1. Cisco Expo 2012
Уровни ядра и распределения ЛВС
следующего поколения. Обзор линейки
коммутаторов Cisco Catalyst для построения
уровней ядра и распределения.
Scott Hodgdon
Technical Marketing Engineer
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1

2. Cisco Expo 2012
Как
обеспечить
эффективную
работу Как
Ядро
приложений управлять
для этим на
пользователей уровне
Как обеспечить ? предприятия
использование ?
корпоративных
и личных
Распредел
устройств
сотрудников в
сети?
сети?
ение
Как
Вопросы и обеспечить
безопасность
задачи на уровне
устройств?
устройств?
Какие сервисы
необходимы для
поддержки
Доступ
инфраструктуры Как
? обеспечить
Как построить
мониторинг на
масштабируемую
и безопасную сеть уровне
для проводных и предприятия?
предприятия?
беспроводных
устройств и
обеспечить
поддержку
трендов?
трендов?
© 2012 Cisco and/or its affiliates. All rights reserved. 2

3. Cisco Expo 2012
© 2011 Cisco and/or its affiliates. All rights reserved. 3

4. Cisco Expo 2012
Корпоративная Cisco Catalyst
сеть или Nexus?
Nexus? ЦОД
Ядро Ядро Workload
Video VM
Catalyst 6500 Sup2T Nexus 7000 Mobility
Mobility/ Распределение Распределение 10G/
BYOD Virtualizatio
Catalyst 6500 Sup 2T Nexus 7000
n
Доступ Доступ Energy
Security
Catalyst 4K / 3K Nexus 5000/2000 Efficiency
Инвестиции в платформы и их развитие будут соответствовать их
позиционированию
© 2012 Cisco and/or its affiliates. All rights reserved. 4

5. Cisco Expo 2012
Корпоративная сеть ЦОД / Облако
Семейство Catalyst - IOS Семейство Nexus – NX-OS
Контроль доступа / Сегментация Облачная безопасность и VM
802.1X / Easy Virtual Networks (EVN) Nexus 1000v, VSG, ASA, 1000v
Интеллектуальное видео Мобильность VM (виртуальных машин)
Medianet LISP, VXLAN, OTV
Конвергенция сетей wired и wireless Конвергенция сетей LAN / SAN
Wireless Controller Integration Unified Ports, FCoE
Идентификация приложений Масштабируемость и гибкость Fabric
Flexible NetFlow, NAM-3 (NBAR2) FabricPath, vPC, Wire Speed 10/40/100G
Питание через Ethernet Консолидация ЦОД
UPOE, EnergyWise VDC, FEX, DCNM
Требования и пожелания заказчиков диктуют выбор
платформы
© 2012 Cisco and/or its affiliates. All rights reserved. 5

6. Cisco Expo 2012
Cisco Catalyst 6500 с
SUP2T
Масштабируемость
Cisco Catalyst
4500-
4500-E
Cisco Catalyst
4500-
4500-X
Ведущая в отрасли платформа для
ядра/распределения кампусной сети
Полный набор функций для сетей
Компактные 1 RU Базовый функционал без границ
устройства для при более низкой цене
агрегации 1/10GE Высокая производительность и
масштабируемость
Базовый набор Снижение TCO
Фиксированные
функций для
коммутаторы
ядра/распределения Ведущая платформа для
агрегации 10G
Collapsed Access Video,
Video, Cloud и BYOD
© 2012 Cisco and/or its affiliates. All rights reserved.
Функциональность 6

7. Cisco Expo 2012
Инновации Особенности
Инновации с Платформа с
сохранением сетевыми сервисами
инвестиций для
Унифицированного
доступа
Миграция Снижение TCO
Cisco Catalyst
Next-Gen Ethernet в 6500 E-Series Цена /
корпоративных сетях Производительность
1G » 10G » Виртуализация, Smart
40G » 100G Operations и Change
Management
© 2012 Cisco and/or its affiliates. All rights reserved. 7

