УЦ Микротест - источник ваших знаний
 
Личный кабинет Вход / Регистрация
 
 
 
  Вход Регистрация
Логин*
E-mail, указанный при регистрации
Пароль* не помню
 
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
 
 
0 позиций

       +7 (495) 231 23 51 Москва

       +7 (964) 778 99 27 Москва

       Дербеневская наб. д.7 стр. 5

Учебный центр Микротест / Статьи / Cisco Expo – что нового?

Cisco Expo – что нового?

Подписка
 
 


Отзывы наших клиентов

/upload/cimg_cache/772bbc506828b26e9464854927147cbb/7092675a42b7e13b2a505eaa6ce20802.png

Закрытое Акционерное Общество «Золото Северного Урала» выражает признательность всему коллективу Учебного центра «Микротест» за обучение специалистов ЗАО «Золото Северного Урала» по курсу: MS Outlook – «Электронная почта Microsoft Outlook». Слушатели высоко оценили уровень организации и проведения обучения, а также теоретический и практический опыт преподавателя УЦ «Микротест» Щеткина Максима Валерьевича. Учебный центр проявил себя, как квалифицированный партнер по обучению, поэтому мы будем рады продолжению нашего сотрудничества.

Заместитель управляющего директора по персоналу
А.Б.Черданцев

16.12.2011

Владимир Таиров – эксперт УЦ «Микротест», 
старший тренер по направлениям «Телефония», «SP Operation»

Таиров ВладимирПрошли три дня конференции CISCO EXPO-2011. Проводилась она там же, где и год назад, в Центре Международной Торговли на Красной Пресне, только народу, судя по ощущениям, было значительно больше, чем в прошлом году. Как обычно, кроме основных потоков презентаций, был представлен ряд стендов в демо-зонах, где можно было наглядно рассмотреть и буквально потрогать все новинки, да и не новинки, а просто актуальные на сегодняшний день продукты и решения. Также, по старой доброй традиции, партнеры CISCO представляли сами себя на стендах по всей площади этажа в Конгресс-Центре. Сама конференция шла три дня, с 9 утра до 7 вечера с перерывами на кофе и на обед.

В первый день до обеда в общем зале проходили шоу-выступления встречающей стороны, из которых хочется отдельно выделить выступление Алана Бьёрнстада, который в своем стиле зажигал на сцене и презентовал следующий шаг в развитии «сетей без границ» - эволюцию сетей в пост-компьютерной эре, когда присутствие сотрудника на совещаниях и участие его в работе не требует наличия у него офисного места и компьютера, а возможно даже при использовании планшетов и сотовых телефонов с соответствующим программным обеспечением. Причем все это не только работает, но и контролируется интеллектуальными компонентами самой сети в полном соответствии с требованиями по управляемости, качеству обслуживания и безопасности, заложенных в идеологии «сетей без границ».

После обеда в первый день, и далее оставшиеся два дня в разных залах шли технические сессии, проводимые ведущими инженерами компании CISCO по различным направлениям. К сожалению, физически не удалось посетить все интересующие сессии, потому что для этого пришлось бы разделиться на несколько частей, а именно на 5, ровно столько было основных потоков: безопасность, ЦОДы, операторские решения, корпоративные сети, унифицированные коммуникации. Правда во второй день вместо безопасности эстафету приняли на день ценители и профессионалы в области беспроводных технологий, но в третий день вернули безопасникам обратно.

