT
SECURESWITCH D2 RACK MOUNT KIT
D2D2-TBLTBL-MNT
SECURESWITCH D2 UNDER TABLE MOUNT KIT
D2D2-WALLWALL-MNT
WALL MOUNT FOR SECURESWITCH D2
Produktportfolio
224
Policy Erweiterung
D2POLD2POL-LIC
POLICY LICENSE FOR D2 SWITCHES
D2POLD2POL-LIC25
25 PACK OF D2POL-LIC POLICY LICENSES
D2POLD2POL-LIC50
50 PACK OF D2POL-LIC POLICY LICENSES
Layer 2 Unterstützung
RFC 1213 — MIB II
IEEE 802.1d — Spanning Tree
RFC 1493 — Bridge MIB
IEEE 802.1t — 802.1d Maintenance
RFC 1643 — Ethernet-like MIB
IEEE 802.1p— Traffic Management/Mapping RFC 2233 — Interfaces Group MIB using SMI
to 6 of 8 hardware queues
v2
IEEE 802.1q — Virtual LANs w/ Port based RFC 2618 — RADIUS Authentication Client
VLANs
MIB
IEEE 802.1s — Multiple Spanning Tree
RFC 2620 — RADIUS Accounting MIB
IEEE 802.1v — Protocol-based VLANs
RFC 2674 — VLAN MIB
IEEE 802.1w —
Reconvergence
Rapid
Spanning
Tree RFC 2737 — Entity MIB version 2
RFC 2819 — RMON Groups 1, 2, 3 & 9
IEEE 802.1x — Port-based Authentication
IEEE 802.1x MIB (IEEE 802.1-pae-MIB)
IEEE 802.3 — 10 Base-T
IEEE 802.3ad MIB (IEEE 802.3-ad-MIB)
IEEE 802.3ab — 1000 Base-T
IEEE 802.3ac — VLAN Tagging
Authentisierung
IEEE 802.3ad — Link Aggregation
MAC Authentication
IEEE 802.3u — 100 Base-T
Web Authentication (PWA)
IEEE 802.3x — Flow Control
802.1x Authentication
Private Port (Private VLAN)
RFC 3580— Dynamic VLAN Assignment
Many-to-One Port Mirroring, One-to-One Port
RADIUS Client
Mirroring
Port Description
RADIUS Accounting for MAC Authentication
EAP Pass Through
Spanning Tree Backup Route
Dynamic and Static Mac Locking
STP Pass Thru
225
Produktportfolio
QoS
Strict or weighted Round Robin
8 Hardware Queues/Port
RMON (4 Groups: History, Statistics, Alarms
and Events)
802.3x Flow Control
64 kbps increment granularity
Alias Port Naming
Node/Alias Table
RFC 854 — Telnet
Management
RFC 1157 — SNMP
NMS Console
RFC 1901 — Community-based SNMP v2
NMS Policy Manager
WebView, SSL Interface to WebView
Telnet with SSH
RADIUS Control to Management Interface
RFC 2271 — SNMP Framework MIB
RFC 3413 — SNMP v3 Applications
RFC 3414 — User-based Security Model for
SNMP v3
RFC 3415 — View-based Access Control
Model for SNMP
Kapazitäten
•
Address Table Size – 8k MAC Addresses
•
1024 VLANs supported
•
•
VLAN Spanning Tree (802.1S) — 4 Instances Supported
•
802.3ad Link Aggregation — 8 ports per trunk group, 6 groups supported
•
Main memory: 256 MB
•
Flash memory: 32 MB
•
PoE – (D2G124-12P): bei unter 40°C können insgesamt 100W PoE Leistung
beliebig auf die Ports verteilt werden. Für jedes °C über 40°C sinkt die PoELeistung um 2,16W
Produktportfolio
226
Spezifikationen
•
Abmaße H/B/T: 4,6 cm (1.6") x 20,95 cm (8.25") x 21,59 cm (8,5")
•
Gewicht:
D2G124-12: 1,66kg (3.65lb)
D2G124-12P: 1,82kg (4,02lb)
•
Betriebstemp.:
D2G124-12: 0°C bis 60 °C (32 °F bis 140 °F)
D2G124-12P: 0°C bis 50 °C (32 °F bis 122 °F)
•
Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis 158°F)
•
Zulässige Feuchtigkeit: 5 bis 95% non-condensing
•
Stromaufnahme:
D2G124-12: 100-240V AC, 50-60Hz, 2,0A, 30W
D2G124-12P: 100-240V AC, 50-60Hz, 3,2A, 130W
•
Wärmeabgabe:
D2G124-12: 102,39 (BTU/H)
D2G124-12P: 443,69 (BTU/H)
Unterstützte Standards
•
Standard Safety: UL/CB/LVD
•
Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI
•
Stoßfestigkeit: ISTA 2A, ASTM D5276
Mehr dazu unter
http://www.enterasys.com/products/security-enabled-infrastructure/d-series.aspx
227
Produktportfolio
Enterasys GG-Serie
Die neue G-Serie verbindet die geringe Größe und das Preis/Leistungsverhältnis
eines stackbaren Switches mit der Modularität eines chassisbasierten Systems. Sie
bietet alle Voraussetzungen zur Unterstützung von QoS Priorisierung und
Sicherheitsanforderungen in konvergierten Voice, Video und Datennetzen.
Die vollständige Unterstützung der SecureNetworks™ Features mit erweiterten
Kenngrößen wie z.B. eine Multiuserauthentisierung mit bis zu 8 Benutzern pro Port
sowie eine mehr als doppelt so perfomante Policyunterstützung im Vergleich zum C5
sind nur eines der Merkmale dieser neuen Switching Linie.
Ein großer Mehrwert ist insbesondere die große, von vielen Kunden beim E1
geschätzte Flexibilität des Geräts. Der G3 bietet bis zu 96 Gigabit Ethernet Ports in
Kupfer – mit PoE oder als SFP, bis zu 12 10 Gigabit Ethernet Ports können über XFP
bereitgestellt werden.
Ein besonderes Alleinstellungsmerkmal ist die Nachrüstbarkeit von PoE auf den
24x10/100/1000baseT Modulen. Diese sind bereits im Auslieferzustand PoE
enabled. Wird dann eine zusätzliche, kostengünstige PoE-Option-Card auf dem
Modul eingesteckt, liefert dieses PoE nach dem 802.2af Standard. Durch diese
Möglichkeit bietet der G3 den Kunden maximalen Investitionsschutz im Hinblick auf
eine spätere Einführung von VoIP oder WLAN und der damit verbundenen
Spannungsversorgung der Geräte mit PoE. Die Leistung und Anzahl der
unterstützten Ports richtet sich nach den installierten, modularen Powersupplys
(400 oder 1200 Watt).
Chassis
ŝĞ ŚĂƐƐŝƐ ǁĞƌĚĞŶ ŝŶ ĚƌĞŝ ĂƐŝƐǀĂƌŝĂŶƚĞŶ ĂƵƐŐĞůŝĞĨĞƌƚ͕ ĂůůĞ ǀĞƌĨƺŐĞŶ ƺďĞƌ ĚƌĞŝ ĨƌĞŝĞ
^ůŽƚƐ ǌƵƌ ƌǁĞŝƚĞƌƵŶŐ ŵŝƚĚĞŶ ƵŶƚĞŶ ŐĞŶĂŶŶƚĞŶ DŽĚƵůĞŶ͘Das C3G124-24 Chassis ist,
ebenso wie die G3G-24TX Module, mit der G3G-POE Option auf PoE aufrüstbar. Das
Chassis wird ohne Stromversorgung ausgeliefert, diese muss zusätzlich geordert
werden.
Mehr dazu unter:
http://www.enterasys.com/products/security-enabled-infrastructure/g-series.aspx
Produktportfolio
228
G3G124G3G124-24
24TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY
G3G124G3G124-24P
24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY
G3G170G3G170-24
24 SFP SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY SEPARATELY
G3G3-PWR
G3 POWER SUPPLY - NON-POE
G3G3-PWRPWR-POE
G3 POWER SUPPLY - POE
Module
Für 24 Ports 10/100/1000 mit PoE-Unterstützung werden das Modul G3G-24TX
und die Erweiterung G3G-POE kombiniert.
G3GG3G-24SFP
G3 I/O CARD - 24 SFP PORTS
G3GG3G-24TX
G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS
G3KG3K -2XFP
G3 I/O CARD - DUAL 10GB XFP PORTS
G3KG3K -4XFP
G3 I/O CARD - QUAD 10GB XFP PORTS
Optionen
G3GG3G-POE
G3 POE OPTION CARD FOR 24 PORTS
Softwareoptionen
G3L3G3L3-LIC
G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP
G3IPV6G3IPV6-LIC
G3 IPV6 ROUTING LICENSE
IEEE 802.1w —
Reconvergence
Rapid
Spanning
IEEE 802.1p— Traffic Management/Mapping
IEEE 802.1q — Virtual LANs w/ Port based
VLANs
Tree
229
Produktportfolio
IEEE 802.3x — Flow Control
Multiuserauthentication mit bis zu 8 Usern
Many-to-One Port Mirroring, One-to-One Port QoS
Mirroring
Port Description
802.3x Flow Control
STP Pass Thru
RFC 1213 — MIB II
Management
NMS Console
NMS Policy Manager
RFC 2233 — Interfaces Group MIB using SMI
v2
RFC 2618 — RADIUS Authentication Client NMS Automated Security Manager
MIB
Telnet with SSH
RFC 2737 — Entity MIB version 2
and Events)
RFC 2819 — RMON Groups 1, 2, 3 & 9
IEEE 802.3ad MIB (IEEE802.3-ad-MIB)
Alias Port Naming
Authentisierung
Node/Alias Table
MAC Authentication
RFC 854 — Telnet
RFC 1157 — SNMP
RADIUS Client, Radius Accounting for MAC RFC 3413 — SNMP v3 Applications
Authentication
SNMP v3
EAP Pass Through
Model for SNMP
Produktportfolio
230
Kapazitäten
•
•
•
•
VLAN Spanning Tree (802.1s) — 4 Instances Supported
•
•
Main memory: 256 MB
•
Flash memory: 32 MB
Spezifikationen
•
Abmaße H/B/T: 8,8 cm x 44,1 cm x 48,1 cm
•
Gewicht:
G3G124-24: 9,598kg
G3G124-24P: 9,662kg
G3G170-24: 9,866kg
•
Betriebstemp.: 0 °C bis 50 °C
•
•
•
Stromaufnahme: 100-240V AC, 50-60Hz, 0.7-1.8A, 92.18-130W
•
Wärmeabgabe:
G3G124-24: 429,66 BTU/H
G3G124-24P: 443,3 BTU/H
G3G170-24: 214,3 BTU/H
•
Standard Safety: UL/CB/LVD
•
Electromagnetic compatibility: CE/FCC Class A/VCCI/C-Tick/BSMI
•
Stoßfestigkeit: ISTA 2A, ASTM D5276
231
Produktportfolio
Enterasys II-Serie
Die I-Serie ist der erste gehärtete Enterasys Switch mit Secure Networks™
Unterstützung für den industriellen Bereich. Er wird – wie in Produktionsumgebungen üblich – mit Gleichstrom betrieben und kann auf eine Hutschiene
aufgesetzt werden. Das Gehäuse ist versiegelt und wird ohne Lüfter gekühlt.
Dennoch ist es modular aufgebaut und verfügt über zwei Einbauslots, die mit
unterschiedlichen Modulen bestückt werden können. Es sind 12 Port 10/100Mbit,
ein 4 Port 100Base-FX und ein 8 Port 100Base-FX Modul sowie ein 8 Port
10/100Mbit+2Port 100Base-FX Modul verfügbar. Des Weiteren sind zwei Module
mit 6 Port 10/100Mbit oder 4 Port 100Base-FX und einem Speicherkarteneinschub
verfügbar. Diese können eine Speicherkarte aufnehmen, welche die Konfiguration
des Switches enthält. Damit wird ein Austausch des Switches im Feld einfach
gemacht. Die I-Serie verfügt über zwei 1000Base Uplinks, die mit speziellen MiniGBICs für den industriellen Einsatz bestückt werden können.
Die I-Serie beinhaltet standardmäßig die Enterasys Secure Networks™ Features und
schützt damit industrielle Automatisierungsprozesse. Nutzer und Maschinen können
durch individuelle Policys zugeordnet werden, selbstverständlich interagiert die
I-Serie auch mit dem vollständigen Secure Networks™ Portfolio, um zum Beispiel
NAC oder Distributed IPS auch in Produktionsumgebungen zur Verfügung zu stellen.
I3H252I3H252-02
INDUSTRIAL SWITCH W 2 I/O SLOTS + 2 SFP
I3H252I3H252-4FXM
FACTORY CONFIG'ED I3H252-02 & I3H-4FX-MM
I3H252I3H252-8FXM
FACTORY CONFIG'ED I3H252-02 & I3H-8FX-MM
I3H252I3H252-12TX
FACTORY CONFIGURED I3H252-02 & I3H-12TX
I3H252I3H252-8TX8TX-2FX
FACTORY CONFIGURED I3H252-02&I3H-8TX-2FX
I3H252I3H252-6TX6TX-MEM
FACTORY CONFIG I3H252-02 & I3H-6TX-MEM
I3H252I3H252-4FX4FX-MEM
PRE-CONFIG I3H252-02 & I3H-4FXM-MEM
Produktportfolio
232
Module
I3HI3H-12TX
INDUSTRIAL SWITCH 12 PT 10/100 I/O CARD
I3HI3H-4FX4FX-MM
INDUSTRIAL SWITCH 4 PT MMF FX I/O CARD
I3HI3H-8FX8FX-MM
INDUSTRIAL SWITCH 8 PT MMF FX I/O CARD
I3HI3H-8TX8TX-2FX
INDUSTRIAL SWITCH 8 PT 10/100 I/O, 2 PT MMF FX I/O CARD
I3HI3H-6TX6TX-MEM
INDUSTRIAL SWITCH 6 TX MEM SLOT I/O CARD
I3HI3H-4FXM4FXM-MEM
INDUSTRIAL SWITCH 4 FX MEM SLOT I/O CARD
Optionen
I3HI3H-DINDIN-KIT
DIN RAIL KIT FOR I-SERIES SWITCH
I3HI3H-PWR
24VDC POWER UNIT FOR I-SERIES SWITCH
I3HI3H-RACKRACK -MNT
19“ RACK MOUNT KIT FOR I-SERIES SWITCH
I-MGBICMGBIC-GLX
INDUSTRIAL 1000LX SFP - I-SERIES ONLY
I-MGBICMGBIC-GSX
INDUSTRIAL 1000SX SFP - I-SERIES ONLY
I3HI3H-MEM
INDUSTRIAL SWITCH MEMORY CARD
IEEE 802.1p— Traffic Management/Mapping IEEE 802.3x — Flow Control
IEEE 802.1q — Virtual LANs w/ Port based
Many-to-One Port Mirroring, One-to-One Port
VLANs
Mirroring
Port Description
IEEE 802.1w — Rapid Spanning Tree
Reconvergence
STP Pass Thru
RFC 1213 — MIB II
233
Produktportfolio
Management
RFC 2233 — Interfaces Group MIB using SMI NMS Console
v2
NMS Policy Manager
RFC 2618 — RADIUS Authentication Client
MIB
RFC 2737 — Entity MIB version 2
Telnet with SSH
RFC 2819 — RMON Groups 1, 2, 3 & 9
and Events)
IEEE 802.3ad MIB (IEEE802.3-ad-MIB)
Authentisierung
Alias Port Naming
MAC Authentication
Node/Alias Table
RFC 854 — Telnet
RFC 1157 — SNMP
RADIUS Client
RADUIS Accounting for MAC Authentication
RFC 3413 — SNMP v3 Applications
EAP Pass Through
SNMP v3
Model for SNMP
QoS
802.3x Flow Control
Produktportfolio
234
Kapazitäten
•
•
•
•
VLAN Spanning Tree (802.1S) — 4 Instances Supported
•
•
Main memory: 256 MB
•
Flash memory: 32 MB
Spezifikationen
•
Abmaße H/B/T: 8.89 cm (3.5") x 18.41 cm (7.25") x 33.85 cm (13.33")
•
Gewicht:
I3H252-12TX 4.6 kg (10.12 lb)
I3H252-4FXM 4.58 kg (10.08 lb)
I3H252-8FXM 5.06 kg (11.13 lb)
•
Betriebstemp.: -40 °C bis 60 °C (-40 °F bis 140 °F)
•
•
•
Strom: Die I-Serie arbeitet nur mit 24 Volt Gleichstrom. Eine
Gleichstromquelle muss vom Kunden gestellt werden oder ist als optionales
Netzteil erhältlich (I3H-PWR).
•
Stoßfestigkeit: 50 G trapezoidal shock
235
Produktportfolio
•
Standard Safety: UL 60950-1, CSA 22.2, EN60950-1
•
Electromagnetic compatibility: 47 CFR Parts 2 and 15, CSA C108.8, EN
55022, EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZS CISPR 22, and
VCCI V-3
•
Standard EMC: FCC Part 15-Class A, ICES-003 Class A, BSMI, VCCI-Class I,
CISPR 22-Class A, EN 55024, EN 55022B Class A
•
Industrial EMC: EN55011
•
Hazardous Locations: ISA12.12.01 Class I, Div 2 A-D
Mehr dazu unter
http://www.enterasys.com/products/security-enabled-infrastructure/iseriesindustrial-switch.aspx
Enterasys KK-Serie
Die K-Serie ist die neue, sehr kosteneffiziente, flowbasierte, modulare Switching
Lösung der Industrie und bietet beispiellose Automationsebenen für Netzwerke,
welche für Kunden eine signifikante Betriebskosteneinsparung bedeuten. Die KSerie liefert granulare Transparenz und Kontrolle über Nutzer, Services und
Applikationen, um den wachsenden Anforderungen heutiger Unternehmen zu
entsprechen und eine Optimierung der Schlüsseltechnologien, einschließlich Unified
Communications und kritischen Betriebsapplikationen (wie CRM und SAP), zu
ermöglichen. Die sehr vielfältigen Enterasys K6 und K10 liefern umfassende
Funktionalitäten, die als extrem kosteneffiziente, hochdichte Netzwerk Edge Access
Geräte genutzt werden können.
Enterasys K-Serie Switche sind in den folgenden Ausführungen verfügbar:
•
6-Slot Chassis mit maximal 144 Triple-Speed Edge Ports und 4 10Gb Uplinks
•
10-Slot Chassis mit maximal 216 Triple Speed Edge Ports und 8 10Gb
Uplinks
Die K-Serie unterstützt bis zu 12 10Gb Uplinks, einschließlich 4 auf den Fabric
Cards und 2 10Gb IOMs.