8. Cisco Expo 2012
Лидирующая платформа в
индустрии (модульные
45
коммутаторы)
$200+ Million
Совокупный доход ($B)
40
Инвестиции в развитие Sup2T
35 Сравните с инвестициями ($150M) Tesla Motor для
создания первого спортивного автомобиля на
30
электричестве
25
20
$200+ Million
15
10
5 Инвестиции в ближайшие 3 года
0 Богатые сетевые сервисы, эволюция Ethernet,
Cisco Catalyst Brocade
6500
HP Juniper
(A7500 and (EX8200)
снижение TCO, сохранение инвестиций
A9500)
750 000+ поставленных шасси
1,2 млн поставленных супервизоров
110 млн портов
© 2012 Cisco and/or its affiliates. All rights reserved. 45 000+ заказчиков Catalyst 6500 8

9. Cisco Expo 2012
Сервисные модули – Оптика 40 GbE – Sup2T
Sup2T и Sup720-10G
Sup720-
6904
FourX SR4 LR4
NAM-3
Медь и Оптика 10GbE – Sup2T
WiSM2 40G/слот
6816
Sup2T ASA-SM
6816
80G/слот
6904
6908
Медь и Оптика 1GbE – Sup2T
Sup720-10G
6824
Медь и Оптика 1 GbE для Sup720-10G
Sup720-
Fiber
6848
6724
Медь и Оптика 10 GbE 40G/слот
40G/ Fiber
для Sup720-10G
Sup720- 6748 High-Perf.
6848
High-Perf Access
6716 6716 6748
Access.
Copper 6148
Copper 6148
6704 6708 Access 45AT Access 45AT
© 2012 Cisco and/or its affiliates. All rights reserved. 9

10. Cisco Expo 2012
Инсталлированная база Sup2T
16 000 поставленных Supervisor 2T
2 300+ заказчиков Supervisor 2T
300+
150 000+ 10G портов
000+
Первый модульный коммутатор с
поддержкой 40G
Backbone для внедрений и сетей Cisco
(Interop, Cisco Live, Olympics, DNC / RNC)
Interop,
© 2012 Cisco and/or its affiliates. All rights reserved. 10

11. Cisco Expo 2012
4X
масштабируемость
3X
производительность
Новые возможности Sup2T SUP720 SUP2T
L2 MAC Table 96K 128K
Новая PFC4 с
увеличенной Bridge Domains 4K 16K
производительностью
Улучшенная Switch Fabric,
и масштабируемостью, SGT / SGACL – Yes
обеспечивающая 80G/слот
новыми аппаратными
функциями VNET Trunk (EVN) – Yes
40G Interfaces – Yes
System Bandwidth 720 Gbps 2 Tbps
L3 Interfaces 4K 128K
NetFlow Table 128K/256K 512K/1M
USB-Based Flexible NetFlow – Yes
Новая MSFC5 с Console Support
Hitless ACL Updates 32K Yes
поддержкой Dual Core
CPU и единого IOS Connectivity Medianet 2.2 – Yes
Image Management Processor
(CMP) Requires WAN Yes (no WAN
VPLS / A-VPLS
Module module)
Cisco Prime VSS Quad Sup SSO – Yes
ВЫДЕЛЕНЫ основные функции для поддержки BYOD, Collaboration и Video
© 2012 Cisco and/or its affiliates. All rights reserved. 11

12. Cisco Expo 2012
Серия 6900 с DFC4 Серия 6800 с DFC4
• Неблокируемая коммутация 80G/слот
• MACsec на скорости работы порта
• Virtual switching link (VSL)
• Большие пакетные буферы (256
MB/port)
• X2 трансиверы или SFP+ с адаптером
• Доступны стандартные и XL модели
• Готовность к использованию LISP
• 40G/слот с интегрированной DFC4
• 24 и 48 оптических портов 1GbE
FourX CFP-40G-SR4
• 48 медных портов 10/100/1000
• 16 портов 10GbE (оптика) и 10GBASE-T
CFP-40G-LR4 • Доступны стандартные и XL модели
Производительность системы с
Удвоенная производительность распределенной коммутацией,
системы с распределенной сравнимая по цене с централизованной
коммутацией
© 2012 Cisco and/or its affiliates. All rights reserved. коммутацией 12