В первый день удалось посетить поток по корпоративным сетям, который вели посменно системные инженера CISCO Станислав Рыпалов и Павел Денисов. Поток был посвящен архитектуре и принципам планирования многоуровневых корпоративных сетей, а также использованию в них технологий виртуализации и повышению отказоустойчивости в корпоративных сетях. Говорилось конечно и много того, что и так должно быть известно сертифицированным инженерам и специалистам, работающим в области проектирования корпоративных сетей, но, как известно, «повторение – мать учения». В частности, не раз повторялось, что сети должны строиться с упором на иерархичности и модульность, для повышения масштабируемости, доступности и производительности. Также детально был описан пример и варианты использования технологии VSS на коммутаторах CISCO 6500/6500-E, рассмотрена разница между использованием коммутаторов различных семейств (3560/3750, 4500, 6500) в уровнях распределения и ядра, а также приведены «наилучшие практики» по конфигурированию оборудования, отвечающего за функционирование различных уровней корпоративной сети. Отдельно была рассмотрена технология балансировки путей в CEF, потому что на практике этому уделяют недопустимо мало внимания.

В последнее время все больше внимания уделяется технологиям и сетям с уровнем доступа на L3, и на сессии было объяснено преимущество подобного решения, а также преимущество использования стекируемых коммутаторов по сравнению с самостоятельными устройствами. На уровне распределения предлагается повышать доступность, производительность и отказоустойчивость с помощью технологии VSS, правда поддерживается она «пока» на 6500 и то с супервизорами VS-S2T и VS-S720-10G-3C/XL, потому что в своей основе данная технология использует каналы связи между коммутаторами на скорости 10 Гбит/сек.

Что касается виртуализации, то первый же вопрос, который возник еще до посещения этой сессии, а о какой собственно виртуализации пойдет речь? В данном случае под виртуализацией понималось логическое разделение сетевой инфраструктуры между несколькими подсистемами, где одна физическая инфраструктура обеспечивает работу нескольких логических подсистем с применением консолидации всех типов данных (голос, данные, видео) внутри одно сетевой инфраструктуры. Основные преимущества виртуализации: гибкость управления и сокращение затрат на создание и сопровождение. Технически можно рассматривать отдельно виртуализацию каналов и виртуализацию устройств, причем в последнем случае это не только виртуальные сервера, что наиболее часто имеется в виду, когда говорят о виртуализации, но и виртуальные маршрутизаторы и межсетевые экраны, сенсоры IPS и т.д. Для виртуализации каналов предлагается использовать различные современные технологии, от VRF Lite и L2TPv3 до MPLS, VPLS. Также была рассмотрена новая технология EVN (Easy Virtual Network), которая позволяет вместо GRE-туннелей использовать транковые соединения для разделения сетей клиентов. Также была рассмотрена тонкая настройка BGP при организации разделяемого доступа к ресурсам VPN. Конечно, всё это при желании можно найти и на сайте компании CISCO и просто на форумах, но то, как подобрана информация в презентациях, помогает уяснить для себя очень многие вещи не прибегая к поиску в сети Интернет.

В сессии по повышению отказоустойчивости корпоративных сетей было детально рассмотрено использование технологии IP SLA для контроля маршрутов в динамических протоколах, а также детально описана технология PfR, являющаяся продолжением технологии OER.

Технология PfR предназначена для:

  • Выбора оптимального маршрута с учетом производительности канала
  • Автоматического распределения нагрузки между каналам связи
  • Выбора наиболее оптимального пути для приложения
  • Автоматического перенаправления потоков данных в случае различных сбоев
  • Корректировки маршрутной таблицы на основе информации о состоянии сети


При выборе маршрута PfR анализирует:

  • Время отклика (Response rme)
  • Потери пакетов (packet loss)
  • Вариацию задержки (jitter)
  • Доступность (availability)
  • Загрузку (traffic load) и политики стоимости

Все дело в том, что маршрут с лучшей метрикой не всегда является идеальным. Сеть может быть перегружена и не удовлетворять требованиям SLA, а технология PfR позволяет выбрать лучший маршрут на основе собранной статистики.

Во второй день эстафету по потоку корпоративных сетей приняли другие инженера из CISC: Илья Зубаревич, Михаил Сафронов, Владислав Патенко и Константин Григорьев, а также их коллеги из компаний-партнеров, которые, в частности, рассказывали про успешный опыт внедрения сисьемы контроля за сетевым оборудованием Cisco Prime LMS, и технические подробности настройки виртуальных сетей в VMware vCloud Director.