Produktportfolio
236
Die Switche erledigen Weiterleitungsentscheidungen und setzen Sicherheitspolicies
und -rollen mit wire-speed durch, während Verkehr klassifiziert/priorisiert wird. Alle
I/O Module bieten höchste Quality of Service (QOS) Features für kritische
Applikationen, wie Voice und HD Video, sogar in Zeiten hoher NetzwerkVerkehrbelastung. Gleichzeitig werden Denial of Service (DoS) Attacken und
Malware-Übertragung verhindert.
Die K-Serie implementiert eine industrieführende, flowbasierte Switching
Architektur, um individuelle Nutzer und Applikationskonversationen intelligent zu
managen – weit über die Switchkapazitäten hinaus, welche auf die Nutzung von
VLANs, ACLs und Ports zur Implementierung rollenbasierter Zugangskontrolle
limitiert sind.
Nutzer werden indentifiziert und Rollen angewandt, um zu gewährleisten, dass jeder
einzelne Nutzer auf seine betriebskritischen Applikationen zugreifen kann, egal von
wo aus sie sich zum Netzwerk verbinden. Die K-Serie Policy-Regeln - kombiniert mit
Paket-Tiefeninspektion – können Sicherheitsbedrohungen intelligent aufspüren und
automatisch darauf reagieren während die Verlässlichkeit und Qualität von
Nutzererfahrung verbessert wird.
Ein signifikantes Unterscheidungsmerkmal für die K-Serie ist die Fähigkeit NetFlow
Daten mit wire-speed zu sammel, womit absolute Transparenz in die NetzwerkResourcen-Ausnutzung für Nutzer und Applikationen geboten wird. Die K-Serie
gesellt sich zur S-Serie als die einzigen Enterprise Switche, die multi-user, multimethod authentication auf jedem Port unterstützen – absolut essenziell, wenn
Geräte wie IP Telefone, Computer, Drucker, Kopierer, Sicherheitskameras,
Barcodeleser und virtuelle Maschinen and das Netzwerk angeschlossen sind. Wenn
die Qualität von Service, Geräten, Applikationspriorisierung uns Sicherheit wichtig
ist, gibt es keine bessere Wahl als die Enterasys S-Serie oder K-Serie.
K-Serie K6
K-Serie K10
237
Produktportfolio
Hardwarebasierte und hochverfügbare Features
Die K-Serie enthält viele Standard-Hochverfügbarkeits-Features. Diese
hardwarebasierten Hochverfügbarkeits-Features erlauben es die K-Serie in
betriebskritischen Umgebungen einzusetzen, die einen 24/7 Einsatz fordern.
Die K-Serie unterstützt die folgenden hardwarebasierten HochverfügbarkeitsFeatures:
•
Passive Chassis Backplane
•
Bewegliche Lüfterschächte mit mehreren Kühlungslüftern
•
Bewegliche und Load-Sharing Power Supplies
•
Mehrere AC Input-Verbindungen für Stromredundanz
Verteilte, flowbasierte Architektur
Um eine granulare Transparenz und Verkehr-Management zu gewährleisten ohne
Performance einzubüßen, nutzt die Enterasys K-Serie eine verteilte, flowbasierte
Architektur. Diese Architektur garantiert, dass bei einem spezifischen
Kommunikationsfluss zwischen zwei Endpunkten, die ersten Pakete dieser
Kommunikation durch die Multilayer-Klassifizierungsmaschine in den I/O Modulen
und den I/O Fabric Modulen des Switches verarbeitet werden. In diesem Prozess
wird die Rolle identifiziert, die anzuwendenden Policies werden festgelegt, die
Pakete werden geprüft und die Maßnahme wird festgelegt. Nachdem der Fluss
indentifiziert ist, werden die nachfolgenden Pakete, die zu diesem Fluss gehören,
automatisch in der Enterasys ASICs ohne weitere Verarbeitung abgewickelt. Die
Enterasys K-Serie ist somit in der Lage eine sehr granulare Kontrollebene bei jedem
Fluss auf ganzer Linie anzuwenden.
Produktportfolio
238
MultiMulti-User / Method Authentifizierung und Policy
Authentifizierung erlaubt Unternehmen den Netzwerkzugang zu verwalten und
Mobilität für Nutzer und Geräte zu offerieren. Es bietet einen Weg zu wissen, wer
oder was mit dem Netzwerk verbunden ist und wo diese Verbindung zu jedem
Zeitpunkt ist. Die Enterasys K-Serie hat einzigartige, industrieführende Kapazitäten
bezüglich der Arten von simultanen Authentifizierungsmethoden. K-Serie Module
können mehrere gleichzeitige Authentifizierungstechniken unterstützen, inklusive:
•
802.1x Authentifizierung
•
MAC Authentifizierung, welche eine Möglichkeit ist Geräte am Netz durch die
MAC Adresse zu authentifizieren
•
Webbasierte Authentifizierung, auch als Port Web Authentifizie rung (PWA)
bekannt, wobei ein Nutzername und ein Passwort durch einen Browser
bereitgestellt wird
•
CEP, auch bekannt als Convergence End Point, wobei mehrere VoIP Telefone
mehrerer Lieferanten indentifiziert und authentifiziert werden; diese Fähigkeit
bietet große Flexibilität für Unternehmen, die Zugangskontroll-mechanismen
in ihrer Infrastruktur implementieren möchten
Ein signifikantes, zusätzliches Feature der K-Serie ist die Fähigkeit Multi-User
Authentifizierung zu unterstützen. Dies erlaubt mehrere Nutzer und Geräte an den
selben physikalischen Port zu konnektieren und jeden Nutzer oder Gerät individuell
zu authentifizieren, indem eine der Multi-Method Optionen (802.1x, MAC, PWA oder
CEP) genutzt wird. Der Hauptvorteil der Multi-User Authentifizierung ist das
Autorisieren mehrerer Nutzer, entweder durch das Anwenden dynamischer Policies
oder VLAN Zuweisung für jeden authentifizierten Nutzer. Im Falle dynamischer
Policies wird dies Multi-User Policy genannt. Multi-User Port Kapazitäten sind bei der
K-Serie auf einer pro Port, pro I/O Modul und pro Multi-Slot System Basis festgelegt.
Multi-User Authentifizierung und Policy können signifikante Vorteile für den Kunden
bieten, indem Sicherheitsdienste auf Nutzer erweitert werden, die zu ungemanagten
Geräten, Switche/Router anderer Hersteller, VPN Concentrators oder WLAN Access
Points am Edge ihres Netzwerks verbunden sind. Authentifizierung bietet Sicherheit,
Priorität und Bandbreitenkontrolle bei gleichzeitigem Schutz bestehender
Netzwerkinvestitionen. Die K-Serie unterstützt bis zu 8 Nutzer pro Port.
239
Produktportfolio
Dynamische, flowbasierte Paketklassifizierung
Ein weiteres einzigartiges Feature, das die K-Serie von allen kompetitiven Switchen
unterscheidet, ist die Fähigkeit nutzerbasierte Multilayer Paketklassifizierung/QoS
bereitzustellen. Bei der großen Anzahl der Netzwerkapplikationen, die in heutigen
Netzen eingesetzt werden, ist eine traditionelle Multilayer Paketklassifizierung selbst
nicht mehr genug, um den zeitgemäßen Transport betriebskritischer Applikationen
zu garantieren. Bei der K-Serie erlaubt die nutzerbasierte Multilayer Paketklassifizierung Verkehrklassifizierung nicht nur nach Pakettyp, sondern auch nach der
Nutzerrolle im Netzwerk und nach der dem Nutzer zugewiesenen Policy. Mit
nutzerbasierter Multilayer Paketklassifizierung können Pakete basierend auf
einzigartigen Kennungen, wie „All User“, „User Groups“ und Individual User“,
klassifiziert werden. Dadurch wird ein granularerer Ansatz zum Managen und
Maintainen von Netzwerkvertraulichkeit, Integrität und Verfügbarkeit gesichert.
Netzwerktransparenz durch sehr genauen NetFlow
Netzwerk Performance Management und Sicherheitskapazitäten via NetFlow sind
auf den Enterasys K-Serie Switchports verfügbar, ohne dass die Switching- und
Routing-Performance verlangsamt werden oder der Zukauf von teuren
Tochterkarten für jedes Modul nötig wäre. Enterasys NetFlow verfolgt jedes Paket in
jedem Fluss, ganz im Gegensatz zu den typischen statistischen
Stichprobentechniken oder restriktiven applikationsbasierten Implementationen.
Der Wert von nicht gesampleten, Echtzeit NetFlow Monitoring ist die Transparenz in
exakt welcher Verkehr das Netzwerk durchläuft. Falls etwas Abnormals auftaucht,
wird es vom NetFlow erfasst und passende Maßnahmen können vorgenommen
werden. Zusätzlich kann NetFlow für Kapazitätsplanungen genutzt werden, was dem
Netzwerk Manager erlaubt Verkehrsflüsse und -volumen im Netzwerk zu
überwachen und zu verstehen, wo das Netzwerk rekonfiguriert oder upgegraded
werden muss. Dadurch, dass die Administratoren genau wissen wann und wo
Upgrades nötig werden könnten, wird Zeit und Geld gespart.
Produktportfolio
240
Feature Zusammenfassung
Multilayer Paketklassifizierung – erlaubt Bereitstellung kritischer Applikationen für
spezifische Nutzer via Verkehrserkenntnis und Kontrolle
•
Nutzer, Port und Geräteebene (Layer 2 bis 4 Paketklassifizierung)
•
QoS Mapping für Prioritätsqueues (802.1p & IP ToS/DSCP) bis zu 8 Queues
pro Port
•
Multiple Queuing-Mechanismen (SPQ, WFQ, WRR und Hybrid)
•
Granulares QoS/Rate Limiting
•
VLAN für Policy Mapping
Switching/VLAN Services – bietet hohe Performance Konnektivität, Aggregation und
schnelle RecoveryRecovery- Services
•
Umfangreiche Industriestandard-Compliance (IEEE und IETF)
•
Inbound und Outboun Bandbreitenkontrolle per Flow
•
VLAN Service Unterstützung
♦
Link Aggregation (IEEE 802.3ad)
♦
Multiple Spanning Trees (IEEE 802.1s)
♦
Schnelle Rekonfiguration von Spanning Trees (IEEE 802.1w)
•
Provider Bridges (IEEE 802.1ad), Q-in-Q Ready
•
Flow Setup Throttling
Verteiltes IP Routing – bietet dynamische Verkehrsoptimierung, Broadcast
Eindämmung und effizientere Netzwerkausfallsicherheit
•
Standard Routing Features beinhalten statische Routen, RIPv1/ RIPv2, Ipv4
und Multicast Routing Unterstützung (DVMRP, IGMP v1/v2/v3), policybasiertes Routing und Route Maps, VRRP
•
Lizenzierte Routing Features beinhalten OSFP v1/v2, PIM-SM und Ipv6
•
Erweiterte ACLs
241
Produktportfolio
Sicherheit (Nutzer, Netzwerk und Management)
•
•
•
Nutzersicherheit
♦
Authentifizierung (802.1x, MAC, PWA+ und CEP), MAC (statisch und
dynamisch) Port Locking
♦
Multi-User Authentifizierung / Policies
Netzwerksicherheit
♦
Access Control Lists (ACL) – elementar und erweitert
♦
Policybasierte Sicherheitsservices (Beispiel: Spoofing, nicht un
terstützter Protokollzugang, Intrusion Prevention, DoS Attacken Li
mitierung)
Management Sicherheit
♦
Sicherer Zugang zur K-Serie via SSH, SSL, SNMP v3
Management, Kontrolle und Analyse – bietet modernisierte Werkzeuge, um
Netzwerkverfügbarkeit und -zustand zu bewahren
•
•
•
Konfiguration
♦
Industriestandard CLI und Web-Management Unterstützung
♦
Multiple Firmware-Images mit editierbaren Konfigurationsdateien
Netzwerkanalyse
♦
SNMP v1/v2/v3, RMON (9 Gruppen) und SMON (RFC 2613) VLAN und
Stats
♦
Port/VLAN Spiegelung (1-to-1, 1-to-many, many-to-many)
♦
Nicht gesampleter NetFlow auf jedem Port ohne Einfluss auf Sys tem
Switching- und Routing-Performance
Automatisiertes Set-Up und Rekonfiguration
♦
Ersatz I/O Module übernehmen automatisch die Konfiguration
vorheriger Module
Produktportfolio
242
Feature-reiche Funktionalität
Beispiele zusätzlicher Funktionalitäten und Features, die von der Enterasys K-Serie
unterstützt werden:
•
NetFlow – bietet Echtzeit-Transparenz, Applikationsprofiling und Kapazitätsplanungen
•
LLDP-MED – Link Layer Discovery Protocol für Medien-Endpunkt- Geräte
verbessert VoIP Umgebungen
•
Flow Setup Throttling – (FST) effektive Vorbelegung und Schutz vor DoS
Attacken
•
Web Cache Redirect – erhöht WAN und Internet Bandbreiteneffizienz
•
Node & Alias Location – verfolgt Nutzer- und Gerätelokation automatisch und
verbessert Netzwerk-Management-Produktivität und Fehlerisolation
•
Port Protection Suite – Bewahrt Netzwerkverfügbarkeit durch Sicherung guten
Protokoll- und Endstationsbenehmens
•
Flex-Edge Technologie – Bietet erweitertes Bandbreitenmanagement und zuweisung für anfragende Access / Edge Geräte
Netzwerk Performance, Management und Sicherheitsmöglichkeiten via NetFlow sind
mit jeder K-Serie verfügbar ohne Einfluss auf die Switching / Routing Performance
oder den Zwang teure Tochterkarten für jedes Blade zu zu kaufen. Die K-Serie
verfolgt jedes Paket in jedem Fluss – im Gegensatz zu statistischen
Stichprobentechniken des Mitbewerbs. Der Enterasys Vorteil sind die Enterasys
ASICs Möglichkeiten, welche NetFlow Statistiken für jedes Paket in jedem Fluss
sammeln ohne Performance einzubüßen.
Flow Setup Throttling (FST) ist ein proaktives Feature, welches kreiiert wurde, um
Zero-Day Gefahren und Denial of Service (DoS) Attacken zu entschärfen bevor sie
das Netzwerk beeinträchtigen können. FST bekämpft die Auswirkungen von ZeroDay und DoS-Attacken direkt durch die Limitierung der Anzahl neuer oder
bestehender Flows, die an jedem individuellen Switchport programmiert werden
können. Dies wird durch das Überwachen der neuen Flow-Eintreffen-Rate und/oder
das Kontrollieren der maximalen Anzahl erlaubter Flows erreicht.
Im Netzwerkbetrieb ist es sehr zeitintensiv ein Gerät zu lokalisieren oder heraus zu
finden wo genau ein Nutzer angebunden ist. Dies ist besonders wichtig, wenn man
auf Sicherheitsverletzungen reagiert. Enterasys K-Serie Module verfolgen die
Nutzer / Geräte-Lokationsinformationen des Netzes automatisch durch Mitlesen des
243
Produktportfolio
Netzwerkverkehrs sowie es durch einen Switch geht. Diese Informationen werden
dann genutzt, um die Node/Alias Tablelle mit Informationen, wie eine MAC Adresse
einer Station und Layer 3 Alias-Information (IP Adresse, IPX Adresse, etc.) zu
bestücken. Diese Informationen können dann von den Enterasys NMS Suite
Management Tools genutzt werden, um schnell die Switch und Port Nummer für
jede IP Adresse zu ermitteln und Maßnahmen gegen dieses Gerät im Falle einer
Sicherheitslücke zu unternehmen. Diese Node und Alias Funktionalität ist einzigartig
bei Enterasys und reduziert die Zeit der exakten Problemlokalisierung von Stunden
auf Minuten.
Für Organisationen, die Unified Communications einsetzen wollen kombiniert die KSerie policybasierte Automation mit Unterstützung für mehrere standardbasierte
Erkennungsmethoden, inklusive LLDP-MED, SIP und H.323, um UC Dienste für IP
Telefone aller großen Hersteller automatisch zu erkennen und bereitzustellen. KSerie Switche bieten auch dynamische Mobilität für IP Clients. Wenn ein IP Telefon
umzieht oder sich woanders im Unternehmensnetzwerk einwählt, ziehen die VoIP
Bereitstellung, Sicherheit und Verkehr-Prioritätseinstellungen mit um, ohne dass
typische manuelle Administration nötig ist – weder für Umzüge, Ergänzungen und
Änderungen.
Die K-Serie unterstützt weiterhin ein umfassendes Portfolio an PortschutzMöglichkeiten, wie zum Beispiel SPANguard und MACLock, welche die Möglichkeit
bieten unautorisierte Bridges im Netz zu erkennen und eine MAC Adresse zu einem
spezifischen Port zu begrenzen. Andere Portschutz-Möglichkeiten beinhalten Link
Flap, Broadcast Unterdrückung und Spanning Tree Loop Schutz, welche vor
Falschkonfiguration und Protokollfehler schützt.
Enterasys K-Serie Flex-Edge Technologie bietet line-rate Verkehrsklassifizierung für
alle Zugangsports mit garantierter Prioritätslieferung für Control Plane Verkehr und
hochpriorisiertem Verkehr, wie im Enterasys Policy Overlay definiert. Zusätzlich zur
Resourcenzuweisung von wichtigem Netzwerkverkehr, kann priorisierte Bandbreite
auf einer Port für Port authentifizierten Nutzerbasis zugewiesen werden. Flex-Edge
Technologie ist ideal für den Einsatz an Schaltschränken und Verteilerpunkten, die
oft unter Abnutzung leiden, welche zu Netzwerkengpässen führen kann. Mit der FlexEdge Technologie müssen Unternehmen plötzliche Netzwerkengpässe nicht mehr
fürchten, welche in Topologieänderungen und zufällige Paketausschüsse resultieren
würden.