13. Cisco Expo 2012
WS-X6908-10G-
WS-X6908-10G-2T WS-X6904-40G-
WS-X6904-40G-2T WS-X6816-10G-
WS-X6816-10G-2T
Доступны
Снижена
цена
Плотность
88 10GE 170 10GE/44 40GE 176 10GE
портов
Трансиверы: X2, SFP+ CFP, SFP+ X2, SFP+
Пропускная
80 Gbps 80 Gbps 40 Gbps
способность:
Полный набор функций L2/L3 Полный набор функций L2/L3 Полный набор функций L2/L3
с поддержкой MPLS, VPLS. с поддержкой MPLS, VPLS. с поддержкой MPLS, VPLS.
Функциональность:
возможностей IPv4/IPv6, 1M+ возможностей IPv4/IPv6, 1M+ возможностей IPv4/IPv6, 1M+
IPv4 маршрутов, 1M NetFlow IPv4 маршрутов, 1M NetFlow IPv4 маршрутов, 1M NetFlow
Дополнительная Гибкость 10G, SGT,
Большие буферы, SGT,
аппаратная MACsec, LISP*, Campus
MACsec, LISP*
функциональность: FEX*, TRILL*
Уровни распределения и Уровни распределения и Уровень ядра
Идеальны для:
ядра корпоративной сети ядра корпоративной сети корпоративной сети
© 2012 Cisco and/or its affiliates. All rights reserved. 13

14. Cisco Expo 2012
Sup720 Sup2T
6704, 6724, 6748 с CFC Поддерживаются
6704, 6724, 6748 с DFC3 WS-F6K-DFC4-A
6716-10G/10T с DFC3 WS-F6K-DFC4-E
Оптика 6708-10G Специальная программа TMP для апгрейда
Серия 61xx 6148E, 6148A, 6148-SFP, 6196
NAM/-1/2/3, ACE20/30, WiSM-1/2
Сервисные модули FWSM, ASA-SM
VPN SPA Не поддерживаются
(Используйте ASA-SM для IPSEC VPN)
Модули WAN Не поддерживаются
(Используйте Sup720-10G или ASR для WAN)
© 2012 Cisco and/or its affiliates. All rights reserved. 14

15. Cisco Expo 2012
Интегрированное управление сетями Wired и
Расширенный мониторинг приложений
Wireless
NEW
WiSM следующего NAM следующего
NEW
поколения : WiSM-2 поколения: NAM-3
Производительность
Производительность 20 Gbps До 15 Gbps
мониторинга
Кол-во точек доступа 500–1000 Capture на внешнее устройство До 5 Gbps
Кол-во клиентов 15000
Глубокий анализ пакетов Поддержка NBAR-2
Мобильность, размер домена До 18000 точек доступа
Быстрый поиск
Глубокий анализ пакетов AVC HW Filters/Packet Captures
неисправностей
Надежная интегрированная безопасность
Межсетевой экран
NEW
следующего
поколения: ASA-SM OS и
64 Gbps Производительность системы
16 Gbps Производительность одного модуля
функциональный
10000000 Кол-во одновременных сессий паритет с ASA
300000 Кол-во соединений в секунду
250 Security-контекстов
© 2012 Cisco and/or its affiliates. All rights reserved. 1000 VLAN’ов 15

16. Cisco Expo 2012
4510R+E
4507R+E 4506-E
4503-E
Оптические линейные карты
WS-X4624-SFP-E WS-X4712-SFP+E Supervisor Engine 7-E
плотность
Высокая
• Пропускная способность
848 Gbps
• SFP+/SFP • 4 x SFP+/SFP uplinks
• 100 10G SFP+
WS-X4612-SFP-E WS-X4606-X2-E
плотность
Низкая
Supervisor Engine 7L-E
• Пропускная способность
520 Gbps
1G 10G • 2 x 10G SFP+/SFP uplink
• 62 10G SFP+
Базовая Backbone-функциональность и Collapsed Access
Backbone-
© 2012 Cisco and/or its affiliates. All rights reserved. 16