Инженеры CISCO посвятили этот день детальному рассмотрению оборудования, используемого в коммутируемой инфраструктуре корпоративных сетей, в частности коммутаторов CISCO 4500, 6500, а также новых линеек оборудования CISCO 3560-X/3750-X и 2960-S.

Коммутаторы CISCO 4500, которые на рынке уже много лет, не собираются сдавать свои позиции, а, наоборот, с выходом нового супервизора SUP7-E, получили вторую жизнь. Характеристики топовой модели супервизора (SUP7-E) поражают: пропускная способность 848 Gbps, аплинки 4x10G/4x1G, процессор Dual Core 1.5 GHz, память 2 GB, максимальное количество маршрутов 256 K. Однако цена у данного модуля тоже слегка негуманная, поэтому компания выпустила новую модель супервизора, со слегка заниженными характеристиками, но поддерживающая все современные функции нового супервизора. Такой моделью стал супервизор SUP7L-E, который имеет пропускная способность 520 Gbps, что на треть меньше чем у топовой модели, аплинки 2x10G/4x1G, процессор Dual Core 1.2 GHz, память 2 GB, и максимальное количество маршрутов меньше в 4 раза 64 K. На новых супервизорах уже работает новая операционная система IOS XE, которая принципиально отличается от IOS тем, что она модульная и обладает полным разделением управления и обработки данных, то есть поддержка нового оборудования связана не с заменой всей операционной системы а с обновлением одного модуля. Сами коммутаторы производитель позиционирует как эффективные на уровне доступа или распределения при средней скорости агрегации. В коммутаторе есть очень интересные функции, такие как: поддержка захвата трафика с помощью встроенного приложения Wireshark, технология Flexible Netflow (позволяет задавать условия и шаблоны сборки потоков и отправлять на разные сенсоры), а также самое важное – новые карты доступа с выдачей питания до 60Вт на порт (технология UPoE).

Коммутаторы CISCO 6500, которые на рынке примерно столько же, сколько и 4500, также прекрасно себя чувствуют и предлагаются как эффективное решение для уровня ядра или распределения. Для них были выпущены супервизоры с поддержкой 10Гбит на модуле (Sup720-3C и новейший Sup-2T). На супервизоре Sup-2T был изменен подход к расположению модуля маршрутизации – теперь один процессор реализует и L2 и L3 функции. Это двух-ядерный процессор, выполняющий роль Control Plane, в модельном ряду он соотносится с MSFC5. Также в новом супервизоре был применен дополнительный процессор для управления, так называемый Connectivity Management Processor (CMP) под управлением LINUX, что значительно облегчает удаленное администрирование устройством. Новый модуль PFC4, отвечающий в этом супервизоре за Data Plane, также значительно повысил свои характеристики и обзавелся новыми функциями, среди которых Flexible NetFlow, TrustSec, IPv6 uRPF и многое другое. Также было заявлено, что новый супервизор специально был разработан для поддержки новых модулей, таких как WiSM2, ACE-30, NAM-3, ASA-SM.

Новые коммутаторы CISCO 3560-X/3750-X предлагаются производителем, как решение на уровне доступа/распределения. Как известно, коммутаторы 3750 отличались от 3560 всегда возможностью организации стека. И здесь компания CISCO пошла дальше, они предложили взамен уже имеющейся технологии StackWise – новую, усовершенствованную технологию StackWise Plus, поддерживаемую на 3750-X. Хотя, если в стек объединить и новые и старые устройства, то новые поймут это и перейдут на StackWise. Также были представлены новые модули с поддержкой Flexible NetFlow для 3560-X/3750-X. Технология StackPower, используемая в 3750-Х, позволяет интеллектуально управлять электропитанием коммутаторов с максимизацией экономия электроэнергии, что очень важно в современных датацентрах.