Produktportfolio
244
Standards und Protokolle
Switching/VLAN Services
Static Routes
RFC 1723 RIPv2 with Equal Cost Multipath
Load Balancing
802.3u Fast Ethernet
RFC 1812 RIP Requirements
802.3ab Gigabit Ethernet (copper)
RFC 1519 CIDR
802.3z Gigabit Ethernet (fiber)
802.3ae 10 Gigabit Ethernet (fiber)
RFC 2338 Virtual
Protocol (VRRP)
Router
Redundancy
802.1Q VLANs
Standard ACLs
802.1D MAC Bridges
DHCP Server RFC 1541/ Relay RFC 2131
Provider Bridges (IEEE 802.1ad) Ready
RFC 1583/RFC 2328 OSPFv2
802.1w Rapid re-convergence of Spanning RFC 1587 OSPFv2 NSSA
Tree
RFC 1745 OSPF Interactions
802.1s Multiple Spanning Tree
802.3ad Link Aggregation
RFC 1765 OSPF Database Overflow
802.3ae Gigabit Ethernet
RFC 2154 OSPF with Digital Signatures
802.3x Flow Control
(Password & MD5)
IP Multicast (IGMP support v1, v2, v3, per- OSPF with Multipath Support
VLAN querier offload)
OSPF Passive Interfaces
Jumbo Packet with MTU Discovery Support for
Gigabit
IPv6 Routing Protocol Ready
Link Flap Detection
Dynamic Egress
Configuration)
Extended ACLs
(Automated
VLAN
Port Policy-based Routing
RFC 1112 IGMP
802.S1ab LLDP-MED
RFC 2236 IGMPv2
RFC 3376 IGMPv3
Standard IP Routing Features
DVMRP v3-10
RFC 1812 General Routing
RFC 792 ICMP
RFC 2361 Protocol Independent Multicast Sparse Mode
RFC 826 ARP
RFC 4601 PIM SM
RFC 1027 Proxy ARP
245
Produktportfolio
Network Security and Policy Management
RFC 2579 SNMPv2-TC
802.1X Port-based Authentication
RFC 3417 SNMPv2-TM
Web-based Authentication
RFC 3418 SNMPv2 MIB
MAC-based Authentication
RFC 2012 TCP MIB
Convergence Endpoint
Dynamic Policy Mapping
Discovery
with RFC 2013 UDP MIB
RFC 2096 IP Forwarding Table MIB
(Siemens HFA, Cisco VoIP, H.323, and SIP)
RFC 3411 SNMP Framework MIB
Multiple Authentication
Simultaneously
Types
per
Port
RFC 3412 SNMP-MPD MIB
Multiple Authenticated users per Port with RFC 3413 SNMPv3 Applications
unique policies per user/End System (VLAN
RFC 3414 SNMP User-Based SM
association independent)
RFC 3580 IEEE 802.1 RADIUS Usage MIB
Guidelines, with VLAN to Policy Mapping
RFC 2276 SNMP-Community MIB
Worm Prevention (Flow Set-Up Throttling)
RFC 2613 SMON MIB
Broadcast Suppression
RFC 2674 802.1p/Q MIB
ARP Storm Prevention
RFC 2737 Entity MIB
MAC-to-Port Locking
RFC 2787 VRRP MIB
Span Guard (Spanning Tree Protection)
RFC 2819 RMON MIB (Groups 1-9)
Behavioral Anomaly Detection/Flow Collector
RFC 3273 HC RMON MIB
(non-sampled Netflow)
RFC 2863 IF MIB
Static Multicast Group Provisioning
RFC 2864 IF Inverted Stack MIB
Multicast Group, Sender and Receiver Policy
Control
RFC 2922 Physical Topology MIB
RFC 3291 INET Address MIB
IETF and IEEE MIB Support
RFC 3621 Power Ethernet MIB
RFC 1156/1213 & RFC 2011 IP-MIB
RFC 3415 SNMP View Based ACM MIB
RFC 1493 Bridge MIB
RFC 3635 EtherLike MIB
RFC 1659 RS-232 MIB
RFC 3636 MAU MIB
RFC 1724 RIPv2 MIB
IEEE 8023 LAG MIB
RFC 1850 OSPF MIB
RSTP MIB
RFC 2578 SNMPv2 SMI
USM Target Tag MIB
Produktportfolio
246
U Bridge MIB
Private MIBs
Draft-ietf-idmr-dvmrp-v3-10 MIB
Ct-broadcast MIB
Draft-ietf-pim-sm-v2-new-09 MIB
Ctron-CDP MIB
SNMP-REARCH MIB
Ctron-Chassis MIB
IANA-address-family-numbers MIB
Ctron-igmp MIB
IEEE 802.1PAE MIB
Ctron-q-bridge-mib-ext MIB
Ctron-rate-policying MIB
Management, Control and Analysis
Ctron-tx-queue-arbitration MIB
SNMP v1/v2c/v3
Ctron-alias MIB
Web-based Management Interface
Cisco-TC MIB
Industry Common Command Line Interface
Cisco-CDP MIB
Multiple Software Image Support with
Revision Roll Back
Cisco-netflow MIB
Enterasys-configuration-management MIB
Enterasys-MAC-locking MIB
Enterasys-convergence-endpoint MIB
COM Port Boot Prom and Image Download via
Enterasys-notification-authorization MIB
ZMODEM
Telnet Server and Client
Enterasys-netfow MIB
Secure Shell (SSHv2) Server and Client
Enterasys-license-key MIB
Cabletron Discovery Protocol
Enterasys-aaa-policy MIB
Cisco Discovery Protocol v1/v2
Enterasys-class-of-service MIB
Syslog
Enterasys-multi-auth MIB
FTP Client
Enterasys-mac-authentication MIB
Enterasys-pwa MIB
Netflow version 5 and version 9
Enterasys-upn-tc MIB
RFC 2865 RADIUS
Enterasys-policy-profile MIB
RFC 2866 RADIUS Accounting
TACACS+ for Management Access Control
Class of Service
Management VLAN
4 Many to-One-port, One-to-Many Ports, VLAN Weighted Fair Queuing with Shaping
Mirror Sessions
247
Produktportfolio
8 Transmit Queues per Port
Enterasys Network Management Suite (NMS)
Packet Count or Bandwidth based Rate NMS Console
Limiters (Bandwidth Thresholds between 64
NMS Policy Manager
Kbps and 4 Gbps)
802.1D Priority-to-Transmit Queue Mapping
NMS NAC Manager
Spezifikationen
Performance / Kapazität
K6
K10
Switching Fabric
Bandbreite
280 Gbps
440 Gbps
Switching Durchsatz
210 Mpps (gemessen in 64-byte Paketen)
Routing Durchsatz
Addresstabelle Größe
32.000 MAC Adressen
32.000 MAC Adressen
Unterstützte VLANs
4.096
4.096
Übertragungsqueues
8
8
Klassifizierungsregeln
8.196 /Chassis
8.196 /Chassis
H: 22,15 cm
B: 44,70 cm
T: 35,55 cm
5U
H: 31,02 cm
B: 44,70 cm
T: 35,55 cm
7U
+5°C bis +40°C
+5°C bis +40°C
Lagertemperatur
-30°C bis +73°C
-30°C bis +73°C
Betriebsfeuchtigkeit
5% bis 90% relative Feuchtigkeit, non-condensing
5% bis 90% relative Feuchtigkeit, non-condensing
Stromanforderungen
100 bis 125 VAC oder 200 bis 250 VAC; 50 bis
60 Hz
100 bis 125 VAC oder 200 bis 250 VAC; 50 bis 60
Hz
Physikalische Spezifikationen
Chassis Abmaße (HxBxT)
Umgebungsspezifikationen
Betriebstemperatur
Power over Ethernet Spezifikationen
System Strom
Automatisierte oder manuelle PoE
Stromverteilung
Pro-Port ein/aus, Stromlevel, Prioritätssicherheit,
Overload und Kurzschlussschutz
Automatisierte oder manuelle PoE Stromverteilung
Pro-Port ein/aus, Stromlevel, Prioritätssicherheit,
Overload und Kurzschlussschutz
Systemstromüberwachung
Total PoE Strom: 3.200 Watt mit allen Stromfelder
an; 4.000 Watt mit zusätzlichem RPS Tray
Standard Compliance
IEEE 802.3af
IEEE 802.3at
Total PoE Strom: 3.200 Watt mit allen Stromfelder
an; 4.800 Watt mit zusätzlichem RPS Tray
IEEE 802.3af
IEEE 802.3at
Produktportfolio
Performance / Kapazität
248
K6
K10
Agency und Standard Spezifikationen
Sicherheit
UL 60950-1, FDA 21 CFR 1040.10 und
1040.11, CAN/CSA
C22.2 No.60950-1, EN 60950-1, EN 60825-1,
EN 60825-2, IEC 60950-1, 2006/95/EC (Low
Voltage Directive)
UL 60950-1, FDA 21 CFR 1040.10 und
1040.11, CAN/CSA
C22.2 No.60950-1, EN 60950-1, EN 60825-1,
EN 60825-2, IEC 60950-1, 2006/95/EC (Low
Voltage Directive)
Elektromagnetische
Kompatibilität
FCC 47 CFR Part 15 (Class A), ICES-003 (Class
A), EN 55022 (Class A), EN 55024, EN 61000-3
-2, EN 61000-3-3, AS/NZ CISPR-22 (Class A).
VCCI V-3. CNS 13438 (BSMI), 2004/108/EC
(EMC Directive)
FCC 47 CFR Part 15 (Class A), ICES-003 (Class
A), EN 55022 (Class A), EN 55024, EN 61000-32, EN 61000-3-3, AS/NZ CISPR-22 (Class A).
VCCI V-3. CNS 13438 (BSMI), 2004/108/EC
(EMC Directive)
Umwelt
2002/95/EC (RoHS Directive), 2002/96/EC
(WEEE Directive), Ministry of Information Order
#39 (China RoHS)
2002/95/EC (RoHS Directive), 2002/96/EC
(WEEE Directive), Ministry of Information Order
#39 (China RoHS)
Part Nummer
Beschreibung
K6 Chassis
K6-Chassis
K-Serie 6 Slot Chassis and fan tray
K6-FAN
K6 Fan Tray
K6-MID-KIT
K6 Mid-Mount Kit
K10 Chassis
K10-Chassis
K-Serie 10 Slot Chassis and fan tray
K10-FAN
K10 Fan Tray
K10-MID-KIT
K10 Mid-Mount Kit
Power Supplies und Zubehör
K-AC-PS-1400W
K-Serie 1400W Power Supply
K-POE-4BAY
K External 4 Bay Power Shelf
K-POE-4BAY-RAIL
Mounting Kit for K POE-4 Bay Power Shelf
K-POE-CBL-2M
K PoE Power to K Chassis Cable - 2M
I/O Fabric Module
KK2008-0204-F2
K10 Mgmt/Fabric with (4) 10Gb via SFP+
KK2008-0204-F1
K6 Mgmt/Fabric with (4) 10Gb via SFP+
I/O Module
KT2006-0224
K (24) Port 10/100/1000 802.3at PoE IOM
KG2001-0224
K (24) Port 1Gb SFP IOM
KK2008-0204
K (4) Port 10Gb SFP+ IOM
249
Produktportfolio
Enterasys SS-Serie
Die S-Serie ist die High End Produktlinie mit Switching, Routing und Security
Funktionen für alle Anwendungsbereiche im LAN, vom Datacenter über Core bis zum
Access.
Mit 3 standalone Systemen sowie 5 Chassis-Typen mit 1,3,4,6,8 Slots und einer
verteilten Architektur, einer hohen Skalierbarkeit mit einer Backplane Kapazität von
über 6 Terabit/s und „pro Slot“ Durchsatz von 80/160 Gbit/s ist die S-Serie eine
zukunftssichere Investition. Die Möglichkeiten gehen heute von 10 Gigabit Ethernet
bis hin zu 40/100 Gigabit Ethernet in der Zukunft.
Eine Übersicht der Systeme:
SSA 130
SSA150
S1
S3
S4
S6
S8
Chassis Slots
-
-
1
3
4
6
8
System Switching Capacity
40 Gbps
120 Gbps
160 Gbps
120 Gbps
640 Gbps
960 Gbps
1.28 Tbps
System Switching
Throughput
30 Mpps
90 Mpps
120 Mpps
90 Mpps
480 Mpps
720 Mpps
960 Mpps
Total Backplane Capacity
-
-
240 Gbps
480 Gbps
3 Tbps
4.5 Tbps
6 Tbps
Max. 10/100/1000BASE-TX 48
Class 3 PoE ports per
system
48
72
180
288
432
576
Maximum 1000BASE-X SFP
(MGBIC) ports per system
-
48
72
180
288
432
576
Maximum 10GBASE-X SFP+
ports per system
4
4
16
12
64
96
128
Je nach Chassis und Modultyp Kombination ist der Einsatz in jeder Ebene eines
typischen Netzwerkdesigns möglich.
S-Serie in den verschiedenen Ebenen
Produktportfolio
250
Bei der S-Serie handelt es sich um eine Weiterentwicklung der N-Serie, die alle
Funktionen der N-Serie mit identischer Software realisiert plus weitere Funktionen
wie MPLS Readiness (Hardware ready), Ipv6 sowie die Möglichkeit der
Applikationsklassifizierung in Hardware bietet. In der ersten Generation der SModule steht insgesamt eine Kapazität von 1,28 Tbps und 960 Mpps zur Verfügung
(in einem S8 Chassis). Damit können bis zu 576 Gigabit Ethernet oder 128 10
Gigabit Ethernets Ports via SFP+ realisiert werden. Weitere Portdichtenerhöhungen
werden folgen. Alle 10/100/1000 Module sind von Hause aus High Power PoE+
802.3at fähig, es sind nur entspreche zusätzliche Power Supplies erforderlich.
SSA
S1
S3
S4
S6
S8
251
Produktportfolio
Architektur
Die Enterasys S-Serie Chassis nutzen sowohl (Switch-)Fabric-based als auch Fabricless Architekturen. Die S4 und S8 Chassis nutzen die Fabric-based Variante mit
mehreren High Speed Links zwischen den I/O Modulen und den jeweiligen FabricKomponenten. Währenddessen ist das S3 Chassis Fabric-less für den Einsatz im
Access Bereich optimiert. Mindestens ein I/O Fabric Modul muss in einem S4 oder
S8 Chassis eingesetzt werden, für den vollen Systemdurchsatz sind jedoch 2 I/O
Fabric Module im Loadsharing notwendig. Damit werden dann bis zu 1280 Gbps
Switching und HA Funktionen realisiert. Im S8 Chassis ist sogar der Einsatz einer
dritten I/O Fabric möglich zur Steigerung der Gesamtverfügbarkeit und Erhöhung der
Redundanz.
Enterasys S-Serie I/O Module sind hoch performante, voll ausgestattete Switches im
einem voll verteilten Switch System mit Management- und Routing Funktionen, die
vom jeweiligen On-Board Prozessorsystem übernommen werden. Die flowbasierten
nTERA ASICs, zusammen mit den Prozessorsystemen formen ein sehr flexibles,
skalierbares und hoch-performantes Gesamtsystem mit wesentlich höherer
Prozessorleistung als vergleichbare Systeme.
I/O Fabric und I/O Modules sind mit vielen unterschiedlichen Interface-Typen und
Portdichten verfügbar, um alle möglichen Netzwerkdesigns optimal abzubilden. Von
10/100/1000BASE-TX, 1000BASE-X SFP, bis zu 10G BASE-X SFP+. Die SFP+ Ports
können auch SFP´s aufnehmen, die SFP Ports auch 100FX SFP´s. Alle Triple Speed
I/O Kupfer Module sind PoE-enabled. Viele I/O Modules haben ein oder zwei so
genannte Option Module, die weitere Konfigurationsflexibilität im Bereich Media und
Portdichte bieten. Dies resultiert in einfacheren und kostengünstigeren Designs.
Enterasys CoreFlow2
Mit der Enterasys CoreFlow2 Technologie bietet Enterasys die Schlüsselfunktion für
die Flusssteuerung von Applikationsdaten, als auch für die Datenzugriffskontrolle.
Die Enterasys CoreFlow2 ASIC Technologie wurde über die letzten 15 Jahre stetig
weiterentwickelt. Das patentierte ASIC Design hat eine Kapazität, um bis zu 64
Millionen Flows pro System zu verarbeiten. Dabei unterstützt der flexibel
programmierbare ASIC die Klassifizierung, Sichtbarkeit und Kontrolle des
Applikationsflusses in Line-Rate-Geschwindigkeit. CoreFlow2 bietet die Möglichkeit,
die Klassifikation von Datenverkehr zwischen Layer-2 und Layer-7 durchzuführen.
Stand heute wird anhand NMS Policies der Datenfluss zwischen Layer-2 und Layer-4
gesteuert. Eine klassische Evolution bei der Verwendung der Enterasys Policies gibt
die untenstehende Grafik. Unter dem gemeinsamen Einsatz von Network Access
Control und Policies können Endsystemen und auch Servern anhand ihrer
Identifikation (802.1x, MAC etc.) dynamisch Kommunikationsregeln in einem LAN
zugeordnet bzw. durchgesetzt werden.
Produktportfolio
252
Mögliche Anwendungsszenarien für die von CoreFlow2 gebotenen Policies sind zum
Beispiel iSCSI
•
Zugriffskontroll nur iSCSI Initiatoren
•
Überwachung der Netzwerkbandbreite pro iSCSI Target
Beispiel RTP
•
Spezifizierte Zugriffssteuerung anhand von Audio und Video Codec
Beispiel für zukünftige Features auf Basis von HTTP
•
Zugriffskontrolle auf Claud Service wie z.B. www.salesforce.com
•
Bandbreitenüberwachung www.youtube.com
253
Produktportfolio
Der flexibel programmierbare CoreFlow2 ASIC bietet nicht nur eine Application
Awareness, ferner bietet er die Möglichkeit auch zukünftige Features und Standards
als Software Upgrade auf dem Switch einzuspielen. Der Enterasys CoreFlow2 ASIC
kommt auf Data Center, Distribution und Core Router Fabric Einschüben der S-Serie
zum Einsatz. Die wichtigsten neuen Standards (Liste nicht vollständig), die auf diese
Weise Feature-Unterstützung auf der S-Serie erhalten sollen, sind:
Access/Edge I/O Module
Diese Module sind für den Einsatz im User-Access und der Peripherie optimiert. Die
Access/Edge I/O Module ermöglichen es durch die am Markt einzigartige Flex-Edge
Technologie, bandbreitenhungrigen Workstations selektiv nicht-überbuchte, line-rate
Datendienste zur Verfügung zu stellen, um damit sensitive Daten in allen Situationen
sicher zu übertragen. Sie unterstützen bei der Authentifizierung und Policy
Zuweisung bis zu 512 Nutzer pro Modul und 8 authentifizierte Nutzer pro Port,
verglichen mit den Core/Distribution Modulen, die bis zu 1.024 User/Devices pro
Modul und keine Restriktion pro Port haben. Falls ein Access Modul mehr Nutzer
benötigt, kann mit der Upgrade Lizenz (S-EOS-PPC) auf die gleichen Limits wie die
Core/Distribution Module erweitert werden. Alle S-Serie Triple Speed I/O Module
unterstützen PoE als Standard, keine weiteren Hardware oder Software Upgrades
sind erforderlich: Nur entsprechende PoE Power Supplies sind dem Chassis
hinzuzufügen. Die Access Module sind bei den Routing Funktionen limitiert und
bieten im Gegensatz zu den anderen Module keine *BGPv4, *IS-IS für IPv4 & IPv6,
*VRF, NAT , LSNAT, TWCB Funktionen, jedoch ein Upgrade auf VRF mittels S-EOS-L3ACCESS. Funktionen mit * sind nicht im ersten Release vorhanden, bitte erfragen
Sie die Verfügbarkeit bei Enterasys und lassen Sie diese bestätigen.