17. Cisco Expo 2012
Cisco Catalyst 4500-X: 10G-агрегация
4500- 10G- Cisco Catalyst 3750X: 1G-агрегация
1G-
32 и 40 10/1 GbE портов
12 и 24 портов 1GbE
Uplink-
модули
16 и 24 10/1 GbE портов
Ключевые особенности Ключевые особенности
• 1RU с отказоустойчивыми ИП/вентиляторами • 1RU с отказоустойчивыми
• Большие пакетные буферы и размеры таблиц ИП/вентиляторами
• Готовность в поддержке VSS: W1 CY13 • Стекируемые с моделями 3750-X с
• Поддержка расширенной функциональности медными портами
безопасности и QoS
• Сервисные модули с 2 портами 10G для
• Полная поддержка IPV4/IPV6 unicast/multicast
uplink и flexible NetFlow
• Оптимизация для поддержки video/medianet
• Шифрование MACsec
• Упрощенное управление и эксплуатация
• Готовность к поддержке TrustSec
© 2012 Cisco and/or its affiliates. All rights reserved. 17

18. Cisco Expo 2012
Enterprise Services с 8-портовым Uplink
IP Base IP Base
Вентиляция Front to Back
Вентиляция Front to Back Вентиляция Back to Front
WS-C4500X-32SFP+ WS-C4500X-40X-ES WS-C4500X-F-32SFP+
WS-C4500X-16SFP+ WS-C4500X-24X-ES WS-C4500X-F-16SFP+
8-портовый 10GE Вентилятор с 750 Вт модульный 750 Вт модульный
Uplink-модуль возможностью горячей замены источник питания AC источник питания DC
C4KX-NM-8SFP+ $250 $2,000 $3,000
$8,000 (Front-to-Back: Red,
© 2012 Cisco and/or its affiliates. All rights reserved.
Back-to-Front: Blue) 18

19. Cisco Expo 2012
Улучшенное управление Расширенная Стандартизированные
функциональность для релизы для всех
всех платформ платформ
Серия Cisco Серия Cisco Серия Cisco Серия Cisco Серия Cisco ISR
ASR-1000 Catalyst 4500 Catalyst 6500 Catalyst 3x00
Multicast IPv6
IOS Feature Sets Routing Switching
SW Mobile Web
VPN HA QoS Embedded Broadband
License Transport Services
Mgmt.
Ethernet
IP SLA NBAR 802.1X SNMP Policy MPLS AAA
Services
© 2012 Cisco and/or its affiliates. All rights reserved.
Использование единого кода 19

20. Cisco Expo 2012
Bundle
Bundle Description List Price Savings
List Price
6503E Chassis, Sup2T, Fan Tray, IP
VS-C6503E-SUP2T
Services Image
6504E Chassis, Sup2T, Fan Tray, IP
VS-C6504E-SUP2T
Services Image
6506EChassis,Sup2T, Fan Tray, IP
VS-C6506E-SUP2T
Services Image
СНИЖЕНИЕ ЦЕНЫ
ДО 24%
6509E Chassis, Sup2T, Fan Tray, IP
VS-C6509E-SUP2T
Services Image
6509VE Chassis, Sup2T, Fan Tray,
VS-C6509VE-SUP2T Cable Chassis Management, IP
Services Image
6513E Chassis, Sup2T, Fan Tray, IP
VS-C6513E-SUP2T
Services Image
© 2012 Cisco and/or its affiliates. All rights reserved. 20

21. Cisco Expo 2012
© 2011 Cisco and/or its affiliates. All rights reserved. 21

22. Cisco Expo 2012
© 2011 Cisco and/or its affiliates. All rights reserved. 22

23. Cisco Expo 2012
Упрощенное управление
• Управляется как единая сущность с
интеграцией backplane
• Интегрированные возможности по
работе с приложениями, анализом
трафика и устранением проблем с
производительностью
• Удаленный мониторинг с
RSPAN/ERSPAN
Снижение совокупной стоимости
Увеличенная масштабируемость
владения (TCO)
(TCO)
• Виртуальные контексты для • Снижение кол-ва управляемых
поддержки виртуализации устройств в сети
BYOD • Не требуются внешние
• Сервисные модули коннекторы
соответствуют последним
• Улучшенное управление
спецификациям и версиям ПО их
аналогов на отдельных шасси питанием
(appliance) • Снижение занимаемого места в
© 2012 Cisco and/or its affiliates. All rights reserved. стойке 23