Новые коммутаторы уровня доступа CISCO 2960-S, имеющие 28 или 48 портов 10/100/1000 и 2 аплинка по 10G, собираемые в стек FlexStack, являются на текущий момент самым эффективным решениям для организации уровня доступа на L2.

Также были анонсированы революционно новые устройства CISCO 2960-C и 3560-C, выполненные в виде настольных коммутаторов с пониженным потреблением электроэнергии и умеющие брать питание по локальной сети по технологиям PoE/PoE+/UPoE, и отдавать его дальше клиентским устройствам (телефоны, видеотерминалы, точки беспроводного доступа).Более того, было заявлено, что в скором времени производители компьютеров выйдут на рынок с новыми настольными терминалами, получающими питание также по локальной сети.

В третий день более интересным показался поток по безопасности, на котором весь день раскрывалась тема CISCO TrustSec, презентовался новый продукт CISCO ISE, а также новый модуль в коммутатор 6500 под названием ASA-SM.

Сама по себе архитектура TrustSec не является чем то новым, просто компания CISCO взяла и собрала все технологии обеспечения безопасности под одним названием. И теперь сетевые сервисы в состоянии ответить на вопросы:

  • «Кто» или «что» находится в сети?
  • «Куда» смогут иметь доступ пользователи и устройства?
  • Защищены ли сетевые коммуникации?

В основе любой архитектуры лежит некая система управления, и в TructSec это – CISCO ISE (Identity Services Engine). Ее основные функции можно разделить на три группы:

  • Централизованная идентификация пользователей и устройств в сети
  • Применение согласованных политик доступа на основе идентификации
  • Автоматизация предоставления сервиса сетевого доступа для сотрудников, гостей и устройств

По сути, CISCO ISE заменяет собой CISCO NAC и CISCO ACS, однако, и NAC и ACS еще пока будут продолжать выпускаться. Дело в том, что в ISE хотя и реализован совместный функционал NAC+ACS, нет ряда функций, которые выполняют на данный момент и NAC и ACS, и которые используются рядом покупателей. В частности, ISE не умеет работать с протоколом TACACS+, как ACS, и не умеет управлять устройствами по SNMP, как NAC (вместо этого он использует технологию CoA, являющуюся дополнением к протоколу RADUIS).

Однако то, для чего был создан ISE, а именно – контроль того, «кто» и «что» находится в сети, выполняется им на все сто. В частности, помимо того, что ведется анализ и идентификация устройства во время входа в сеть, также ведется профилирование трафика во время работы устройства в сети. И в случае обнаружения несоответствия между полученными данными и заявленными от пользователя о типе устройства, сеанс связи будет прекращен.

Язык описания политик доступа на ISE настолько прозрачен и гибок, что разобраться в нем сможет даже оператор, не являющийся сертифицированным инженером CISCO.

В дополнение к стандартным технологиям, ISE позволяет использовать специальные метки безопасности (Security Group Tagging, SGT), что значительно позволяет повысить управляемость безопасностью трафика в корпоративной сети.

Новый модуль СISCO ASA-SM для коммутаторов CISCO 6500, является специализированным модулем для 6500 с тем же п/о, что и внешние устройства (в отличие от модуля FWSM, использующего специализированное п/о). Принципиальные отличия нового модуля, помимо гигантской производительности в 20Гбит/сек, заключаются в его новом п/о версии 8.5, который пока только доступен для этого модуля и наследует весь функционал версии 8.4 (к слову сказать в котором огромное число полезных новшеств по сравнению с самым распространенным 8.2) плюс обладает возможностью одновременной работы разных контекстов в разных режимах (маршрутизируемом и прозрачном).

В целом вся конференция прошла весьма позитивно и с большой поддержкой со стороны участников. Остается пожелать компании CISCO успехов в новом году, и чтобы на следующей конференции CISCO EXPO-2012 мы смогли увидеть и услышать что-то еще более новое, полезное и интересное.

 

Комментарии Facebook

Комментарии ВКонтакте