Distribution, Core und Data Center I/O Module
Eine Reihe von S-Serie I/O Modulen sind für die Bereiche mit höchsten
Anforderungen designed, die fortlaufend hohe Datenraten aufweisen. Gigabit und
10 Gigabit Ethernet Module mit Line Rate Forwarding und erweiterten Traffic
Management Mechanismen sowie extrem große Packet-Buffer erlauben maximale
Netzwerk-Performance. Distribution, Core und Data Center I/O Module sind optimiert
für den Einsatz im Core und Data Center Bereiche. Die Media Flexibilität ist auch bei
diesen Modulen gegeben. Hier gibt es auch Upgrade Möglichkeiten für weitere Core
Routingprotokolle (Stichwort *MPLS, *VPLS und *Tunneling/GRE in Zukunft via SEOS-L3-ACCESS).
Produktportfolio
254
Übersicht aller Access/Edge I/O und Fabric Module (S130)
Access/Edge I/O Modules (S130)
Access/Edge Fabric Modules (130)
Part Number
ST4106-0248
SG4101-0248
ST4106-0348-F6
Used in
S3/S4/S8 Chassis
S3/S4/S8 Chassis
S4/S8 Chassis
Port Type
RJ45
SFP
RJ45
Port Quantity
48
48
48
Port Speed
10/100/1000 Mbps
1000 Mbps
10/100/1000 Mbps
PoE Support
802.3af, 802.3at
-
802.3af, 802.3at
Option Module Slots
1, (Type 1)
1, (Type 1)
1, (Type 2)
Module Throughput
30 Mpps
30 Mpps
45 Mpps
I/O Switching Capacity
40 Gbps
40 Gbps
60 Gbps
Fabric Throughput
-
-
480 Mpps
Übersicht aller Distribution/Core/Data Center I/O und Fabric Module (S150)
Distribution/Core/Data Center I/O Modules (S150)
Part Number
ST1206-0848
SG1201-0848
SK1008-0816
Used in
S4/S8 Chassis
S4/S8 Chassis
S4/S8 Chassis
Port Type
RJ45
SFP
SFP+
Port Quantity
48
48
16
Port Speed
10/100/1000 Mbps
1000 Mbps
10 Gbps
PoE Support
802.3af, 802.3at
-
-
Option Module Slots
2,(Type2)
2,(Type2)
Module Throughput
120 Mpps
120 Mpps
120 Mpps
160 Gbps
160 Gbps
160 Gbps
Distribution/Core/Data Center Fabric Modules (S150)
Part Number
ST1206-0848-F6
SG1201-0848-F6
SK1208-0808-F6
Used in
S4/S8 Chassis
S4/S8 Chassis
S4/S8 Chassis
Port Type
RJ45
SFP
SFP+
Port Quantity
48
48
8
Port Speed
10/100/1000 Mbps
1000 Mbps
10 Gbps
PoE Support
802.3af, 802.3at
-
-
Option Module Slots
2,(Type2)
2,(Type2)
2,(Type2)
Module Throughput
120 Mpps
120 Mpps
120 Mpps
160 Gbps
160 Gbps
160 Gbps
Fabric Throughput
480 Mpps
480 Mpps
480 Mpps
255
Produktportfolio
High Availability Upgrade (HAU)
High Availability Firmware Upgrade (HAU) ist eine S-Serie Funktion, die ein Firmware
Update eines S-Serie Chassis oder S-Serie VSB über einen Rolling Mechanismus
bereitstellt.
Der Funktionsunterschied des High Availability Update (HAU) zu einem Standard
Update ist, dass bei einem Standard Update alle Module eines Chassis Systems
gleichzeitig einen Software Neustart durchführen und dabei die neue Software
geladen wird. Hierbei werden alle Datenverbindungen deaktiviert und alle Services,
die an diesem Chassis angebunden sind, unterbrochen.
Bei dem HAU Software Update wird ein Rolling Update Prozess in einem Chassis
genutzt. Die Module werden sequenziell neu gestartet und dabei wird nach und nach
die neue Software geladen. Das S-Serie Chassis nutzt hierbei vordefinierte Gruppen,
welche sequenziell gebootet werden. Der Vorteil hierbei ist, dass ein Großteil des
S-Serie Chassis weiterhin ohne Einschränkungen aktive Netzwerkdaten bearbeitet .
Unterbrechungen gibt es nur bei Chassis Elementen, die neu gestartet und eine
neue Software laden wird.
High Availability Frimware Upgrade Überblick
Produktportfolio
256
Die Gruppenelemente sind in der Grundkonfiguration so definiert, dass jeder S-Serie
Systemslot sich in einer Gruppe befindet. Bei einem Update eines S4, der 4 Module
haben kann, welche sequenzielle neu gestartet werden, sind also 4 Module
Neustarts notwendig, um final die neue Software zu aktivierien .
Der Administrator hat die Möglichkeit die Gruppen der einzelnen Slots eines Chassis
manuell neu zu definieren und dabei eine schnellere Update Sequenz zu erreichen.
So können 2 oder in einem VSB alle Systemslots eines Chassis in einer Gruppe
zusammengefasst werden. Ein Update der vordefinierten Gruppen wird endgültig die
akitven und neu zu startenden Systemslots/Gruppen definieren.
Das Neustarten der Gruppen - also der Slots - kann mit einem zusätzlichen Delay
definiert werden, so dass der Administrator die neu gestarteten Systemkomponenten kontrollieren und das Update auch, wenn notwendig, manuell stoppen kann.
Hierzu ist der Update-Delay zu verändern. Der High Availability Update Prozess kann
nicht nur für Updates, sondern auch für Downgrades genutzt werden. So ist dem
Administrator weiterhin eine flexible Software Up-/Downgrade Möglichkeit gegeben.
Die Software wird selbständig erkennen, ob ein HAU Update von Version A nach
Version A.xx möglich ist. Die HAU Updates sind momentan nicht für Major Release
Changes verfügbar, jedoch wird dies mit neueren Software Versionen angepasst.
Momentan ist das HAU Update also primär für Minor Release Changes und Release
Patches definiert.
VSB System High Availability Firmware Upgrade
257
Produktportfolio
Switching/VLAN Services
Load Balancing
RFC 1812 RIP Requirements
802.3u Fast Ethernet
RFC 1519 CIDR
802.3ab Gigabit Ethernet (copper)
RFC 2338 Virtual
Protocol (VRRP)
Router
Redundancy
802.3z Gigabit Ethernet (fiber)
Standard ACLs
802.3ae 10 Gigabit Ethernet (fiber)
DHCP Server RFC 1541/ Relay RFC 2131
802.1Q VLANs
RFC 1583/RFC 2328 OSPFv2
802.1D MAC Bridges
RFC 1587 OSPFv2 NSSA
Provider Bridges (IEEE 802.1ad) Ready
802.1w Rapid re-convergence of Spanning
Tree
802.1s Multiple Spanning Tree
RFC 1765 OSPF Database Overflow
802.3ad Link Aggregation
RFC 2154 OSPF with Digital Signatures
(Password & MD5)
802.3ae Gigabit Ethernet
OSPF with Multipath Support
802.3x Flow Control
OSPF Passive Interfaces
IP Multicast (IGMPv1,v2 support & IGMPv3
Ready)
IPv6 Routing Protocol Ready
Jumbo Packet with MTU Discovery Support for Extended ACLs
Gigabit
Policy-based Routing
Link Flap Detection
RFC 1112 IGMP
Dynamic Egress (Automated VLAN Port
RFC 2236 IGMPv2
Configuration)
RFC 3376 IGMPv3 Ready
802 1ab LLDP-MED
DVMRP v3-10
Standard IP Routing Features
RFC 2361 Protocol Independent Multicast Sparse Mode
RFC 1812 General Routing
RFC 4601 PIM SM
RFC 792 ICMP
RFC 826 ARP
Distribution and Core IP Routing Features
RFC 1027 Proxy ARP
NAT Network Address Translation
Static Routes
RFC 2391 Load Sharing Using Network
RFC 1723 RIPv2 with Equal Cost Multipath Address Translation (LSNAT)
Produktportfolio
258
TWCB Transparent Web Cache Redirect
Network Security and Policy Management
VRF Virtual Routing and Forwarding (Ready)
802.1X Port-based Authentication
Border Gateway Routing Protocol - BGPv4
Web-based Authentication
RFC 3031 Multi Protocol Label Switching MAC-based Authentication
Ready
Convergence Endpoint Discovery with
RFC 2784 Generic Routing Encapsulation Dynamic Policy Mapping
Ready
(Siemens HFA, Cisco VoIP, H.323, and SIP)
PIM Source Specific Multicast - PIM SSM
Multiple Authentication Types per Port
Ready
Simultaneously
RFC1772 Application of BGP in the Internet
Multiple Authenticated users per Port with
unique policies per user/End System (VLAN
RFC1997 BGP Communities Attribute
association independent)
RFC2385 BGP TCP MD5 Signature Option
RFC 3580 IEEE 802.1 RADIUS Usage
RFC2439 BGP Route Flap Damping
Guidelines, with VLAN to Policy Mapping
RFC2918 Route Refresh Capability for BGP-4
Worm Prevention (Flow Set-Up Throttling)
RFC4271 A Border Gateway Protocol 4 (BGP- Broadcast Suppression
4)
ARP Storm Prevention
RFC4360 BGP Extended Communities
Attribute
MAC-to-Port Locking
RFC4456 BGP Route Reflection
RFC4486 Subcodes
Notification Message
for
Span Guard (Spanning Tree Protection)
BGP
Cease Stateful Intrusion Detection System Load
Balancing
RFC4724 Graceful Restart Mechanism for Stateful Intrusion Prevention System and
BGP
Firewall Load Balancing
RFC4893 BGP Support for Four-octet AS Behavioral Anomaly Detection/Flow Collector
Number Space
(non-sampled Netflow)
RFC5065 Autonomous System
Confederations for BGP
Static Multicast Group Provisioning
Multicast Group, Sender and Receiver Policy
RFC5291 Outbound Route Filtering Capability Control
for BGP-4
RFC5292 Address-Prefix-Outbound
Filter for BGP-4
RFC5396
Numbers
Textual
Representation
Route
Class of Service
AS Strict Priority Queuing
Weighted Fair Queuing with Shaping
RFC5492 Capabilities Advertisement with
11 Transmit Queues per Port
BGP-4
259
Produktportfolio
Up to 3,072 rate limiters for S130 Class Simple Network Time Protocol (SNTP)
products and up to 12,288 rate limiters for
Netflow version 5 and version 9
S150 Class products
Packet Count or Bandwidth based Rate RFC 2865 RADIUS
Limiters. (Bandwidth Thresholds between 8
RFC 2866 RADIUS Accounting
Kbps and 4 Gbps)
TACACS+ for Management Access Control
802.1D Priority-to-Transmit Queue Mapping
Management VLAN
15 Many to-One-port, One-to-Many Ports,
VLAN Mirror Sessions
Enterasys Network Management Suite
NMS Console
IETF and IEEE MIB Support
NMS Policy Manager
RFC 1156/1213 & RFC 2011 IP-MIB
RFC 1493 Bridge MIB
RFC 1659 RS-232 MIB
NMS NAC Manager
RFC 1724 RIPv2 MIB
RFC 1850 OSPF MIB
Management, Control and Analysis
RFC 2578 SNMPv2 SMI
SNMP v1/v2c/v3
RFC 2579 SNMPv2-TC
Web-based Management Interface
RFC 3417 SNMPv2-TM
Industry Common Command Line Interface
Multiple Software
Revision Roll Back
Image
Support
with
RFC 3418 SNMPv2 MIB
RFC 2012 TCP MIB
RFC 2013 UDP MIB
RFC 2096 IP Forwarding Table MIB
COM Port Boot Prom and Image Download via RFC 3411 SNMP Framework MIB
ZMODEM
RFC 3412 SNMP-MPD MIB
Telnet Server and Client
RFC 3413 SNMPv3 Applications
Secure Shell (SSHv2) Server and Client
RFC 3414 SNMP User-Based SM MIB
Cabletron Discovery Protocol
RFC 2276 SNMP-Community MIB
Cisco Discovery Protocol v1/v2
RFC 2613 SMON MIB
Syslog
RFC 2674 802.1p/Q MIB
FTP Client
RFC 2737 Entity MIB
Produktportfolio
260
RFC 2787 VRRP MIB
Ctron-alias MIB
RFC 2819 RMON MIB (Groups 1-9)
Cisco-TC MIB
RFC 3273 HC RMON MIB
Cisco-CDP MIB
RFC 2863 IF MIB
Cisco-netflow MIB
RFC 2864 IF Inverted Stack MIB
Enterasys-configuration-management MIB
RFC 2922 Physical Topology MIB
Enterasys-MAC-locking MIB
RFC 3291 INET Address MIB
Enterasys-convergence-endpoint MIB
RFC 3621 Power Ethernet MIB
Enterasys-notification-authorization MIB
RFC 3415 SNMP View Based ACM MIB
Enterasys-netfow MIB
RFC 3635 EtherLike MIB
Enterasys-license-key MIB
RFC 3636 MAU MIB
Enterasys-aaa-policy MIB
IEEE 8023 LAG MIB
Enterasys-class-of-service MIB
RSTP MIB
Enterasys-multi-auth MIB
USM Target Tag MIB
Enterasys-mac-authentication MIB
U Bridge MIB
Enterasys-pwa MIB
Draft-ietf-idmr-dvmrp-v3-10 MIB
Enterasys-upn-tc MIB
Draft-ietf-pim-sm-v2-new-09 MIB
Enterasys-policy-profile MIB
SNMP-REARCH MIB
IANA-address-family-numbers MIB
IEEE 802.1PAE MIB
Private MIBs
Ct-broadcast MIB
Ctron-CDP MIB
Ctron-Chassis MIB
Ctron-igmp MIB
Ctron-q-bridge-mib-ext MIB
Ctron-rate-policying MIB
Ctron-tx-queue-arbitration MIB
261
Produktportfolio
Spezifikationen
S8-Chassis dimensions (H x W x D): 63.96 cm x 44.70 cm x 47.32 cm(25.19” x
17.60” x 18.63”), 14.5U
S8-Chassis-POE4 dimensions (H x W x D): 72.87 cm x 44.70 cm x 47.32 cm (28.69”
x 17.60” x 18.63”), 16.5U
x 17.60” x 18.63”), 17.5U
S6-Chassis dimensions (H x W x D): 88.7 cm x 44.70 cm x 47.35 cm (34.92” x
17.59” x 18.64”), 20U
S6-Chassis-POE4 dimensions (H x W x D): 97.5 cm x 44.70 cm x 47.35 cm (38.39” x
17.59” x 18.64”), 22U
17.60” x 18.63”), 8U
x 17.60” x 18.63”), 10U
17.60” x 18.63”), 7U
x 17.60” x 18.63”), 9U
S1-Chassis dimensions (HxWxD): 8.69cm x 44.88cm x 60.27cm (3.42” x 17.67” x
23.73”), 2U
S-Series Stand Alone (SSA) dimensions (H x W x D): 4.44
Agency und Standard Spezifikationen
Sicherheit: UL 60950-1, FDA 21 CFR 1040.10 and 1040.11, CAN/CSA C22.2 No.