24. Cisco Expo 2012
• Идентификация и мониторинг
приложений
От филиалов до ЦОДов
Полный жизненный цикл доставки
приложений – мониторинг, поиск и
устранение несправностей, контроль и
оптимизация
• Может выполнять роль коллектора
для Flexible NetFlow
• Сервисный анализ сетевых потоков
и потоков приложений
• Анализ пакетов на уровне
приложений (L7) с использованием
NBAR-2*
• Wireless CAPWAP Decode
• Управление при помощи Cisco
Prime
© 2012 Cisco and/or its affiliates. All rights reserved. 24

25. Cisco Expo 2012
Единое устройство для поддержки проводных и беспроводных
сервисов
Снижение операционных
расходов 20 Gb Backplane Channel
Dedicated 12-Core Data
• Масштабируемость Dedicated 12-Core PRIME
Processor
1000 точек доступа Control Processor
15 000 клиентов
• Централизованная поддержка
Одновременный Upgrade точек доступа ISE
Поиск и устранение несправностей
• Мобильность
36,000 точек доступа в Mobility Domain
Fast Roaming
• Производительность
Пропускная способность 10 Gbps
• Новая функциональность
Application Visibility and Control (AVC)
NetFlow v9
Поддержка Bonjour
NMSP Location Services Serial & USB
Status LEDs Console Ports
Stateful AP failover в режиме VSS
© 2012 Cisco and/or its affiliates. All rights reserved. 25

26. Cisco Expo 2012
Core
Switch
Room 201 Access Catalyst 6500 Catalyst 6500 Access Room 203
Switch 1 w/WISM-2 w/WiSM-2 Switch 3
Catalyst 6500
w/WiSM-2
printer-201 printer-203
Access Access
atv-201 atv-203
Switch 2 printer-201 Switch 4
atv-201 printer-201
Какие сервисы я What services
могу использовать? AP can I use?
Bonjour
ID: Adam ID: John
Role: Faculty Role: Student
Location: room201 Location: room201
© 2012 Cisco and/or its affiliates. All rights reserved.
*Q4 CY2012
26

27. Cisco Expo 2012
NAT64, VPN
Multigigabit Fabriс Site-to-Site
• Chassis backplane
Multiple Contexts (250)
Services*
• Virtualized interfaces • High capacity
• Module-to-module • Memory for handling high
communications session counts
• 24 GB of memory
Dual-Crypto
Accelerators
Security Service
• Hardware processing
Processors
• Accelerated Virtual Private
Networking and Unified • Multi-services capable
Communications encryption • Dedicated 64-bit multicore processors
• Future-proof hardware
*Roadmap
© 2012 Cisco and/or its affiliates. All rights reserved. 27

28. Cisco Expo 2012
ПОТРЕБНОСТИ БИЗНЕСА
• Образование
• 13 600 преподавателей и сотрудников, 50 000 студентов
сотрудников,
ПРОБЛЕМАТИКА
• Недостаток ресурсов сети
• Увеличение кол-ва межсетевых экранов в подразделениях
кол-
• Разделение видео и остальной сети
РЕШЕНИЕ CISCO
• Виртуализированное решение с использованием MPLS на базе
Cisco Catalyst 6500, FWSM, WISM-2
FWSM, WISM-
ПРЕИМУЩЕСТВА
• Улучшена безопасность с централизированным межсетевым
экраном
• 150 межсетевых экранов заменены одним FWSM
• Расширение сети с использованием VRF multicast
• Гибкая доставка приложений независимо от местоположения
http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/case_study_c36-609342.html
Network World WISM http://www.networkworld.com/newsletters/wireless/2006/0327wireless2.html
© 2012 Cisco and/or its affiliates. All rights reserved. 28

29. Cisco Expo 2012
ДО ПОСЛЕ
Faculty
Virtual Firewall
Большому кол-ву факультетов/подразделений UBC требовалась
кол- факультетов/
Единая и полностью отказоустойчивая система межсетевого
экранирования для подсетей и VLAN’ов
VLAN’
© 2012 Cisco and/or its affiliates. All rights reserved. 29