60950-1, EN 60950-1, EN 60825-1, EN 60825-2, IEC 60950-1, 2006/95/EC (Low
Voltage Directive)
Elektromagnetische Kompatibilität: FCC 47 CFR Part 15 (Class A), ICES- 003 (Class
A), EN 55022 (Class A), EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZ CISPR-22
(Class A). VCCI V-3. CNS 13438 (BSMI), 2004/108/EC (EMC Directive)
Produktportfolio
262
Power over Ethernet (PoE) Spezifikationen
IEEE 802.3af
IEEE 802.3at
Total PoE Power: 16.000 Watt @ 240vAC Input oder 8.000 Watt @ 120vAC Input (8
Bay PoE power shelf)
Total PoE Power: 8.000 Watt @ 240vAC Input oder 4.000 Watt @ 120vAC Input (4
Bay PoE power shelf)
Total PoE Power: 500 Watt (SSA Switch)
Unterstützt Class 1 (4 W), Class 2 (7,5 W), Class 3 (15,4 W) und Class 4 PoE Geräte
Ein voll bestücktes S-Serie Multi-Slot Chassis kann ein Klasse 3 PoE Gerät auf alles
Ports gleichzeitig versorgen
Ein S-Serie SSA Switch kann ein Klasse 3 PoE Gerät auf 32 Ports gleichzeitig
versorgen
Automatisierte oder manuelle PoE Stromverteilung
Pro-Port enable/disable,
Kurzschlussschutz
Power
Level,
Prior-Sicherheit,
Überlastung
Part Nummer
Beschreibung
S8 Chassis
S8S8-Chassis
S-Series S8 Chassis and fan trays (Power supplies ordered separately)
S8S8-ChassisChassis -POE4
S-Series S8 Chassis and fan trays with 4 bay PoE subsystem (System and PoE Power supplies ordered
separately)
S-Series S8 Chassis and fan trays with 8 bay PoE subsystem (System and PoE Power supplies ordered
separately)
S8S8-POEPOE -8BAY8BAY-UGK
S-Series 8 bay PoE upgrade kit for the S8 (PoE Power supplies ordered separately)
S6 Chassis
S6S6-Chassis
S-Series S6 Chassis and fan trays. Front to back cooling. (Power supplies ordered separately)
S-Series S6 Chassis and fan tray with 4 bay POE subsystem. Front to back cooling. (System and POE power
supplies ordered separately)
S6S6-MidmountMidmount-Kit
S-Series S6 Chassis 19” midmount installation rack kit, can be used with all S6 chassis types
S6S6-FAN
S-Series Fan Tray (For use w/ S6)
und
263
Part Nummer
Produktportfolio
Beschreibung
S4 Chassis
S4S4-Chassis
-Series S4 Chassis and fan tray (Power supplies added separately)
S-Series S4 Chassis and fan tray with 4 bay PoE subsystem (System and PoE Power supplies ordered
separately)
S3S3-Chassis
S3S3-Chassis
S-Series S3 Chassis and fan tray (Power supplies ordered separately)
S-Series S3 Chassis and Fan Tray with 4 bay PoE subsystem (System and PoE Power supplies ordered
separately)
S1S1-Chassis
S1S1-Chassis
S-Series S1 Chassis and fan tray. Compatible with Fabric Modules only. (Power supplies ordered separately)
S1S1-MountMount-kit
S-Series S1 Chassis 19” accessory mounting kit. Supports midmount and rail kit installation options for 2 and 4
post racks, can be used with the S1 chassis
S1S1-FAN
S1 Chassis fan tray, Spare (For use w/ S1)
Power Supplies & Fans
S-ACAC-PS
S-Series AC power supply, 20A, 100-240 VAC input (1200/1600 W) (For Use w/ S3/S4/S6/S8)
S-ACPS--15A
AC-PS
S-Series AC power supply, 15A, 100-240VAC input(930/1600W) (For use w/ S3/S4/S6/S8)
S-POEPOE -PS
S-Series PoE power supply, 20A, 100-240 VAC input, (1200/2000 W) (For Use in 4/8 Bay PoE power
subsystems)
S-DCDC-PS
S-Series 48-60v DC Power Supply (For Use w/ S3/S4/S6/S8) (1200W)
S-FAN
S-Series Fan Tray (For use w/ S3/S4/S8)
S130 Class I/O Fabric Modules
ST4106ST4106-03480348-F6
S-Series I/O-Fabric Access Module, 1280Gbps Load Sharing - 48 Ports 10/100/1000BASE-TX via RJ45 with PoE
(802.3at) and one Type2 option slot (Used in S4/S8)
S130 Class I/O Modules
ST4106ST4106-0248
S-Series I/O Access Module - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and one Type1 option
slot (Used in S3/S4/S8)
SG4101SG4101-0248
S-Series I/O Access Module - 48 Ports 1000BASE-X ports via SFP and one Type1 option slot (Used in S3/S4/S8)
S150 Class I/O Fabric Modules
ST1206ST1206-08480848-F6
S-Series I/O-Fabric Distribution & Core Module, 1280Gbps Load Sharing - 48 Ports 10/100/1000BASE-T via
RJ45 with PoE (802.3at) and two Type2 option slots (Used in S4/S8)
SG1201SG1201-08480848-F6
S-Series I/O-Fabric Distribution & Core Module, 1280Gbps Load Sharing - 48 Ports 1000BASE-X ports via SFP
and two Type2 options slots (Used in S4/S8)
SK1208SK1208-08080808-F6
S-Series I/O-Fabric Distribution & Core Module, 1280Gbps Load Sharing - 8 Ports 10GBASE-X Ethernet via SFP+
and two Type2 option slots (Used in S4/S8)
S150 Class I/O Modules
ST1206ST1206-0848
S-Series I/O Distribution & Core Module - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and two
Type2 option slots (Used in S4/S8)
SG1201SG1201-0848
S-Series I/O Distribution & Core Module - 48 Ports 1000BASE-X ports via SFP and two Type2 options slots (Used
in S4/S8)
SK1008SK1008-0816
S-Series I/O Distribution & Core Module - 16 Ports 10GBASE-X Ethernet via SFP+ (Used in S4/S8)
Produktportfolio
Part Nummer
264
Beschreibung
Option Modules
SOK1208SOK1208-0102
S-Series Option Module (Type1) - 2 10GBASE-X Ethernet ports via SFP+ (Compatible with Type1 & Type2 option
slots)
SOK1208SOK1208-0104
S-Series Option Module (Type1) - 4 10GBASE-X Ethernet ports via SFP+ (Compatible with Type1 & Type2 option
slots)
SOK1208SOK1208-0204
S-Series Option Module (Type2) - 4 10GBASE-X Ethernet ports via SFP+ (Compatible with Type2 option slots)
SOG1201SOG1201-0112
S-Series Option Module (Type1) - 12 1000BASE-X ports via SFP (Compatible with Type1 & Type2 option slots)
SOT1206SOT1206-0112
S-Series Option Module (Type1) – 12 Ports 10/100/1000BASE-TX via RJ45 with PoE (802.3at) (Compatible with
Type1 & Type2 option slots)
SSA (S(S-Series Stand Alone)
SSASSA-T4068T4068-0252
S-Series Stand Alone (SSA) - Access - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at) and 4
10GBASE-X Ethernet ports via SFP+ (Power supplies not included - Please order separately)
SSASSA-T1068T1068-0652
S-Series Stand Alone (SSA) - Distribution &Core - 48 Ports 10/100/1000BASE-T via RJ45 with PoE (802.3at)
and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included - Please order separately)
SSASSA-G1018G1018-0652
S-Series Stand Alone (SSA) - Distribution/Core - 48 Ports 1000BASE-X via SFP and 4 10GBASE-X Ethernet ports
via SFP+ (Power supplies not included - Please order separately)
SSASSA- ACAC-PSPS-600W
S-Series Stand Alone (SSA) - AC power supply (600 W)
SSASSA- ACAC-PSPS-1000W
SSA Chassis AC power supply, 15A, 110-240VAC input, (1000/1200 W), (Not for use in Japan)
SSASSA-FANFAN-KIT
S-Series Stand Alone (SSA) - Replacement fan assembly (Single Fan)
Optional Licenses
S-EOSEOS-L3L3-S150
S-Series Advanced Routing License, (For use on S150 Class Modules), (Enables L3 GRE tunnels)
S-EOSEOS-L3L3-S130
S-Series Advanced Routing License (For use on S130 Class Modules) (Enables VRF, BGP)
S-EOSEOS-PPC
S-Series Per Port User Capacity License Upgrade (For use on S130 Class Modules)
S-EOSEOS-VSB
S-Series Multi-slot Virtual Switch Bonding License Upgrade (For use on S130/S150 Class Modules)
SSASSA-EOSEOS-VSB
S-Series SSA Virtual Switch Bonding License Upgrade (For use on SSA Only)
SSASSA-EOSEOS-2XUSER
SSA S150 double user capacity license
Bundles
S1S1-S150S150-10G10G-BUN
S1 Chassis and fan tray, (2) 1000W power supplies, 16 ports SFP+ (SK1208-0808-F6 and (2) SOK1208-0204)
S3S3-108SFP108SFP-BUN
S3 Chassis SFP Bundle, 108 Ports SFP, 4 ports SFP+
S4S4-64SFPP64SFPP-BUN
S4 Chassis SFP+ Bundle, 64 Ports SFP+
S6S6-96SFPP96SFPP-BUN
S6 Chassis SFP+ Bundle, 96 Ports SFP+
S8S8-348TRPL348TRPL-BUN
S8 Chassis Triple Speed Bundle, 348 Ports Triple Speed, 4 ports SFP+
265
Produktportfolio
Enterasys WLAN
Die Enterasys WLAN Lösung stellt die zentrale Infrastruktur zur Verfügung, um
mobile Anwendungen einfach, sicher und mit einer hohen Verfügbarkeit
kosteneffizient betreiben zu können. Hierdurch wird die Integration von neuen
Anwendungen ohne zusätzlichen Invest in die Infrastruktur möglich. Durch die hohe
Intelligenz des Systems ist es möglich eine Vielzahl von Anwendungen auf dieser
WLAN-Infrastruktur zu betreiben und gleichzeitig der jeweiligen Anwendung die von
ihr geforderten Bandbreiten und Dienstgüten zur Verfügung stellen zu können. Die
Lösung besteht aus folgenden Hauptbestandteilen, auf die Nachfolgend detailliert
eingegangen wird:
Enterasys Wireless Portfolio
Die Lösung erlaubt eine Vielzahl von Topologien und Designs, um die komplexen
Anforderungen heutiger Netze zu erfüllen. Weiterhin ist die Lösung vollständig in das
bestehende Enterasys-Portfolio integriert, um ein einheitliches Verwaltung zu
ermöglichen. So ist z.B das Management der Komponenten aus der NMS Console,
dem Policy Manager und dem Inventory Manager möglich. Eine vollwertige
Gästelösung inklusive Captive Portal und Accountverwaltung läuft ebenso auf den
Controllern. Zusätzlich besteht die Möglichkeit einer einheitlichen Gästelösung für
LAN und WLAN über das NAC Gateway. Reporting und Dashboard Funktionen
werden vom neuen NetSight Plug-In OneView übernommen. Das controllerübergreifende Konfigurieren der WLAN Umgebung übernimmt der WLAN Manager.
Produktportfolio
266
Zum Erweitern bestehender LANs oder zur Abdeckung von Außenbereichen
unterstützen alle APs (Ausnahme AP 2605) Wireless Distribution Servcie (WDS) im
Point-to-Point oder Point-to-Multipoint Modus. Hierbei sind theoretisch bis zu 8 Hops
möglich.
WDS Beispielszenario 1
WDS Beispielszenario 2
267
Produktportfolio
Alle Access Points unterstützen durch die einzigartige VNS (Virtual Network Service)
Architektur eine Vielzahl von Netzwerktopologien, Designs und Parameter:
VNS Architektur mit Parametern
Die VNS-Architektur erlaubt es, die Topologien vor und nach einer Authentifizierung
flexibel zu ändern. Dadurch wird es zum Beispiel möglich, in einer Infrastruktur mit
vielen Außenstellen die Gäste zentral am Gästeportal des Controllers in der
Hauptstelle zu authentifizieren und nachdem dies erfolgreich durchgeführt wurde,
durch Ändern der Topologie, den Traffic des WLAN-Clients dezentral in der
Außenstelle auszubrechen.
Beispiel: zentrale Gästeauthentifizierung in der Hauptstelle und dezentraler
Ausbruch nach erfolgreicher Authentifizierung in Außenstelle
Produktportfolio
268
Weiterhin erlaubt diese Architektur das so genannte single SSID Design. Dadurch
werden die Rechte des Users an dessen Identiät gebunden - nicht nur an die SSID.
•
per User Topologie
•
per User/ Applikation QoS und Ratelimit
•
per User ACL
Somit werden weniger SSIDs benötigt, was zu einer einfacheren Konfiguration der
Clients führt. Weiterhin ergeben sich durch die geringere Anzahl von Beacons
weniger Störungen in der Luft, was zu einer Verbesserung der Performance führt.
Diese wenigen SSIDs können zusätzlich einfacher gegen Angriffe geschützt werden.
Enterasys Wireless Access Points und Sensoren
Es gibt je nach Anforderung 6 Modellgruppen zur Auswahl. Bei allen Modellgruppen
gibt es jeweils eine Variante mit externen Antennenanschlüssen sowie eine Variante
mit internen Antennen. Eine Ausnahme hierbei ist der RBT-4102 der sowohl über
interne Antennen als auch externe Antennenanschlüsse verfügt. Die Access Points
AP 2630, AP 2640, AP 3630, AP 3640 sowie der RBT-4102 verfügen über ein ThickAP Image. Dieses kann über ein kostenfreies Firmware Upgrade auf ein Fit-Image
geändert werden, so dass der AP vollwertig in einer Controllerumgebung arbeiten
kann. Nach unten rundet der AP 2605 das Portfolio ab. Auch dieser Access Point
hat 2 Radios, allerdings sind die externen Antennen fest montiert und nicht
abnehmbar. Weiterhin wird direkt am Access Point kein WDS und keine Filterregeln
unterstützt. Nun ist mit dem AP 3660 auch ein vollwertiger 11n Outdoor Access
Point verfügbar.
Enterasys AP 3605 / Enterasys AP 3610 (interne Antennen) und Enterasys AP 3620
(externe Antennen)
•
Volle 11n Funktion mit 802.3af PoE
Vorteile:
Keine propritäre PoE-Infrastruktur nötig
Kein Upgrade der Edge-Switche nötig
Keine Kompromisse bei der Performance nötig
Kosteneffizienz durch geringe Leistungsaufnahme
Einfache und kostengünstige Migration zu 11n
•
3x3 MIMO
269
Produktportfolio
•
Beide Radios sind abwärtskompatibel mit 5 Ghz 802.11 a/n und 2,4 Ghz
802.11g/g/n
•
Kanalbündelung (20Mhz & 40 Mhz)
•
DFS2 Unterstützung – alle Kanäle in 5 Ghz Bereich verfügbar
•
Dual Radio 802.11a/n + b/g/n
•
Multi-SSID (16 per AP) mit individueller Unterdrückung
•
Load Balancing & Auto Failover
•
Plug & Play Installation mit Auto-Discover und zentraler Konfiguration
•
10/100/1000baseT mit 802.3af PoE (Lieferung ohne Netzteil)
•
Wand- & Deckenmontage, Plenum-Gehäuse
•
AP 3605 arbeitet mit 2x3 MIMO und unterstützt keine Mitigator-, Sensor- und
WDS-Funktion
Enterasys AP 3610 / AP 3605
Enterasys AP 3620
(interne Antennen)
(externe Antennen)
Produktportfolio
270
Enterasys AP 2605 / Enterasys AP 2610 (interne Antennen) und Enterasys AP 2620
(externe Antennen)
•
Dual Radio 802.11a + b/g
•
•
•
•
10/100baseT mit 802.3af PoE (Lieferung ohne Netzteil)
•
•
AP 2605 unterstützt keine Mitigation-, Sensor- und WDS-Funktion
Enterasys AP 2605
Enterasys AP 2610
Enterasys AP 2620
Enterasys AP 2650 (interne Antennen) und Enterasys AP 2660 (externe Antennen)
•
Outdoor AP für extreme Umweltanforderungen
•
•
•
•
•
•
Temperaturbereich von -40°C bis +70°C
•
IP65 – resistent gegen Vibration, Dunst und Wasser
271
Produktportfolio
•
Vibrationsgeprüft – keine sichtbaren Anschlüsse
•
Zertifizierungen: ATEX, cULus, FM, NEMA 4x, Class 1 Div 2 rating (non
incentive)
Enterasys AP 2630 (interne Antennen) und Enterasys AP 2640 (externe Antennen) –
StandaloneStandalone-APs
•
•
Multi-SSID & VLANs (8 per AP) mit individueller Unterdrückung
•
WEB-GUI für Konfiguration – Upgrade auf Fit-AP möglich
•
Plug & Play Installation
•
Robustes, standardisiertes QoS
•
VLAN-Trunking
•
Multi-Protokoll-Unterstützung: 802.11e, 802.11d,802.11h, TSPEC, U-APSD
•
•
Produktportfolio
272
Enterasys AP 2630
Enterasys AP 2640
(interne Antennen)
(externe Antennen)
Enterasys AP 3630 (interne Antennen) und Enterasys AP 3640 (externe Antennen) –
StandaloneStandalone-APs
•
Dual Radio 802.11a/n + b/g
•
•
WEB-GUI für Konfiguration – Upgrade auf Fit-AP möglich
•
Plug & Play Installation
•
Robustes, standardisiertes QoS
•
VLAN-Trunking
•
Multi-Protokoll-Unterstützung: 802.11e, 802.11d, 802.11h, TSPEC, U-APSD
•
•
•
WDS
•
802.1x
273
Produktportfolio
Enterasys AP 3630
Enterasys AP 3640
(interne Antennen)
(externe Antennen)
Enterasys AP 3660 11n Outdoor AP
•
3x3 MIMO
•
Beide Radios sind abwärtskompatibel mit 5 Ghz 802.11a/n und 2,4Ghz
802.11g/n
•
Kanalbündelung (20 Mhz & 40 Mhz)
•
GFS2 Unterstützung – alle Kanäle im 5 Ghz Bereich verfügbar
•
Dual Radio 802.11a/n + b/g/n
•
•
•
•
•
Geeignet für Außenmontage -40 C bis 60 C
•
Optionales Outdoor Power Supply
•
6 externe Antennenanschlüsse
Produktportfolio
274
AP 3660
Q3/2012 wird unsere neue AP37XX-Serie erwartet. Diese wird mit unten genannten
Typen und Funktionen ausgestattet:
AP3705
•
2x2: 2 Streams
•
2 Funkradios
•
Spectrum Analyse PoE 802.3af
•
Beamforming
275
Produktportfolio
AP3710 – I (internal Antennas) –E (external Antennas)
•
3x3 3 Streams (450 Mbit per radio)
•
2 Funkradios
•
Spectrum Analyse PoE 802.3af (at)
•
Beamforming
AP3725 – I (internal Antennas) –E (external Antennas) – gleiche Bauform wie 3710
•
3x3 3 Streams (450 Mbit per radio)
•
2x 1GE NICs
•
2 Funkradios für Client Traffic
•
Ein 2x2 Dualradio für Sensor-Funktionen
•
Spectrum Analyse PoE 802.3at
•
Beamforming
Produktportfolio
276
Part Nummer
Beschreibung
Thin Access Points
WSWS-AP2605
Dual Radio 802.11a/b/g indoor access point with two integrated dual-band diversity omnidirectional antennas
WSWS-AP2610
Dual Radio 802.11a/b/g indoor access point with two internal dual-band diversity omnidirectional antennas
WSWS-AP2620
Dual Radio 802.11a/b/g indoor access point with two detachable dual-band diversity omnidirectional antennas
WSWS-AP2650
Dual Radio 802.11a/b/g outdoor access point with internal dual-band diversity omnidirectional antennas
WSWS-AP2660
Dual Radio 802.11a/b/g outdoor access point with four RP SMA connectors (Note: antennas not included)
WSWS-AP3605
Dual Radio 802.11a/b/g/n indoor access point with six internal dual-band omnidirectional antennas (Note: 2x3
MIMO)
WSWS-AP3610
Dual Radio 802.11a/b/g/n indoor access point with six internal dual-band omnidirectional antennas
WS--AP3620
WS
Dual Radio 802.11a/b/g/n indoor access point with three detachable dual-band omnidirectional antennas
WSWS-AP3660
Dual Radio 802.11a/b/g/n outdoor access point with six external reverse polarity type-N jack connectors (Note:
antennas not included)
Standalone Access Points (Note: All standalone APs can be operated as a thin AP)
WSWS-AP2630AP2630-EU
Dual Radio 802.11a/b/g standalone indoor access point with two internal dual-band diversity omnidirectional
antennas - Rest of World (Limited Country Availability)
WSWS-AP2640AP2640-EU
Dual Radio 802.11a/b/g standalone indoor access point with external dual-band diversity antenna - Rest of World
(Limited Country Availability)
WSWS-AP3630AP3630-ROW
Dual Radio 802.11a/b/g/n standalone indoor access point with internal dual-band antenna - Rest of World (Limited
Country Availability)
WSWS-AP3640AP3640-ROW
Dual Radio 802.11a/b/g/n standalone indoor access point with external dual-band antenna - Rest of World (Limited
Country Availability)
Enterasys Wireless Controller
Zur Zeit befinden sich 4 Modelle im Portfolio. Alle unterstützen das selbe Featureset
und unterscheiden sich lediglich in der Anzahl der unterstützten Access Points und
Hardware. Besonders zu erwähnen ist der Hochverfügbarkeitsmodus der Controller.