30. Cisco Expo 2012
Как расширить Network Edge
безопасность за Authentication
пределами сети ? Topology
Campus Core
Как избежать потерь
ACL Atomic
Access трафика во время Commit
модификации ACLs ?
Как реализовать
Integrated
возможности DPI и Corporate Module
Protected
Firewall
Visitor resources
stateful connections ?
Catalyst 6500
Conference w/ASA-SM
room Как отделить CPU от Control Plane
Campus трафика “тяжелых” Policing (CoPP) /
Block приложений? HWRL
Как масштабировать
межсетевой экран в ASA Clustering
Internet
Access сети ?
Employee Catalyst 6500
Telepresence w/ASA-SM
room
© 2012 Cisco and/or its affiliates. All rights reserved. 30

31. Cisco Expo 2012
КОНТРОЛЬ ДОСТУПА ИЗОЛЯЦИЯ МАРШРУТА
Доверенные
устройства
SSID → Identity → Device Sensor → VLAN X → VRF X → Firewall Context X
Cisco Catalyst 6500
VSS 4T ASA-SM Firewall
WISM2 IPS Services in
ASA-SM Backbone
NAM-3
Недоверенные
устройства SSID → Identity → Device Sensor → VLAN Y → VRF Y → Firewall Context Y
Устройствам BYOD нужен
Устройства BYOD не Изоляция маршрута в сети
такой же доступ, как и
получают обязательных для IPS или ASA-SM для
корпоративным устройствам
обновлений безопасности соответствия политикам
Необходим более глубокий и антивирусов HIPAA, PCI, FISMA
анализ для устройств BYOD
© 2012 Cisco and/or its affiliates. All rights reserved. 31

32. Построение архитектуры
унифицированного
доступа кампусной сети
© 2012 Cisco and/or its affiliates. All rights reserved.

33. Cisco Expo 2012
SMART
OPERATIONS
(в рамках
другой
презентации)
презентации)
Ядро
Распредел
Что мне
ение
RESILIENCE необходимо TRUSTSEC
?
Доступ
APPLICATION
VISIBILITY
AND
CONTROL
© 2012 Cisco and/or its affiliates. All rights reserved. 33

34. Безопасность
инфраструктуры BYOD
кампусной сети
© 2012 Cisco and/or its affiliates. All rights reserved.

35. Cisco Expo 2012
Context-
Context-Based Protect Network
Segmentation
Control Infrastructure
Easy Virtual Network
MACsec TrustSec NDAC
(EVN)
Core
Routed ACL VRF-
VRF-Lite Hardware CoPP
Security Group ACL
MPLS VPN Flexible NetFlow
(SGACL)
Easy Virtual Network Flexible NetFlow
MACsec
(EVN)
(EVN)
Distribution
IPv6 First-Hop Security
First-
Routed and VLAN ACL VRF-
VRF-Lite
TrustSec NDAC
MPLS VPN
Security Group Tag Hardware CoPP
Security Group ACL
ASA-
ASA-SM Contexts ASA-
ASA-SM, NAM-3
NAM-
Device Sensor CIST
Easy Virtual Network
Security Group Tag (EVN)
Access
IPv6 First-Hop Security
First-
Security Group ACL
Port and VLAN ACL VRF-
VRF-Lite TrustSec NDAC
802.1X Innovations: Hardware CoPP
Secure Group
Low Impact: Monitor Mode
Access/SGT
Flexible Authentication Flexible NetFlow
© 2012 Cisco and/or its affiliates. All rights reserved. 35

36. Cisco Expo 2012
Контроль со знанием Сегментация Защита сетевой
контекстов (Compliance) инфраструктуры
Where
What When
Who How
IDENTITY
Контроль доступа на базе Шифрование MACsec
Сегментация независимо от
ролей с Security Group топологии с Secure Group
Tagging (SGT) Access (SGA) Network Device
Authentication (NDAC)
Идентификация,
профилирование устройств с Layer 3 сегментация с VRF-
VRF-
Device Sensor Lite/Easy
Lite/Easy Virtual Networks IPv6 First-Hop Security
First-
(EVN)/MPLS
(EVN)/MPLS VPN
Control Plane Policing (CoPP)
Гостевой доступ с dACL,
dACL,
назначением VLAN Layer 2 и Layer 3 сегментация
с использованием Cisco Catalyst Integrated
Аутентификация 802.1X сервисных модулей Security Toolkit (CIST)
© 2012 Cisco and/or its affiliates. All rights reserved. 36