In diesem können die Access Points ohne zu rebooten von einem Controller zum
Backup-Controller wechseln. Dies erlaubt z.B. eine hoch verfügbare VoWLANUmgebung, in der es selbst dann zu keiner Gesprächsunterbrechung kommt, wenn
einer der Controller ausfällt. Weiterhin sind hierfür keine zusätzlichen Lizenzen auf
den Backup-Controller nötig. Durch das Fit-Design der Access Points können diese,
mit dem richtigen Design, selbst bei vollständigem Ausfall der Controller den WLANService anbieten. Dies funktioniert selbst beim Reboot des Access Points und
weiterem Ausfall der Controller.
Zur Konfiguration der WLAN-Infrastruktur ist bei allen Controllern der Enterasys
Assistent inklusive. Zusätzlich zu den Controllern und Lizenzen für die zu
unterstützende Access Point Anzahl ist jeweils pro Controller ein „Regulatory Domain
Key“ nötig, um die gesetzlichen Bestimmungen hinsichtlich Leistung und Kanalwahl
einzuhalten. Für den europäischen Bereich ist dies der „WS-CTLREG8P-ROW“.
277
Produktportfolio
Enterasys Wireless Service Engine V2110
Enterasys hat als erster Hersteller in 2011 einen virtuellen WLAN Controller auf dem
Markt gebracht. Dieser wird in folgenden Parametern ausgeliefert:
•
VMware ESXi 4.1
•
8-120 APs supported
•
240 APs in H/A
•
2 GigE Interfaces
•
1 GigE Management Interface
•
2048 Users
Voraussetzungen der ESX Plattform:
•
CPU mit 4 Cores
•
2 GB RAM
•
2x1 Gbps Data Plan Ethernet Interfaces
♦
•
1x1 Gbps Admin Port
♦
•
Kann auf dem Gerät konfiguriert werden, wenn nötig
USB Controller
♦
•
E1000 Driver
Serial Port fähig
♦
•
VMXNet3 Driver
Enabled für USB Flash Drives
25 GB „SCSI“ Disk
Er kann mit folgender Bestellnummer geordert werden: WS-V2110-8-ROW. Ein
weiterer Länder Key ist nicht nötig.
Produktportfolio
278
Enterasys Wireless C25 Controller
•
2x10/100/1000 BaseT Ports
•
Data und Control-Plane auf einer CPU
•
Einfacher Power Supply
•
Interne Festplatte
•
1.0 U (19” rack)
•
Lieferung mit 16 AP Unterstutzung, via Lizenz auf 48 erweiterbar, 96
•
APs im High-Availability –Modus (Upgrade im 16 AP Step)
•
4x10/100/1000 BaseT Port + 1 Mgmt. Port 10/100/1000 Base T
•
Dual, Hot-swap Power Supplys
•
Hot-swap Lüfter
•
Internes Hard-Drive Raid 1
•
1 U (19” rack)
•
Lieferung mit 50 AP Unterstützung, via Lizenz auf 250 erweiterbar, 500 APs
im High-Availability –Modus (Upgrade in 25 AP Steps)
279
Produktportfolio
•
1x10/100/1000 BaseT Port
•
2x10G Short Range LC Anschluss Ports
•
Dual, Hot-swap Power Supplys
•
Hot-swap Lüfter
•
Internes Hard-Drive
•
1 U (19” rack)
•
Lieferung mit 150 AP Unterstützung, via Lizenz auf 525 erweiterbar, 1050
APs im High-Availability –Modus (Upgrade in 25 AP Steps)
Produktportfolio
280
Enterasys Wireless Management Suite
siehe Enterasys NetSight Console
Kabel und Blitzschutz
Part Nummer
Beschreibung
RBT4K-AG-T20F
20 inch Pigtail cable for the 4102, 2620, and 36xx with a Reverse SMA Female connector to Reverse N Plug
Connector
RBT4K-AG-PT20M
20 inch Pigtail cable for the 4102, 2620, and 36XX with a Reverse SMA Female connector to Reverse N Jack
Connector
RBTES-L200-C20F
20 feet of LMR200 cable with Reverse N Female Connector
RBTES-L400-C06F
LMR400 - 6FT cable REV-N plug
RBTES-L400-C50F
RBTES-L400-C75F
RBTES-L600-C25F
25 feet of LOW Loss LMR600 cable with Reverse N Female Connector
RBTES-L600-C50F
50 feet of LOW Loss LMR600 cable with Reverse N Female Connector
RBTES-AG-LPM
RoamAbout Lightening Protector 2.4/5GHz Reverse N Male
Antennen
Part Nummer
Beschreibung
WS-AI-2S03360
Indoor, 2.4-2.5 GHz, 3.5dBi, Omni, Ceiling mount (for AP2620)
WS-AI-DS06360
Indoor, 2.3-2.7/4.9-6 GHz,5/6dBi, Omni, Ceiling mount (for AP2620)
WS-AI-DT04360
Indoor, 2.4-2.5/4.9-5.9 GHz, Triple-feed, 3/4 dBi, Omni, Ceiling (for AP3620)
WS-AI-DT05120
Indoor, 2-3-2.7/4.9-6.1 GHz, Triple-feed, 5 dBi, 120 deg, Sector (for AP3620)
WS-AIO-2S07060
In/Outdoor 2.4 -2.5 GHz, 7.5 dBi, 60 deg, Panel (for AP2620)
WS-AIO-2S14090
In/Outdoor, 2.4-2.485 GHz, 14 dBi, 90deg, Panel (for AP2620)
WS-AIO-2S18018
In/Outdoor, 2.3-2.5 GHz, 18 dBi, 18 deg, Panel (for AP2620)
WS-AIO-5S12060
In/Outdoor, 5.15-5.35 GHz, 12 dBi, 60 deg, Panel (for AP2620)
WS-AIO-5S15090
In/Outdoor, 4.9-6 GHz, 14/15 dBi, 90/60deg, Panel (for AP2620)
WS-AIO-5S17017
In/Outdoor, 5.47-5.85 GHz, 17 dBi, 17deg, Panel (for AP2620)
WS-AIO-DS05120
In/Outdoor, 2.4-2.5/4.9-5.9 GHz, 5 dBi, 120 deg, Panel/Ceiling (for AP2620)
WS-AO-5D16060
Outdoor, 5.15-5.875 GHz, Dual-polarization 16 dBi, 60deg, Sector (for AP3620)
WS-AO-5D23009
Outdoor, 5.15-5.875 GHz, Dual-polarization, 23 dBi, 9 deg, Panel (for AP3620)
WS-AO-DS05360
Outdoor, 2.4-2.5/5.15-5.875 GHz, 5 dBi, Omni, Baton (for AP 2620/ 3620)
281
Produktportfolio
WĂƌƚEƵŵŵĞƌ
ĞƐĐŚƌĞŝďƵŶŐ
t^ͲEdϬϭ
ǆƚĞƌŶĂůƵĂůĂŶĚŶƚĞŶŶĂĨŽƌWϮϲϮϬ͕Ϯ͘ϰͬϱ',ǌ͕ϰͬϱĚŝ;^ƉĂƌĞͿ
t^ͲEdϬϮ
ǆƚĞƌŶĂůƵĂůĂŶĚŶƚĞŶŶĂĨŽƌWϯϲϮϬ͕Ϯ͘ϰͬϱ',ǌ͕ϰͬϱĚŝ;^ƉĂƌĞͿ
t^ͲͲZW^DdZD
ĐĐĞƐƐƉŽŝŶƚĂŶƚĞŶŶĂƉŽƌƚƚĞƌŵŝŶĂƚŽƌ;ZͲ^DƉůƵŐϱϬK,DϭtͿ͘ZĞƋƵŝƌĞĚƚŽ
ƚĞƌŵŝŶĂƚĞƵŶƵƐĞĚƉŽƌƚƐŝŶŽƵƚĚŽŽƌŝŶƐƚĂůůĂƟŽŶƐ͘
Montage
Enterasys Wireless AP2620 Antenneninstallationsbeschreibung
1
Antenna connector (Reverse Polarity Type-N jack)
2
Cable from antenna to lightning protector (Reverse Polarity Type- N plugs on
both ends)
3
Lightning protector (Reverse Polarity Type-N jacks on both ends)
4
Lightning protector ground terminal
5
Cable from lightning protector to AP pigtail (Reverse Polarity Type- N plugs on
both ends)
6a
AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N jack)
6b
AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N plug)
7
AP pigtail connector to AP external antenna connector.
8
AP2620 Access Point
9
Connection to switch
Produktportfolio
282
Enterasys Wireless AP3620 Antenneninstallationsbeschreibung
1
Antenna connector (Reverse Polarity Type-N jack)
2
Cable from antenna to lightning protector (Reverse Polarity Type- N plugs on
both ends)
3
Lightning protector (Reverse Polarity Type-N jacks on both ends)
4
Lightning protector ground terminal
5
Cable from lightning protector to AP pigtail (Reverse Polarity Type- N plugs on
both ends)
6a
AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N jack)
6b
AP pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N plug)
7
AP pigtail connector to AP external antenna connector.
8
AP3620 Access Point
9
Terminator cap. A terminator cap is used when the AP does not perform
wireless data transmission on this connector.
10
Connection to switch
283
Produktportfolio
Weitere Infos bezüglich Antennen/ Antenneninstallation unter:
https://extranet.enterasys.com/sites/dms/DMSAssetLib/Product%20Lines/HiPath%
20Wireless%20Access%20Points/Documents/HiPath%20Wireless%20Guides/Antennas%
20and%20Accessories/9034559-02_HWAP_ExtAnt_InstGde.pdf
Media Interface Converter
Steckbare Transceiver liefern Geschwindigkeits- und Medien-Flexibilität für
Enterasys Produkte, die über entsprechende Ports verfügen. Alle EnterasysTransceiver sind von höchster Qualität und in Übereinstimmung mit den
Industriestandards. Enterasys testet die Transceiver in Verbindung mit allen
Produktplattformen, um Kompatibilität und Compliance zu gewährleisten. Es sind
unterschiedliche Medientypen, Portgeschwindigkeiten und Übertragungsentfernungen verfügbar, um sich jeglicher Umgebung anzupassen.
Enterasys Transceiver bieten Konnektivitätsoptionen für Ethernet über Twisted-PairKupfer- und Glasfaserkabel mit Übergangsgeschwindigkeiten von 100 Megabit pro
Sekunde bis zu 10 Gigabit pro Sekunde. Twisted-Pair-Kupfer-Transceiver
unterstützen Übertragungsentfernungen von bis zu 100 Meter; optische Transceiver
unterstützen Multi-Mode und Single-Mode Faserkabeltypen mit Übertragungsdistanzen von bis zu 110 Kilometern. Direct-Connect Kupfer- und GlasfaserkabelLösungen mit integrierten Transceivern bieten kostengünstige Optionen für 10
Gigabit Ethernet Konnektivität mit Entfernungen von 1 bis 20 Metern.
Produktportfolio
284
Fast Ethernet
Produktportfolio
100 Mbps Modular Interfaces
SFP Modules
Kategorie
Modell
MGBIC-LC04
MGBIC-LC05
MGBIC-N-LC04
Stapelbare
Switche
B5
x
x
x
C5
x
x
x
Modulare Chassis Produkte
S-Serie
x
x
x
G-Serie
G3
x
x
x
D-Serie
D2
x
x
Transceiver Kompatibilität
Gigabit Ethernet
Produktportfolio
1 Gbps Ethernet Modular Interfaces
SFP Modules
x
x
x
x
x
x
x
x
B5
x
x
x
x
x
x
x
x
C5
x
x
x
x
x
x
x
x
S-Serie
S-Serie
x
x
x
x
x
x
x
XSR
XSR
G-Serie
G3
x
x
x
x
x
x
x
x
D-Serie
D2
x
x
x
x
x
x
x
x
I-Serie
I-Serie
Security
NAC
x
x
x
x
x
x
x
x
x
x
x
x
x
2S4082-25-SYS
7S4280-19-SYS
I-MGBIC-GTX
A4
I-MGBIC-GZX
Stapelbare
Switche
I-MGBIC-GSX
Modell
I-MGBIC-GLX
MGBIC-MT01
MGBIC-BX10-D
MGBIC-BX10-U
MGBIC-LC09
MGBIC-LC07
MGBIC-LC03
MGBIC-LC01
MGBIC-08
Sub-Modell
MGBIC-02
Kategorie
x
x
x
285
Produktportfolio
10 Gigabit Ethernet
Produktportfolio
10 Gbps Ethernet Modular Interfaces
XFP Modules
SFP+
Interconnect
Cable Assemblies
Laserwire
Cables
Modell
Stapelbare
Switche
B5
x
x
x
x
x
x
x
x
C5
x
x
x
x
x
x
x
x
S-Serie
S-Serie
x
x
x
x
x
x
x
x
G3
G3K-IOMs
x
x
x
x
x
x
10GB-LW-XFP
10GB-LW-SFPP
10GB-C10-SFPP
10GB-C03-SFPP
10GB-C-01-SFPP
10GB-ER-SFPP
10GB-LRM-SFPP
10GB-LR-SFPP
10GB-SR-SFPP
10GBASE-ZR-XFP
10GBASE-ER-XFP
10GBASE-LR-XFP
10GBASE-LRM-XFP
10GBASE-SR-XFP
10GBASE-CX4-XFP
Kategorie
G-Serie
Sub-Modell
SFP+ Modules
x
Transceiver Spezifikationen—
Spezifikationen—10 Gigabit Ethernet
10GBASE10GBASE -ZRZR-XFP
10GBASE10GBASE -ER**
Typ
XFP
XENPAK
Connector Typ
LC
SC
Kabeltyp
SMF
SMF
Core Größe (microns)
9
9
-
Modal B/W MHzMHz-Km
-
Max. Distanz
80 km
40 km
Wellenlänge nm
1550
1550
Tx Power Min/Max dBm
0 / 4,0
-1 / 2
Rx Min/Max dBm
-25 / -7,0
-16 / -1,0
Link Power Budget dB
25
15
Notiz
Benötigt min.11 dB Dämpfung
Benötigt min. 3 dB Dämpfung. Mehr als
30 km lange Links benötigten eine kleiner
Dämpfung für B1.1 oder B1.3 Single
Mode Fibre
Produktportfolio
286
10GBASE10GBASE -ERER-XFP
10GBASE10GBASE -ERER-SFPP
Typ
XFP
SFP+
Connector Typ
LC
LC
Kabeltyp
SMF
SMF
9
9
Modal B/W MHzMHz-Km
-
-
Max. Distanz
40 km
40 km
Wellenlänge nm
1550
1550
-1 / 2
-1 / 2
Rx Min/Max dBm
-16 / -1,0
-16 / -1,0
15
15
Notiz
Benötigt min. 3 dB Dämpfung. Mehr als 30
km lange Links benötigten eine kleiner
Dämpfung für B1.1 oder B1.3 Single Mode
Fibre
Benötigt min. 3 dB Dämpfung. Mehr als 30
km lange Links benötigten eine kleiner
Dämpfung für B1.1 oder B1.3 Single Mode
Fibre
10GBASE10GBASE -LR**
10GBASE10GBASE -LRLR-XFP
Typ
XENPAK
XFP
Connector Typ
SC
LC
Kabeltyp
SMF
SMF
9
9
Modal B/W MHzMHz-Km
-
-
Max. Distanz
10 km
10 km
Wellenlänge nm
1310
1310
-8,2 / 0,5
-14,4 / 0,5
Rx Min/Max dBm
-16 / -1,0
-16 / -1,0
6,2
6,2
287
Produktportfolio
10GB10GB-LRLR-SFPP
10GBASE10GBASE -SR**
Typ
SFP+
XENPAK
Connector Typ
LC
SC
Kabeltyp
SMF
SMF
9
62,5 (OM1)
50 (OM2)
50 (OM3)
50 (OM4)
Modal B/W MHzMHz-Km
-
200
500
2000
4700
Max. Distanz
10 km
33 m
82 m
300 m
550 m
Wellenlänge nm
1310
850
-8,2 / 0,5
-7,3 / 1,0
Rx Min/Max dBm
-16 / -1,0
-9,9 / -1,0
6,2
2
10GBASE10GBASE -SRSR-XFP
10GBASE10GBASE -SRSR-SFPP
Typ
XFP
SFP+
Connector Typ
LC
LC
Kabeltyp
MMF
MMF
62,5 (OM1)
50 (OM2)
50 (OM3)
50 (OM4)
62,5 (OM1)
50 (OM2)
50 (OM3)
50 (OM4)
Modal B/W MHzMHz-Km
200
500
2000
4700
200
500
2000
4700
Max. Distanz
33 m
82 m
300 m
550 m
33 m
82 m
300 m
550 m
Wellenlänge nm
850
850
-7,3 / 1,0
-7,3 / 1,0
Rx Min/Max dBm
-9,9 / -1,0
-9,9 / -1,0
2,6
2,6
Produktportfolio
288
10GBASE10GBASE -LRMLRM-XFP
10GB10GB-LRMLRM-SFPP
Typ
XFP
SFP+
Connector Typ
LC
LC
Kabeltyp
MMF
MMF
62,5 (OM1)
50 (OM2)
50 (OM3)
62,5 (OM1)
50 (OM2)
50 (OM3)
Modal B/W MHzMHz-Km
500
500
500
500
500
500
Max. Distanz
220 m
220 m
220m
220 m
220 m
220m
Wellenlänge nm
1310
1310
-4,5 / 1,5
-4,5 / 1,5
Rx Min/Max dBm
-6,5 / 1,5
-6,5 / 1,5
2
2
Notiz
XFP – OM1 und OM2 benötigen MCP
SFP+ - Kein Mode Conditioning Patch Cord
(MC)P benötigt
10GBASE10GBASE -LX4**
10GBASE10GBASE -CX4CX4-XFP
Typ
XENPAK
XFP
Connector Typ
SC
CX4
Kabeltyp
MMF
Kupfer CX4
62,5 / 50
-
Modal B/W MHzMHz-Km
500
-
Max. Distanz
300 m
15 m
Wellenlänge nm
1275, 1300, 1325, 1350
-
-7,3 / -1,0
-
Rx Min/Max dBm
-9,9 / -1,0
-
2,6
-
Notiz
OM1 und OM2 MMF benötigen Mode
Conditioning Patch Cords
Kompatibel mit CX4 compliant Kabeln bis
zu 15 m in Länge
289
Produktportfolio
10GB10GB-C01C01-SFPP
Typ
SFP+
SFP+
Connector Typ
Integriertes SFP+
Integriertes SFP+
Kabeltyp
Kupfer
Kupfer
-
-
Modal B/W MHzMHz-Km
-
-
Max. Distanz
1m
3m
10 m
1m
3m
10 m
Wellenlänge nm
-
-
-
-
Rx Min/Max dBm
-
-
-
-
Notiz
Pre-terminated Kupferkabel mit
integrierten SFP+ Connector Modulen
integrierten SFP+ Connector Modulen
10GB10GB-LWLW-SFPP
10GB10GB-LWLW-XFP
Typ
SFP+
SFP+
XFP
Connector Typ
Integriertes SFP+
-
-
Kabeltyp
Kupfer
-
-
-
-
-
Modal B/W MHzMHz-Km
-
-
-
Max. Distanz
1m
3m
10 m
-
-
Wellenlänge nm
-
-
-
-
-
-
Rx Min/Max dBm
-
-
-
-
-
-
Notiz
integrierten SFP+ Connector
Modulen
Laserwire (LW) SFP+ Adapter
Laserwire (LW) XFP Adapter
Produktportfolio
290
10GB10GB-LWLW-03
10GB10GB-LWLW-05
Typ
LW Adapter
LW Adapter
Connector Typ
Integrierter LW
Integrierter LW
Kabeltyp
MMF
MMF
-
-
Modal B/W MHzMHz-Km
-
-
Max. Distanz
3m
5m
Wellenlänge nm
850
850
-
-
Rx Min/Max dBm
-
-
-
-
Notiz
Pre-terminated Laserwire-Kabel mit
integrierten Transceivers. Benötigt SFP+
oder XFP Adapter
oder XFP Adapter
10GB10GB-LWLW-10
10GB10GB-LWLW-20
Typ
LW Adapter
LW Adapter
Connector Typ
Integrierter LW
Integrierter LW
Kabeltyp
MMF
MMF
-
-
Modal B/W MHzMHz-Km
-
-
Max. Distanz
10 m
20 m
Wellenlänge nm
850
850
-
-
Rx Min/Max dBm
-
-
-
-
Notiz
oder XFP Adapter
oder XFP Adapter
*Übertragungsdistanzen werden nur als Richtwert genannt; nutzen Sie die
optischen Spezifikationen und die spezifischen Characteristiken ihrer FiberInstallation, um die erreichbaren Distanzen festzulegen.
**Abgekündigtes Produkt; Spezifikationen sind nur als Referenz aufgeführt.
291
Produktportfolio
Transceiver Spezifikationen—
Spezifikationen—Gigabit Ethernet
MGBICMGBIC-LC07
MGBICMGBIC-08
Typ
SFP
SFP
Connector Typ
LC
LC
Kabeltyp
SMF
SMF
9
9
Modal B/W MHzMHz-Km
-
-
Max. Distanz
110 km
80 km
Wellenlänge nm
1550
1550
0 / +5,0
0 / +5,0
Rx Min/Max dBm
-30 / -9
-24 / -3
30
24
Notiz
Benötigt minimum 14 dB Dämpfung
Benötigt minimum 8 dB Dämpfung
I-MGBICMGBIC-GZX
MGBICMGBIC-LC09
Typ
SFP
SFP
Connector Typ
LC
LC
Kabeltyp
SMF
SMF
9
9
Modal B/W MHzMHz-Km
-
-
Max. Distanz
80 km
10 km
Wellenlänge nm
1550
1310
0 / +5,0
9,5 / -3
Rx Min/Max dBm
-24 / -3
-20 / -3
24
10,5
Notiz
Benötigt minimum 8 dB Dämpfung, I-MGBIC für I-Serie nur -40° bis +60°C
I-MGBICMGBIC-GLX
MGBICMGBIC-BX10BX10-D
Typ
SFP
SFP
Connector Typ
LC
Simplex LC
Kabeltyp
SMF
SMF
9
9
Modal B/W MHzMHz-Km
-
-
Max. Distanz
10 km
10 km
Wellenlänge nm
1310
Tx 1490, Rx 1310
9,5 / -3
-9 / -3
Rx Min/Max dBm
-20 / -3
-22 / -3
10,5
13
Notiz
I-MGBIC für I-Serie nur -40° bis +60°C
Single Fiber Applikation, müssen in D- & U-Paaren genutzt werden
Produktportfolio
292
MGBICMGBIC-BX10BX10-D
MGBICMGBIC-LC03
Typ
SFP
SFP
Connector Typ
Simplex LC
LC
Kabeltyp
SMF
MMF
9
62,5
50
Modal B/W MHzMHz-Km
-
160
400
Max. Distanz
10 km
2 km
1 km
Wellenlänge nm
Tx 1310, Rx 1490
1310
-9 / -3
-9 / -1
Rx Min/Max dBm
-22 / -3
-19 / -1
13
10
Notiz
Single Fiber Applikation, SFP's müssen in Dund U-Paaren genutzt werden
Keine Mode Conditioning Patch Cords nötig
MGBICMGBIC-LC01
I-MGBICMGBIC-GSX
MGBICMGBIC-MT01
Typ
SFP
SFP
SFP
Connector Typ
LC
LC
MTRJ
Kabeltyp
MMF
MMF
MMF
62,5
62,5
50
50
62,5
62,5
50
50
62,5
62,5
50
50
Modal B/W MHzMHz-Km
160
200
400
500
160
200
400
500
160
200
400
500
Max. Distanz
220 m
275 m
500 m
550 m
220 m
275 m
500 m
550 m
220 m
275 m
500 m
550 m
Wellenlänge nm
850
850
850
-9,5 / -3
-9,5 / -3
-9,5 / -3
Rx Min/Max dBm
-17 / 0
-17 / 0
-17 / 0
7,5
7,5
7,5
Notiz
I-MGBIC für I-Serie nur -40° bis
+60°C
293
Produktportfolio
MGBICMGBIC-02
I-MGBICMGBIC-GTX
Typ
SFP
SFP
Connector Typ
RJ45
RJ45
Kabeltyp
Cat5, Twisted Pair
Cat5, Twisted Pair
-
-
Modal B/W MHzMHz-Km
-
-
Max. Distanz
100 m
100 m
Wellenlänge nm
-
-
-
-
Rx Min/Max dBm
-
-
-
-
Notiz
I-MGBIC für I-Serie nur -40° bis +60°C
Transceiver Spezifikationen – 100 Megabit Ethernet
MGBICMGBIC-LC05
MGBICMGBIC-LC04
Typ
SFP
SFP
Connector Typ
LC
LC
Kabeltyp
SMF
MMF
9
62,5
50
Modal B/W MHzMHz-Km
-
160
400
Max. Distanz
10 km
2 km
Wellenlänge nm
1310
1310
-15 / -8
-20 / -15
Rx Min/Max dBm
-28 / -8
-30 / -14
13
Notiz
10
Ebenso MGBIC-N-LC04
*Übertragungsdistanzen werden nur als Richtwert genannt; nutzen Sie die optischen
Spezifikationen und die spezifischen Characteristiken ihrer Fiber-Installation, um die
erreichbaren Distanzen festzulegen
Produktportfolio
294
Part Nummer
Beschreibung
10GB-ER-SFPP
10Gb, 10GBASE-ER, IEEE 802.3 SM, 1550 nm Long Wave Length, 40 km, LC SFP+
10GB-LR-SFPP
10Gb, 10GBASE-LR, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC SFP+
10GB-LRM-SFPP
10Gb, 10GBASE-LRM, IEEE 802. 3 MM, 1310 nm Short Wave Length, 220 m, LC SFP+
10GB-SR-SFPP
10Gb, 10GBASE-SR, IEEE 802. 3 MM, 850 nm Short Wave Length, 33/82 m, LC SFP+
10GBASE-ZR-XFP
10Gb, 10GBASE-ZR, SM, 1550 nm Long Wave Length, 80 km, LC XFP
10GBASE-ER-XFP
10Gb, 10GBASE-ER, IEEE 802.3 SM, 1550 nm Long Wave Length, 40 km, LC XFP
10GBASE-LR-XFP
10Gb, 10GBASE-LR, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC XFP
10GBASE-LRM-XFP
10Gb, 10GBASE-LRM, IEEE 802. 3 MM, 1310 nm Long Wave Length, 220 m, LC XFP
10GBASE-SR-XFP
10Gb, 10GBASE-SR, IEEE 802. 3 MM, 850 nm Short Wave Length, 33/82 m, LC XFP
10GBASE-CX4-XFP
10Gb, 10GBASE-CX 4, IEEE 802.3 TwinAxial, Copper SFF-8470, 15 m, LC XFP
10GB-C10-SFPP
10Gb, pluggable copper cable assembly with integrated SFP+ transceivers, 10 meters
10GB-C03-SFPP
10Gb, pluggable copper cable assembly with integrated SFP+ transceivers, 3 meters
10GB-C01-SFPP
10Gb, pluggable copper cable assembly with integrated SFP+ transceivers, 1 meter
CX4-CBL-15
CX4 cable, 15 meters
CX4-CBL-05
CX4 cable, 5 meters
CX4-CBL-02
CX4 cable, 2 meters
10GB-LW-SFPP
10Gb, Laserwire SFP+ adapter for use with Laserwire cable assembly
10GB-LW-XFP
10Gb, Laserwire XFP adapter for use with Laserwire cable assembly
10GB-LW-20
10Gb, Laserwire cable assembly, (requires Laserwire SFP+ or XFP adapters), 20 meters
10GB-LW-10
10GB-LW-05
10GB-LW-03
MGBIC-LC07
1Gb, IEEE 802.3 SM, 1550 nm, 110 km, LC SFP
MGBIC-08
1Gb, 1000BASE-LX/LH, IEEE 802. 3 SM, 1550 nm Long Wave Length, 80 km, LC SFP
MGBIC-LC09
1Gb, 1000BASE-LX, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC SFP
MGBIC-LC03
1Gb, 1000BASE-LX, MM, 1310 nm Long Wave Length, 2 km, LC SFP
MGBIC-BX10-D
1Gb, 1000BASE-BX10-D Single Fiber SM, Bidirectional, 1490nm Tx/ 1310nm Rx, 10 km, Simplex LC SFP (must be paired
with MGBIC-BX10-U)
MGBIC-BX10-U
1Gb, 1000BASE-BX10-U Single Fiber SM, Bidirectional, 1310nm Tx/ 1490nm Rx, 10 km, Simplex LC SFP (must be paired
with MGBIC-BX10-D)
MGBIC-LC01
1Gb, 1000BASE-SX, IEEE 802.3 MM, 850 nm Short Wave Length, 220/550 m, LC SFP
MGBIC-MT01
1Gb, 1000BASE-SX, IEEE 802.3 MM, 850nm Short Wave Length, 220/550 m, MTRJ SFP
MGBIC-02
1Gb, 1000BASE-T, IEEE 802.3 Ca t5, Copper Twisted Pair, 100 m, RJ45 SFP
I-MGBIC-GZX
I-Series only, -40°C to +60°C, 1Gb, 1000BASE-LX/LH, IEEE 802.3 SM, 1550 nm Long Wave Length, 80 km, LC SFP
I-MGBIC-GLX
I-Series only, -40°C to +60°C, 1Gb, 1000BASE-LX, MM – 550 m, SM – 10 km, 1310 nm Long Wave Length, LC SFP
I-MGBIC-GSX
I-Series only, -40°C to +60°C, 1Gb, 1000BASE-SX, IEEE 802.3 MM, 850 nm Short Wave Length, 220/550 m, LC SFP
I-MGBIC-GTX
I-Series only, -40°C to +60°C, 1Gb, 1000BASE-T, IEEE 802. 3 Cat5, Copper Twisted Pair, 100 m, RJ45 SFP
MGBIC-LC05
100Mb, 100BASE-LX10, IEEE 802.3 SM, 1310 nm Long Wave Length, 10 km, LC SFP
MGBIC-LC04
100Mb, 100BASE-FX, IEEE 802.3 MM, 1310 nm Long Wave Length, 2 km, LC SFP
295
Produktportfolio
X-Pedition Security Router
Die VPN Technologie verbindet die Vorteile des Internets (IP-basierte, einfache
Technologie – "überall" Zugriff möglich) und der modernen Kryptographie zu einer
völlig neuen Betrachtungsweise des Zugriffs auf Unternehmensnetze.
Anwendungsbereiche des XSR
Enterasys Networks stellt mit den X-Pedition Security Routern eine ganze Palette von
Lösungen für die sichere Anbindung von Mitarbeitern und Außenstellen bereit.
Mehr Informationen unter: http://www.enterasys.com/products/security-enabledinfrastructure/xsr-series.aspx
XSRXSR-1805, 1850
Der XSR-1805 ist das Einstiegsprodukt der Enterasys Familie von Sicherheitsroutern
für Zweigstellen. Er bietet leistungsfähige IP-Routing Fähigkeiten in Kombination mit
fortschrittlichen Sicherheitsmerkmalen wie Gateway-to-Gateway und Client-toGateway Virtual Private Networking. Der rack-mountable XSR-1850 ist das richtige
Produkt für Zweigstellen mit geschäftskritischen Applikationen, die 24 Stunden am
Tag, 7 Tage in der Woche verfügbar sein müssen. Er bietet über 200 parallel
laufende IPSec/3DES VPN Tunnels und zusätzlich eine optionale Stromversorgung
und redundante Lüfter. Der XSR-1805 ist die kleinere Variante, von Haus aus mit
weniger Speicher ausgestattet, aber bis zur Kapazität des XSR-1850 aufrüstbar.
Produktportfolio
296
XSRXSR-1805
XSRXSR-1850
Optionen
XSRXSR-18051805-RKMT
Rackmount kit for XSR-1805
XSRXSR-18XX18XX-VPN
VPN code upgrade for XSR-1800 series
XSRXSR-18XX18XX-FW
Firewall code upgrade for XSR-1800 series
XSRXSR-18XX18XX-VPNVPN-FW
VPN & Firewall code upgrade for XSR-1800 series
XSRXSR- RPC
XSR 1850 series Redundant power center, chassis and 1 pwr supply. Compatible
w/XSR-1850 rev level OL or higher. European ESD restrictions to some older
hardware revisions
XSRXSR- RPOWERRPOWER-1850
Redundent Power supply for XSR1850,up to 4 mount in XSR-RPC
XSR--128MB
128MB--MEM
XSR
128 Mb Memory upgrade for XSR-1850
XSRXSR-3020, 3150, 3250
Die Security Router der XSR 3000 Serie ermöglichen ein einfaches und
leistungsfähiges Betreiben von WANs durch die Kombination umfangreicher IPRouting Merkmale, eine breit gefächerte Auswahl an WAN-Schnittstellen, vielfältige
Sicherheitsfunktionalitäten wie Gateway-to-Gateway/Client-to-Gateway VPN und
Policy Managed Stateful Inspection Firewalling. Im Gegensatz zu anderen WANGeräten bieten die XSR-Router hoch entwickelte Sicherheitslösungen und sind in
der Lage selbst dann Wirespeed-Leistung zu liefern, wenn alle Funktionalitäten
aktiviert sind. Außerdem haben sie im Gegensatz zu typischen SicherheitsAppliances die Möglichkeit zum umfangreichen IP-Routing und eine Vielzahl
verfügbarer WAN-Schnittstellen.
297
Produktportfolio
XSRXSR-3150
XSRXSR-3250
Optionen
XSRXSR-30203020-FW
Firewall feature set for XSR-3020
XSRXSR-30203020-VPN
VPN feature set for XSR-3020
XSRXSR-30203020-VPNVPN-FW
Firewall & VPN feature set bundle for XSR-3020
XSRXSR-3XXX3XXX-FW
Firewall feature set for XSR-3150, XSR-3250
XSRXSR-3XXX3XXX- VPN
VPN feature set for XSR-3150, XSR-3250
XSRXSR-3XXX3XXX- VPNVPN-FW
Firewall & VPN feature set bundle for XSR-3150, XSR-3250
XSRXSR-512MB512MB-MEM
Upgrade to 512MB DRAM for the XSR-3150 and XSR-3250. Kit contains two 128MB
memory cards (available with XSR Release 6.0)
XSRXSR-NCCNCC-250250-4XX
Spare NIM Carrier Card for XSR-3250
Kapazitäten
XSR 1805
XSR 1850
XSR 3020
XSR 3150
XSR 3250
NIM Slots
2
2
2
2
6
Fixed 10/100/1000
LAN Ports
-
-
3
3
3
Fixed 10/100
LAN Ports
2
2
-
-
-
Mini-GBIC
Mini-GBIC
Mini-GBIC
Optional Gigabit
Ethernet *
IPIP-Routing Performance
50k PPS
60k PPS
250k PPS
525k PPS
600k PPS
VPN Tunnels
50
200
1000
3,000
(upgradeable)
3,000
(upgradeable)
VPN Throughput
100Mbps
100 Mbps
100 Mbps
350 Mbps
350 Mbps
Firewalling
Throughput
180Mbps
200
Mbps
1.1Gbps
2Gbps
2+Gbps
Simultaneous
Firewall Sessions
12,500
80,000
150,000
400,000
450,000
No
Optional
No
Standard
Standard
* Use of optional Mini-GBIC disables use of 1 fixed LAN port.
Produktportfolio
298
Spezifikationen
•
XSRXSR-1805
Abmaße 35.6 cm (14") L x 25.4 cm (10") W x 6.4 cm (2.5") H
Gewicht 3.18 kg (7 lbs)
•
XSRXSR-1850
Abmaße 25.4 cm (10") L x 43.1 cm (17') W x 5.0 cm (2") H
Gewicht 4.08 kg (9 lbs)
•
XSRXSR-3020
Abmaße 53.3 cm (21") L x 42.9 cm (16.9") W x 4.2 cm (1.6") H
Gewicht: 7.72 kg (17 lbs)
•
XSRXSR-3150
•
XSRXSR-3250
XSR--1805, 1850, 3020, 3150, 3250
XSR
•
Betriebstemperatur 0° C bis 40° C (32° F bis 104 ° F)
•
Temperaturgrenzwerte -40° C bis 70° C (-40° F bis 158° F)
•
Zulässige Feuchtigkeit 5% bis 90% (non-condensing)
•
Energieverbrauch (bei 100 bis -240~ Volts) 25W
Weitere Informationen finden Sie unter: http://www.enterasys.com/products/
security-enabled-infrastructure/xsr-series.aspx
299
Produktportfolio
XSR Network Interface Module
Für die X-Pedition Security Router Serie sind eine Vielzahl von Network Interface
Modulen für alle wichtigen Technologien im WAN Bereich verfügbar.