37. Безопасность инфраструктуры Cisco Expo 2012
BYOD кампусной сети
Контроль со знанием контекстов и сегментация
Trusted Wi-Fi
?
 Аутентификация
пользователя
 Fingerprint-устройство
 Применение
корпоративной
конфигурации
 Enterprise-приложения
 Автоматические политики
© 2012 Cisco and/or its affiliates. All rights reserved. 37

38. Безопасность инфраструктуры Cisco Expo 2012
Where
BYOD кампусной сети Who
What When
How
Контроль со знанием контекстов и сегментация IDENTITY
Trusted Wi-Fi
?
 Authenticate user
Применение
определенных
 Fingerprint device
политик на базе:
 Apply corporate config
 Типа устройства
 Enterprise apps
 Пользователя
Automatic policies
  Местоположения
 Приложения
© 2012 Cisco and/or its affiliates. All rights reserved. 38

39. Безопасность инфраструктуры Cisco Expo 2012
Where
BYOD кампусной сети Who
What When
How
Контроль со знанием контекстов и сегментация IDENTITY
Trusted Wi-Fi
?
Доступ:
 Authenticate user
Apply Defined Policy
ПОЛНЫЙ
Profiles Based On:
 Fingerprint device
No Yes
Electronic Medical Records
  Device type config
Apply corporate
 User TelePresence
Mobile
 Enterprise apps
 Location
Email
 Automatic policies
 Application
Instant Messenger
© 2012 Cisco and/or its affiliates. All rights reserved. 39

40. Безопасность инфраструктуры Cisco Expo 2012
Where
BYOD кампусной сети Who
What
What When
When
How
Контроль со знанием контекстов и сегментация IDENTITY
IDENTITY
Untrusted Wi-Fi
Trusted Wi-Fi
?
Access: LIMITED
Access: FULL
 Authenticate user
Apply Defined Policy
NoProfiles Based On:
Fingerprint device
Yes
Electronic Medical Records
  Device type config
Apply corporate
 User TelePresence
Mobile
 Enterprise apps
 Location
Email
Automatic policies
  Application
Instant Messenger
© 2012 Cisco and/or its affiliates. All rights reserved. 40

41. Cisco Expo 2012
Функциональность
Особенности идентификации
аутентификации
Monitor Mode Cisco Catalyst Switch
• Беспрепятственный доступ
• Нет влияния на продуктивность
• Мониторинг и получение информации
Гибкая последовательность аутентификации
• Единая конфигурация для всех случаев
• Гибкие механизмы изменений и политик
Расширенные функции 802.1X
Поддержка IP-телефонии и виртуальных
десктопов Authorized Tablets IP Phones Network Guests
Users Device
• Single host mode
• Multihost mode
802.1X MAB WebAuth
• Multiauth mode
• Multidomain authentication
Критическая аутентификация Data/Voice
• Отсутствие влияния на бизнес в случае отказа
© 2012 Cisco and/or its affiliates. All rights reserved. 41

42. Cisco Expo 2012
Device Sensor собирает информацию для классификации конечных устройств,
на базе типа устройства, данных пользователя и его местоположения
Device-
Device- Identity-
Identity- Location-
Location-
Aware Aware Aware
1 Corp PC Doctor Office
Personal
1 Doctor Office
Laptop
Personal
2 Patient Hotspot
CDP
LLDP
Laptop
DHCP
MAC
Smartphone Admin Office
IP Phone N/A Office
TelePresence N/A Conf. Room
2 1 1
© 2012 Cisco and/or its affiliates. All rights reserved. 42

43. Cisco Expo 2012
2 ISE
CDP
4 Radius accounting
LLDP
1 MAC OUI 3
DHCP
Radius Probe
5
1 Устройство подключается к сети
2 Коммутатор получает информацию с использованием CDP, LLDP, DHCP, MAC OUI
3 Коммутатор передаёт ISE информацию об устройстве с использованием сообщений
RADIUS Accounting
Уведомление посылается только в случае обнаружения изменения информации об устройстве
4 ISE анализирует данные и идентифицирует устройство с использованием библиотек
5 Политика (ACL, VLAN, SGT и т.д.) с ISE применяется на коммутаторе
© 2012 Cisco and/or its affiliates. All rights reserved. 43

44. Cisco Expo 2012
All the info collected are sent via RADIUS Vendor-Specific Attribute TLV
(e.g. DHCP options)
CDP LLDP DHCP
Address Type Chassis Id All Subnets Local
Capabilities Type End Of LLDP ARP Cache Timeout
COS Type Management Address Authentication
Device Name Port Description Autoconfiguration
Duplex Type Port Id …….
External Port Id Type System Capabilities Client Identifier
IP Prefix Type System Description …….
Management Address Type System Name Vendor Identifying Vendor Class
MTU Type Time To Live Vendor Identifying Vendor-Specific
Native VLAN Type Options
Platform Type Vendor Encapsulated Options
Port Id type
…….
Version Type
VTP Management Domain Type
VVID Type
© 2012 Cisco and/or its affiliates. All rights reserved. 44

45. Cisco Expo 2012
Configuring Device Sensor
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
aaa session-id common
dot1x system-auth-control
!
device-sensor accounting
radius-server vsa send accounting
radius-server vsa send authentication
!
radius server ise
address ipv4 <ip address> auth-port 1812 acct-port 1813
pac key cisco123
Customizing the RADIUS TLV Information
device-sensor filter-list {cdp | lldp | dhcp} list <list-name> tlv {name <tlv-name> | number <number>}
device-sensor filter-spec {cdp | lldp | dhcp} {include list <list-name> | exclude {all | list <list-name>}}
Switch(config)#device-sensor filter-list cdp list cdp-exc
Switch(config-sensor-cdplist)#tlv name device-name
Switch(config-sensor-cdplist)#tlv name platform-type
Switch(config)#device-sensor filter-spec cdp exclude list cdp-exc
© 2012 Cisco and/or its affiliates. All rights reserved. 45

46. Cisco Expo 2012
Как только устройство профилировано, коммутатор применяет
конфигурацию на порту на базе предопределенных правил
Device-
Device- Identity-
Identity- Location-
Location-
Aware Aware Aware
1 Corp PC Doctor Office
Personal
1 Doctor Office
Laptop
Personal
CDP
2 Предопределенные правила
Laptop
Patient Hotspot
LLDP
DHCP
MAC
/ профили
Smartphone Admin Office
Auto Smartports Config Macro
IP Phone N/A
interface $INTERFACE Office
macro description $TRIGGER
TelePresence vlan 10
switchport access N/A Conf. Room
switchport mode access
VLAN10 switchport port-security
port-
switchport port-security maximum 1
port-
switchport port-security violation restrict
port-
switchport port-security aging time 2
port-
switchport port-security aging type inactivity
port-
spanning-
spanning-tree portfast
2 1 1 spanning-
spanning-tree bpduguard enable
© 2012 Cisco and/or its affiliates. All rights reserved. 46

47. Cisco Expo 2012
ISE централизованно сохраняет информацию об устройствах и
назначенных политиках
Device-
Device- Identity-
Identity- Location-
Location-
Policy
ACL 500 Aware Aware Aware
permit tcp <src>
<dst> eq sip 1 Corp PC Doctor Office VLAN100
VLAN100 Routed Interface
Permit udp <src>
<dst>eq domain VLAN300 Routed Interface Personal
Permit udp <src> 1 Doctor Office VLAN100
<dst> eq tftp VLAN10 Routed Interface Laptop
Permit udp <ssrc>
<dst> eq 8080 Personal VLAN200
2 Patient Hotspot
…. CDP
LLDP
Laptop
DHCP
MAC
Smartphone Admin Office VLAN300
IP Phone N/A Office VLAN10
TelePresence N/A Conf. Room ACL 500
VLAN10
VLAN200 VLAN300 VLAN100 VLAN100 Назначение VLAN Downloadable ACL
• Не требуется управления • Меньше воздействие на
ACL на порту коммутатора конечные устройства (нет
2 1 1 изменений IP-адресов)
• Требуется изменения в
дизайне топологии • Требуется больший
(меняется IP-адрес) объем поддеживаемых
© 2012 Cisco and/or its affiliates. All rights reserved. ACL и TCAM-таблиц 47