NIMNIM-BRIBRI-STST-01
1 port ISDN BRI with S/T interface
NIMNIM-BRIBRI-STST-02
2 port ISDN BRI with S/T interface
NIMNIM-ADSLADSL-ACAC-01
1 port ADSL NIM (Annex AC – POTS)
NIMNIM-ADSLADSL-B-01
1 port ADSL NIM (Annex B – ISDN)
NIMNIM-CT1E1/PRICT1E1/PRI-1
1 port chan T1/E1 ISDN PRI with CSU/DSU
NIM-- CT1E1/PRINIM
CT1E1/PRI-2
NIMNIM- CT1E1/PRICT1E1/PRI-4
NIMNIM-DIRELAYDIRELAY-02
2-port T1/E1 Drop and Insert Card
NIMNIM-E1E1-COAXCOAX-BLN
G.703 Balun with 120-ohm UTP (RJ-45F) to 75W dual-BNC cables
NIMNIM-SERSER-02
2 port High speed serial NIM
NIMNIM-SERSER-04
4 port High speed serial NIM
NIMNIM-T1/E1T1/E1-01
1 port fractional T1/E1 DSU/CSU NIM
NIMNIM-ETHRETHR-01
One port 10/100 Copper ethernet NIM
NIMNIM-FIBRFIBR-01
One port 100Base-Fx MMF NIM
NIM--232
232--CAB
CAB--04
NIM
4 port RS232/EIA530 DTE serial cable for NIM-SER-xx
NIMNIM-DBU1DBU1-CABCAB-04
4 port combination V.35/RS232 DTE serial cable for NIM-SER-xx
NIMNIM-V35V35-CABCAB-04
4 port V.35 DTE serial cable for NIM-SER-xx
NIMNIM-X21X21-CABCAB-04
4 port X.21 DTE serial cable for NIM-SER-xx
Dienstleistungen
300
Dienstleistungen
Unternehmensweite Netze bilden das Nervensystem für eine effektive und effiziente
Kommunikations- und Informationsbasis. Themen wie Service und Support, sowie
Training der Mitarbeiter werden immer mehr zur Voraussetzung werden, um die
Flexibilität zu gewährleisten, die ein sich immer schneller veränderndes
Anforderungsprofil von Unternehmen fordert. Ein Netzwerk kann wachsenden
Anforderungen an Funktionalität gerecht werden, wenn zum Einen die Produkte,
sprich die Hard- und Software, und zum Anderen Service und Support, Training und
Professional Service Leistungen konzeptionell aufeinander abgestimmt sind. Die
Verfügbarkeit des Netzwerks erhält ihre ständig wachsende Bedeutung für das
gesamte Unternehmen, indem immer mehr Funktionalität in das Netzwerk verlagert
wird, z.B. in Form von kritischen Daten, organisations- oder kommunikationsrelevanten Anwendungen. Sämtliche Aktivitäten laufen darauf hinaus, eine optimale
Verfügbarkeit des Netzwerkes sicherzustellen. Maßnahmen wie Service und Support
sowie Training spielen hierbei eine absolute Schlüsselrolle.
Um den vielfältigen Anforderungen innerhalb eines Unternehmens gerecht werden
zu können, sollten Wartungskonzepte Berücksichtigung finden, die Ihre Bedürfnisse
abdecken. Bestimmte Grundbausteine, wie z.B. Telephon-Support, FirmwareUpgrades oder ein Vorabaustausch sollten auf die gesamte Netzwerk- und SecurityInfrastruktur abgestimmt werden, um sicherzustellen, dass die Funktionsbereitschaft im Falle von Beeinträchtigungen in kürzester Zeit wiederher-gestellt werden
kann.
Enterasys SupportNet: Wartungslösungen
Ihr Netzwerk läuft 24x7 und obwohl Sie Support Mitarbeiter zu dessen
Unterstützung haben, an wen wendet sich Ihr Team, wenn technische Fragen
auftreten? SupportNet ist für Kunden designed, die ihre Netzwerkressourcen durch
technisches Produktwissen, welches nur vom Hersteller bereitgestellt werden kann,
ergänzen möchten, Mit Support Leveln, die von 24x7 Telefon-Support bis zu einem 2
Stunden vor Ort Support reichen, erlaubt SupportNet es Ihnen auf unsere Experten
zu zugreifen, um eingehende Troubleshooting Informationen und Antworten auf Ihre
technischen Fragen zu erhalten–durch einen kostenfreien Anruf oder den Besuch
unseres Online WEB-Support Portals . Erweitern Sie Ihren Gewährleistungs-Support
mit einer ausgezeichneten Support Möglichkeit von Enterasys Networks.
301
Dienstleistungen
SupportNet Features Leistungsumfang
•
24x7 Telefon Support: Unbegrenzter und kostenfreier Zugang zu unserem
100%internen Support Center zu jeder Tageszeit
•
Firmware Updates und Upgrades: Erhalten Sie online Zugang zu wertvollen
Firmware Updates und Upgrades, welche von unserer Webseite geladen
werden können.
•
Software und Secure Network Appliance Support (SNA): Zugang zu neuen
Rel eases garanti eren, dass Ihre Applikati onssoftware und
Sicherheitsapplikationen aktualisiert und auf Hochleistung arbeiten.
•
Web Support: Nutzen Sie die Vorteile des 24x7 Web Support, um allgemeine
Fragen und technische Dokumentationen mit Hilfe unserer Knowledgebase
zu klären.
•
Ersatzteile: Sie können einen Vorabaustausch defekter Produkte aus einem
unserermglobal verteilten Lager gemäß der von Ihnen gewählten Zeiten
bekommen: nächster Werktag, gleicher Werktag, 2 Stunden oder 4 Stunden
Lieferoptionen, auch als 7x24 Stunden Service Level .
•
Techniker Vor Ort: Ein Enterasys zertifizierter Techniker wird Ihnen wenn nötig
helfen die Netzwerkfehler zu diagnostizieren, die Logistik vor Ort zu managen
und bei technischen Eskalationen die Verbindung zu Produkt-Ingenieuren
herstellen. Dieser Service ist basierend auf folgenden Service Leveln
verfügbar: nächster Werktag, gleicher Werktag, 2 Stunden oder 4 Stunden
rund um die Uhr.
Vorteile von SupportNet
Unsere Kompetenz
•
94% aller Anfragen werden von unserem Support Team beim ersten Kontakt
gelöst
•
97% Kundenzufriedenheit
•
100% Internes Service Center
Verbesserte Netzwerkverfügbarkeit & Produktivität
•
SupportNet kann Ihnen helfen, die Auswirkungen eines ungeplanten Ausfalls
zu minimieren und die Mitarbeiterproduktivität zu erhöhen.
Dienstleistungen
302
Verringerte Betriebskosten
•
Es ist wahrscheinlich, dass die Betriebskosten Ihrer Technikumgebung
während des Lebenszyklus der Produkte den Einkaufspreis übersteigen.
SupportNet kann helfen die Betriebskosten zu minimieren und eine lange
Lebensdauer des Netzes zu gewährleisten.
SupportNet Service Level
SupportNet
Service
Levels
Software
Applikation
Support
NBD Teile
Austausch
Gute Option
SBD Teile
Austausch
4 Stunden
Teile
Austausch
NBD vor Ort
Antwort
Beste Option
SBD vor Ort
Antwort
Telefon
Support
24x7
24x7
24x7
24x7
24x7
24x7
24x7
Software
Releases
Inklusive
Nur SNA**
Nur SNA**
Nur SNA**
Nur SNA**
Nur SNA**
Nur SNA**
Web Support
Inklusive
Inklusive
Inklusive
Inklusive
Inklusive
Inklusive
Inklusive
Firmware
Upgrades
N/A
Inklusive
Inklusive
Inklusive
Inklusive
Inklusive
Inklusive
Hardware
Austausch
N/A
8x5 mit 4
Stunden
Lieferung
24x7 mit 4
Stunden
Lieferung
Lieferung am
nächsten
Werktag
8x5 mit 4
Stunden
Lieferung
24x7 mit 4
Stunden
Lieferung
Vor Ort
Arbeit
N/A
Lieferung
am
nächsten
Werktag
Nicht
inklusive
Nicht
inklusive
Nicht
inklusive
Lieferung am
nächsten
Werktag
8x5 mit 4
Stunden
Lieferung
24x7 mit 4
Stunden
Lieferung
4 Stunden
vor Ort
Antwort
*Service Level variieren je nach Lokation. Mehr Information unter www.enterasys.com/support
**SupportNet Services für Secure Network Appliance (SNA) beinhaltet ein Abo für Software Releases und Signatur Dateien Updates.
(NBD= Next Business Day/nächster Werktag; SBD= Same Business Day/gleicher Werktag)
Warum SupportNet?
Enterasys versteht, dass anspruchsvoller Service und Support eine kritische
Komponente Ihrer gesamten Netzwerk Verfügbarkeit ist. Deshalb komplettiert unser
SupportNet Portfolio – eine Zusammenstellung aus innovativen und flexiblen
Service- und Support-Angeboten – Ihre Lösung. SupportNet Kunden profitieren von
einer 94% Lösungsrate durch den ersten Kontakt mit unserem 100% internen
Support Center Team. Die Techniker haben im Durchschnitt über 12 Jahre
technische Erfahrung mit Enterasys. Zusätzlich haben SupportNet Kunden eine
Zufriedenheitsrate von ca. 97% . Enterasys SupportNet bietet alle Support Services
nach der Implementation, die Sie benötigen – online, vor Ort oder per Telefon – um
hoch verfügbare Netzwerke und Services zu erhalten.
303
Dienstleistungen
SchulungsSchulungs- und Zertifizierungskonzept
Umfassende technische Trainingsprogramme sind als Voraussetzung anzusehen,
um die Flexibilität zu gewährleisten, die ein sich immer schneller veränderndes
Anforderungsprofil von Unternehmen fordert. Um sowohl alle anfallenden
Dienstleistungen wie Planung, Installation, Konfiguration als auch die
Supportleistungen im vollen Umfang erbringen zu können, ist es zwingend
erforderlich, dass das IT Personal entsprechende Trainings- bzw.
Zertifizierungsmaßnahmen durchläuft. Enterasys hat sein Trainingsprogramm auf
praktische Lernziele abgestimmt, welche relevant sind, um mit Technologien oder
Infrastruktur-Design-Zielen wie z. B. Sicherheits- und Policy-Management vollstens
vertraut zu sein.
Zertifizierungsprogramm
Das Zertifizierungsprogramm basiert auf einem mehrstufigen Konzept, welches nach
erfolgreichem Abschluss der entsprechenden technischen Zertifizierungstrainings
zur Qualifikation zum
Enterasys Certified Specialist – ECS
Enterasys Certified Expert – ECE
Enterasys Certified Architect – ECA
führt.
Die Zertifizierung zum Enterasys Certified Architect entspricht dabei der höchsten
Zertifizierungsstufe.
Dienstleistungen
304
Specialist – Nach dem Trainingsbesuch und dem erfolgreichen Abschluss der
Prüfung kann ein Schulungsteilnehmer den Zertifizierungstitel zum Specialist
(Enterasys Certified Specialist – ECS) in einem oder auch mehreren der folgenden
Technologiebereiche erlangen. Dabei handelt es sich um die folgenden in sich
abgeschlossenen Themen:
•
Switching Management
•
Routing
•
Wireless
•
NMS Wireless Advanced Services
•
Policy
•
SIEM
•
Advanced SIEM
•
NAC
•
IPS
Expert – Schulungsteilnehmer können den Zertifizierungstitel Expert (Enterasys
Certified Expert – ECE) in den folgenden Technologiegebieten erreichen:
•
Networking
•
Wireless Technologies
•
Network Security
•
Security Information Management
305
Dienstleistungen
Architect – Die höchste Zertifizierungsstufe zum Architect (Enterasys Certified
Architect – ECA) kann in den Bereichen Networking oder Security erreicht werden.
Dienstleistungen
306
Zertifizierungen
Enterasys bietet einen modularen Ansatz für technische Zertifizierungstrainings an.
Die einzelnen Kurse sind praxis-, „Hands On“-orientiert, um mit den Lösungen von
Enterasys im Detail vertraut zu werden; diese planen, supporten und optimieren zu
können und somit die Verfügbarkeit sowie die Flexibilität von Systemen und
Lösungen zu gewährleisten und dadurch reibungslose Geschäftsabläufe sicher zu
stellen. Die entsprechenden Zertifizierungsprüfungen erfolgen im Allgemeinen unmittelbar am Ende des jeweiligen Kurses, wobei die Prüfungsgebühr bereits in der
Kursgebühr enthalten ist. Nachprüfungen werden gesondert berechnet. Alle
abgelegten und bestandenen Zertifizierungen sind für zwei Jahre gültig.
Schulungslokationen
Enterasys bietet Zertifizierungsschulungen in einer Vielzahl von Lokationen auf der
ganzen Welt an. Deutschsprachige Schulungen werden im Schulungszentrum in
Frankfurt am Main , Berlin, München oder auch Leipzig durchgeführt. Dadurch wird
eine kostengünstige und flexible Möglichkeit geboten, sich das erforderliche Wissen
anzueignen sowie die Zertifizierung für die unterschiedlichen Technologien und
Lösungen abzulegen und zu erhalten. Die Übersicht über alle Kurse weltweit finden
Sie aus unserer Trainings-Webseite. Dort finden Sie auch stets den aktuellsten
Trainingsplan:
http://www.enterasys.com/services-training/ClassSchedule.aspx
OnOn-Site Trainings
Zertifizierungstrainings können auch am Kundenstandort durchgeführt werden.
Unsere erfahrenen Trainer führen Schulungen auch außerhalb der Enterasys
Lokationen mit entsprechendem Equipment und Schulungsmaterial durch. Wenn
sechs oder mehr Teilnehmer an einem Standort ausgebildet werden sollen, kann
dies eine Alternative sein. Selbstverständlich können auch Customized Trainings,
abgestimmt auf individuelle Inhalte und entsprechende Trainingsdauer durchgeführt
werden. Fragen hierzu beantworten Jan Heinbokel ([email protected])
oder Kinga Dobroszek ([email protected]).
307
Dienstleistungen
Enterasys ServiceService-Units
Um maximale Flexibilität zu erzielen, bietet Enterasys Service Einheiten „Units“ zu
Erwerb an, die jederzeit innerhalb eines Jahres für Professional Services Leistungen
oder Trainings eingelöst werden können. Enterasys entwickelt einzigartige Secure
Networks™ Lösungen, die die Integrität, Leistungen und Sicherheit für Ihre
Netzwerkinfrastruktur und die entsprechenden Ressourcen und Anwendungen
liefern. Enterasys Professional Services Leistungen unterstützen erheblich bei der
Umsetzung der Secure Networks™ Lösung und beschleunigen somit das Return of
Investment. Enterasys Services Units vereinfachen es, Zugriff auf Professional
Services Einsätze zu erwerben und zu reservieren und bieten gleichzeitig die
Möglichkeit, diese Ressourcen zu einem gewünschten Zeitpunkt zu nutzen. Durch
den Kauf von Enterasys Service Units erhalten Sie Zugriff auf unser Gesamtportfolio
von Professional Services Angeboten. Weitere Informationen zu den Enterasys
Service Units erhalten Sie unter:
http://www.enterasys.com/services-training/enterasys service units.pdf
Literaturhinweise
308
Literaturhinweise
•
www.enterasys.com
Unsere Homepage in Englisch
•
www.extranet.enterasys.com
Unser Portal für Enterasys Partner und zentrale Dienste wie Lizenzverwaltung
•
www.enterasys.com/products/
Unsere Produktlinien
•
Unsere Handbücher für die verschiedenen Produkte
•
Unsere Downloadlibrary, unter der Sie Firmware & Release Notes finden
•
www.10gea.com/
10 Gigabit Ethernet Alliance
•
www.wi-fi.com
Wireless Fidelity
•
grouper.ieee.org/groups/
IEEE Standards Working Groups
•
www.faqs.org
Internet FAQ Archives
Social Media
iTUNES APP: My Enterasys für iPhone und iPad
TWITTER ACCOUNT: Enterasys
FACEBOOK ACCOUNT: Enterasys Networks
ENTERASYS BLOG: blogs.enterasys.com
309
Literaturhinweise
Downloads - DMS
•
Firmware, Software, Release Notes
•
www.enterasys.com/products/visibility-control/index.aspx
Enterasys Network Management Suite
•
Hardware & Software Manuals
•
www.dragon.enterasys.com/
SIEM und IDP downloads+manuals
INFO: Für das DMS (Download Management System) benötigt man ein Extranet
Account
Enterasys Knowledgebase
Dies ist ein wertvolles Werkzeug, welches Zugriff auf häufig gestellte Fragen (FAQ),
Anleitungen, Release Notes und weitere Artikel mit Know-How Ratschlägen, Beispielkonfigurationen, Problemlösungen und hilfreichem Material bietet.Für eine Übsicht
zum Thema “Best Practice for Enterasys Knowledgebase Searches”, sehen Sie bitte
auf folgender URL nach: https://knowledgebase-enterasys.talismaonline.com/
article.aspx?article=10104&p=1.
Ansonsten ist die Knowledgebase erreichbar über: https://knowledgebaseenterasys.talismaonline.com/
Literaturhinweise
310
Enterasys GTAC
Support in Deutsch
Montag - Freitag von 9:00 - 18:00 Uhr (MET)
Support in Englisch
Montag - Sonntag ganztägig
Hotline Nummer für:
Deutschland: 0800 / 1014-164
Österreich: 0800 / 2927-74
Schweiz: 0800 / 5620-89
per Email: [email protected]
Einen Online RMA Antrag finden Sie unter: www.enterasys.com/support/rma.aspx
Das Online Case Management finden Sie unter: www.extranet.enterasys.com
311
Impressum
Impressum
Herausgeber
Enterasys Networks Germany GmbH
Solmsstr. 83
60486 Frankfurt am Main
Tel: +49 (0)69/47860-0
Fax: +49 (0)69/47860-109
Überarbeitung
Christopher Bullock
Christopher Feussner
Jan Heinbokel
Sarah König
Daniel König-Schieber
Jochen Müdsam
Markus Nispel
Kurt Semba
Bastian Sprotte

SG 2012_deutsch_Inhaltverzeichnis

Transcription

Similar documents

Secure Networks – eine ganzheitliche Sicherheitsarchitektur Secure

Extreme Networks Solution Guide